Cisco Aironet WLAN系列AP的瘦胖模式转换_ap3g2-k9w7-m-程序员宅基地

两个方法做Cisco Airnet 802.11 AP的瘦胖模式转换

一种是使用AP默认配置信息完成自动升级/转换，无需要手动配置AP的IP地址和网关，无需单独地运行TFTP和解压命令。
一种是进阶的手动配置信息来完成升级/转换，需要情况AP的基本命令和使用。

适用范围

在没有WLC控制的情况下的Cisco Aironet 系列AP，已测试CAP1602、CAP2602、CAP3602

准备基础环境

工具	形式	下载链接/信息
账号密码	文件	默认情况下均是 Cisco
Console线+USB-RS232转接线	硬件	有时候会因为线或硬件问题导致AP与TFTP Server之间无法建立连接，必要时换线或换PC重新测试
PL2303驱动	软件	USB-RS232-PL2303驱动下载
RJ45网络跳线	硬件
TFTP Server(例如TFTPD32/3CDaemon)	软件	TFTP Server-TFTPD32&64下载
需要转换/升级的AP的IOS	镜像	Cisco Aironet CAP系列胖IOS下载
SecuCRT或PuTTY等CLI管理工具	软件	SecuCRT8.0下载、PuTTY下载

Console线+USB-RS232转接线#
USB一端与PC连接，Console线与AP的Console口连接，然后进入Windows设备管理器查看PL2303转接线的驱动。
如果PL2303未安装，请先正确下载安装PL2303驱动。安装驱动后，即可在电脑上正常识别到该串口设备。
此处记下对应的COM port number，我这里是COM3。
RJ45网络跳线
RJ45网络跳线两端分别连接PC与AP的Ethernet口连接。
进入控制面板\网络中心里修改用于连接AP的网卡属性，IP设置为10.0.0.2/8。
TFTP Server(例如TFTPD32/3CDaemon/SolarWinds)
下载、安装TFTP Server，常见有TFTPD32/3CDaemon/SolarWinds，我这里使用TFTP32。
配置TFTP Server，浏览并选择一个目录，用于存放下载好的IOS镜像。
选择服务器对应的端口，即用于与AP连接的网卡IP地址，我这里是10.0.0.2。
下载AP IOS并放到TFTP的配置目录下，并将IOS文件名改为以xxx.default。我这里是将ap3g2-k9w7-tar.153-3.JF10.tar改为ap3g2-k9w7-tar.default。至于为什么要这样改，请仔细往后看。
PuTTY或SecuCRT等CLI管理工具
下载、安装CLI管理工具，常见有PuTTY、SecuCRT和Xshell，我这里使用SecuCRT。
配置SecuCRT，参数如下图所示(端口是我们刚刚在设备管理器中查看到的COM3，这个端口根据实际情况修改)。
准备好之后我们就可以用CLI管理工具打开控制界面，如下图所示：
以AP+MAC#的形式显示，说明这是一个瘦AP。

升级/转换AP IOS的方法一

以下是升级/转换AP IOS的步骤

断电开AP电源，按住AP上的MODE键，然后给AP加电开机。
进入恢复模式。
方法是看到显示：button is pressed, wait for button to be released…这句话后释放AP的MODE键（一般需要按20-30秒，少于20秒不生效）。

AP7c69.f68d.3562#
IOS Bootloader - Starting system.
flash is writable
FLASH CHIP: Numonyx Mirrorbit (0089)
Xmodem file system is available.
flashfs[0]: 23 files, 3 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 31997952
flashfs[0]: Bytes used: 7407104
flashfs[0]: Bytes available: 24590848
flashfs[0]: flashfs fsck took 17 seconds.
Reading cookie from SEEPROM
Base Ethernet MAC address: 7c:69:f6:8d:35:62
Ethernet speed is 1000 Mb - FULL Duplex
button is pressed, wait for button to be released…
如下图所示，AP将会读取网络中TFTP服务器的文件。

