Atualização e downgrade de controladores Catalyst 9800: dicas e truques

Introdução

Este documento descreve as coisas que devem ser observadas ao atualizar ou rebaixar um Catalyst 9800 Wireless LAN Controller (WLC).

Antes de prosseguir

Este documento não tem como objetivo substituir as notas de versão, que sempre devem ser o documento de entrada ao atualizar. O objetivo é facilitar a atualização através de várias versões, destacando as alterações mais impactantes entre as versões.

Este documento não substitui a leitura das notas de versão da sua versão de software de destino. Faça backup da sua configuração e tome todas as precauções necessárias antes de continuar com uma atualização.

Por padrão, o servidor HTTP do 9800 não é mapeado estaticamente para um certificado/ponto de confiança específico que pode levar a alterações após a atualização. Defina o servidor HTTP para um ponto de confiança estático (preferencialmente para um certificado que você emitiu para a finalidade, ou para o certificado MIC de outra forma) na configuração antes da atualização.

O caso especial de versões especiais de engenharia

As construções especiais de engenharia não suportam atualizações de ISSU a partir delas. Este documento se concentra apenas em versões públicas publicadas em Cisco.com, portanto, se você estiver em uma compilação especial de engenharia, consulte as notas de versão que você recebeu junto com elas para receber suporte para todas as suas perguntas de atualização.

Atualização

Você pode ler diretamente as notas sob a versão de software de destino que você está buscando. As dicas que são aplicáveis através de várias versões são repetidas sempre para sua conveniência. Não atualize por mais de três versões ao mesmo tempo. Por exemplo, a atualização de 16.12.1 para 17.3.2 é abordada neste documento, no entanto, não abrange atualizações de 16.12 para 17.4. Nesse cenário, navegue pela 17.3 e verifique as notas na seção 17.3, execute a atualização, examine a seção 17.4 e prepare a segunda atualização. Concluindo, as dicas listadas não são mais repetidas após três versões principais, mesmo que ainda sejam válidas, pois o documento supõe que você prossiga pelas versões principais intermediárias.

Gibraltar

16.12.2

• A partir do Cisco IOS® XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar a tag de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.

• Não use mais de 31 caracteres para nomes de AP. Se o nome do AP tiver 32 caracteres ou mais, ele poderá causar um travamento do controlador.

• Não implante arquivos OVA diretamente no VMware ESXi 6.5. É recomendável usar uma ferramenta OVF para implantar os arquivos OVA.

16.12.3

• 16.12.3 é a primeira versão a aplicar o suporte apenas aos SFPs listados como suportados na documentação. Os SFPs não listados causam uma situação de queda de porta. Verifique a lista de SFPs suportados e assegure-se de que seus SFPs sejam compatíveis para evitar que as portas de dados fiquem inativas após a atualização.
• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar a tag de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.

• Não use mais de 31 caracteres para nomes de AP. Se o nome do AP tiver 32 caracteres ou mais, ele poderá causar um travamento do controlador.

• Não implante arquivos OVA diretamente no VMware ESXi 6.5. É recomendável usar uma ferramenta OVF para implantar os arquivos OVA.

16.12.4

• 16.12.3 e 17.2.1 são as primeiras versões para reforçar o suporte apenas dos SFPs listados como suportados na documentação. Os SFPs não listados causam uma situação de queda de porta. Verifique a lista de SFPs suportados e assegure-se de que seus SFPs sejam compatíveis para evitar que as portas de dados fiquem inativas após a atualização.
• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar uma marca de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.

• Não use mais de 31 caracteres para nomes de AP. Se o nome do AP tiver 32 caracteres ou mais, ele poderá causar um travamento do controlador.

• Não implante arquivos OVA diretamente no VMware ESXi 6.5. É recomendável usar uma ferramenta OVF para implantar os arquivos OVA.

16.12.5, 16.12.6a e 16.12.7

Idêntico à versão 16.12.4.

Amsterdã

17.1.1

• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar uma marca de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.
• A partir desta versão, uma nova verificação de acessibilidade do gateway é apresentada. Os APs enviam solicitações de eco ICMP periódicas (ping) ao gateway padrão para verificar a conectividade. Você deve garantir a filtragem de tráfego entre os APs e o gateway padrão (como ACLs) para permitir pings ICMP entre o AP e o gateway padrão. Se esses pings forem bloqueados, mesmo se a conectividade entre a controladora e o AP estiver ativa, os APs serão recarregados em intervalos de 4 horas.

17.2.1

• 16.12.3 e 17.2.1 são as primeiras versões para reforçar o suporte apenas dos SFPs listados como suportados na documentação. Os SFPs não listados causam uma situação de queda de porta. Verifique a lista de SFPs suportados e assegure-se de que seus SFPs sejam compatíveis para evitar que as portas de dados fiquem inativas após a atualização.
• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar uma marca de política padrão, ela poderá ser desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.
• 17.1 em diante, uma nova verificação de acessibilidade do gateway é apresentada. Os APs enviam solicitações de eco ICMP periódicas (ping) ao gateway padrão para verificar a conectividade. Você deve garantir a filtragem de tráfego entre os APs e o gateway padrão (como ACLs) para permitir pings ICMP entre o AP e o gateway padrão. Se esses pings forem bloqueados, mesmo se a conectividade entre a controladora e o AP estiver ativa, os APs serão recarregados em intervalos de 4 horas.

17.3.1

• 16.12.3 e 17.2.1 são as primeiras versões para reforçar o suporte apenas dos SFPs listados como suportados na documentação. Os SFPs não listados causam uma situação de queda de porta. Verifique a lista de SFPs suportados e assegure-se de que seus SFPs sejam compatíveis para evitar que as portas de dados fiquem inativas após a atualização.
• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar uma marca de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.
• A partir da versão 17.1, uma nova verificação de acessibilidade do gateway é apresentada. Os APs enviam solicitações de eco ICMP periódicas (ping) ao gateway padrão para verificar a conectividade. Você deve garantir a filtragem de tráfego entre os APs e o gateway padrão (como ACLs) para permitir pings ICMP entre o AP e o gateway padrão. Se esses pings forem bloqueados, mesmo se a conectividade entre a controladora e o AP estiver ativa, os APs serão recarregados em intervalos de 4 horas.
• Se você configurou o modo FIPS, certifique-se de remover a configuraçãosecurity wpa wpa1 cipher tkipde qualquer WLAN antes de atualizar o Cisco IOS XE Amsterdam 17.3.x de uma versão anterior. A falha em realizar isso define a segurança da WLAN como TKIP, que não é suportado no modo FIPS. Após a atualização, você deve reconfigurar a WLAN com AES.
• A partir do Cisco IOS XE Amsterdam 17.3.1, o Cisco Catalyst 9800-CL Wireless Controller requer 16 GB de espaço em disco para novas implantações. Só é possível aumentar o tamanho do espaço em disco por meio de uma reinstalação com uma imagem 17.3.
• Cisco IOS XE Amsterdam 17.3.1 em diante, o nome do AP pode ter apenas até 32 caracteres.
• Para autenticação de endereço MAC local (de clientes ou APs), somente o formatoaaaabbbbcccc(sem separador) é suportado a partir da versão 17.3.1. Isso significa que a autenticação falhará se você adicionar um endereço MAC com separadores na interface de usuário da Web ou na CLI.
• A partir dessa versão, os APs são recarregados após 4 horas se não puderem se unir a uma WLC, não puderem fazer ping em seu gateway e ARP em seu gateway (todos os três devem falhar para que o AP seja reinicializado). Este é um aprimoramento (ID de bug da Cisco CSCvt8970) para a verificação de gateway somente ICMP anterior de versões anteriores.
• A partir de 17.3.1, a nova forma de configurar códigos de países para access points é oWireless country <1 country code>comando que você pode repetir várias vezes com códigos de países diferentes. Isso permite aumentar a quantidade máxima de código de país para mais de 20. Os comandosap countryainda estão presentes e funcionam, no entanto, considere alterá-los para osWireless countrycomandos, já que osap countrycomandos são preteridos em uma versão futura.

