Witam,
Staram się przeprowadzić migracje kilka access pointów Cisco LWAP AIR-LAP1131AG-E-K9 z fizycznych kontrolerów WS-C3750G-24WS-S25 z oprogramowaniem w wersji 7.0.116.0, na wirtualne kontrolery vWLC AIR-CTVM-K9 w wersji 7.3.101.0.
Według release notes:
http://www.cisco.com/en/US/docs/wireles ... crn73.html
i innej dostępnej dokumentacji, taka migracje można przeprowadzić trzema sposobami:
1.) Podłączyć AP do kontrolera fizycznego z oprogramowaniem 7.3, ze by się samy zupgrade’owaly i potem ich przełączyć do kontrolera wirtualnego.
- takiej możliwości niestety nie mam (kontrolery WS-C3750G-24WS-S25 nie można upgradeowac do wersji 7.3)
2.) Upgrade’ować wszystkie AP manualnie do wersji SW wspierającej wirtualne kontrolery z oprogramowaniem 7.3 i potem ich podłączyć do vWLC.
- taki upgrade i testowa migracje przeprowadziłem bez problemów
- niestety ciężko ta metodę zastosować dla wszystkich AP, które trzeba zmigrowac, dlatego ze nie wszystkie są na miejscu, najlepsze było by użycie metody trzeciej:
3.) Podłączenie kontrolerów fizycznych i virtualnych do tej samej mobility grupy.
- udało mi się podłączyć testowy vWLC do jednej mobility grupy z kontrolerem fizycznym, ale samotna migracja AP się nie udaje
- problemów sieciowych (routing, ACL...) nie powinno być - kiedy manualnie upgraduje AP do wyższej wersji SW, to podłącza się do vWLC
- debugujac vWLC widzę ze AP się z nim kontaktuje, ale nie łączy sie (nie zestawia DTLS sesje)
Może ktoś z Was ma doświadczenie z podobna migracja? Jeżeli tak, to bardzo bym prosił o rade jak przeprowadzić udana migracje według opisanej metody trzeciej.
Dziękuje,
Vlastek
Migracja Cisco LWAP z kontrolerow fizycznych na vWLC
Tak, można manualnie (na miejscu) upgradeowac AP i potem on się łączy bez problemu z vWLC, ale chodzi o to, ze by się podłączył do vWLC bez manualnego upgradowania SW. Potem dopiero ściąga sobie nowszy SW image z vWLC i sie sam upgrade'uje. To powinno być możliwe, łącząc fizyczne i wirtualne kontrolery do jednej mobility grupy, tylko mi to nie działavrankom pisze:z tego co pamietam jak ja robilem migracje wgrywalem w kazdy AP najnowszy soft zeby sie podpiely pod vWLC, pozatym DTLS na vWLC chyba nie jest wspierane...
/F.
vWLC wspiera DTLS - kiedy łączy się do niego AP z nowym SW, to normalnie zestawia sesje DTLS
Re: Migracja Cisco LWAP z kontrolerow fizycznych na vWLC
"An AP must be at software version 7.3.1.35 and above to successfully join a virtual controller. Virtual controllers use SSC in order to validate an AP before joining." (Źródło) więc na mój stan wiedzy, tylko 2 scenariusz w Twoim przypadku. Jeśli możesz, to prośba o źródło w którym wspominają o rozwiązaniu z mobility group.VlastekCZ pisze:Według release notes:
http://www.cisco.com/en/US/docs/wireles ... crn73.html
i innej dostępnej dokumentacji, taka migracje można przeprowadzić trzema sposobami: ...
Re: Migracja Cisco LWAP z kontrolerow fizycznych na vWLC
W tych relase notes dla 7.3 piszą:maroszka pisze:"An AP must be at software version 7.3.1.35 and above to successfully join a virtual controller. Virtual controllers use SSC in order to validate an AP before joining." (Źródło) więc na mój stan wiedzy, tylko 2 scenariusz w Twoim przypadku. Jeśli możesz, to prośba o źródło w którym wspominają o rozwiązaniu z mobility group.VlastekCZ pisze:Według release notes:
http://www.cisco.com/en/US/docs/wireles ... crn73.html
i innej dostępnej dokumentacji, taka migracje można przeprowadzić trzema sposobami: ...
Follow either of the following two ways to resolve this:
–Install the abovementioned IOS images manually on the AP, join the APs to a hardware based controller using the 7.3 software release to download the image, and disable hash validation by entering the config certificate ssc hash validation disable command.
–Configure the virtual controller as a mobility member and include the hash value so that the APs can validate the virtual controller.
Ja mam teraz obaj kontrolery (fizyczny & wirtualny) w tej samej mobility grupie, ale kiedy chce przełączyć AP z WLC do vWLC, to nadal mi pokazuje ze "certificate verification failed". Według instrukcji powinien go zvalidowac. Przynajmniej już wiem, ze to nie jest problem DTLS. Chyba będzie trzeba coś jeszcze zrobić z tym "hash value", bo na AP widzę tylko IP adresy i nazwy domenowe kontrolerów w mobility grupie, ale nie widzę tego "hash value" przy nich.
log z AP:
*Jan 7 14:22:22.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.174.76.14 peer_port: 5246
*Jan 7 14:22:22.000: %CAPWAP-5-CHANGED: CAPWAP changed state to
*Jan 7 14:22:22.016: %LWAPP-3-CLIENTERRORLOG: Peer certificate verification failed
*Jan 7 14:22:22.017: %CAPWAP-3-ERRORLOG: Certificate verification failed!
*Jan 7 14:22:22.017: DTLS_CLIENT_ERROR: ../capwap/capwap_wtp_dtls.c:348 Certificate verified failed!
*Jan 7 14:22:22.017: %DTLS-4-BAD_CERT: Certificate verification failed. Peer IP: 10.174.76.14
*Jan 7 14:22:22.017: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 10.174.76.14:5246
*Jan 7 14:22:22.017: %DTLS-3-BAD_RECORD: Erroneous record received from 10.174.76.14: Malformed Certificate
*Jan 7 14:22:22.017: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 10.174.76.14:5246
*Jan 7 14:22:22.018: %CAPWAP-3-ERRORLOG: Invalid event 38 & state 3 combination.
niestety robilem konwersje na ios a potem wgrywalem soft lwap ;pVlastekCZ pisze:Jeszcze jedno pytanie:
Można zdalnie wgrać nowy software image do LWAP? Na pzryklad z TFTP?
Do autonomous AP można, ale wygląda na to, ze do LWAP nie.
moze mozna jakos latwiej ;)
edit. hmm w sumie jak sie da wgrac ios to mozna i wgrac nowy soft lwap od razu ;p
/F.
config ap tftp-downgrade z poziomu WLC pewnie i z "lekkim" obrazem zadziała - ale nie testowałem (dodatkowo trzeba by myślę jeszcze HA wysterować na zadanym AP, by po chwili downgrade'u nie doświadczyć)VlastekCZ pisze:Jeszcze jedno pytanie:
Można zdalnie wgrać nowy software image do LWAP? Na pzryklad z TFTP?
Do autonomous AP można, ale wygląda na to, ze do LWAP nie.