button pressed for 25 seconds ##说明我按了25秒
process_config_recovery: set IP address and config to default 10.0.0.1 ##Cisco AP默认会自动将IP地址设置为默认的10.0.0.1，然后将信息发往广播地址来寻找TFTP服务器，所以这也是为什么我们要将AP与TFTP服务器的IP配置在同一网段中的原因。
process_config_recovery: image recovery
image_recovery: Download default IOS tar image tftp://255.255.255.255/ap3g2-k9w7-tar.default
##从网络中读取文件，这也是为什么我们要将IOS文件名设置为ap3g2-k9w7-tar.default的原因。这个文件名可能视不同系统版本而不同，但要以这个名为准，否则会提示无法读取到文件或提示没有找到相应的文件。
如果你之前没有设置好这个文件名，请将AP IOS文件名改成对应的.default名字，不用保留镜像包之前的后缀名。
examining image…
DPAA Set for Independent Mode
DPAA_INIT = 0x0
extracting info (285 bytes)
Image info:
Version Suffix: k9w7-.153-3.JF10
Image Name: ap3g2-k9w7-mx.153-3.JF10 #这是我们下载的镜像
Version Directory: ap3g2-k9w7-mx.153-3.JF10
Ios Image Size: 10670592
Total Image Size: 13814272
Image Feature: WIRELESS LAN
Image Family: AP3G2
Wireless Switch Management Version: 8.5.151.0
Extracting files… #解压文件到AP的Flash中
ap3g2-k9w7-mx.153-3.JF10/ (directory) 0 (bytes)
extracting ap3g2-k9w7-mx.153-3.JF10/ap3g2-k9w7-mx.153-3.JF10 (230262 bytes)…
extracting ap3g2-k9w7-mx.153-3.JF10/ap3g2-k9w7-tx.153-3.JF10 (73 bytes)
extracting ap3g2-k9w7-mx.153-3.JF10/ap3g2-bl-2600 (190140 bytes)…
extracting ap3g2-k9w7-mx.153-3.JF10/ap3g2-bl-3600 (189183 bytes)…
如下图所示，AP将会自动执行解压、删除旧镜像、安装新镜像等一系列工作，相应地TFTP服务器也会显示一些工作日志。
5. 等待一段时间后，完成升级/转换后的版本显示如下图：

升级/转换AP IOS的方法二

在准备好基础环境，并进入AP恢复模式，按以下命令一步步操作即可。

ap: delete flash:private-config #如果有足够空间，可以不使用该命令
ap: delete flash:private-multiple-fs #如果有足够空间，可以不使用该命令
ap: set IP_ADDR 10.0.0.1 #手动设置AP的IP地址，你也可以为172.16.4.100或其它IP地址，但也要相应地更改你TFTP Server的IP为其它同网段IP(例如172.16.4.3)
ap: set NETMASK 255.255.255.0 #手动设置AP的子网掩码
ap: set DEFAULT_ROUTER 10.0.0.2 #手动设置AP的默认网关(TFTP Server IP)，与IP地址一样，也需要与TFTP的IP对应。
ap: tftp_init
ap: ether_init
ap: flash_init
ap: tar -xtract tftp://10.0.0.2/ap3g2-k9w7-tar.153-3.JF10.tar flash: #手动解压文件到AP的Flash中
ap: dir flash:/ #可以查看是否成功将文件解压到AP的Flash中
ap: set BOOT flash:/ap3g2-k9w7-tar.153-3.JF10/ap3g2-k9w7-tar.153-3.JF10
ap: set #查看以上的配置是否正确，确认启动的文件为我们刚刚导入的文件 BOOT=flash:/ap3g2-k9w7-tar.153-3.JF10/ap3g2-k9w7-tar.153-3.JF10
ap: boot #最后重启，AP将会自动完成升级/转换。
如下图，来自Youtube截图所以文件名与IP地址与我们本文章的会不一样。

已知的问题

设备空间已满

A. 只删除掉当前目录下的版本文件即可：
ap: delete flash:c1140-k9w7-tar.124-25d.JA1.tar
Are you sure you want to delete “flash:c1140-k9w7-tar.124-25d.JA1.tar” (y/n)?y
File “flash:c1140-k9w7-tar.124-25d.JA1.tar” deleted

B. 如果要直接将整个flash格式化，可以使用以下命令：
ap: set ip_addr 10.0.0.1
ap: set netmask 255.0.0.0
ap: tftp_init
初始化tftp模块确保可以正常使用tftp命令，否则输入tar –xtract命令会提示permission denied，如下图所示：

则使用命令tftp_init

AP命令

胖AP设备配置命令

en
Cisco
conf t
line con 0
logging synchronous
exit
no enable sec
no ip domain-lookup
ip domain-name xxx.com
hostname XXXX-AP01

/配置管理IP和网关/
/在默认情况下，AP 把有线接口、2.4G Wi-Fi 接口和 5G Wi-Fi 接口绑定到一个桥接组（BVI1）上/
int bvi 1
no ipv6 enable
ip add 192.168.0.100 255.255.255.0
exit
ip default-gateway 192.168.0.1
 
/配置ssh用rsa密钥，中间的no是为防止已生成rsa密钥，如未生成会报错，忽略即可*/
crypto key gen rsa
no
1024
/配置ssh版本以及web登陆时所用认证，并关闭http启用https安全登陆/
ip ssh ver 2
no ip http ser
ip http auth local
ip http secure-ser
 
