Cisco Aironet系列AP的瘦胖轉換
兩個方法做Cisco AP的瘦胖轉換
一種是使用AP默認配置信息完成自動升級/轉換,無需要手動配置AP的IP地址和網關,無需單獨地運行TFTP和解壓命令。
一種是進階的手動配置信息來完成升級/轉換,需要情況AP的基本命令和使用。
適用範圍
在沒有WLC控制的情況下的Cisco Aironet 系列AP,已測試CAP1602、CAP2602、CAP3602
準備基礎環境
| 工具 | 形式 | 下載鏈接/信息 |
|---|---|---|
| 賬號密碼 | 文件 | 默認情況下均是 Cisco |
| Console線+USB-RS232轉接線 | 硬件 | 有時候會因爲線或硬件問題導致AP與TFTP Server之間無法建立連接,必要時換線或換PC重新測試 |
| PL2303驅動 | 軟件 | USB-RS232-PL2303驅動下載 |
| RJ45網絡跳線 | 硬件 | |
| TFTP Server(例如TFTPD32/3CDaemon) | 軟件 | TFTP Server-TFTPD32&64下載 |
| 需要轉換/升級的AP的IOS | 鏡像 | Cisco Aironet CAP系列胖IOS下載 |
| SecuCRT或PuTTY等CLI管理工具 | 軟件 | SecuCRT8.0下載、PuTTY下載 |
-
Console線+USB-RS232轉接線#
USB一端與PC連接,Console線與AP的Console口連接,然後進入Windows設備管理器查看PL2303轉接線的驅動。
如果PL2303未安裝,請先正確下載安裝PL2303驅動。安裝驅動後,即可在電腦上正常識別到該串口設備。
此處記下對應的COM port number,我這裏是COM3。
![PL2303轉接線的驅動]()
-
RJ45網絡跳線
RJ45網絡跳線兩端分別連接PC與AP的Ethernet口連接。
進入控制面板\網絡中心裏修改用於連接AP的網卡屬性,IP設置爲10.0.0.2/8。
![在這裏插入圖片描述]()
-
TFTP Server(例如TFTPD32/3CDaemon/SolarWinds)
下載、安裝TFTP Server,常見有TFTPD32/3CDaemon/SolarWinds,我這裏使用TFTP32。
配置TFTP Server,瀏覽並選擇一個目錄,用於存放下載好的IOS鏡像。
選擇服務器對應的端口,即用於與AP連接的網卡IP地址,我這裏是10.0.0.2。
下載AP IOS並放到TFTP的配置目錄下,並將IOS文件名改爲以xxx.default。我這裏是將ap3g2-k9w7-tar.153-3.JF10.tar改爲ap3g2-k9w7-tar.default。至於爲什麼要這樣改,請仔細往後看。
![在這裏插入圖片描述]()
-
PuTTY或SecuCRT等CLI管理工具
下載、安裝CLI管理工具,常見有PuTTY、SecuCRT和Xshell,我這裏使用SecuCRT。
配置SecuCRT,參數如下圖所示(端口是我們剛剛在設備管理器中查看到的COM3,這個端口根據實際情況修改)。
![在這裏插入圖片描述]()
-
準備好之後我們就可以用CLI管理工具打開控制界面,如下圖所示:
以AP+MAC#的形式顯示,說明這是一個瘦AP。
![在這裏插入圖片描述]()
升級/轉換AP IOS的方法一
以下是升級/轉換AP IOS的步驟
-
斷電開AP電源,按住AP上的MODE鍵,然後給AP加電開機。
-
進入恢復模式。
方法是看到顯示:button is pressed, wait for button to be released…這句話後釋放AP的MODE鍵(一般需要按20-30秒,少於20秒不生效)。AP7c69.f68d.3562#
IOS Bootloader - Starting system.
flash is writable
FLASH CHIP: Numonyx Mirrorbit (0089)
Xmodem file system is available.
flashfs[0]: 23 files, 3 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 31997952
flashfs[0]: Bytes used: 7407104
flashfs[0]: Bytes available: 24590848
flashfs[0]: flashfs fsck took 17 seconds.
