W tym odcinku opowiadam, dlaczego znikają punkty dostępowe Aruba w trybie IAP z systemu zarządzania.
Dotknięte tym problemem są użytkownicy Aruba Airwave, Aruba Central oraz Aruba Activate.
Więcej miejsc do posłuchania:
Transkrypcja filmu:
Cześć, witam Cię w dzisiejszym odcinku! Dzisiaj będzie na temat znikających punktów dostępowych
Aruby z systemami zarządzania.
znikające IAP Aruba
Konkretnie chodzi o systemy zarządzania typu AirWave, Central i
Activate. A jeżeli chodzi o punkty dostępowe, to chodzi przede wszystkim o problem dotyczący IAP, czyli
punktów dostępowych pracujących w lokalnym klastrze, gdzie jednym z kontrolerów jest punkt
dostępowy. Na czym polega problem Problem polega na utracie komunikacji punktów dostępowych w
trybie IAP z systemami zarządzania. Dlaczego się tak dzieje Stało się to widoczne 7 lutego 2020 roku,
ponieważ właśnie tego dnia wygasł jeden z certyfikatów, który był związany z tym urzędem Verisign. W
normalnej sytuacji wygaśnięcie tego certyfikatu, o ile pojawił się już jego nowy odpowiednik i jest ważny,
nie powinien wpływać na komunikację pomiędzy punktem dostępowym a systemem zarządzania. Tutaj,
w tym przypadku, okazało się, że jest błąd w oprogramowaniu IAP’ów, który powoduje nieprawidłową
reakcję tego punktu dostępowego na takie zdarzenie. W konsekwencji punkt dostępowy przestaje ufać
połączeniu z Aruba Central, z Aruba Activate i przestaje ufać połączeniu z Aruba AirWave. Efekt dla
użytkownika tych urządzeń jest taki, że administrator przestaje widzieć w systemie zarządzania punkty
dostępowe, które pracują w trybie IAP. Dobra wiadomość jest taka, że nie oznacza to zatrzymania pracy
tych punktów dostępowych, czyli użytkownicy w tych lokalizacjach, gdzie pracują te klastry, nadal
funkcjonują, mają swój dostęp pracowniczy. Jeżeli jest tam dostęp gościnny, to również on jest
realizowany. To co nie działa, to przede wszystkim komunikacja monitorująca możliwość konfiguracji z
centralnego systemu zarządzania wszystkich klastrów. Jeżeli taka sytuacja nastąpi, to oczywiście
przełącza się ten klaster, który traci możliwość komunikacji z nadrzędnym systemem zarządzania,
przełącza się w tryb administracji lokalnej. I można oczywiście tym klastrem w ten sposób zarządzać.
Wyobraź sobie jednak, że wielu klientów, których znam, ma taką sytuację, że tych klastrów w swojej sieci
ogólnopolskiej, a czasem i globalnej, ma kilkanaście, kilkadziesiąt, nawet kilkaset. Sytuacja staje się
trudna z punktu widzenia zarządzania zmianą konfiguracji czy aktualizacją oprogramowania. Których
wersji oprogramowania to dotyczy Praktycznie dotyczy to wszystkich punktów dostępowych IAP w
oprogramowaniu, które było dostępne przed 7 lutego 2020. We wszystkich liniach oprogramowania
zostało to już poprawione, w związku z tym wystarczy, żeby ten błąd poprawić, zaktualizować
oprogramowanie danego klastra Access Point’ów. Tutaj jest ważna rzecz, którą warto sprawdzić. Nie
wszystkim administratorom te punkty dostępowe już zniknęły, mimo że to oprogramowanie, które działa
na punktach dostępowych, posiada ten błąd. Dlaczego Dlatego, że jeżeli to zestawienie połączenia z
AirWave, z Central, jest cały czas utrzymywane, czyli nie było restartu systemu zarządzania, nie było
problemu z połączeniem sieciowym pomiędzy systemem zarządzania a punktami dostępowymi, to ten
problem się nie ujawni, jeżeli to połączenie zostało zestawione przed 7 lutego. Więc jeżeli masz taką
sytuację, możesz wykorzystać jeszcze ten aktualny swój stan do tego, żeby zaktualizować, np. z
AirWave, system oprogramowania na IAP’ach, tak żeby ten problem nie wystąpił, jeżeli połączenie z
AirWave, z Central się z jakiegoś powodu przerwie czy też będzie konieczny np. restart systemu
zarządzania. Jeżeli to zrobisz przed tym momentem, nie będziesz miał kłopotu w skali wielu lokalizacji.
