Cisco 1260 AP tidak lagi merespons ping, ssh setelah meningkatkan ke firmware 15.x terbaru

8

Saya memiliki 1.260 AP yang saya tingkatkan pagi ini. Sebelum peningkatan, sistem mengizinkan ssh dan akan merespons ping di jaringan, namun sekarang tidak merespons.

Saya menghubungkan kabel serial dan berselancar di sekitar konfigurasi saya sepertinya tidak menemukan sesuatu yang salah, dan menyalakan ssh debugging tidak menghasilkan output apa pun.

Saya mencoba meregenerasi kunci RSA jika kebetulan menyebabkan ssh tidak online, namun itu tidak mempengaruhi ketidakmampuan untuk menghubungi unit melalui jaringan.

Saya juga mencoba menyalakan "ip routing" dan "ip cef" berpikir mereka mungkin menjadi masalah, tetapi tidak ada efeknya. Saya juga menambahkan rute default statis ke gateway manajemen kami dengan harapan mungkin itu adalah masalah rute default tetapi juga tidak membantu

Inilah versi iOS saat ini pada unit:

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

Berikut konfigurasi berjalan saat ini:

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

Setiap saran akan dihargai, saya cukup bingung mengapa ini tiba-tiba salah.

EDIT : Ini adalah pembuatan ulang output kunci kripto.

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled
cisco wireless cisco-ios-15 ieee-802.11 Peter Grace
sumber
Saya akan mengaktifkan "no ip routing" kembali. Bisakah Anda melakukan ping dari AP ke gateway Anda? Ke sesuatu di luar gerbang Anda?
Peter
Saya tidak melihat konfigurasi port ethernet berkabel. Bagaimana Anda mencoba menjangkau host iOS ini? Lebih dari kabel? Nirkabel? Jika Anda memiliki akses konsol (seperti itu), dapatkah Anda melihat rute apa yang dikenal dengan "show ip route" atau antarmuka dengan "show ip interface brief"? Apakah "show interface" menunjukkan penghitung paket meningkat?
Mei13
Kami memiliki masalah serupa setelah memutakhirkan Aironets kami ke Keluarga 15.0. Saya telah diberitahu bahwa dukungan dot1q cukup buggy dan, jika Anda membutuhkan VLAN di AP Anda, satu-satunya solusi adalah menurunkan versi ke 12,4.
Marco Marzetti

Jawaban:

4

Mereka hanya mendukung BVI1. Ini tidak diberlakukan baik oleh bug atau apa pun dalam 12.X tetapi dalam 15.X setiap BVI tambahan merusak akses manajemen. Bekerja dengan TAC dalam masalah ini selama periode seminggu. Dapat mereproduksi masalah di salah satu AP dengan 15.X.

Jadi simpel no int BVI50harus memperbaiki konfigurasi asli. Ditambah isi ulang setelah melakukan perubahan.

Membuat beberapa suntingan sekarang karena saya tidak di iPad saya. Bagaimanapun, saya memiliki masalah ini pada 2 1262-an yang saya perbarui di kantor lokal saya dan 1 1252 di pabrik terpencil (untungnya 20 menit jauhnya). Setelah masalah teratasi dengan menghapus BVI tambahan yang saya miliki di semua AP (sebelum meningkatkan lagi), saya dapat memperbarui 25 jarak jauh di seluruh dunia tanpa hambatan.

some_guy_long_gone
sumber
1

Konfigurasi Anda di atas tidak menunjukkan konfigurasi kunci kripto. Seharusnya ada sesuatu seperti:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

Saya akan mencoba menjalankan kembali crypto key generate rsaperintah.

Craig Constantine
sumber
1
setelah membuat ulang kunci rsa, saya kemudian memutuskan untuk melakukan "sh run all" dan disambut 4500 baris "no logging source-interface" - Saya tidak tahu apakah ini diharapkan atau tidak, tapi sekarang saya memikirkan waktu untuk mengeluarkan unit dari orbit dan mulai segar.
Peter Grace
Saya pikir itu terkait dengan iOS 15 mencoba masuk ke server hapus ... tapi, ya, saya tidak yakin apa lagi yang disarankan. Saya telah bekerja dengan ssh / IOS15, tetapi tidak dengan AP.
Craig Constantine
1

Setelah mengembalikan unit ke default pabrik dan memprogram ulang, AP mulai berfungsi dengan baik sekali lagi. Saya menandainya untuk "mencoba upgrade yang serba salah."

Peter Grace
sumber
0

Binatang yang berbeda dalam hal ini adalah router dengan modul AP terintegrasi tetapi setelah meningkatkan AP 897VAW router saya menjadi 15,3 dari 12.x, saya tidak bisa melakukan ping / http / ssh ke BVI. Meninjau konfigurasi @ petergrace, saya perhatikan saya kehilangan ip routeperintah. Tidak yakin apakah ini dihapus oleh pemutakhiran atau saya tidak membutuhkannya sebelumnya.

Dalam konfigurasi AP, saya menambahkan:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

Di mana 10.10.40.1 adalah gateway default untuk interface VLAN40. The 897 adalah router dengan modul AP. Di sisi router, saya juga harus menambahkan switchport trunk native vlan 40untuk interface Wlan-GigabitEthernet8seperti di:

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

Yang saya percaya adalah apa yang dimaksud dengan catatan rilis Cisco, yang didokumentasikan di sini :

AP Otonomi Akan Memperlakukan Sub-antarmuka Terikat Ke Bridge-group1 Sebagai Vlan Asli Saat menggunakan konfigurasi pada AP otonom di mana tidak ada VLAN asli yang ditentukan, setiap antarmuka ditandai dengan tag1q, komunikasi akan gagal setelah memutakhirkan ke rilis 15.3 (3 ) JC5 atau lebih baru. Tampaknya konfigurasi masih benar setelah pemutakhiran, tetapi Titik Akses mengirimkan bingkai yang tidak ditandai untuk jembatan-grup 1, meskipun enkapsulasi tidak didefinisikan sebagai asli. AP otonom akan memperlakukan sub-antarmuka yang diikat ke jembatan-grup 1 sebagai VLAN asli, meskipun tidak ditentukan dengan kata kunci asli: "enkapsulasi dot1 asli". VLAN yang terkait dengan bridge-group 1 harus diatur ke asli pada konfigurasi switchport yang menghubungkan

Solusi untuk ini adalah mengkonfigurasi VLAN 100 sebagai VLAN asli pada trunk switchport yang terhubung, meskipun enkapsulasi tidak ditentukan sebagai asli pada AP.

Masalah serupa yang dibahas di sini , bagaimanapun, saya tidak perlu menambahkan switchport trunk native vlan 40ke Dot11RadioX.40dan GigabitEthernet0.40antarmuka, tetapi saya harus menambahkan encapsulation dot1Q 40 nativeke Dot11RadioX.40dan GigabitEthernet0.40.

woter324
sumber