Reading cookie from SEEPROM
Base Ethernet MAC address: 7c:69:f6:8d:35:62
Ethernet speed is 1000 Mb - FULL Duplex
button is pressed, wait for button to be released…
![在這裏插入圖片描述]()
-
如下圖所示,AP將會讀取網絡中TFTP服務器的文件。
button pressed for 25 seconds ##說明我按了25秒
process_config_recovery: set IP address and config to default 10.0.0.1 ##Cisco AP默認會自動將IP地址設置爲默認的10.0.0.1,然後將信息發往廣播地址來尋找TFTP服務器,所以這也是爲什麼我們要將AP與TFTP服務器的IP配置在同一網段中的原因。
process_config_recovery: image recovery
image_recovery: Download default IOS tar image tftp://255.255.255.255/ap3g2-k9w7-tar.default
##從網絡中讀取文件,這也是爲什麼我們要將IOS文件名設置爲ap3g2-k9w7-tar.default的原因。這個文件名可能視不同系統版本而不同,但要以這個名爲準,否則會提示無法讀取到文件或提示沒有找到相應的文件。
如果你之前沒有設置好這個文件名,請將AP IOS文件名改成對應的.default名字,不用保留鏡像包之前的後綴名。
examining image…
DPAA Set for Independent Mode
DPAA_INIT = 0x0
extracting info (285 bytes)
Image info:
Version Suffix: k9w7-.153-3.JF10
Image Name: ap3g2-k9w7-mx.153-3.JF10 #這是我們下載的鏡像
Version Directory: ap3g2-k9w7-mx.153-3.JF10
Ios Image Size: 10670592
Total Image Size: 13814272
Image Feature: WIRELESS LAN
Image Family: AP3G2
Wireless Switch Management Version: 8.5.151.0
Extracting files… #解壓文件到AP的Flash中
ap3g2-k9w7-mx.153-3.JF10/ (directory) 0 (bytes)
extracting ap3g2-k9w7-mx.153-3.JF10/ap3g2-k9w7-mx.153-3.JF10 (230262 bytes)…
extracting ap3g2-k9w7-mx.153-3.JF10/ap3g2-k9w7-tx.153-3.JF10 (73 bytes)
extracting ap3g2-k9w7-mx.153-3.JF10/ap3g2-bl-2600 (190140 bytes)…
extracting ap3g2-k9w7-mx.153-3.JF10/ap3g2-bl-3600 (189183 bytes)…
![在這裏插入圖片描述]()
-
如下圖所示,AP將會自動執行解壓、刪除舊鏡像、安裝新鏡像等一系列工作,相應地TFTP服務器也會顯示一些工作日誌。
![在這裏插入圖片描述]()
5. 等待一段時間後,完成升級/轉換後的版本顯示如下圖:
![在這裏插入圖片描述]()
5. 等待一段時間後,完成升級/轉換後的版本顯示如下圖:
升級/轉換AP IOS的方法二
在準備好基礎環境,並進入AP恢復模式,按以下命令一步步操作即可。
ap: delete flash:private-config #如果有足夠空間,可以不使用該命令
ap: delete flash:private-multiple-fs #如果有足夠空間,可以不使用該命令
ap: set IP_ADDR 10.0.0.1 #手動設置AP的IP地址,你也可以爲172.16.4.100或其它IP地址,但也要相應地更改你TFTP Server的IP爲其它同網段IP(例如172.16.4.3)
ap: set NETMASK 255.255.255.0 #手動設置AP的子網掩碼
ap: set DEFAULT_ROUTER 10.0.0.2 #手動設置AP的默認網關(TFTP Server IP),與IP地址一樣,也需要與TFTP的IP對應。
ap: tftp_init
ap: ether_init
ap: flash_init
ap: tar -xtract tftp://10.0.0.2/ap3g2-k9w7-tar.153-3.JF10.tar flash: #手動解壓文件到AP的Flash中
ap: dir flash:/ #可以查看是否成功將文件解壓到AP的Flash中
ap: set BOOT flash:/ap3g2-k9w7-tar.153-3.JF10/ap3g2-k9w7-tar.153-3.JF10
ap: set #查看以上的配置是否正確,確認啓動的文件爲我們剛剛導入的文件 BOOT=flash:/ap3g2-k9w7-tar.153-3.JF10/ap3g2-k9w7-tar.153-3.JF10
ap: boot #最後重啓,AP將會自動完成升級/轉換。
如下圖,來自Youtube截圖所以文件名與IP地址與我們本文章的會不一樣。
已知的問題
-
設備空間已滿
A. 只刪除掉當前目錄下的版本文件即可:
ap: delete flash:c1140-k9w7-tar.124-25d.JA1.tar