17.3.2

• 16.12.3 e 17.2.1 são as primeiras versões para reforçar o suporte apenas dos SFPs listados como suportados na documentação. Os SFPs não listados causam uma situação de queda de porta. Verifique a lista de SFPs suportados e assegure-se de que seus SFPs sejam compatíveis para evitar que as portas de dados fiquem inativas após a atualização.
• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar uma marca de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.
• A partir da versão 17.1, uma nova verificação de acessibilidade do gateway é apresentada. Os APs enviam solicitações de eco ICMP periódicas (ping) ao gateway padrão para verificar a conectividade. Você deve garantir a filtragem de tráfego entre os APs e o gateway padrão (como ACLs) para permitir pings ICMP entre o AP e o gateway padrão. Se esses pings forem bloqueados, mesmo se a conectividade entre a controladora e o AP estiver ativa, os APs serão recarregados em intervalos de 4 horas.
• Se você configurou o modo FIPS, certifique-se de remover a configuraçãosecurity wpa wpa1 cipher tkipde qualquer WLAN antes de atualizar o Cisco IOS XE Amsterdam 17.3.x de uma versão anterior. A falha em realizar isso define a segurança da WLAN como TKIP, que não é suportado no modo FIPS. Após a atualização, você deve reconfigurar a WLAN com AES.
• A partir do Cisco IOS XE Amsterdam 17.3.1, o Cisco Catalyst 9800-CL Wireless Controller requer 16 GB de espaço em disco para novas implantações. Só é possível aumentar o tamanho do espaço em disco por meio de uma reinstalação com uma imagem 17.3.
• A partir do Cisco IOS XE Amsterdam 17.3.1, o nome do AP pode ter apenas até 32 caracteres.
• Para autenticação de endereço MAC local (de clientes ou APs), somente o formatoaaaabbbbcccc(sem separador) é suportado a partir da versão 17.3.1. Isso significa que a autenticação falhará se você adicionar um endereço MAC com separadores na interface de usuário da Web ou na CLI.
• A partir de 17.3.1, os APs são recarregados após 4 horas se não puderem se unir a uma WLC, não podem fazer ping em seu gateway e ARP em seu gateway (todos os três devem falhar para que o AP seja reinicializado). Isso é um aprimoramento (ID de bug da Cisco CSCvt8970) para a verificação de gateway somente ICMP anterior das versões anteriores.
• A partir de 17.3.1, a nova forma de configurar códigos de países para access points é oWireless country <1 country code>comando que você pode repetir várias vezes com códigos de países diferentes. Isso permite aumentar a quantidade máxima de códigos de país para mais de 20. Os comandosap countryainda estão presentes e em execução, no entanto, considere alterá-los para osWireless countrycomandos, já que osap countrycomandos são preteridos em uma versão futura.

17.3.3

• 16.12.3 e 17.2.1 são as primeiras versões para reforçar o suporte apenas dos SFPs listados como suportados na documentação. Os SFPs não listados causam uma situação de queda de porta. Verifique a lista de SFPs suportados e assegure-se de que seus SFPs sejam compatíveis para evitar que as portas de dados fiquem inativas após a atualização.
• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar a tag de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.
• 17.1 em diante, uma nova verificação de acessibilidade do gateway é apresentada. Os APs enviam solicitações de eco ICMP periódicas (ping) ao gateway padrão para verificar a conectividade. Você deve garantir a filtragem de tráfego entre os APs e o gateway padrão (como ACLs) para permitir pings ICMP entre o AP e o gateway padrão. Se esses pings forem bloqueados, mesmo se a conectividade entre a controladora e o AP estiver ativa, os APs serão recarregados em intervalos de 4 horas.
• Se você configurou o modo FIPS, certifique-se de remover a configuraçãosecurity wpa wpa1 cipher tkipde qualquer WLAN antes de atualizar o Cisco IOS XE Amsterdam 17.3.x de uma versão anterior. A falha em realizar isso define a segurança da WLAN como TKIP, que não é suportado no modo FIPS. Após a atualização, você deve reconfigurar a WLAN com AES.
• A partir do Cisco IOS XE Amsterdam 17.3.1, o Cisco Catalyst 9800-CL Wireless Controller requer 16 GB de espaço em disco para novas implantações. Só é possível aumentar o tamanho do espaço em disco por meio de uma reinstalação com uma imagem 17.3.
• Cisco IOS XE Amsterdam 17.3.1 em diante, o nome do AP pode ter apenas até 32 caracteres.
• Para autenticação de endereço MAC local (de clientes ou APs), somente o formatoaaaabbbbcccc(sem separador) é suportado a partir da versão 17.3.1. Isso significa que a autenticação falhará se você adicionar um endereço MAC com separadores na interface de usuário da Web ou na CLI.
• A partir de 17.3.1, os APs são recarregados após 4 horas se não puderem se unir a uma WLC, não podem fazer ping em seu gateway e ARP em seu gateway (todos os três devem falhar para que o AP seja reinicializado). Este é um aprimoramento (ID de bug da Cisco CSCvt8970) da verificação de gateway somente ICMP anterior das versões anteriores.
• A partir de 17.3.1, a nova forma de configurar códigos de países para access points é oWireless country <1 country code>comando que você pode repetir várias vezes com códigos de países diferentes. Isso permite aumentar a quantidade máxima de código de país para mais de 20. Os comandosap countryainda estão presentes e funcionando, no entanto, considere alterá-los para osWireless countrycomandos, já que osap countrycomandos são preteridos em uma versão futura.
• A WLC pode travar se seus APs tiverem nomes de host com mais de 32 caracteres (ID de bug da Cisco CSCvy11981).

