思科AC+AP升级时候的问题,记录一下
一、证书过期问题
思科AC和AP内置的证书一般是10年,过期了会导致系统升级后AP连不上,一直在反复下载固件。
解决方法:
1. 在WLC上通过命令忽略对证书的检查。
ios 7.0.252版本或以上:
config ap life-check mic enable config ap life-check ssc enable
ios 7.4.140 版本或以上:
config ap cert-expiry-ignore mic enable
某些WLC上因硬件问题不支持这几条命令,也可以采用第二种方法
2. 将WLC的系统时间改为证书过期前。
clock set 13:00:00 may 12 2017
二、AP因固件损坏无法启动(反复重启)
刷机解决
下载AP固件,思科比较麻烦,分胖和瘦,还分胖转瘦和瘦转胖,注意不要下错,以瘦为例,下载后文件名是tar,需要改成xxx.default
https://software.cisco.com/download/home
插上console线,按住AP的MODE键上电
屏幕显示放开按钮后松开
进入刷机模式,默认IP为10.0.0.1/8,电脑设置为10.0.0.2/8
打开TFTP服务端,如果文件名不对屏幕上会报错,设置正确的固件文件名xxx.default会自动开始下载升级
三、WLC(AC)升级可用网页操作,但是命令行配合看ap状态比较方便,参考这个贴子
具体步骤
1. 官网下载Code Image,同时准备一个tftp的服务器
2. 登录http和ssh
3. 准备下载安装Code Image
tftp工具上可以看见下载进度
WLC下载之后会自动解压安装,因为我的环境是HA,主控制器完成升级后会自动升级备用控制器。这个步骤会比较花时间,慢慢等
这一步特别费时间
4. 现在我们可以检查一下版本号是否更新了
检查AP的版本,仍然是旧版本
5. pre download image 到 AP上面
这个步骤可做可不做,但是推荐做,因为他可以预先下载好最新的版本到AP上,这样如果有几十上百个AP的话,他们重启之后不需要重新下载新的镜像,可以节约大量宕机的时间
检查一下状态
等个20分钟 应该就都好了
有个别的AP,如果是通过WAN连接管理的,可能没有更新
需要手动地指定这些AP再下载一下就还好啦
最后 所有的AP都准备就绪
6. 交换AP的Primary和Backup镜像
7. 最后准备重启
这里我设置了2分半之后重启HA的两个控制器,重启之前自动备份
15分钟后,测试版本号是否更新
正常登录
四、flash文件损坏问题
如果bootloader都进不去,开机会直接跳到ap:的命令行,AP闪红灯,这时候需要手动解压缩固件到flash里
ap: flash_init ap: ether_init ap: set IP_ADDR 10.0.0.1 ap: set NETMASK 255.255.255.0 ap: set DEFAULT_ROUTER 10.0.0.1 ap: tftp_init ap: tar -xtract tftp://10.0.0.2/ap3g2-k9w7-tar.152-2.JA.tar flash: ap: set BOOT flash:/ap3g2-k9w7-mx.152-2.JA/ap3g2-k9w7-mx.152-2.JA ap: boot
之后会重启加载bootloader,这时候就可以用MODE键按住刷机了,如果有报错,可以格式化掉flash再解压
ap: format flash:
五、CLI下刷固件
有些型号不支持MODE键强刷,比如1830i,只能等启动到CLI命令行,然后回车登陆进去,默认用户名密码cisco/Cisco(密码C大写),然后用CLI命令刷机
en回车输入密码Cisco进入修改模式
瘦固件刷机
AP#archive download-sw /reload tftp://10.0.0.2/ap1g4-k9w8-tar.153-3.JC.tar
转胖固件刷机
AP#ap-type mobility-express tftp://10.0.0.2/AIR-AP1830-K9-8.2.100.0.tar
胖转回瘦
AP#ap-type capwap