Pozn.: Popis v článku vychází z Cisco Catalyst 9800-L Wireless Controller s Cisco IOS XE Cupertino verze 17.9.3. Ke kterému jsou připojeny přístupové body (Access Point) Cisco Catalyst 9164I AP.

Dokumentace

Cisco má v oficiální konfigurační příručce popsány možnosti upgradu systému. Další informace se nachází v průběžně aktualizovaném dokumentu o doporučené verzi Cisco IOS XE. Osobně mi popis přijde docela nejasný a zmatený. Dokonce se používají i různé termíny pro stejné věci.

• Upgrading the Cisco Catalyst 9800 Wireless Controller Software
• Recommended Cisco IOS XE Releases for Catalyst 9800 Wireless LAN Controllers
• Upgrade and Downgrade of Catalyst 9800 Controllers: Tips and Tricks
• Upgrade Hitless Software on Catalyst 9800 Series Wireless LAN Controllers
• Upgrading Field Programmable Hardware Devices for Cisco Catalyst 9800 Series Wireless Controllers

Software a jeho verze

Typy softwaru

• IOS XE Software - úplný obraz softwaru IOS XE, tedy vlastní SW pro kontrolér, BIN soubor, velikost 1,3 GB
• Software Maintenance Upgrade (SMU) - balíček (patch), který slouží k opravě chyb nebo zranitelností v aktuální verzi, BIN soubor, velikost bývá malá
• Access Point Service Pack (APSP) - balíček, který opravuje softwarové chyby v AP nebo drobné funkce, které nevyžadují změny na kontroléru, vyžaduje restart AP, BIN soubor
• Access Point Device Pack (APDP) - doplnění podpory novějších modelů AP do aktuální verze WLC, BIN soubor
• Field Programmable (FPGA) Firmware - na fyzických WLC můžeme upgradovat také
  • ROM Monitor (ROMMON) - inicializuje hardware a spouští IOS-XE, PKG soubor
  • PHY (Ethernet nebo Fiber) - fyzická vrstva, konkrétně modul Shared Port Adapter (SPA), PKG soubor
• NBAR2 Protocol Pack - balíček, který aktualizuje Network-Based Application Recognition (NBAR) engine (informace pro rozpoznávání aplikací) aktuální verze WLC, PACK soubor

Pozn.: V případě FPGA Firmware Cisco doporučuje vždy aktualizovat na poslední dostupnou verzi. Aktuálně dostupné poslední verze jsou již docela staré. Kontrolu a instalaci můžeme provést pomocí CLI.

Součástí určité IOS XE Software verze jsou definované funkce, opravy starších chyb (dá se říci SMU), podpora určitých AP modelů a SW pro ně (WLC a AP musí mít stejnou verzi softwaru) a NBAR2 Protocol Pack pro Application Visibility and Control (AVC).

Pokud chceme získat nové funkce, opravu chyb či podporu nových AP, tak můžeme provést upgrade na novou verzi (pokud je již k dispozici). Upgrade WLC vždy provede i upgrade AP a vyžaduje restart. Pokud máme High Availability (HA) Stateful Switch Over (SSO) pár, tak se přepne aktivní a záložní WLC a nemusí dojít k výpadku funkce. AP se mohou aktualizovat postupně ve skupinách, takže část může stále obsluhovat klienty.

Ne vždy je potřeba aktualizovat WLC. Do stávající verze můžeme přidat SMU, APSP, APDP nebo NBAR2 Protocol Pack. Jsou vydávány pouze pro určité verze (Extended Maintenance).

Získání softwaru

Stažení instalačních souborů nalezneme na produktové stránce nebo kompletně pod Support - Download.

• Cisco Catalyst 9800 Series Wireless Controllers - Downloads
• Software Download - Catalyst 9800 Series Wireless Controllers

Vybíráme C9800 model, pro který se nabídnou typy softwaru. V případě Catalyst 9800-L musíme zvolit přesný typ 9800-L-C nebo 9800-L-F, jinak se nabídne pouze malá část souborů.

Označování verzí

• Software Lifecycle Support Statement - IOS XE

Cisco IOS XE verze jsou vydávány v pravidelném intervalu. Označení verze vypadá například takto 17.9.4a. Skládá se z Major.Minor.Maintenance Release Number, volitelně doplněné o speciální identifikátor (v příkladu a). Číslo vedlejší verze (Minor) určuje významnou změnu v softwaru a vychází 3x ročně. Číslo údržby (Maintenance) označuje vydání verze s opravou kritických chyb (rebuild).