17.3.4

• 16.12.3 e 17.2.1 são as primeiras versões para reforçar o suporte apenas dos SFPs listados como suportados na documentação. Os SFPs não listados causam uma situação de queda de porta. Verifique a lista de SFPs suportados e assegure-se de que seus SFPs sejam compatíveis para evitar que as portas de dados fiquem inativas após a atualização.
• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar uma marca de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.
• A partir da versão 17.1, uma nova verificação de acessibilidade do gateway é apresentada. Os APs enviam solicitações de eco ICMP periódicas (ping) ao gateway padrão para verificar a conectividade. Você deve garantir a filtragem de tráfego entre os APs e o gateway padrão (como ACLs) para permitir pings ICMP entre o AP e o gateway padrão. Se esses pings forem bloqueados, mesmo se a conectividade entre a controladora e o AP estiver ativa, os APs serão recarregados em intervalos de 4 horas.
• Se você configurou o modo FIPS, certifique-se de remover a configuraçãosecurity wpa wpa1 cipher tkipde qualquer WLAN antes de atualizar o Cisco IOS XE Amsterdam 17.3.x de uma versão anterior. A falha em realizar isso define a segurança da WLAN como TKIP, que não é suportado no modo FIPS. Após a atualização, você deve reconfigurar a WLAN com AES.
• A partir do Cisco IOS XE Amsterdam 17.3.1, o Cisco Catalyst 9800-CL Wireless Controller requer 16 GB de espaço em disco para novas implantações. Só é possível aumentar o tamanho do espaço em disco por meio de uma reinstalação com uma imagem 17.3.
• A partir do Cisco IOS XE Amsterdam 17.3.1, o nome do AP pode ter apenas até 32 caracteres.
• Para autenticação de endereço MAC local (de clientes ou APs), somente o formatoaaaabbbbcccc(sem separador) é suportado a partir da versão 17.3.1. Isso significa que a autenticação falhará se você adicionar um endereço MAC com separadores na interface de usuário da Web ou na CLI.
• A partir de 17.3.1, os APsl são recarregados após 4 horas se não puderem se unir a uma WLC, não puderem fazer ping em seus gateways e ARP em seus gateways (todos os três devem falhar para que o AP seja reinicializado). Este é um aprimoramento (ID de bug da Cisco CSCvt8970) para a verificação de gateway somente ICMP anterior das versões anteriores.
• 17.3.1 em diante, a nova maneira de configurar códigos de país para access points é oWireless country <1 country code>comando que você pode repetir várias vezes com códigos de país diferentes. Isso permite aumentar a quantidade máxima de código de país para mais de 20. Os comandosap countryainda estão presentes e funcionando, no entanto, considere alterá-los para osWireless countrycomandos, já que osap countrycomandos estão planejados para serem substituídos em uma versão futura.
• Ao fazer o upgrade para a versão 17.3.4 e posterior, é aconselhável ter o carregador de inicialização/rommon 16.12.5r instalado nas controladoras onde for aplicável (a 9800-80). (O 9800-40 não tem um rommon 16.12.5r no momento e não precisa de uma atualização de rommon.)
• A atualização do controlador, do Cisco IOS XE Bengaluru 17.3.x para qualquer versão que use ISSU, poderá falhar se o snmp-server enable traps hsrpestá configurado. Certifique-se de remover o comandosnmp-server enable traps hsrpda configuração antes de iniciar uma atualização do ISSU, pois osnmp-server enable traps hsrpcomando é removido do Cisco IOS XE Bengaluru 17.4.x.

• Ao atualizar para o Cisco IOS XE 17.3.x e versões posteriores, se o comandoip http active-session-modules noneestiver habilitado, você não poderá acessar a GUI do controlador usando HTTPS. Para acessar a GUI usando HTTPS, execute estes comandos:

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

17.3.5

• Devido ao bug da Cisco ID CSCwb13784, se o MTU do seu caminho for inferior a 1500 bytes, os APs possivelmente não serão capazes de se unir. Baixe o patch SMU disponível para 17.3.5 para corrigir esse problema.
• 16.12.3 e 17.2.1 são as primeiras versões para reforçar o suporte apenas dos SFPs listados como suportados na documentação. Os SFPs não listados causam uma situação de queda de porta. Verifique a lista de SFPs suportados e assegure-se de que seus SFPs sejam compatíveis para evitar que as portas de dados fiquem inativas após a atualização.
• O arquivo de atualização para esta versão pode ser muito grande para o upload HTTP (ao fazer uma atualização da interface do usuário da Web) se você estiver na versão 16.12.1. Use outro método de transferência ou continue em 16.12.2, que oferece suporte a arquivos maiores a serem carregados por meio da interface do usuário da Web.
• A partir do Cisco IOS XE Gibraltar 16.12.2s, o mapeamento automático de WLAN para o perfil de política padrão sob a tag de política padrão foi removido. Se você estiver atualizando de uma versão anterior ao Cisco IOS XE Gibraltar 16.12.2s e se sua rede sem fio usar uma marca de política padrão, ela será desativada devido à alteração do mapeamento padrão. Para restaurar a operação de rede, adicione a WLAN necessária aos mapeamentos de política sob a marca de política padrão.
• 17.1 em diante, uma nova verificação de acessibilidade do gateway é apresentada. Os APs enviam solicitações de eco ICMP periódicas (ping) ao gateway padrão para verificar a conectividade. Você deve garantir a filtragem de tráfego entre os APs e o gateway padrão (como ACLs) para permitir pings ICMP entre o AP e o gateway padrão. Se esses pings forem bloqueados, mesmo se a conectividade entre a controladora e o AP estiver ativa, os APs serão recarregados em intervalos de 4 horas.
• Se você configurou o modo FIPS, certifique-se de remover a configuraçãosecurity wpa wpa1 cipher tkipde qualquer WLAN antes de atualizar o Cisco IOS XE Amsterdam 17.3.x de uma versão anterior. A falha em realizar isso define a segurança da WLAN como TKIP, que não é suportado no modo FIPS. Após a atualização, você deve reconfigurar a WLAN com AES.
• Cisco IOS XE Amsterdam 17.3.1 em diante, o Cisco Catalyst 9800-CL Wireless Controller requer 16 GB de espaço em disco para novas implantações. Só é possível aumentar o tamanho do espaço em disco por meio de uma reinstalação com uma imagem 17.3.
• Cisco IOS XE Amsterdam 17.3.1 em diante, o nome do AP pode ter apenas até 32 caracteres.
• Para autenticação de endereço MAC local (de clientes ou APs), somente o formatoaaaabbbbcccc(sem separador) é suportado a partir da versão 17.3.1. Isso significa que a autenticação falhará se você adicionar um endereço MAC com separadores na interface de usuário da Web ou na CLI.
• 17.3.1 em diante, os APsl são recarregados após 4 horas se não puderem se unir a uma WLC, não puderem fazer ping em seu gateway e ARP em seu gateway (todos os três devem falhar para que o AP seja reinicializado). Isso é um aprimoramento (ID de bug da Cisco CSCvt8970) para a verificação de gateway somente ICMP anterior das versões anteriores.
• 17.3.1 em diante, a nova maneira de configurar códigos de país para access points é oWireless country <1 country code>comando que você pode repetir várias vezes com códigos de país diferentes. Isso permite aumentar a quantidade máxima de código de país para mais de 20. Os comandosap countryainda estão presentes e funcionando, no entanto, considere alterá-los para osWireless countrycomandos, já que osap countrycomandos estão planejados para serem substituídos em uma versão futura.
• Ao fazer o upgrade para a versão 17.3.4 e posterior, é aconselhável ter o carregador de inicialização/rommon 16.12.5r instalado nas controladoras onde for aplicável (a 9800-80). (O 9800-40 não tem um rommon 16.12.5r no momento e não precisa de uma atualização de rommon.)
• A atualização do controlador, do Cisco IOS XE Bengaluru 17.3.x para qualquer versão que use ISSU, poderá falhar se o snmp-server enable traps hsrpestá configurado. Certifique-se de remover o comandosnmp-server enable traps hsrpda configuração antes de iniciar uma atualização do ISSU, pois osnmp-server enable traps hsrpcomando é removido do Cisco IOS XE Bengaluru 17.4.x.

