豆子公司的无线系统是思科的WLC和AP,用了大概4年多没升级过软件了。最近总公司扫描漏洞,发了一份警告信给我们 大概是XX IP有若干漏洞等等,其中漏洞最多的就是WLC。 好吧,是时候升级一下了。首先看看当前的AP型号和WLC,找到他们最高兼容的版本,下载之后,就可以准备安装了。

具体步骤

1. 官网下载Code Image,同时准备一个tftp的服务器

2. 登录http和ssh

3. 准备下载安装Code Image

tftp工具上可以看见下载进度

WLC下载之后会自动解压安装,因为我的环境是HA,主控制器完成升级后会自动升级备用控制器。这个步骤会比较花时间,慢慢等

这一步特别费时间

4. 现在我们可以检查一下版本号是否更新了

检查AP的版本,仍然是旧版本

5. pre download image 到 AP上面

这个步骤可做可不做,但是推荐做,因为他可以预先下载好最新的版本到AP上,这样如果有几十上百个AP的话,他们重启之后不需要重新下载新的镜像,可以节约大量宕机的时间

检查一下状态

等个20分钟 应该就都好了

有个别的AP,如果是通过WAN连接管理的,可能没有更新

需要手动地指定这些AP再下载一下就还好啦

最后 所有的AP都准备就绪

6. 交换AP的Primary和Backup镜像

7. 最后准备重启

这里我设置了2分半之后重启HA的两个控制器,重启之前自动备份

15分钟后,测试版本号是否更新

登录看看

9. 测试SSID的登录,验证

豆子配置了4个不同的SSID,他们的authentication和authorization配置的都不太一样。其中一个SSID在升级之后无法登录,经过检查,发现是他的AAA验证是通过Cisco ISE 实现的,其中authrozation里面指定了WLC里面的ACL名字

我把方式改成通过VLAN来判断就OK了