/配置用户名密码，删除默认账户/
username cisco pri 15 se Cisco123
 
/配置ssh登陆认证，日志同步，并限定只接受ssh安全登陆，此处配置与web登陆无关/
lin vty 0 15
 logging synchronous
 login local
 transport preferred ssh
 transport input ssh
exi
 
/配置时区，注意UTC为标准时区，如果输入CN等，由于未知时区，会报错，UTC为时区，非国家/
clock timezone UTC 8 0
sntp server 202.120.2.101
 
/防止密码穷举，配置限定300秒内输入错误5次密码，禁止登陆120秒，记录登陆失败事件并发送至syslog/
login block 300 att 5 with 120
login on-f log
 
/配置日志审计，记录输入的配置命令（查看命令不在里面），隐藏输入密码，并发送syslog/
arch
log config
hidekey
logg enable
notify syslog
 
/配置arp-cache 使AP缓存ARP并提供客户端解析记录，全局开启band-select（5G优先于2.4G）允许ssid使用/
dot11 arp-cache
dot11 band-select parameters
 
/配置SSID/认证/密码/广播SSID，VLAN ID，启用band-select（5G优先于2.4G）/
/也可以只起一个SSID，启用了band-select后会自动优选5G，因需要在绑定SSID时绑定到同一个Wi-Fi接口(例如本案例是bridge-group 1)即可/
dot11 ssid cisco
   vlan 1
   band-select
   authentication open
   authentication key-management wpa version 2
   guest-mode
   wpa ascii Cisco123
   
dot11 ssid cisco-5G
   vlan 1
   band-select
   authentication open
   authentication key-management wpa version 2
   guest-mode
   wpa ascii Cisco123
 
 
/配置有线连接接口vlanID对应子接口/
/注意，此为g 0口的子接口，对于型号为1131、1242这类802.11G的AP由于不存在千兆口，请改为int f 0.110这样的百兆子接口/
int g 0.1
enc dot 1
bridge-group 1
 
/2.4G对应VlanID的子接口，绑定到bridge-group 1/
int dot 0.1
enc dot 1
bridge-group 1
 
/5G对应VlanID的子接口，绑定到bridge-group 1/
int dot 1.1
enc dot 1
bridge-group 1

/启用2.4G接口。并配置ssid，以及ssid对应Vlan封装，将 SSID 绑定到 Wi-Fi 接口上/
int dot 0
encryption mode ciphers aes
encryption vlan 1 mode ciphers aes
ssid cisco
channel least-congested 2412 2437 2462
antenna gain 128
power local maximum
power client maximum
stbc
beamform ofdm
/启用接口/
no shutdown
 
/启用5G接口。并配置ssid，以及ssid对应Vlan封装，将 SSID 绑定到 Wi-Fi 接口上/
int dot 1
encryption mode ciphers aes
encryption vlan 1 mode ciphers aes
ssid cisco-5G
channel least-congested
antenna gain 128
power local maximum
power client maximum
stbc
beamform ofdm
no shutdown

案例一

主要配置命令
hostname ap      /设置AP名
 
dot11 ssid AP-N2    /设置SSID（AP-N2为SSID号）
authentication open    /认证开放
authentication key-management wpa version 2     /认证密钥版本为WPA版本2
guest-mode    /显示SSID，no guest-mode表示隐藏SSID
wpa-psk ascii 123456789      /SSID登陆密钥设置（123456789为密钥）
exit

interface dot11radio0      /进入2.4G接口
encryption mode ciphers aes-ccm     /加密密码AES CCM模式
ssid AP-N2       /加入SSID AP-N2
power local maximum   /设置AP信号发射功率，默认可不配置
no shutdown           /开启端口
exit

interface dot11radio1      /进入5.8G接口
encryption mode ciphers aes-ccm      /加密密码AES CCM模式
ssid AP-N2       /加入SSID AP-N2
power local maximum   /设置AP信号发射功率，默认可不配置
no shutdown           /开启端口
exit

interface BVI1    进入管理接口
ip address 192.168.0.191 255.255.255.0          /配置接口IP地址
no shutdown           /开启端口