• Ao atualizar para o Cisco IOS XE 17.3.x e versões posteriores, se o comandoip http active-session-modules noneestiver habilitado, você não poderá acessar a GUI do controlador usando HTTPS. Para acessar a GUI usando HTTPS, execute estes comandos:

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

Bengaluru

17.4.1

• A partir da versão 17.4.1, os APs baseados no Cisco IOS Wave 1 não são mais suportados (1700,2700,3700,1570), exceto o IW3700.
• Suas WLANs podem ser desligadas após a atualização se não forem WPA (SSIDs de convidado, aberto ou CWA) e tiverem FT adaptável configurada. A solução é remover a configuração de FT adaptável antes da atualização (ID de bug Cisco CSCvx34349). A configuração de FT adaptável não faz sentido no SSID não WPA, portanto, não há perda de nada ao removê-lo.
• A WLC pode travar se seus APs tiverem nomes de host com mais de 32 caracteres (ID de bug da Cisco CSCvy11981).

17.5.1

• A partir da versão 17.4.1, os APs baseados no Cisco IOS Wave 1 não são mais suportados (1700,2700,3700,1570), exceto o IW3700.
• A partir do Cisco IOS XE Bengaluru versão 17.4.1, a solução de telemetria fornece um nome para o endereço do receptor em vez do endereço IP para os dados de telemetria. Essa é uma opção adicional. Durante o downgrade do controlador e o upgrade subsequente, é provável que haja um problema com a versão de upgrade que usa os receptores recém-nomeados, e eles não são reconhecidos no downgrade. A nova configuração é rejeitada e falha na atualização subsequente. A perda de configuração pode ser evitada quando a atualização ou o downgrade são realizados a partir do Cisco DNA Center.
• Suas WLANs podem ser desligadas após a atualização se não forem WPA (SSIDs de convidado, abertas ou CWA) e tiverem FT adaptável configurada. A solução é remover a configuração de FT adaptável antes da atualização (ID de bug Cisco CSCvx34349). A configuração de FT adaptável não faz sentido no SSID não WPA, portanto, não há perda de nada ao removê-lo.
• A WLC pode travar se seus APs tiverem nomes de host com mais de 32 caracteres (ID de bug da Cisco CSCvy11981).
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.

• Ao atualizar para o Cisco IOS XE 17.3.x e versões posteriores, se o comandoip http active-session-modules noneestiver habilitado, você não poderá acessar a GUI usando HTTPS. Para acessar a GUI usando HTTPS, execute estes comandos:

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

• Se você encontrar o erro "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" na GUI após uma reinicialização ou travamento do sistema, é recomendável gerar novamente o certificado do ponto confiável.
• O procedimento para gerar um novo ponto de confiança autoassinado é como mostrado:

configure terminal
no crypto pki trustpoint 
    
    
      no ip http server no ip http secure-server ip http server ip http secure-server ip http authentication 
     
       ! use local or aaa as applicable. 
      
    

17.6.1

• A partir da versão 17.4.1, os APs baseados no Cisco IOS Wave 1 não são mais suportados (1700,2700,3700,1570), exceto o IW3700.
• A partir do Cisco IOS XE Bengaluru versão 17.4.1, a solução de telemetria fornece um nome para o endereço do receptor em vez do endereço IP para os dados de telemetria. Essa é uma opção adicional. Durante o downgrade do controlador e o upgrade subsequente, é provável que haja um problema com a versão de upgrade que usa os receptores recém-nomeados, e eles não são reconhecidos no downgrade. A nova configuração é rejeitada e falha na atualização subsequente. A perda de configuração pode ser evitada quando a atualização ou o downgrade são realizados a partir do Cisco DNA Center.
• Suas WLANs podem ser desligadas após a atualização se não forem WPA (SSIDs de convidado, abertas ou CWA) e tiverem FT adaptável configurada. A solução é remover a configuração de FT adaptável antes da atualização (ID de bug Cisco CSCvx34349). A configuração de FT adaptável não faz sentido no SSID não WPA, portanto, não há perda de nada ao removê-lo.
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.
• Um AP que se juntou a uma WLC 17.6.1 ou posterior não pode mais se unir a uma WLC AireOS a menos que execute 8.10.162 ou posterior, ou 8.5.176.2 e posterior 8.5.
• Atualizando para 17.6.1 e posterior, é aconselhável ter o carregador de inicialização/rommon 16.12.5r instalado nas controladoras onde for aplicável (9800-80). (O 9800-40 não tem um rommon 16.12.5r no momento e não precisa de uma atualização de rommon.)
• A atualização do controlador, do Cisco IOS XE Bengaluru 17.3.x para qualquer versão que use ISSU, poderá falhar se o snmp-server enable traps hsrpestá configurado. Certifique-se de remover o comandosnmp-server enable traps hsrpda configuração antes de iniciar uma atualização do ISSU, pois osnmp-server enable traps hsrpcomando é removido do Cisco IOS XE Bengaluru 17.4.x.

• Ao atualizar para o Cisco IOS XE 17.3.x e versões posteriores, se o comandoip http active-session-modules noneestiver habilitado, o acesso HTTPS à GUI do controlador não funcionará. Para acessar a GUI usando HTTPS, execute estes comandos:

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

• Se você encontrar o erro "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" na GUI após uma reinicialização ou travamento do sistema, é recomendável gerar novamente o certificado do ponto confiável.
• O procedimento para gerar um novo ponto de confiança autoassinado é como mostrado:

configure terminal
no crypto pki trustpoint 
    
    
      no ip http server no ip http securffwe-server ip http server ip http secure-server ip http authentication 
     
       ! use local or aaa as applicable. 
      
    

17.6.2

• A partir da versão 17.4.1, os APs baseados no Cisco IOS Wave 1 não são mais suportados (1700,2700,3700,1570), exceto o IW3700.
• A partir do Cisco IOS XE Bengaluru versão 17.4.1, a solução de telemetria fornece um nome para o endereço do receptor em vez do endereço IP para os dados de telemetria. Essa é uma opção adicional. Durante o downgrade do controlador e o upgrade subsequente, é provável que haja um problema com a versão de upgrade que usa os receptores recém-nomeados, e eles não são reconhecidos no downgrade. A nova configuração é rejeitada e falha na atualização subsequente. A perda de configuração pode ser evitada quando a atualização ou o downgrade são realizados a partir do Cisco DNA Center.
• Suas WLANs podem ser desligadas após a atualização se não forem WPA (SSIDs de convidado, aberto ou CWA) e tiverem FT adaptável configurada. A solução é remover a configuração de FT adaptável antes da atualização (ID de bug Cisco CSCvx34349). A configuração de FT adaptável não faz sentido no SSID não WPA, portanto, não há perda de nada ao removê-lo.
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.
• Um AP que se juntou a uma WLC 17.6.1 ou posterior não pode mais se unir a uma WLC AireOS a menos que execute 8.10.162 ou posterior, ou 8.5.176.2 e posterior 8.5.
• Atualizando para 17.6.1 e posterior, é aconselhável ter o carregador de inicialização/rommon 16.12.5r instalado nas controladoras onde for aplicável (9800-80). (O 9800-40 não tem um rommong 16.12.5r no momento e não precisa de uma atualização de rommon.)
• A atualização do controlador, do Cisco IOS XE Bengaluru 17.3.x para qualquer versão que use ISSU, poderá falhar se o snmp-server enable traps hsrpestá configurado. Certifique-se de remover o comandosnmp-server enable traps hsrpda configuração antes de iniciar uma atualização do ISSU, pois osnmp-server enable traps hsrpcomando é removido do Cisco IOS XE Bengaluru 17.4.x.