Are you sure you want to delete “flash:c1140-k9w7-tar.124-25d.JA1.tar” (y/n)?y
File “flash:c1140-k9w7-tar.124-25d.JA1.tar” deleted
![在這裏插入圖片描述]()
B. 如果要直接將整個flash格式化,可以使用以下命令:
ap: set ip_addr 10.0.0.1
ap: set netmask 255.0.0.0
ap: tftp_init -
初始化tftp模塊確保可以正常使用tftp命令,否則輸入tar –xtract命令會提示permission denied,如下圖所示:
![在這裏插入圖片描述]()
則使用命令tftp_init
AP命令
胖AP設備配置命令
en
Cisco
conf t
line con 0
logging synchronous
exit
no enable sec
no ip domain-lookup
ip domain-name xxx.com
hostname XXXX-AP01
配置管理IP和網關
int bvi 1
no ipv6 enable
ip add 192.168.0.100 255.255.255.0
exit
ip default-gateway 192.168.0.1
/配置ssh用rsa密鑰,中間的no是爲防止已生成rsa密鑰,如未生成會報錯,忽略即可*/
crypto key gen rsa
no
1024
/配置ssh版本以及web登陸時所用認證,並關閉http啓用https安全登陸/
ip ssh ver 2
no ip http ser
ip http auth local
ip http secure-ser
/配置用戶名密碼,刪除默認賬戶/
username cisco pri 15 se Cisco123
/配置ssh登陸認證,日誌同步,並限定只接受ssh安全登陸,此處配置與web登陸無關/
lin vty 0 15
logging synchronous
login local
transport preferred ssh
transport input ssh
exi
/配置時區,注意UTC爲標準時區,如果輸入CN等,由於未知時區,會報錯,UTC爲時區,非國家,注意/
clock timezone UTC 8 0
sntp server 202.120.2.101
/防止密碼窮舉,配置限定300秒內輸入錯誤5次密碼,禁止登陸120秒,記錄登陸失敗事件併發送至syslog/
login block 300 att 5 with 120
login on-f log
/配置日誌審計,記錄輸入的配置命令(查看命令不在裏面),隱藏輸入密碼,併發送syslog/
arch
log config
hidekey
logg enable
notify syslog
/配置arp-cache 使AP緩存ARP並提供客戶端解析記錄,全局開啓band-select(5G優先於2.4G)允許ssid使用/
dot11 arp-cache
dot11 band-select parameters
/配置SSID,認證,密碼,廣播ssid,vlanID,啓用band-select/
dot11 ssid cisco
vlan 1
band-select
authentication open
authentication key-management wpa version 2
guest-mode
wpa ascii Cisco123
dot11 ssid cisco-5G
vlan 1
band-select
authentication open
authentication key-management wpa version 2
guest-mode
wpa ascii Cisco123
/配置有線連接接口vlanID對應子接口,注意,此爲g 0口的字接口,對於1131,1242這類802.11G的AP由於不存在千兆口顧請改爲int f 0.110這樣的百兆子接口/
int g 0.1
enc dot 1
bridge-group 1
/2.4G對應VlanID的子接口/
int dot 0.1
enc dot 1
bridge-group 1
/5G對應VlanID的子接口/
int dot 1.1
enc dot 1
bridge-group 1
int dot 0
encryption mode ciphers aes
encryption vlan 1 mode ciphers aes
ssid cisco
channel least-congested 2412 2437 2462
antenna gain 128
power local maximum
power client maximum
stbc
beamform ofdm
/啓用接口/
no shutdown
/啓用5G接口。並配置ssid,以及ssid對應Vlan封裝/
int dot 1
encryption mode ciphers aes
encryption vlan 1 mode ciphers aes
ssid cisco-5G
channel least-congested
antenna gain 128
power local maximum
power client maximum
stbc
beamform ofdm
no shutdown
參考文章:
https://www.youtube.com/watch?v=c70mOOpqMsg
https://blog.csdn.net/xiaoyaoleer/article/details/90450212