Cisco 1260 APは、最新の15.xファームウェアにアップグレードした後、ping、sshに応答しなくなりました

8

今朝アップグレードした1260 APがあります。アップグレード前は、システムはsshを許可し、ネットワーク上のpingに応答していましたが、現在は応答していません。

シリアルケーブルを接続して、設定を確認しましたが、何もおかしいとは思えず、sshデバッグをオンにしても出力は生成されません。

sshがオンラインにならない可能性のあるオフチャンスでRSAキーを再生成しようとしましたが、ネットワーク経由でユニットに接続できないことに影響はありませんでした。

また、「ip routing」と「ip cef」をオンにしてみたところ、問題である可能性がありますが、効果はありませんでした。静的なデフォルトルートを管理ゲートウェイに追加しました。これがデフォルトルートの問題である可能性があることを期待していますが、これも役に立たなかったようです。

ユニットの現在のバージョンのIOSは次のとおりです。

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

現在実行中の構成は次のとおりです。

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

どんな提案もいただければ幸いです、なぜこれが突然うまくいかないのか私はかなり困惑しています。

編集:暗号鍵の出力を再作成します。

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled
cisco  wireless  cisco-ios-15  ieee-802.11 
ピーターグレース
ソース
「no ip routing」をオンに戻します。APからゲートウェイにpingできますか?あなたのゲートウェイを超えて何かに?
ピーター
有線イーサネットポートの設定に気づきません。このIOSホストにどのように到達しようとしていますか?有線で?無線?コンソールにアクセスできる場合(そのように見えます)、「show ip route」で既知のルートや「show ip interface brief」でインターフェイスを確認できますか?「show interface」はパケットカウンタの増加を示していますか?
jof 2013年
Aironetsを15.0ファミリにアップグレードした後、同様の問題が発生しました。dot1qのサポートにはかなりバグがあり、APにVLANが必要な場合の唯一の解決策は12.4にダウングレードすることです。
Marco Marzetti、2013年

回答:

4

それらはBVI1のみをサポートします。これは、バグなどによって12.Xでは強制されませんでしたが、15.Xでは、余分なBVIによって管理アクセスが中断されます。この問題について1週間にわたってTACと協力しました。15.XのAPで問題を再現できます。

したがって、シンプルなものno int BVI50は元の設定を修正する必要があります。加えて、変更後のリロード。

iPadを使用していないため、いくつかの編集を行いました。とにかく、この問題は、ローカルオフィスで更新した1262の2とリモート工場の1 1252で発生しました(ありがたいことに20分離れています)。すべてのAPにあった余分なBVIを削除することで問題が解決すると(もうアップグレードする前に)、問題なく世界中の25をリモートで更新できました。

some_guy_long_gone
ソース
1

上記の設定では、暗号鍵の設定は表示されません。次のようなものがあるはずです:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

crypto key generate rsaコマンドを再実行してみます。

クレイグ・コンスタンティン
ソース
1
rsaキーを再作成した後、「sh run all」を実行することを決定し、「no logging source-interface」の4500行に迎えられました-これが予期されているかどうかはわかりませんが、今は軌道からユニットを核攻撃し、新たに始める時を考えています。
Peter Grace
これは、IOS 15が削除サーバーにログを記録しようとしていることに関連していると思いますが、そうですね、他に何を提案すればよいかわかりません。私はssh / IOS15を使用しましたが、APを使用していません。
クレイグコンスタンティン
1

ユニットを工場出荷時のデフォルトに復元して再プログラミングした後、APはもう一度適切に機能し始めました。私はそれを「試みられたアップグレードがうまくいかなくなった」までチョーキングしています。

ピーターグレース
ソース
0

APモジュールが統合されたルーターであるという点で異なりますが、897VAWルーターのAPを12.xから15.3にアップグレードした後、ping / http / sshをBVIに実行できませんでした。@petergraceの設定を確認すると、ip routeコマンドが欠落していたことがわかりました。これがアップグレードによって削除されたのか、それとも以前は必要なかったのかわかりません。

AP設定で、私は追加しました:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

ここで、10.10.40.1はのデフォルトゲートウェイですinterface VLAN40。897はAPモジュールを備えたルーターです。ルータ側では、次のように追加するswitchport trunk native vlan 40必要interface Wlan-GigabitEthernet8もありました。

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

ここに記載されているシスコのリリースノートの意味はこれだと思います

自律APはBridge-group1に関連付けられたサブインターフェイスをネイティブVLANとして扱うネイティブVLANが定義されていない自律APで設定を使用すると、各インターフェイスにdot1qタグが付けられ、リリース15.3(3にアップグレードすると通信が失敗します)JC5以降。アップグレード後も設定は正しいようですが、カプセル化がネイティブとして定義されていなくても、APはブリッジグループ1のタグなしフレームを送信します。自律APは、ネイティブキーワード「encapsulation dot1 native」で定義されていなくても、ブリッジグループ1に関連付けられたサブインターフェイスをネイティブVLANとして扱います。ブリッジグループ1に関連付けられたVLANは、接続するスイッチポート構成でネイティブに設定する必要があります

これの回避策は、カプセル化がAPでネイティブとして指定されていない場合でも、接続されたスイッチポートトランクでネイティブVLANとしてVLAN 100を構成することです。

ここで説明したのと同様の問題ですswitchport trunk native vlan 40が、Dot11RadioX.40およびGigabitEthernet0.40インターフェースに追加する必要はありませんでしたが、およびに追加する必要encapsulation dot1Q 40 nativeDot11RadioX.40ありましたGigabitEthernet0.40

woter324
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.