• Ao atualizar para o Cisco IOS XE 17.3.x e versões posteriores, se o comandoip http active-session-modules noneestiver habilitado, o acesso à GUI do controlador HTTPS não funcionará. Para acessar a GUI usando HTTPS, execute estes comandos:

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

• Não use mais de 31 caracteres para nomes de AP. Se o nome do AP tiver 32 caracteres ou mais, pode ocorrer uma falha no controlador.

• Se você encontrar o erro "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" na GUI após uma reinicialização ou travamento do sistema, é recomendável gerar novamente o certificado do ponto confiável.

• O procedimento para gerar um novo ponto de confiança autoassinado é como mostrado:

configure terminal
no crypto pki trustpoint 
    
    
      no ip http server no ip http secure-server ip http server ip http secure-server ip http authentication 
     
       ! use local or aaa as applicable. 
      
    

Cupertino

Esta seção pressupõe que você esteja iniciando a partir da versão 17.6.1 ou posterior e atualizando para uma versão do Cupertino. Se estiver atualizando diretamente de uma versão anterior (que pode ser suportada, verifique as notas de versão para ter certeza), leia as advertências das seções 17.3 e 17.6.

17.7.1

• Não use mais de 31 caracteres para nomes de AP. Se o nome do AP tiver 32 caracteres ou mais, pode ocorrer uma falha no controlador.
• 17.7.1 exige que os códigos de país AP sejam configurados em perfis de ingressos AP.
• Devido ao bug da Cisco ID CSCvu2886, se você tiver APs 9130 ou 9124, deverá passar por 17.3.5a ao atualizar para 17.7.1 ou posterior a partir de uma versão anterior a 17.3.4.
• A partir do Cisco IOS XE Cupertino 17.7.1, para o Cisco Catalyst 9800-CL Wireless Controller, certifique-se de concluir o relatório de Medição de Utilização de Recursos (RUM - Resource Utilization Measurement) e de que o ACK esteja disponível na instância do produto pelo menos uma vez. Isso serve para garantir que as informações de uso corretas e atualizadas sejam refletidas no Cisco Smart Software Manager (CSSM). Se isso não for feito, um máximo de 50 APs poderão ingressar em uma 9800-CL até que um relatório de licença seja confirmado.
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.

17.8.1

• Não use mais de 31 caracteres para nomes de AP. Se o nome do AP tiver 32 caracteres ou mais, pode ocorrer uma falha no controlador.
• 17.7.1 exige que os códigos de país AP sejam configurados em perfis de ingressos AP.
• Devido ao bug da Cisco ID CSCvu2886, se você tiver APs 9130 ou 9124, deverá passar por 17.3.5a ao atualizar para 17.7.1 ou posterior a partir de uma versão anterior a 17.3.4.
• Cisco IOS XE Cupertino 17.7.1 em diante, para o Cisco Catalyst 9800-CL Wireless Controller, certifique-se de concluir o relatório RUM e de que o ACK esteja disponível na instância do produto pelo menos uma vez. Isso serve para garantir que as informações de uso corretas e atualizadas sejam refletidas no CSSM. Se isso não for feito, um máximo de 50 APs poderão ingressar em uma 9800-CL até que um relatório de licença seja confirmado.
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.

17,9.x

• Os APs que executam o Cisco IOS-XE 17.9.3 podem encontrar problemas ao tentar atualizar seu software devido a espaço insuficiente no diretório/tmp. Quando o espaço/tmpno AP fica cheio, ele impede o download da nova imagem do AP. Nesses casos, é recomendável que você reinicialize o AP.

• Os APs 11AC Wave 2 podem entrar em um loop de inicialização ao atualizar o software em um link de WAN. Para obter mais informações, consulte https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220443-how-to-avoid-boot-loop-due-to-corrupted.html.

• 17.9.3 e versões posteriores trazem de volta o suporte para pontos de acesso baseados no Cisco IOS (série x700 e 1570). Eles não foram suportados entre 17.4 e 17.9.2. O suporte para esses APs não se estende além do suporte normal do ciclo de vida do produto. Consulte os boletins individuais de fim de suporte em Cisco.com.
• A atualização do controlador do Cisco IOS XE Bengaluru 17.3.x para o Cisco IOS XE Bengaluru 17.6.x ou Cisco IOS XE Cupertino 17.9.x e posterior usando o ISSU pode falhar se o comando domain estiver configurado. Assegure-se de executar o comando no domain antes de iniciar uma atualização ISSU porque o comando domain foi removido do Cisco IOS XE Bengaluru 17.6.x.
• Cisco IOS XE Cupertino 17.7.1 em diante, para o Cisco Catalyst 9800-CL Wireless Controller, certifique-se de concluir o relatório RUM e de que o ACK esteja disponível na instância do produto pelo menos uma vez. Isso serve para garantir que as informações de uso corretas e atualizadas sejam refletidas no CSSM. Se isso não for feito, um máximo de 50 APs poderão ingressar em uma 9800-CL até que um relatório de licença seja confirmado.
• A fragmentação inferior a 1500 não é suportada para pacotes RADIUS gerados por clientes sem fio na interface Gi0 (OOB).
• 17.3 em diante, o 9800-CL requer 16 GB de espaço em disco para funcionar corretamente. Você não pode aumentar o tamanho dinamicamente se sua instância de WLC tiver iniciado com um OVA de 8 GB (anterior a 17.3). A única maneira é criar uma nova WLC a partir de um OVA com data posterior a 17.3.
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.
• O Cisco Catalyst 9800-L Wireless Controller pode falhar ao responder aos sinais de interrupção recebidos em sua porta de console durante o tempo de inicialização, impedindo que os usuários cheguem ao rommon. Esse problema é observado nas controladoras fabricadas até novembro de 2019, com a configuração padrão do registro de configuração de 0x2102. Esse problema pode ser evitado se você definir config-register como 0x2002. Esse problema é corrigido no rommon 16.12(3r) do Cisco Catalyst 9800-L Wireless Controller. Para obter informações sobre como atualizar o rommon, consulte a seçãoUpgrading rommon for Cisco Catalyst 9800-L Wireless Controllersdo documento Atualizando dispositivos de hardware de campo programável para Cisco Catalyst 9800 Series Wireless Controllers.

• Se esta mensagem de erro for exibida após uma reinicialização ou travamento do sistema, é recomendável gerar novamente o certificado do ponto confiável:

   ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  Use estes comandos na ordem especificada para gerar um novo certificado de ponto confiável autoassinado:

  1. device# configure terminal

  2. device(config)# no crypto pki trustpoint trustpoint_name

  3. device(config)# no ip http server

  4. device(config)# no ip http secure-server

  5. device(config)# ip http server

  6. device(config)# ip http secure-server

  7. device(config)# ip http authentication local/aaa

• Verifique se o endereço MAC de mobilidade está definido com owireless mobility mac-addresscomando.
• Esses protocolos agora são suportados através da porta de serviço na versão 17.9:

  • Cisco DNA Center

  • Cisco Smart Software Manager

  • Infraestrutura Cisco Prime

  • Telnet

  • GUI do controlador

  • DNS

  • Transferência de arquivo

  • GNMI

  • HTTP

  • HTTPS

  • LDAP

  • Licenciamento do recurso Smart Licensing para comunicação com o CSSM

  • Netconf

  • Netflow

  • NTP

  • RADIUS (incluindo CoA)

  • Restconf

  • SNMP

  • SSH

  • SYSLOG

  • TACACS+

• A imagem do AP para 17.9 é maior do que a flash do AP originalmente permitida. Se você vir o AP reclamando sobre não ter espaço suficiente ao baixar a imagem 17.9, é provavelmente porque você não respeitou o caminho de atualização através de 17.3.5 como recomendado nas notas de versão ou que seu AP está executando uma imagem AireOS mais antiga. Transitando através de uma WLC 17.3.5 ou posterior ou atualizando a imagem AireOS para o mais recente redimensiona a flash do AP para permitir o download da imagem 17.9.

