배경:
Cisco AP는 인증서를 사용하여 AP에 펌웨어를 설치하기 전에 이미지 유효성을 검사하는데 이 인증서 만료로 인해 설치가 안되면서 펌웨어 업그레이드/다운그레이드 작업이 실패하며 이로 인해 WLC에 Join이 불가한 상황이 생긴다.
영향을 받는 플랫폼: IOS 기반 AP 전체 모델(11ac Wave 1 및 이전)과 거의 대부분 버전을 실행하는 WLC(AireOS, C9800 IOS-XE, Converged Access IOS-XE)
* COS 기반인 11ac Wave 2, Wi-Fi 6, Wi-Fi 6E AP에는 영향 없음
* 영향을 받는 모든 Cisco IOS를 실행하는 CAPWAP AP 이미지 버전은 2012년 12월부터 2022년 11월에 출시됨
해결 방법:
[방법 1] WLC 펌웨어 업그레이드
아래 버전으로 WLC를 업그레이드 한다.
AireOS 8.5MR8 Escalation Build - 8.5.182.7(8.5 Mainline) 또는 8.5.182.105(8.5 IRCM)
-> Mobility Express 구축의 경우 본 영향을 받지 않으며 8.5.182.0 CCO를 사용하면 됨
AireOS 8.10.183.0 [또는 8.10.185.0 이상]
8540: https://software.cisco.com/download/home/286284728/type/280926587/release/8.10.183.0
5520: https://software.cisco.com/download/home/286284738/type/280926587/release/8.10.183.0
3504: https://software.cisco.com/download/home/286312601/type/280926587/release/8.10.183.0
vWLC: https://software.cisco.com/download/home/284464214/type/280926587/release/8.10.183.0
IOS-XE 17.3.6 with APSP5 (COS 기반 AP도 함께 운영하는 경우 APSP2도 함께 설치할 것을 권장) [또는 17.3.7 이상]
9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.3.6
9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.3.6
9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.3.6
9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.3.6
IOS-XE 17.6.4 with APSP1 (IW3700용, 본 버그 수정 사항 외에 COS-AP의 버그 수정 사항도 포함) [또는 17.6.5 이상]
9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.6.4
9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.6.4
9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.6.4
9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.6.4
IOS-XE 17.9.2 with APSP1 (IW3700용) [또는 17.9.3 이상]
9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.9.2
9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.9.2
9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.9.2
9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.9.2
* IW3700을 제외한 IOS 기반 11ac Wave 1 AP(1700/2700/3700)의 경우 C9800 WLC와 사용 가능한 마지막 펌웨어 버전은 IOS-XE 17.3.x 이였으나 17.9.3에서 다시 지원(17.9.3 이상의 17.9.x에서만 지원하며 17.3 기능 수준으로 작동, 17.4 ~ 17.9.2, 17.10 이상에서 사용 불가)
* 추후 출시에 해당 트랙의 버전이 없거나 Converged Access IOS-XE 플랫폼의 경우 [방법 2]를 사용
[방법 2] WLC 펌웨어 업그레이드가 불가능한 경우 시간 변경
인증서 만료일이 2022년 12월 4일임으로 이전 날짜로 임시 변경하여 AP를 펌웨어를 정상적으로 설치하는 방법
1. WLC에서 NTP를 비활성화 한다.
2. WLC 현재 시각을 2022년 12월 2일 이전으로 변경한다. (너무 오래 전으로 변경하면 기존 AP 연결 문제가 발생 가능하다고 함)
3. IOS 기반 AP의 펌웨어 설치를 수행하고 Join까지 마친다.
4. 원래대로 WLC 현재 시각을 변경하고 NTP를 활성화 한다.
자세한 사항은 아래 Cisco 공식 문서들을 참고하면 된다.
Field Notice: FN - 72524 - During Software Upgrade/Downgrade, Cisco IOS APs Might Remain in Downloading State After December 4,
Cisco IOS-based Access Points (APs) that use expired certificates for image validation as of December 5, 2022 could cause Cisco IOS AP image downloads from a Wireless LAN Controller (WLC) to fail, which prevents the AP from joining the controller. This aff
www.cisco.com
2022년 12월 24일 이후 인증서 이미지 서명 만료로 인한 IOS AP 이미지 다운로드 실패 (CWCwd80290)
'네트워크(Network) > Cisco Wireless' 카테고리의 다른 글
| Cisco Wireless Cheat Sheets (0) | 2023.05.15 |
|---|---|
| Cisco Wireless에서 WLAN 로밍 (0) | 2022.02.13 |
| Cisco Mobility Express(ME) 및 Cisco Business Wireless(CBW) 초기 설정(Day 0 Confinguration) (0) | 2021.06.01 |
| Cisco MFP vs. PMF(802.11w) (0) | 2021.05.07 |
