Cisco 1260 AP ya no responde a ping, ssh después de la actualización al último firmware 15.x

8

Tengo un AP 1260 que actualicé esta mañana. Antes de la actualización, el sistema permitía ssh y respondería a pings en la red, sin embargo, ahora no responde.

Conecté un cable serial y navegué por la configuración. Parece que no puedo encontrar nada malo, y activar la depuración ssh no produce ninguna salida.

Intenté regenerar la clave RSA en la posibilidad de que ssh no se conectara, sin embargo, no ha afectado la incapacidad de contactar a la unidad a través de la red.

También intenté activar "enrutamiento ip" e "ip cef" pensando que podrían ser el problema, pero sin efecto. También agregué una ruta estática predeterminada a nuestra puerta de enlace de administración con la esperanza de que tal vez fuera un problema de ruta predeterminada, pero tampoco ayudó.

Aquí está la versión actual de IOS en la unidad:

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

Aquí está la configuración actual en ejecución:

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

Cualquier sugerencia sería apreciada, estoy bastante perplejo de por qué esto de repente saldría mal.

EDITAR : Aquí está la recreación de la salida de claves criptográficas.

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled

Peter Grace
fuente
Volvería a activar "no enrutamiento ip". ¿Puedes hacer ping desde el AP a tu puerta de enlace? ¿A algo más allá de tu puerta de entrada?
Peter
No noto ninguna configuración de puerto ethernet con cable. ¿Cómo estás tratando de llegar a este host IOS? Sobre el cable? ¿Inalámbrico? Si tiene acceso a la consola (parece), ¿puede ver qué rutas se conocen con "show ip route" o interfaces con "show ip interface brief"? ¿"Show interface" muestra que los contadores de paquetes aumentan?
Jof
Tuvimos problemas similares después de actualizar nuestras Aironets a la familia 15.0. Me han dicho que el soporte dot1q es bastante defectuoso y, si necesita VLAN en su AP, la única solución es bajar a 12.4.
Marco Marzetti

Respuestas:

4

Solo admiten BVI1. Esto no se impuso por error o lo que sea en 12.X pero en 15.X cualquier BVI adicional interrumpe el acceso a la administración. Trabajé con TAC en este tema durante un período de una semana. Puede reproducir el problema en cualquiera de los AP con 15.X.

Entonces, un simple no int BVI50debería arreglar la configuración original. Más una recarga después de hacer el cambio.

Hice un par de ediciones ahora que no estoy en mi iPad. De todos modos, tuve este problema en 2 1262 que actualicé en mi oficina local y 1 1252 en una planta remota (afortunadamente a 20 minutos). Una vez que el problema se resolvió eliminando las BVI adicionales que tenía en todos los AP (antes de seguir actualizando), pude actualizar 25 de forma remota en todo el mundo sin problemas.

some_guy_long_gone
fuente
1

Su configuración anterior no muestra una configuración de clave criptográfica. Debería haber algo como:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

Intentaría volver a ejecutar el crypto key generate rsacomando.

Craig Constantine
fuente
1
después de recrear la clave rsa, decidí hacer un "sh run all" y recibí 4500 líneas de "interfaz de origen sin registro". No sé si esto es esperado o no, pero ahora estoy pensando que es hora de lanzar la unidad desde la órbita y comenzar de nuevo.
Peter Grace
Creo que eso está relacionado con IOS 15 tratando de iniciar sesión en un servidor de eliminación ... pero, sí, no estoy seguro de qué más sugerir. He trabajado con ssh / IOS15, pero no con los AP.
Craig Constantine
1

Después de restaurar la unidad a los valores predeterminados de fábrica y reprogramarla, el AP comenzó a funcionar correctamente una vez más. Lo atribuyo a "intento de actualización que salió mal".

Peter Grace
fuente
0

Una bestia diferente es que es un enrutador con un módulo AP integrado, pero después de actualizar el AP de mi enrutador 897VAW a 15.3 desde 12.x, no pude hacer ping / http / ssh a BVI. Al revisar la configuración de @ petergrace, noté que me faltaba el ip routecomando. No estoy seguro si esto fue eliminado por la actualización o si no lo necesitaba antes.

En la configuración AP, agregué:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

Donde 10.10.40.1 es la puerta de enlace predeterminada de interface VLAN40. El 897 es un enrutador con un módulo AP. En el lado del router, también tuve que agregar switchport trunk native vlan 40a interface Wlan-GigabitEthernet8como en:

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

Lo que creo es lo que significa la nota de lanzamiento de Cisco, documentada aquí :

El AP autónomo tratará la subinterfaz vinculada al grupo de puentes1 como el Vlan nativo Cuando se utiliza una configuración en un AP autónomo donde no hay una VLAN nativa definida, cada interfaz está etiquetada con dot1q, la comunicación fallará después de actualizar a las versiones 15.3 (3 ) JC5 o posterior. Parece que la configuración sigue siendo correcta después de la actualización, pero el AP envía las tramas sin etiquetar para el grupo de puentes 1, a pesar de que la encapsulación no está definida como nativa. El AP autónomo tratará la subinterfaz vinculada al grupo de puentes 1 como la VLAN nativa, incluso si no está definida con la palabra clave nativa: "encapsulación dot1 native". La VLAN asociada con el grupo de puentes 1 debe establecerse como nativa en la configuración del puerto de conmutación de conexión

La solución para esto es configurar la VLAN 100 como la VLAN nativa en la troncal del puerto de conmutación conectado, aunque la encapsulación no esté especificada como nativa en el AP.

Problema similar discutido aquí , sin embargo, no necesité agregar switchport trunk native vlan 40a las interfaces Dot11RadioX.40y GigabitEthernet0.40, pero tuve que agregar encapsulation dot1Q 40 nativea Dot11RadioX.40y GigabitEthernet0.40.

woter324
fuente