Dublin

17.10.1

• O recurso Cisco Centralized Key Management (CCKM) está sendo substituído do Cisco IOS XE Dublin 17.10.x.
• O Smart Call Home está sendo substituído em favor do Smart Transport para licenciamento.

• Os APs que executam o Cisco IOS-XE 17.9.3 ou posterior podem encontrar problemas ao tentar atualizar seu software devido a espaço insuficiente no diretório/tmp. Quando o espaço/tmpno AP fica cheio, ele impede o download da nova imagem do AP. Nesses casos, é recomendável que você reinicialize o AP.

  Os APs Wave 2 podem entrar em um loop de inicialização ao atualizar o software em um link de WAN. Para obter mais informações, consulte https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220443-how-to-avoid-boot-loop-due-to-corrupted.html.

• A partir do Cisco IOS XE Cupertino 17.7.1, para o Cisco Catalyst 9800-CL Wireless Controller, certifique-se de concluir o relatório de RUM e de que o ACK esteja disponível na instância do produto pelo menos uma vez. Isso serve para garantir que as informações de uso corretas e atualizadas sejam refletidas no CSSM. Se isso não for feito, um máximo de 50 APs poderão ingressar em uma 9800-CL até que um relatório de licença seja confirmado.
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.
• A fragmentação inferior a 1500 não é suportada para pacotes RADIUS gerados por clientes sem fio na interface Gi0 (OOB).
• 17.3 em diante, o 9800-CL requer 16 GB de espaço em disco para funcionar corretamente. Você não pode aumentar o tamanho dinamicamente se sua instância de WLC tiver iniciado com um OVA de 8 GB (anterior a 17.3). A única maneira é criar uma nova WLC a partir de um OVA com data posterior a 17.3.
• O Cisco Catalyst 9800-L Wireless Controller pode falhar ao responder aos sinais BREAK recebidos em sua porta de console durante o tempo de inicialização, impedindo que os usuários cheguem ao rommon. Esse problema é observado nas controladoras fabricadas até novembro de 2019, com a configuração padrão do registro de configuração de 0x2102. Esse problema pode ser evitado se você definir config-register como 0x2002. O problema é corrigido no rommon 16.12(3r) do Cisco Catalyst 9800-L Wireless Controller. Para obter informações sobre como atualizar o rommon, consulte a seção Atualizando o rommon para Cisco Catalyst 9800-L Wireless Controllers do documento Atualizando dispositivos de hardware de campo programável para Cisco Catalyst 9800 Series Wireless Controllers.

• Se esta mensagem de erro for exibida após uma reinicialização ou travamento do sistema, é recomendável gerar novamente o certificado do ponto confiável:

   ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  Use estes comandos na ordem especificada para gerar um novo certificado de ponto confiável autoassinado:

  1. device# configure terminal

  2. device(config)# no crypto pki trustpoint trustpoint_name

  3. device(config)# no ip http server

  4. device(config)# no ip http secure-server

  5. device(config)# ip http server

  6. device(config)# ip http secure-server

  7. device(config)# ip http authentication local/aaa

• Verifique se o endereço MAC de mobilidade está definido com owireless mobility mac-addresscomando.
• Esses protocolos agora são suportados através da porta de serviço na versão 17.9:

  • Cisco DNA Center

  • Cisco Smart Software Manager

  • Infraestrutura Cisco Prime

  • Telnet

  • GUI do controlador

  • DNS

  • Transferência de arquivo

  • GNMI

  • HTTP

  • HTTPS

  • LDAP

  • Licenciamento do recurso Smart Licensing para comunicação com o CSSM

  • Netconf

  • Netflow

  • NTP

  • RADIUS (incluindo CoA)

  • Restconf

  • SNMP

  • SSH

  • SYSLOG

  • TACACS+

• A imagem do AP para 17.9 é maior do que a flash do AP originalmente permitida. Se você vir o AP reclamando sobre não ter espaço suficiente ao baixar a imagem 17.9, é provavelmente porque você não respeitou o caminho de atualização através de 17.3.5 como recomendado nas notas de versão, ou que seu AP está executando uma imagem AireOS mais antiga. Transitando através de uma WLC 17.3.5 e posterior ou atualizando a imagem do AireOS para o mais recente redimensiona a flash do AP para permitir o download da imagem 17.9.

17.11.1

• O recurso CCKM está sendo substituído do Cisco IOS XE Dublin 17.10.x.
• O Smart Call Home está sendo substituído em favor do Smart Transport para licenciamento
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.

• Os APs que executam o Cisco IOS-XE 17.9.3 ou posterior podem encontrar problemas ao tentar atualizar seu software devido a espaço insuficiente no diretório/tmp. Quando o espaço/tmpno AP fica cheio, ele impede o download da nova imagem do AP. Nesses casos, é recomendável que você reinicialize o AP.

  Os APs Wave 2 podem entrar em um loop de inicialização ao atualizar o software em um link de WAN. Para obter mais informações, consulte https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220443-how-to-avoid-boot-loop-due-to-corrupted.html.

• Cisco IOS XE Cupertino 17.7.1 em diante, para o Cisco Catalyst 9800-CL Wireless Controller, certifique-se de concluir o relatório de RUM e de que o ACK esteja disponível na instância do produto pelo menos uma vez. Isso serve para garantir que as informações de uso corretas e atualizadas sejam refletidas no CSSM. Se isso não for feito, um máximo de 50 APs poderão ingressar em uma 9800-CL até que um relatório de licença seja confirmado.
• A fragmentação inferior a 1500 não é suportada para pacotes RADIUS gerados por clientes sem fio na interface Gi0 (OOB).
• 17.3 em diante, o 9800-CL requer 16 GB de espaço em disco para funcionar corretamente. Você não pode aumentar o tamanho dinamicamente se sua instância de WLC tiver iniciado com um OVA de 8 GB (anterior a 17.3). A única maneira é criar uma nova WLC a partir de um OVA com data posterior a 17.3.
• O Cisco Catalyst 9800-L Wireless Controller pode falhar ao responder aos sinais de interrupção recebidos em sua porta de console durante o tempo de inicialização, impedindo que os usuários cheguem ao rommon. Esse problema é observado nas controladoras fabricadas até novembro de 2019, com a configuração padrão do registro de configuração de 0x2102. Isso pode ser evitado se você definir config-register como 0x2002. Esse problema é corrigido no rommon 16.12(3r) do Cisco Catalyst 9800-L Wireless Controller. Para obter informações sobre como atualizar o rommon, consulte a seção Atualizando o rommon para Cisco Catalyst 9800-L Wireless Controllers do documento Atualizando dispositivos de hardware de campo programável para Cisco Catalyst 9800 Series Wireless Controllers.

