Tengo un AP 1260 que actualicé esta mañana. Antes de la actualización, el sistema permitía ssh y respondería a pings en la red, sin embargo, ahora no responde.
Conecté un cable serial y navegué por la configuración. Parece que no puedo encontrar nada malo, y activar la depuración ssh no produce ninguna salida.
Intenté regenerar la clave RSA en la posibilidad de que ssh no se conectara, sin embargo, no ha afectado la incapacidad de contactar a la unidad a través de la red.
También intenté activar "enrutamiento ip" e "ip cef" pensando que podrían ser el problema, pero sin efecto. También agregué una ruta estática predeterminada a nuestra puerta de enlace de administración con la esperanza de que tal vez fuera un problema de ruta predeterminada, pero tampoco ayudó.
Aquí está la versión actual de IOS en la unidad:
Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team
ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]
Aquí está la configuración actual en ejecución:
DEN-AP01#sh run full
Building configuration...
Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
vlan 50
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
encryption vlan 50 mode ciphers aes-ccm tkip
!
ssid StackGuest
!
antenna gain 0
mbssid
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
channel 2427
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 subscriber-loop-control
bridge-group 50 spanning-disabled
bridge-group 50 block-unknown-source
no bridge-group 50 source-learning
no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 50 mode ciphers tkip
!
encryption mode ciphers tkip
!
ssid StackGuest
!
antenna gain 0
dfs band 3 block
mbssid
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 subscriber-loop-control
bridge-group 50 spanning-disabled
bridge-group 50 block-unknown-source
no bridge-group 50 source-learning
no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
bridge-group 20
bridge-group 20 spanning-disabled
no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
encapsulation dot1Q 10
no ip route-cache
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 spanning-disabled
no bridge-group 50 source-learning
!
interface BVI1
ip address 10.15.0.6 255.255.255.0
no ip route-cache
!
interface BVI50
no ip address
no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
access-class 111 in
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
end
Cualquier sugerencia sería apreciada, estoy bastante perplejo de por qué esto de repente saldría mal.
EDITAR : Aquí está la recreación de la salida de claves criptográficas.
DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
DEN-AP01(config)#
*Mar 1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar 1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled
fuente
Respuestas:
Solo admiten BVI1. Esto no se impuso por error o lo que sea en 12.X pero en 15.X cualquier BVI adicional interrumpe el acceso a la administración. Trabajé con TAC en este tema durante un período de una semana. Puede reproducir el problema en cualquiera de los AP con 15.X.
Entonces, un simple
no int BVI50
debería arreglar la configuración original. Más una recarga después de hacer el cambio.Hice un par de ediciones ahora que no estoy en mi iPad. De todos modos, tuve este problema en 2 1262 que actualicé en mi oficina local y 1 1252 en una planta remota (afortunadamente a 20 minutos). Una vez que el problema se resolvió eliminando las BVI adicionales que tenía en todos los AP (antes de seguir actualizando), pude actualizar 25 de forma remota en todo el mundo sin problemas.
fuente
Su configuración anterior no muestra una configuración de clave criptográfica. Debería haber algo como:
Intentaría volver a ejecutar el
crypto key generate rsa
comando.fuente
Después de restaurar la unidad a los valores predeterminados de fábrica y reprogramarla, el AP comenzó a funcionar correctamente una vez más. Lo atribuyo a "intento de actualización que salió mal".
fuente
Una bestia diferente es que es un enrutador con un módulo AP integrado, pero después de actualizar el AP de mi enrutador 897VAW a 15.3 desde 12.x, no pude hacer ping / http / ssh a BVI. Al revisar la configuración de @ petergrace, noté que me faltaba el
ip route
comando. No estoy seguro si esto fue eliminado por la actualización o si no lo necesitaba antes.En la configuración AP, agregué:
Donde 10.10.40.1 es la puerta de enlace predeterminada de
interface VLAN40
. El 897 es un enrutador con un módulo AP. En el lado del router, también tuve que agregarswitchport trunk native vlan 40
ainterface Wlan-GigabitEthernet8
como en:Lo que creo es lo que significa la nota de lanzamiento de Cisco, documentada aquí :
Problema similar discutido aquí , sin embargo, no necesité agregar
switchport trunk native vlan 40
a las interfacesDot11RadioX.40
yGigabitEthernet0.40
, pero tuve que agregarencapsulation dot1Q 40 native
aDot11RadioX.40
yGigabitEthernet0.40
.fuente