Každá Cisco IOS XE verze je klasifikována jako:

• Standard-Support Release (Standard Maintenance) - podpora 12 měsíců, patří sem verze 17.1, 17.2, 17.4, 17.5, 17.7, atd., předpokládám, že se také označuje jako short-lived release
• Extended-Support Release (Extended Maintenance) - podpora 48 měsíců, údržbové verze vychází častěji (po 3, 4, 4, 6, 7 měsících), patří sem verze 17.3, 17.6, 17.9, 17.12, atd., předpokládám, že se také označuje jako long-lived release

Při stahování jsou verze označovány zkratkou Release Designations.

• Early Deployment (ED) - předčasné nasazení, obsahuje nové vlastnosti a opravu chyb
• Maintenance Deployment (MD) - obsahuje opravu chyb a průběžnou údržbu softwaru

Zranitelnosti a jejich opravy

V posledním (zhruba) měsíci se řešila velmi závažná zranitelnost CVE-2023-20198 v Cisco IOS XE (v tomto roce byly i další zranitelnosti). Informace CSCwh87343 - Cisco IOS XE Software Web UI Privilege Escalation Vulnerability, Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature a Software Fix Availability for Cisco IOS XE Software Web UI Privilege Escalation Vulnerability - CVE-2023-20198.

V řadě Cisco IOS XE 17.9 je oprava ve verzi 17.9.4a. Pro verzi 17.9.3 a 17.9.4 je k dispozici Software Maintenance Upgrade (SMU) s opravou, který vyžaduje restart.

Problém je, pokud využíváme roli Lobby Admin pro vytváření účtů pro návštěvy, a kvůli opravě zranitelnosti upgradujeme na 17.9.4a. Pravděpodobně pak narazíme na bug CSCwh37783 - Catalyst 9800 Lobby Admin Page is not Loading (velmi špatně popsaný). Jediné řešení nyní je asi upgrade na 17.12.2.

Pozn.: Pro informace o zranitelnostech určité verze můžeme využít Cisco Software Checker.

Doporučená verze

Dokument Recommended Cisco IOS XE Releases by měl poskytnout informaci, která verze je doporučena pro provozování v produkci. Ale asi nevím, jak jej číst. Nachází se zde informace o dostupných verzích a k nim SMU (Software Maintenance Upgrade) a APSP (Access Point Service Pack). Jen je otázka, jak často se dokument aktualizuje, protože momentálně tam několik nejnovějších APSP chybí.

Asi bychom měli volit verzi z long-lived release train (což bude Extended-Support Release) a Cisco ji začne doporučovat až po určitém Maintenance Release (MR). U některých verzí je poznámka, že je doporučeno přejít na specifickou vyšší verzi nebo aplikovat SMU.

V současnosti je v dokumentu zvýrazněno doporučení

Cisco recommends 17.9.4 + APSP2 + SMU_CSCwh87343 for all deployments

Ale když stahujeme verzi 17.9.4, tak je zde informace, kterou chápu, že doporučena je verze 17.9.4a

Dear Cisco Customer, If you are not using APSP in 17.9.4, please use 17.9.4a, to obtain fix for CSCwh87343, Cisco IOS XE
 Software Web UI Privilege Escalation Vulnerability, CVE-2023-20273. In case of SMU/APSP installed, please wait until SMU
 for CSCwh87343 is available for 17.9.4

Aktualizace softwaru WLC

• Administration - Software Management

Máme k dispozici upgrade kontroléru přechodem na novou verzi pomocí kompletního IOS XE obrazu. Při upgradu můžeme využít funkce jako ISSU či Hitless Upgrade. Nebo instalaci SMU, APSP či APDP do současné verze kontroléru.

Pozn.: Pokud máme HA SSO pár, tak se při upgradu aktualizuje aktivní i záložní kontrolér.

IOS XE Software Upgrade

• Administration - Software Management - Software Upgrade

Aktualizaci můžeme provést pomocí GUI (nebo samozřejmě také v CLI). K dispozici jsou následující základní volby. Některé přepínače mění způsob aktualizace a nabízí další položky pro nastavení. Popis je pouze stručný.