• Se esta mensagem de erro for exibida após uma reinicialização ou travamento do sistema, é recomendável gerar novamente o certificado do ponto confiável:
  
  

   ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  
  Use estes comandos na ordem especificada para gerar um novo certificado de ponto confiável autoassinado:

  1. device# configure terminal

  2. device(config)# no crypto pki trustpoint trustpoint_name

  3. device(config)# no ip http server

  4. device(config)# no ip http secure-server

  5. device(config)# ip http server

  6. device(config)# ip http secure-server

  7. device(config)# ip http authentication local/aaa

• Verifique se o endereço MAC de mobilidade está definido com owireless mobility mac-addresscomando.
• Esses protocolos agora são suportados através da porta de serviço na versão 17.9:

  • Cisco DNA Center

  • Cisco Smart Software Manager

  • Infraestrutura Cisco Prime

  • Telnet

  • GUI do controlador

  • DNS

  • Transferência de arquivo

  • GNMI

  • HTTP

  • HTTPS

  • LDAP

  • Licenciamento do recurso Smart Licensing para comunicação com o CSSM

  • Netconf

  • Netflow

  • NTP

  • RADIUS (incluindo CoA)

  • Restconf

  • SNMP

  • SSH

  • SYSLOG

  • TACACS+

• A imagem do AP para 17.9 é maior do que a flash do AP originalmente permitida. Se você vir o AP reclamando sobre não ter espaço suficiente ao baixar a imagem 17.9, é provavelmente porque você não respeitou o caminho de atualização através de 17.3.5 como recomendado nas notas de versão, ou que seu AP está executando uma imagem AireOS mais antiga. Transitando através de uma WLC 17.3.5 e posterior ou atualizando a imagem do AireOS para o mais recente redimensiona a flash do AP para permitir o download da imagem 17.9.

17.12.1

• O recurso CCKM está sendo substituído do Cisco IOS XE Dublin 17.10.x.
• O Smart Call Home está sendo substituído em favor do Smart Transport para licenciamento.
• Ao atualizar a GUI de uma versão para outra, é recomendável limpar o cache do navegador para que todas as páginas da GUI sejam recarregadas corretamente.

• Os APs que executam o Cisco IOS-XE 17.9.3 ou posterior podem encontrar problemas ao tentar atualizar seu software devido a espaço insuficiente no diretório/tmp. Quando o espaço/tmpno AP fica cheio, ele impede o download da nova imagem do AP. Nesses casos, é recomendável que você reinicialize o AP.

  Os APs Wave 2 podem entrar em um loop de inicialização ao atualizar o software em um link de WAN. Para obter mais informações, consulte https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220443-how-to-avoid-boot-loop-due-to-corrupted.html.

• 17.12.1 e versões posteriores trazem de volta o suporte para pontos de acesso baseados no Cisco IOS (série x700 e 1570). Eles não foram suportados entre 17.4 e 17.9.2. O suporte para esses APs não se estende além do suporte normal do ciclo de vida do produto. Consulte os boletins individuais de fim de suporte em Cisco.com. 
• Cisco IOS XE Cupertino 17.7.1 em diante, para o Cisco Catalyst 9800-CL Wireless Controller, certifique-se de concluir o relatório RUM e de que o ACK esteja disponível na instância do produto pelo menos uma vez. Isso serve para garantir que as informações de uso corretas e atualizadas sejam refletidas no CSSM. Se isso não for feito, um máximo de 50 APs poderão ingressar em uma 9800-CL até que um relatório de licença seja confirmado.
• A fragmentação inferior a 1500 não é suportada para pacotes RADIUS gerados por clientes sem fio na interface Gi0 (OOB).
• 17.3 em diante, o 9800-CL requer 16 GB de espaço em disco para funcionar corretamente. Você não pode aumentar o tamanho dinamicamente se sua instância de WLC tiver iniciado com um OVA de 8 GB (anterior a 17.3). A única maneira é criar uma nova WLC a partir de um OVA com data posterior a 17.3.
• O Cisco Catalyst 9800-L Wireless Controller pode falhar ao responder aos sinais de interrupção recebidos em sua porta de console durante o tempo de inicialização, impedindo que os usuários cheguem ao rommon. Esse problema é observado nas controladoras fabricadas até novembro de 2019, com a configuração padrão do registro de configuração de 0x2102. Esse problema pode ser evitado se você definir config-register como 0x2002. Esse problema é corrigido no rommon 16.12(3r) do Cisco Catalyst 9800-L Wireless Controller. Para obter informações sobre como atualizar o rommon, consulte a seção Atualizando o rommon para Cisco Catalyst 9800-L Wireless Controllers do documento Atualizando dispositivos de hardware de campo programável para Cisco Catalyst 9800 Series Wireless Controllers.

• Se esta mensagem de erro for exibida após uma reinicialização ou travamento do sistema, é recomendável gerar novamente o certificado do ponto confiável:
  
  

   ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  
  Use estes comandos na ordem especificada para gerar um novo certificado de ponto confiável autoassinado:

  1. device# configure terminal

  2. device(config)# no crypto pki trustpoint trustpoint_name

  3. device(config)# no ip http server

  4. device(config)# no ip http secure-server

  5. device(config)# ip http server

  6. device(config)# ip http secure-server

  7. device(config)# ip http authentication local/aaa

• Verifique se o endereço MAC de mobilidade está definido com owireless mobility mac-addresscomando.
• Esses protocolos agora são suportados através da porta de serviço na versão 17.9:

  • Cisco DNA Center

  • Cisco Smart Software Manager

  • Infraestrutura Cisco Prime

  • Telnet

  • GUI do controlador

  • DNS

  • Transferência de arquivo

  • GNMI

  • HTTP

  • HTTPS

  • LDAP

  • Licenciamento do recurso Smart Licensing para comunicação com o CSSM

  • Netconf

  • Netflow

  • NTP

  • RADIUS (incluindo CoA)

  • Restconf

  • SNMP

  • SSH

  • SYSLOG

  • TACACS+

• A imagem do AP para 17.9 é maior do que a flash do AP originalmente permitida. Se você vir o AP reclamando sobre não ter espaço suficiente ao baixar a imagem 17.9, é provavelmente porque você não respeitou o caminho de atualização através de 17.3.5 como recomendado nas notas de versão, ou que seu AP está executando uma imagem AireOS mais antiga. Transitando através de uma WLC 17.3.5 e posterior ou atualizando a imagem do AireOS para o mais recente redimensiona a flash do AP para permitir o download da imagem 17.9.
• Depois que um AP é atualizado para a versão 17.12 ou posterior, sua taxa de baud de console não é alterada imediatamente. No entanto, se a fábrica redefinir (ou se um novo AP fora da caixa se juntar a uma WLC 17.12 ou posterior), ele usará uma taxa de baud de console 115200 por padrão.

Downgrade

Os downgrades não são oficialmente suportados e pode ocorrer perda de configuração de novos recursos. No entanto, como os downgrades podem ocorrer no mundo real, este documento ainda lista as armadilhas mais comuns para evitar o downgrade. Para localizar as informações necessárias, verifique a versão da qual você está fazendo o downgrade (a versão anterior ao downgrade).

Gibraltar

16.12.2

• Nada a apontar aqui.

16.12.3

• A recarga contínua é observada quando o Cisco Catalyst 9800 Wireless Controller é rebaixado de 17.x para 16.12.4a. É recomendável que você faça o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.

16.12.4

• Se você fizer o downgrade desta versão para uma versão inferior, a WLC poderá terminar em um loop de inicialização se a telemetria tiver sido configurada devido à ID de bug da Cisco CSCvt69990/ID de bug da Cisco CSCvv87417.
• O Cisco Catalyst 9800 Wireless Controller pode ser recarregado se for feito o downgrade de 17.x para 16.12.4a. Para evitar isso, é recomendável fazer o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.

