Cisco 1260 AP non risponde più al ping, ssh dopo l'aggiornamento all'ultimo firmware 15.x.

8

Ho un AP 1260 che ho aggiornato questa mattina. Prima dell'aggiornamento, il sistema consentiva ssh e rispondeva ai ping sulla rete, tuttavia ora non risponde.

Ho collegato un cavo seriale e navigando nella configurazione non riesco a trovare nulla di sbagliato, e l'attivazione del debug ssh non produce alcun output.

Ho provato a rigenerare la chiave RSA nel caso in cui ciò causasse la mancata connessione di ssh online, tuttavia non ha influito sull'impossibilità di contattare l'unità sulla rete.

Ho anche provato ad attivare "ip routing" e "ip cef" pensando che potrebbero essere il problema, ma nessun effetto. Ho anche aggiunto una route predefinita statica al nostro gateway di gestione nella speranza che forse fosse un problema di route predefinita ma che non ha aiutato

Ecco la versione corrente di IOS sull'unità:

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

Ecco l'attuale configurazione in esecuzione:

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

Qualsiasi suggerimento sarebbe apprezzato, sono piuttosto sconcertato sul perché questo improvvisamente andrebbe storto.

EDIT : Ecco la ricostruzione dell'output delle chiavi crittografiche.

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled

— Peter Grace
fonte

Vorrei riaccendere "No IP Routing". Puoi eseguire il ping dall'AP al gateway? A qualcosa oltre il tuo gateway?

— Peter,

Non noto alcuna configurazione della porta Ethernet cablata. Come stai cercando di raggiungere questo host IOS? Via cavo? Senza fili? Se si dispone dell'accesso alla console (sembra simile), è possibile vedere quali percorsi sono noti con "show ip route" o le interfacce con "show ip interface brief"? "Mostra interfaccia" mostra un aumento dei contatori di pacchetti?

— jof

Abbiamo avuto problemi simili dopo aver aggiornato le nostre Aironet alla famiglia 15.0. Mi è stato detto che il supporto dot1q è piuttosto difettoso e, se hai bisogno di VLAN sul tuo AP, l'unica soluzione è il downgrade a 12.4.

— Marco Marzetti,

4

Supportano solo BVI1. Ciò non è stato imposto né da bug né da qualsiasi altra cosa in 12.X ma in 15.X ogni BVI aggiuntivo interrompe l'accesso alla gestione. Ha lavorato con TAC su questo problema per un periodo di una settimana. Puoi riprodurre il problema su uno degli AP con 15.X.

Quindi un semplice no int BVI50dovrebbe correggere la configurazione originale. Più una ricarica dopo aver apportato la modifica.

Ho apportato un paio di modifiche ora che non sono sul mio iPad. Comunque, ho avuto questo problema con 2 1262 che ho aggiornato nel mio ufficio locale e 1 1252 in un impianto remoto (20 minuti per fortuna). Una volta che il problema è stato risolto rimuovendo i BVI extra che avevo su tutti gli AP (prima di aggiornare più), sono stato in grado di aggiornare 25 da remoto in tutto il mondo senza intoppi.

— some_guy_long_gone
fonte

1

La tua configurazione sopra non mostra una configurazione con chiave crittografica. Dovrebbe esserci qualcosa del tipo:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

Proverei a rieseguire il crypto key generate rsacomando.

— Craig Constantine
fonte

1

dopo aver ricreato la chiave rsa, ho quindi deciso di fare un "sh run all" e sono stato accolto da 4500 righe di "nessuna interfaccia sorgente di log" - non so se questo è previsto o no, ma ora sono pensando che è tempo di liberare l'unità dall'orbita e ricominciare da capo.

— Peter Grace,

Penso che sia correlato a IOS 15 nel tentativo di accedere a un server di rimozione ... ma, sì, non sono sicuro di cos'altro suggerire. Ho lavorato con ssh / IOS15, ma non con gli AP.

— Craig Constantine,

1

Dopo aver ripristinato le impostazioni predefinite dell'unità e averlo riprogrammato, l'AP ha ripreso a funzionare correttamente. Lo sto dando a "tentato aggiornamento andato storto".

— Peter Grace
fonte

0

Diverso è il fatto che si tratta di un router con un modulo AP integrato ma dopo aver aggiornato l'AP del mio router 897VAW a 15.3 da 12.x, non sono riuscito a eseguire il ping / http / ssh a BVI. Revisionando la configurazione di @ petergrace, noto che mi mancava il ip routecomando. Non sono sicuro se questo è stato rimosso dall'aggiornamento o non ne avevo bisogno prima.

Nella configurazione AP, ho aggiunto:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

Dove 10.10.40.1 è il gateway predefinito di interface VLAN40. 897 è un router con un modulo AP. Dal punto di vista del router, ho anche dovuto aggiungere switchport trunk native vlan 40a interface Wlan-GigabitEthernet8come in:

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

Il che credo sia ciò che si intende dalla nota di rilascio di Cisco, documentata qui :

L'AP autonomo tratterà la sotto-interfaccia legata al Bridge-group1 come il Vlan nativo Quando si utilizza una configurazione su un AP autonomo in cui non è definita una VLAN nativa, ogni interfaccia viene taggata dot1q, la comunicazione fallirà dopo l'aggiornamento alle versioni 15.3 (3 ) JC5 o successivo. Sembra che la configurazione sia ancora corretta dopo l'aggiornamento, ma l'AP invia i frame senza tag per il bridge-group 1, anche se l'incapsulamento non è definito come nativo. L'AP autonomo tratterà la sotto-interfaccia legata al gruppo ponte 1 come VLAN nativa, anche se non è definita con la parola chiave nativa: "incapsulamento punto1 nativo". La VLAN associata al gruppo ponte 1 deve essere impostata su nativa nella configurazione switchport di connessione

Per ovviare a questo problema, configurare VLAN 100 come VLAN nativa sul trunk switchport collegato, anche se l'incapsulamento non è specificato come nativo sull'AP.

Problema analogo discusso qui , però, non ho bisogno di aggiungere switchport trunk native vlan 40alle Dot11RadioX.40e GigabitEthernet0.40interfacce, ma ho dovuto aggiungere encapsulation dot1Q 40 nativea Dot11RadioX.40e GigabitEthernet0.40.

— woter324
fonte