• Upgrade Mode: INSTALL (nejčastěji provozovaný mód)
• One-Shot Install Upgrade - celá instalace proběhne najednou, automaticky se provede restart a nečeká se na aktivaci
• Transport Type: My Desktop - umožňuje nahrát (upload) soubor přes prohlížeč (HTTPS)
• File System: bootflash
• AP Image Predownload - během upgradu jsou obrazy AP předem staženy do přístupových bodů, aby se zkrátil výpadek sítě po upgradu
• ISSU Upgrade (HA Upgrade) - aktualizace softwaru pomocí ISSU
  • AP Upgrade per Iteration - procento AP, které mají být upgradovány společně (v jednom kroku)
• Hitless Software Upgrade (N + 1 Upgrade) - AP se upgradují postupně, nedojde tedy k výpadku celé sítě
• Download & Install - nahraje a nainstaluje upgrade
• Save Configuration & Activate - restartuje WLC s novým obrazem softwaru
• Po upgradu je potřeba potvrdit kliknutím na Commit, aby byl upgrade trvalý. Jinak se (standardně po 6 hodinách) WLC vrátí k předchozímu obrazu.
• Remove Inactive Files - vyčistí staré instalační soubory

Nemůžeme kombinovat One-Shot Install Upgrade, AP Image Predownload, ISSU Upgrade (HA Upgrade) a Enable Hitless Upgrade. Aktivace jedné z voleb skryje ostatní. Některé metody nabízí podobné možnosti nebo v sobě zahrnují některou jinou metodu.

Pozn.: V konfigurační příručce jsem na takovou informaci nenarazil, ale v dokumentu o doporučených verzích je poznámka. SMU a APSP vyžadují licenci Network Advantage, nestačí Network Essentials. V dokumentech Implement 9800 Wireless LAN Controller Licenses: FAQs, Cisco DNA Software Wireless Feature Matrix se dozvíme dokonce více. ISSU, APDP, APSP, Rolling AP upgrades, Hot Patching a SMU jsou součástí Network Advantage licence.

Standardní upgrade (s AP Image Predownload)

Při standardním upgradu dojde k výpadku funkčnosti bezdrátové sítě na několik minut. Všechny komponenty se restartují ve stejnou chvíli. V případě HA SSO páru obě WLC a všechna AP. Můžeme použít předstažení obrazu do AP, aby se neprovádělo kopírování až po upgradu WLC.

Kdykoliv můžeme použít Download & Install, protože nedochází k ovlivnění provozu. Záleží na architektuře, může to trvat kolem půl hodiny. Až když použijeme Save Configuration & Activate, tak dojde k výpadku a restartu. WLC začne být nedostupné asi po 5 minutách a start obou trvá asi 10 minut.

Průběh aktualizace

• nahrání obrazu SW do flash paměti (pro HA pár na obě WLC) - spustíme tlačítkem Download & Install
• instalace obrazu (přidání obrazu na všechny členy)
• předstažení AP obrazu do přístupových bodů (postupně po určitém počtu AP)
• aktivace obrazu, kdy dojde k restartu WLC a AP - spustíme tlačítkem Save Configuration & Activate
• potvrzení změn - tlačítkem Commit

Jak probíhá předstažení (Predownload) obrazu do AP můžeme sledovat v GUI v detailu jednotlivých AP. Nebo v CLI pomocí příkazu show ap image.

Pozn.: V praxi jsem narazil na podivný problém. Po restartu byl WLC stále nedostupný, ubíhal čas a ani po 45 minutách neodpovídal na IP adrese WMI. Povedlo se mi připojit pomocí SSH na IP adresu RMI (lokálním účtem). Na první pohled vše vypadlo OK, ale nefungovala žádná odchozí komunikace do sítě. Zkoušel jsem ping na různá rozhraní obou WLC a najednou začala fungovat všechna komunikace.

Hitless Upgrade

CAPWAP implementace vyžaduje, aby WLC a AP měli stejnou verzi softwaru. Po upgradu WLC tedy následuje upgrade AP, který způsobí výpadek sítě.

Hitless Upgrade využívá vysoké dostupnosti (HA SSO) se dvěma WLC a pokrytí N+1 AP. Nejprve je záložní WLC upgradováno na cílovou verzi. AP jsou upgradována postupně (přesouvají se na druhé WLC) a využívá se funkce Rolling AP upgrade, která zabraňuje narušení sítě. Klienti jsou obslouženi sousedním AP, když jejich prochází upgradem. Na konci se restartuje primární WLC (upgraduje se) a AP se přesunou zpět.

In-Service Software Upgrade (ISSU)

ISSU je postup pro upgrade obrazu WLC na novější verzi, zatímco síť pokračuje v předávání paketů. Pomáhá vyhnout se výpadku sítě během upgradu. Může se použít pro aplikaci Cold Patche SMU bez ovlivnění aktivní sítě.