Amsterdã

17.1.1

• Se você fizer o downgrade desta versão para uma versão inferior, a WLC poderá terminar em um loop de inicialização se a telemetria tiver sido configurada devido à ID de bug da Cisco CSCvt69990/CSCvv8741.
• A recarga contínua é observada quando o Cisco Catalyst 9800 Wireless Controller é rebaixado de 17.x para 16.12.4a. É recomendável que você faça o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.

17.2.1

• Se você fizer o downgrade desta versão para uma versão inferior, a WLC poderá terminar em um loop de inicialização se a telemetria tiver sido configurada devido à ID de bug da Cisco CSCvt69990/ID de bug da Cisco CSCvv87417.
• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.3.1 para uma versão anterior, os port channels configurados com um intervalo maior que quatro desaparecerão.
• A recarga contínua é observada quando o Cisco Catalyst 9800 Wireless Controller é rebaixado de 17.x para 16.12.4a. É recomendável que você faça o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.

17.3.1

• Se você fizer o downgrade desta versão para uma versão inferior, a WLC poderá terminar em um loop de inicialização se a telemetria tiver sido configurada devido à ID de bug da Cisco CSCvt69990

  /CSCvv8741.

• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.3.1 para uma versão anterior, os port channels configurados com um intervalo maior desaparecerão.
• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.3.1 para uma versão anterior, poderá encarar o assistente de dia 0 novamente se tiver o comando 'wireless country' configurado, pois ele não existia antes de 17.3.
• A recarga contínua é observada quando o Cisco Catalyst 9800 Wireless Controller é rebaixado de 17.x para 16.12.4a. É recomendável que você faça o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.
• Não é possível desligar o perfil de política de WLAN quando você faz o downgrade do Cisco IOS XE Amsterdam 17.3.x (suportando switching local IPv6 AVC) para o Cisco IOS XE Gibraltar 16.12.x (onde switching local IPv6 AVC não é suportado). Nesses casos, é recomendável que você exclua o perfil da política de WLAN existente e crie um novo.

17.3.2

• Se você fizer o downgrade desta versão para uma versão inferior, a WLC terminará em um loop de inicialização se a telemetria tiver sido configurada devido à ID de bug da Cisco CSCvt69990/ID de bug da Cisco CSCvv87417.
• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.3.1 para uma versão anterior, os port channels configurados com um intervalo maior desaparecerão.
• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.3.1 para uma versão anterior, poderá encarar o assistente de dia 0 novamente se tiver o comando 'wireless country' configurado, pois ele não existia antes de 17.3.
• A recarga contínua é observada quando o Cisco Catalyst 9800 Wireless Controller é rebaixado de 17.x para 16.12.4a. É recomendável que você faça o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.
• Não é possível desligar o perfil de política de WLAN quando você faz o downgrade do Cisco IOS XE Amsterdam 17.3.x (suportando switching local IPv6 AVC) para o Cisco IOS XE Gibraltar 16.12.x (onde switching local IPv6 AVC não é suportado). Nesses casos, é recomendável que você exclua o perfil da política de WLAN existente e crie um novo.

17.3.3

• Se você fizer o downgrade desta versão para uma versão inferior, a WLC poderá terminar em um loop de inicialização se a telemetria tiver sido configurada devido à ID de bug da Cisco CSCvt69990/ID de bug da Cisco CSCvv87417.
• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.3.1 para uma versão anterior, os port channels configurados com um intervalo maior desaparecerão.
• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.3.1 para uma versão anterior, poderá encarar o assistente de dia 0 novamente se tiver o comando 'wireless country' configurado, pois ele não existia antes de 17.3.
• A recarga contínua é observada quando o Cisco Catalyst 9800 Wireless Controller é rebaixado de 17.x para 16.12.4a. É recomendável que você faça o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.
• Não é possível desligar o perfil de política de WLAN quando você faz o downgrade do Cisco IOS XE Amsterdam 17.3.x (suportando switching local IPv6 AVC) para o Cisco IOS XE Gibraltar 16.12.x (onde switching local IPv6 AVC não é suportado). Nesses casos, é recomendável que você exclua o perfil da política de WLAN existente e crie um novo.

17.4.1

• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.4.1 para uma versão anterior à 17.3, poderá encarar o assistente de dia 0 novamente se tiver configurado o comando 'wireless country', pois ele não existia antes da 17.3.
• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.4.1 para uma versão anterior, perderá a conexão de telemetria, pois a versão 17.4 usa destinos de telemetria nomeados que não eram comandos suportados em versões anteriores. Você deve recriar a conexão de telemetria.
• A recarga contínua é observada quando o Cisco Catalyst 9800 Wireless Controller é rebaixado de 17.x para 16.12.4a. É recomendável que você faça o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.

17.5.1

• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.4.1 para uma versão anterior à 17.3, poderá encarar o assistente de dia 0 novamente se tiver configurado o comando 'wireless country', pois ele não existia antes da 17.3.
• Se você fizer o downgrade do Cisco IOS XE Amsterdam 17.4.1 para uma versão anterior, perderá a conexão de telemetria, pois a versão 17.4 usa destinos de telemetria nomeados que não eram comandos suportados em versões anteriores. Você deve recriar a conexão de telemetria.
• A recarga contínua é observada quando o Cisco Catalyst 9800 Wireless Controller é rebaixado de 17.x para 16.12.4a. É recomendável que você faça o downgrade para o Cisco IOS XE Gibraltar 16.12.5 em vez de 16.12.4a.

17,9.x

• Você não pode ver as senhas 802.1x em texto não criptografado nesta versão porque elas estão criptografadas. Se você fizer o downgrade para uma imagem anterior que não suporte uma senha criptografada, os APs ficarão travados e repetidamente falharão a autenticação dot1x devido a credenciais erradas. Você deve desabilitar 802.1x na porta do switch AP para permitir que o AP se una à controladora antes de definir a senha de texto claro.

17.10.1

• Você não pode ver as senhas do 802.1x em texto não criptografado nesta versão porque elas estão criptografadas. Se você fizer o downgrade para uma imagem anterior que não suporte uma senha criptografada, os APs ficarão travados e repetidamente falharão a autenticação dot1x devido a credenciais erradas. Você deve desabilitar 802.1x na porta do switch AP para permitir que o AP se una à controladora antes de definir a senha de texto claro.

17.11.1

• Você não pode ver as senhas do 802.1x em texto não criptografado nesta versão porque elas estão criptografadas. Se você fizer o downgrade para uma imagem anterior que não suporte uma senha criptografada, os APs ficarão travados e repetidamente falharão a autenticação dot1x devido a credenciais erradas. Você deve desabilitar 802.1x na porta do switch AP para permitir que o AP se una à controladora antes de definir a senha de texto claro.

17.12.x

• Você não pode ver as senhas do 802.1x em texto não criptografado nesta versão porque elas estão criptografadas. Se você fizer o downgrade para uma imagem anterior que não suporte uma senha criptografada, os APs ficarão travados e repetidamente falharão a autenticação dot1x devido a credenciais erradas. Você deve desabilitar 802.1x na porta do switch AP para permitir que o AP se una à controladora antes de definir a senha de texto claro.

Informações Relacionadas

• 17.1 Guia de atualização de APs de instalação instantânea e deslocável
• 17.3 hot patching e guia de atualização do ISSU.
• Suporte técnico e downloads da Cisco