Cisco 1260 AP ne répond plus au ping, ssh après la mise à niveau vers le dernier firmware 15.x

8

J'ai un AP 1260 que j'ai mis à niveau ce matin. Avant la mise à niveau, le système autorisait ssh et répondait aux pings sur le réseau, mais maintenant il ne répond pas.

J'ai branché un câble série et en surfant dans la configuration, je n'arrive pas à trouver quoi que ce soit de mal, et l'activation du débogage ssh ne produit aucune sortie.

J'ai essayé de régénérer la clé RSA au hasard, ce qui empêchait ssh de se mettre en ligne, mais cela n'a pas affecté l'impossibilité de contacter l'unité sur le réseau.

J'ai également essayé d'activer «routage IP» et «ip cef» en pensant que cela pourrait être le problème, mais sans effet. J'ai également ajouté une route statique par défaut à notre passerelle de gestion dans l'espoir que c'était peut-être un problème de route par défaut, mais cela n'a pas aidé non plus

Voici la version actuelle d'IOS sur l'unité:

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

Voici la configuration en cours d'exécution:

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

Toutes les suggestions seraient appréciées, je suis assez perplexe quant à la raison pour laquelle cela se passerait soudainement.

EDIT : Voici la recréation de la sortie des clés de chiffrement.

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled

Peter Grace
la source
Je réactiverais «aucun routage IP». Pouvez-vous envoyer une requête ping de l'AP à votre passerelle? À quelque chose au-delà de votre passerelle?
Peter
Je ne remarque aucune configuration de port Ethernet filaire. Comment essayez-vous d'atteindre cet hôte IOS? Sur le filaire? Sans fil? Si vous avez un accès à la console (ça y ressemble), pouvez-vous voir quelles routes sont connues avec "show ip route" ou interfaces avec "show ip interface brief"? "Afficher l'interface" affiche-t-il une augmentation des compteurs de paquets?
jof
Nous avons eu des problèmes similaires après la mise à niveau de nos Aironets vers la famille 15.0. On m'a dit que le support dot1q est assez bogué et, si vous avez besoin de VLAN sur votre AP, la seule solution est de rétrograder en 12.4.
Marco Marzetti

Réponses:

4

Ils ne supportent que BVI1. Cela n'a été imposé ni par un bogue ni quoi que ce soit dans 12.X mais dans 15.X tout BVI supplémentaire rompt l'accès à la gestion. A travaillé avec l'ATC sur cette question pendant une semaine. Peut reproduire le problème sur l'un des points d'accès avec 15.X.

Donc, un simple no int BVI50devrait corriger la configuration d'origine. Plus un rechargement après avoir effectué le changement.

J'ai fait quelques modifications maintenant que je ne suis pas sur mon iPad. Quoi qu'il en soit, j'ai eu ce problème sur 2 1262 que j'ai mis à jour dans mon bureau local et 1 1252 dans une usine distante (à 20 minutes heureusement). Une fois le problème résolu en supprimant les BVI supplémentaires que j'avais sur tous les AP (avant de mettre à niveau), j'ai pu mettre à jour 25 à distance à travers le monde sans accroc.

some_guy_long_gone
la source
1

Votre configuration ci-dessus n'affiche pas de configuration de clé de chiffrement. Il devrait y avoir quelque chose comme:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

J'essaierais de relancer la crypto key generate rsacommande.

Craig Constantine
la source
1
après avoir recréé la clé rsa, j'ai alors décidé de faire un "sh run all" et j'ai été accueilli par 4500 lignes de "no logging source-interface" - je ne sais pas si cela est prévu ou non, mais maintenant je suis pensant qu'il était temps de neutraliser l'unité de l'orbite et de recommencer à zéro.
Peter Grace
Je pense que cela est lié à IOS 15 essayant de se connecter à un serveur de suppression ... mais, oui, je ne sais pas quoi suggérer d'autre. J'ai travaillé avec ssh / IOS15, mais pas avec les points d'accès.
Craig Constantine
1

Après avoir restauré l'unité aux paramètres d'usine et l'avoir reprogrammée, l'AP a recommencé à fonctionner correctement. Je le note jusqu'à "tentative de mise à niveau qui a mal tourné".

Peter Grace
la source
0

Différente bête en ce que c'est un routeur avec un module AP intégré mais après avoir mis à niveau l'AP de mon routeur 897VAW vers 15.3 à partir de 12.x, je n'ai pas pu cingler / http / ssh en BVI. En examinant la configuration de @ petergrace, je remarque que la ip routecommande me manquait . Je ne sais pas si cela a été supprimé par la mise à niveau ou je n'en avais pas besoin auparavant.

Dans la configuration AP, j'ai ajouté:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

Où 10.10.40.1 est la passerelle par défaut de interface VLAN40. Le 897 est un routeur avec un module AP. Du côté du routeur, je devais aussi ajouter switchport trunk native vlan 40à interface Wlan-GigabitEthernet8comme dans:

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

Je pense que c'est ce que l'on entend par la note de publication de Cisco, documentée ici :

AP autonome traitera la sous-interface liée à Bridge-group1 comme le Vlan natif Lorsque vous utilisez une configuration sur un AP autonome où aucun VLAN natif n'est défini, chaque interface est étiquetée dot1q, la communication échoue après la mise à niveau vers les versions 15.3 (3 ) JC5 ou version ultérieure. Il semble que la configuration soit toujours correcte après la mise à niveau, mais l'AP envoie les trames non marquées pour le groupe de ponts 1, même si l'encapsulation n'est pas définie comme native. L'AP autonome traitera la sous-interface liée au pont-groupe 1 comme le VLAN natif, même s'il n'est pas défini avec le mot-clé natif: "encapsulation dot1 native". Le VLAN associé au pont-groupe 1 doit être défini sur natif dans la configuration de port de commutation de connexion

La solution de contournement consiste à configurer le VLAN 100 en tant que VLAN natif sur le tronc de port de commutation connecté, même si l'encapsulation n'est pas spécifiée comme native sur l'AP.

Un problème similaire discuté ici , cependant, je n'avais pas besoin d'ajouter switchport trunk native vlan 40aux interfaces Dot11RadioX.40et GigabitEthernet0.40, mais je devais ajouter encapsulation dot1Q 40 nativeà Dot11RadioX.40et GigabitEthernet0.40.

woter324
la source