ip default-gateway 192.168.0.1     /配置网关

配置范例
version 15.2
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname test-ap
!
logging rate-limit console 9
enable secret 5 $5$4fXI$i1Zl2wBy24uDQd2j2Tuf41
!
no aaa new-model
clock timezone BeiJing 8 0
no ip source-route
no ip cef
!
dot11 syslog
!
dot11 ssid testssid
   authentication open 
   authentication key-management wpa version 2
   guest-mode
    wpa-psk ascii 7 1443130D010939102541
!
dot11 guest
!
username myname secret 5 $4$7p8Z$yjeef33iW422J3bDrdN8Q/
!
bridge irb
!
interface Dot11Radio0
 no ip address
 no shutdown
 !
 encryption mode ciphers aes-ccm 
 !
 ssid testssid
 !
 antenna gain 0
 power local maximum
 packet retries 64 drop-packet
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
!
interface Dot11Radio1
 no ip address
 !
 encryption mode ciphers aes-ccm 
 !
 ssid testssid
 !
 no shutdown
 !
 antenna gain 0
 power local maximum
 peakdetect
 dfs band 3 block
 packet retries 64 drop-packet
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface GigabitEthernet1
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 192.168.0.16 255.255.255.0
 ipv6 address dhcp
 ipv6 address autoconfig
 ipv6 enable
!
ip default-gateway 192.168.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
snmp-server community public RO
bridge 1 route ip
!
line con 0
line vty 0 4
 login local
 transport input all
!
sntp server 192.168.0.1
end

案例二

建立两个不同的SSID，然后分别这调用在Dot11 Radio0和Dot11 Radio1

dot11 ssid Cisco-5G
	authentication open
	authentication key-management wpa version 2
	guest-mode
	wpa-psk ascii 7 PASSWORD
!
dot11 ssid Cisco-2.4G
	authentication open
	authentication key-management wpa version 2
	guest-mode
	wpa-psk ascii 7 PASSWORD
!
username Cisco privilege 15 password Cisco
!
interface Dot11Radio0
no ip address
encryption mode ciphers aes-ccm
!
ssid Cisco-2.4G
!
antenna gain 0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
!
interface Dot11Radio1
no ip address
encryption mode ciphers aes-ccm
!
ssid Cisco-5G
!
antenna gain 0
peakdetect
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
!
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
!
interface BVI1
ip address 192.168.0.100 255.255.255.0
no shutdown

本文链接：https://blog.csdn.net/mysy2001/article/details/113914799

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

python编码问题之encode、decode、codecs模块_python中encode在什么模块-程序员宅基地

文章浏览阅读2.1k次。原文链接先说说编解码问题编码转换时，通常需要以unicode作为中间编码，即先将其他编码的字符串解码（decode）成unicode，再从unicode编码（encode）成另一种编码。 Eg：str1.decode('gb2312') #将gb2312编码的字符串转换成unicode编码str2.encode('gb2312') #将unicode编码..._python中encode在什么模块

Java数据流-程序员宅基地

文章浏览阅读949次，点赞21次，收藏15次。本文介绍了Java中的数据输入流（DataInputStream）和数据输出流（DataOutputStream）的使用方法。

ie浏览器无法兼容的问题汇总_ie 浏览器 newdate-程序员宅基地

文章浏览阅读111次。ie无法兼容_ie 浏览器 newdate

想用K8s，还得先会Docker吗？其实完全没必要-程序员宅基地

文章浏览阅读239次。这篇文章把 Docker 和 K8s 的关系给大家做了一个解答，希望还在迟疑自己现有的知识储备能不能直接学 K8s 的，赶紧行动起来，K8s 是典型的入门有点难，后面越用越香。

ADI中文手册获取方法_adi 如何查看数据手册-程序员宅基地

文章浏览阅读561次。ADI中文手册获取方法_adi 如何查看数据手册

React 分页-程序员宅基地

文章浏览阅读1k次，点赞4次，收藏3次。React 获取接口数据实现分页效果以拼多多接口为例实现思路加载前加载动画加载后判断有内容的时候无内容的时候用到的知识点1、动画效果（用在加载前，加载之后就隐藏或关闭，用开关效果即可）2、axios请求3、map渲染页面4、分页插件（antd）代码实现import React, { Component } from 'react';//引入axiosimport axios from 'axios';//引入antd插件import { Pagination }_react 分页

随便推点

关于使用CryPtopp库进行RSA签名与验签的一些说明_cryptopp 签名-程序员宅基地

文章浏览阅读449次，点赞9次，收藏7次。这个变量与验签过程中的SignatureVerificationFilter::PUT_MESSAGE这个宏是对应的，SignatureVerificationFilter::PUT_MESSAGE，如果在签名过程中putMessage设置为true，则在验签过程中需要添加SignatureVerificationFilter::PUT_MESSAGE。项目中使用到了CryPtopp库进行RSA签名与验签，但是在使用过程中反复提示无效的数字签名。否则就会出现文章开头出现的数字签名无效。_cryptopp 签名