Cisco 1260 AP reagiert nach dem Upgrade auf die neueste 15.x-Firmware nicht mehr auf Ping, SSH

8

Ich habe einen 1260 AP, den ich heute Morgen aktualisiert habe. Vor dem Upgrade erlaubte das System ssh und reagierte auf Pings im Netzwerk, jetzt jedoch nicht mehr.

Ich habe ein serielles Kabel angeschlossen und in der Konfiguration gesurft. Ich kann anscheinend nichts falsches finden, und das Aktivieren des SSH-Debuggens erzeugt keine Ausgabe.

Ich habe versucht, den RSA-Schlüssel mit der Möglichkeit neu zu generieren, dass ssh nicht online geschaltet wurde. Dies hat jedoch keinen Einfluss auf die Unfähigkeit, das Gerät über das Netzwerk zu kontaktieren.

Ich habe auch versucht, "IP-Routing" und "IP-Cef" einzuschalten, weil ich dachte, sie könnten das Problem sein, aber keine Auswirkung. Ich habe unserem Management-Gateway auch eine statische Standardroute hinzugefügt, in der Hoffnung, dass es sich möglicherweise um ein Standardroutenproblem handelt, das aber auch nicht geholfen hat

Hier ist die aktuelle Version von IOS auf dem Gerät:

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

Hier ist die aktuell laufende Konfiguration:

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

Irgendwelche Vorschläge wären willkommen, ich bin ziemlich ratlos, warum dies plötzlich schief gehen würde.

BEARBEITEN : Hier wird die Ausgabe der Kryptoschlüssel neu erstellt.

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled

Peter Grace
quelle
Ich würde "kein IP-Routing" wieder einschalten. Können Sie vom AP zu Ihrem Gateway pingen? Zu etwas jenseits Ihres Gateways?
Peter
Ich bemerke keine Konfiguration des kabelgebundenen Ethernet-Ports. Wie versuchen Sie, diesen IOS-Host zu erreichen? Über das Kabel? Kabellos? Wenn Sie Konsolenzugriff haben (sieht so aus), können Sie sehen, welche Routen mit "show ip route" oder Schnittstellen mit "show ip interface brief" bekannt sind? Zeigt "show interface" an, dass die Paketzähler zunehmen?
jof
Wir hatten ähnliche Probleme nach dem Upgrade unserer Aironets auf die 15.0-Familie. Mir wurde gesagt, dass die dot1q-Unterstützung ziemlich fehlerhaft ist. Wenn Sie VLANs auf Ihrem AP benötigen, besteht die einzige Lösung darin, ein Downgrade auf 12.4 durchzuführen.
Marco Marzetti

Antworten:

4

Sie unterstützen nur BVI1. Dies wurde weder durch Fehler noch durch irgendetwas in 12.X erzwungen, aber in 15.X unterbricht jede zusätzliche BVI den Verwaltungszugriff. Arbeitete über einen Zeitraum von einer Woche mit TAC an diesem Problem. Kann das Problem auf jedem der APs mit 15.X reproduzieren.

Ein einfaches no int BVI50sollte also die ursprüngliche Konfiguration reparieren. Plus ein Nachladen nach der Änderung.

Ich habe jetzt ein paar Änderungen vorgenommen, da ich nicht auf meinem iPad bin. Wie auch immer, ich hatte dieses Problem bei 2 1262s, die ich in meinem lokalen Büro und 1 1252 in einem entfernten Werk (zum Glück 20 Minuten entfernt) aktualisiert habe. Nachdem das Problem behoben war, indem die zusätzlichen BVIs, die ich auf allen APs hatte (vor dem weiteren Upgrade), entfernt wurden, konnte ich 25 weltweit remote aktualisieren.

some_guy_long_gone
quelle
1

Ihre obige Konfiguration zeigt keine Krypto-Schlüsselkonfiguration. Es sollte so etwas geben wie:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

Ich würde versuchen, den crypto key generate rsaBefehl erneut auszuführen.

Craig Constantine
quelle
1
Nachdem ich den rsa-Schlüssel neu erstellt hatte, entschied ich mich für einen "sh run all" und wurde in 4500 Zeilen "no logging source-interface" begrüßt - ich weiß nicht, ob dies erwartet wird oder nicht, aber jetzt bin ich es Ich denke, es ist Zeit, die Einheit aus dem Orbit zu entfernen und neu anzufangen.
Peter Grace
Ich denke, das hängt damit zusammen, dass IOS 15 versucht, sich bei einem Entfernungsserver anzumelden ... aber ich bin mir nicht sicher, was ich sonst noch vorschlagen soll. Ich habe mit ssh / IOS15 gearbeitet, aber nicht mit den APs.
Craig Constantine
1

Nachdem das Gerät auf die Werkseinstellungen zurückgesetzt und neu programmiert wurde, funktionierte der AP wieder ordnungsgemäß. Ich schreibe es auf "Versuch eines Upgrades ist schief gegangen".

Peter Grace
quelle
0

Ein anderes Biest darin, dass es sich um einen Router mit integriertem AP-Modul handelt, aber nach dem Upgrade des AP meines 897VAW-Routers von 12.x auf 15.3 konnte ich / ping / ssh nicht an BVI pingen. Beim Überprüfen der Konfiguration von @ petergrace stelle ich fest, dass der ip routeBefehl fehlte . Ich bin mir nicht sicher, ob dies durch das Upgrade entfernt wurde oder ob ich es vorher nicht brauchte.

In der AP-Konfiguration habe ich hinzugefügt:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

Wobei 10.10.40.1 das Standard-Gateway von ist interface VLAN40. Der 897 ist ein Router mit einem AP-Modul. Auf der Router - Seite hatte ich auch hinzufügen , switchport trunk native vlan 40um interface Wlan-GigabitEthernet8wie in:

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

Was meiner Meinung nach mit dem hier dokumentierten Versionshinweis von Cisco gemeint ist :

Autonomer AP behandelt die an Bridge-Gruppe1 gebundene Subschnittstelle als natives Vlan Wenn Sie eine Konfiguration auf einem autonomen AP verwenden, für das kein natives VLAN definiert ist, wird jede Schnittstelle mit dot1q-Tags versehen. Die Kommunikation schlägt nach dem Upgrade auf Version 15.3 (3) fehl ) JC5 oder höher. Es scheint, dass die Konfiguration nach dem Upgrade immer noch korrekt ist, aber der AP sendet die nicht getaggten Frames für die Brückengruppe 1, obwohl die Kapselung nicht als nativ definiert ist. Der autonome AP behandelt die an die Brückengruppe 1 gebundene Subschnittstelle als natives VLAN, auch wenn sie nicht mit dem nativen Schlüsselwort "encapsulation dot1 native" definiert ist. Das der Bridge-Gruppe 1 zugeordnete VLAN muss in der Konfiguration des Verbindungs-Switchports auf nativ gesetzt sein

Die Problemumgehung besteht darin, VLAN 100 als natives VLAN auf dem verbundenen Switchport-Trunk zu konfigurieren, obwohl die Kapselung auf dem AP nicht als nativ angegeben ist.

Ein ähnliches Problem, das hier besprochen wurde , musste ich jedoch nicht switchport trunk native vlan 40zu den Schnittstellen Dot11RadioX.40und hinzufügen GigabitEthernet0.40, sondern encapsulation dot1Q 40 nativezu Dot11RadioX.40und GigabitEthernet0.40.

woter324
quelle