ISSU vyžaduje HA Stateful Switchover pár, tedy aktivní a záložní kontrolér. Oba musí být v Install módu. Dokumentace také uvádí, že je podporováno pro upgrady v rámci, a mezi, long-lived major releases (popis mi není zrovna jasný). Provádí se kontrola kompatibility.

Průběh aktualizace

• nahrání obrazu SW do flash paměti (pro HA pár na obě WLC) - spustíme tlačítkem Download & Install
• instalace obrazu (přidání obrazu na všechny členy)
• předstažení AP obrazu do přístupových bodů (postupně po určitém počtu AP)
• dostaneme informaci, že ISSU procedura zahájila aktivaci nového SW, až bude SW nainstalován na aktivním WLC, tak dojde k jeho restartu, což způsobí přepnutí (switchover)
• upgrade záložního kontroléru - provedou se kontroly, začne aktivace obrazu, restart WLC
• upgrade aktivního kontroléru - aktivace a restart, dojde k přepnutí na záložní
• přepnutí na záložní
• upgrade AP - postupný upgrade (restart) AP podle zadaného počtu
• potvrzení změn - tlačítkem Commit

Celá aktualizace probíhá postupně a trvá docela dlouho. Kolem hodiny upgrade kontrolérů a následně se po zadaném množství aktualizují AP (zobrazil se odhad 8 minut, ale trvalo to 43 minut).

V průběhu aktualizace si můžeme zobrazit logy Show logs, později AP Upgrade Statistics. Před upgradem můžeme zkontrolovat, zda je ISSU podporováno, a v průběhu sledovat stav (pomocí CLI):

WLC1#show issu state detail
Current ISSU Status: In Progress
Previous ISSU Operation: N/A
=======================================================
System Check                        Status
-------------------------------------------------------
Platform ISSU Support               Yes
Standby Online                      Yes
Autoboot Enabled                    Yes
SSO Mode                            No
Install Boot                        Yes
Valid Boot Media                    Yes
Operational Mode                    HA-REMOTE
=======================================================
Added Image:
Name                                Compatible
-------------------------------------------------------
17.09.04a.0.6                       Yes

Operation type: Step-by-step ISSU
Install type  : Image installation using ISSU
Current state : Added state
Last operation: Activate location standby chassis 2/R0cc

Completed operations:

Operation                              Start time
-------------------------------------------------------
Activate location standby chassis 2/R0 2023-11-19:11:31:49

State transition: Added

Auto abort timer: automatic, remaining time before rollback: 05:49:57
Abort Reason: N/A
Running image: bootflash:/packages.conf
Operating mode: sso, terminal state not reached

Software Maintenance Upgrade (SMU) Patch

• Administration - Software Management - Software Maintenance Upgrade (SMU)

SMU je balíček (package), který lze nainstalovat do systému, aby opravil chybu v dané verzi. SMU je malý, opravuje pouze určitou chybu v určité komponentě. Je možno jej rychle nasadit a není potřeba dlouhé testování.

IOS XE validuje kompatibilitu SMU a nedovolí nainstalovat nekompatibilní. SMU jsou vydávány pouze pro Extended Maintenance verze. Integrují se do konkrétní maintenance verze. Nemají žádné předpoklady nebo závislosti. Můžeme je nainstalovat nebo odinstalovat v libovolném pořadí.

Instalace SMU může být bez ovlivnění provozu nebo vyvolat restart, nové načtení či přepnutí HA páru.

• Cold Patch vyžaduje studené načtení systému (reload) během aktivace. Takže všechny procesy nastartují se správnými knihovnami a soubory instalovanými spolu se SMU. Pro Stateful Switchover (SSO) pár se může aplikovat bez výpadku.
• Hot Patching umožňuje, aby byl SMU účinný hned po aktivaci, bez nového načtení systému (může restartovat určité procesy).

Postup instalace

• přidáme SMU soubor do zařízení
• po nahrání proběhne kontrola kompatibility
• vidíme seznam nahraných balíčků, jejich stav (zda jsou aktivní) a typ (reload, restart nebo non-reload)
  • Reload znamená restart kontroléru
  • Restart znamená restart určitého procesu
• pro instalaci balíčku jej označíme a klikneme na Activate
• aby byla instalace trvalá, tak musíme použít Commit (jinak se po druhém restartu deaktivuje)