Cisco 1260 AP không còn phản hồi ping, ssh sau khi nâng cấp lên firmware 15x mới nhất

8

Tôi có một AP 1260 mà tôi đã nâng cấp sáng nay. Trước khi nâng cấp, hệ thống đã cho phép ssh và sẽ phản hồi các lệnh ping trên mạng, tuy nhiên hiện tại nó không phản hồi.

Tôi nối một dây cáp nối tiếp và lướt xung quanh cấu hình mà tôi dường như không thể tìm thấy bất cứ điều gì không ổn, và bật gỡ lỗi ssh không tạo ra bất kỳ đầu ra nào.

Tôi đã thử tạo lại khóa RSA trong trường hợp không có khả năng khiến ssh không trực tuyến, tuy nhiên nó không ảnh hưởng đến việc không thể liên lạc với đơn vị qua mạng.

Tôi cũng đã thử bật "ip định tuyến" và "ip cef" nghĩ rằng chúng có thể là vấn đề, nhưng không có hiệu quả. Tôi cũng đã thêm một tuyến mặc định tĩnh ra cổng quản lý của chúng tôi với hy vọng rằng có lẽ đó là sự cố tuyến mặc định nhưng nó cũng không giúp được gì

Đây là phiên bản hiện tại của iOS trên thiết bị:

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

Đây là cấu hình đang chạy hiện tại:

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

Bất kỳ lời đề nghị nào cũng sẽ được đánh giá cao, tôi khá bối rối về lý do tại sao điều này đột nhiên sai.

EDIT : Đây là việc tái tạo đầu ra khóa mật mã.

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled

— Peter ân sủng
nguồn

Tôi sẽ bật lại "không định tuyến ip". Bạn có thể ping từ AP đến cổng của bạn? Để một cái gì đó vượt ra ngoài cổng của bạn?

— Peter

Tôi không nhận thấy bất kỳ cấu hình cổng ethernet có dây. Làm thế nào bạn đang cố gắng để tiếp cận máy chủ iOS này? Qua dây? Không dây? Nếu bạn có quyền truy cập bàn điều khiển (trông giống như nó), bạn có thể xem những tuyến đường nào được biết đến với "hiển thị tuyến đường ip" hoặc giao diện với "hiển thị giao diện ip ngắn gọn" không? "Giao diện hiển thị" hiển thị bộ đếm gói ngày càng tăng?

— jof

Chúng tôi đã gặp vấn đề tương tự sau khi nâng cấp Aironets của chúng tôi lên Gia đình 15.0. Tôi đã được thông báo rằng hỗ trợ dot1q khá có lỗi và, nếu bạn cần Vlan trên AP, giải pháp duy nhất là hạ cấp xuống 12.4.

— Marco Marzetti

4

Họ chỉ hỗ trợ BVI1. Điều này không được thực thi bởi lỗi hoặc bất cứ điều gì trong 12.X nhưng trong 15.X bất kỳ BVI bổ sung nào sẽ phá vỡ quyền truy cập quản lý. Đã làm việc với TAC về vấn đề này trong một khoảng thời gian một tuần. Có thể tái tạo vấn đề trên bất kỳ AP nào với 15.X.

Vì vậy, một đơn giản no int BVI50nên sửa cấu hình ban đầu. Cộng với tải lại sau khi thực hiện thay đổi.

Thực hiện một vài chỉnh sửa bây giờ tôi không có trên iPad. Dù sao, tôi đã gặp vấn đề này vào ngày 2 1262 mà tôi đã cập nhật tại văn phòng địa phương và 1 1252 tại một nhà máy ở xa (rất may là 20 phút). Khi vấn đề đã được giải quyết bằng cách loại bỏ các BVI bổ sung mà tôi có trên tất cả các AP (trước khi nâng cấp nữa), tôi có thể cập nhật 25 từ xa trên toàn cầu mà không gặp trở ngại nào.

— some_guy_long_gone
nguồn

1

Cấu hình của bạn ở trên không hiển thị cấu hình khóa mật mã. Cần có một cái gì đó như:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

Tôi sẽ thử chạy lại crypto key generate rsalệnh.

— Craig Constantine
nguồn

1

Sau khi tạo lại khóa rsa, sau đó tôi quyết định thực hiện "sh run all" và được chào đón tới 4500 dòng "không ghi nhật ký giao diện nguồn" - Tôi không biết điều này có được mong đợi hay không, nhưng bây giờ tôi nghĩ rằng đã đến lúc để nuke các đơn vị từ quỹ đạo và bắt đầu mới.

— Peter Grace

Tôi nghĩ điều đó có liên quan đến iOS 15 khi cố gắng đăng nhập vào máy chủ gỡ bỏ ... nhưng, vâng, tôi không chắc nên đề xuất điều gì khác. Tôi đã làm việc với ssh / IOS15, nhưng không phải với các AP.

— Craig Constantine

1

Sau khi khôi phục thiết bị về mặc định của nhà máy và lập trình lại nó, AP bắt đầu hoạt động bình thường trở lại. Tôi đang cố gắng nâng cấp nó lên để "cố gắng nâng cấp trở nên tồi tệ."

— Peter ân sủng
nguồn

0

Khác nhau ở chỗ nó là một bộ định tuyến với mô-đun AP tích hợp nhưng sau khi nâng cấp AP của bộ định tuyến 897VAW của tôi lên 15.3 từ 12.x, tôi không thể ping / http / ssh lên BVI. Xem lại cấu hình của @ petergrace, tôi nhận thấy tôi đã thiếu ip routelệnh. Không chắc chắn nếu điều này đã được gỡ bỏ bởi bản nâng cấp hoặc tôi không cần nó trước đây.

Trong cấu hình AP, tôi đã thêm:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

Trong đó 10.10.40.1 là cổng mặc định của interface VLAN40. 897 là một bộ định tuyến với mô-đun AP. Về phía bộ định tuyến, tôi cũng phải thêm switchport trunk native vlan 40vào interface Wlan-GigabitEthernet8như trong:

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

Điều tôi tin là ý nghĩa của ghi chú phát hành của Cisco, được ghi lại ở đây :

AP tự trị sẽ xử lý Giao diện phụ gắn với Bridge-group1 là Vlan gốc Khi sử dụng cấu hình trên AP tự trị không có Vlan gốc được xác định, mỗi giao diện được gắn thẻ dot1q, giao tiếp sẽ thất bại sau khi nâng cấp lên bản phát hành 15.3 (3 ) JC5 trở lên. Có vẻ như cấu hình vẫn đúng sau khi nâng cấp, nhưng AP gửi các khung không được gắn thẻ cho nhóm cầu 1, mặc dù việc đóng gói không được xác định là gốc. AP tự trị sẽ coi giao diện phụ được liên kết với nhóm cầu 1 là Vlan gốc, ngay cả khi nó không được xác định bằng từ khóa gốc: "đóng gói dot1 bản địa". Vlan được liên kết với nhóm cầu 1 phải được đặt thành gốc trên cấu hình tổng đài kết nối

Cách giải quyết cho vấn đề này là định cấu hình Vlan 100 làm Vlan gốc trên trung kế tổng đài được kết nối, mặc dù việc đóng gói không được chỉ định là gốc trên AP.

Vấn đề tương tự được thảo luận ở đây , tuy nhiên, tôi không cần thêm switchport trunk native vlan 40vào Dot11RadioX.40và GigabitEthernet0.40giao diện, nhưng tôi đã phải thêm encapsulation dot1Q 40 nativevào Dot11RadioX.40và GigabitEthernet0.40.

— woter324
nguồn