Jeżeli jednak taka sytuacja już Ci się przydarzyła i już nie widzisz tych punktów dostępowych w systemie
zarządzania, no to jest oczywiście kilka kroków, które pomogą rozwiązać w sposób możliwie bezbolesny
tego typu kłopot. Pokażę go w kolejnym odcinku ze względu na to, że przygotuję po prostu taki przykład,
jak wygląda klaster, który może mieć to starsze oprogramowanie i już utracił komunikację z systemem
zarządzania. Pokażę, jak można zaktualizować to oprogramowanie – zachęcam do śledzenia. W
kolejnym odcinku pokażę dokładnie, jak można to zrobić, czyli z migrować ze starego oprogramowania
do nowszego. Co w przypadku, jeżeli masz punkty dostępowe, które już nie są wspierane Tutaj niestety
ten problem nie zostanie poprawiony, ponieważ oprogramowanie dla punktów dostępowych
niewspieranych już nie jest aktualizowane, a w związku z tym niestety pozostaje tylko zarządzanie
lokalne. Nie dotyczy ten problem sytuacji, jeżeli masz instalację opartą o kontrolery bezprzewodowe
Aruby i punkty dostępowe – czyli oprogramowanie na kontrolery i na punkty dostępowe dla kontrolerów
nie zawiera tego problemu i nie tracimy komunikacji z punktu widzenia zarządzania pomiędzy punktem
dostępowym a AirWave czy Central. Tu oczywiście mała uwaga jeżeli chodzi o typ kontrolerowy w
Central, mamy bardzo ograniczone możliwości konfigurowania czy zmiany konfiguracji na kontrolerach,
jest tam tylko poziom związany bezpośrednio z fizycznymi portami LAN’owymi na kontrolerach, więc
tego typu problem tam nie występuje, bo w inny sposób zarządza się całą konfiguracją sieci
bezprzewodowej w oparciu o kontrolery Aruby. Co w przypadku jeżeli mówimy o nowych punktach
dostępowych Czyli kupujemy nowy punkt dostępowy, on ma starszą wersję oprogramowania, czyli taką,
która posiada ten błąd – jak to jest rozwiązywane Więc, jeżeli mamy taką sytuację, że nowy punkt
dostępowy jest instalowany w lokalizacji, ale ta lokalizacja ma możliwość komunikowania się z Activate,
to ten punkt dostępowy łącząc się z Activate od razu zostanie wyposażony, czyli zostanie mu wysłana
wiadomość uaktualnij swoje oprogramowanie do najwyższej wersji, która jest pozbawiona tego błędu.
Ciekawostką jest fakt, że ten punkt dostępowy nie może się połączyć w sposób szyfrowany z Activate,
ponieważ ten problem w oprogramowaniu powoduje, że nie ma możliwości zestawienia szyfrowanego
połączenia z Activate i na ten właśnie scenariusz Aruba daje możliwość komunikacji od strony punktu
dostępowego w trybie IAP do Activate po porcie 80-tym, czyli w sposób nieszyfrowany. Pamiętać jedynie
trzeba o tym, że taka komunikacja powinna być dopuszczona, jeżeli chcemy zrealizować tego typu
scenariusz, czyli żeby punkt dostępowy z lokalizacji mógł się po porcie 80-tym dostać do Activate – wtedy
automatycznie się zaktualizuje. Co w przypadku, jeżeli mamy klaster tych punktów dostępowych, a
klaster składa się z różnych modeli Miałem ostatnio rozmowę właśnie, pozdrawiam tu Marcina, który ma
w swojej sieci różne punkty dostępowe, ponieważ jeżeli popatrzymy sobie jak szybko modele punktów
dostępowych migrują, to to jest relatywnie krótki okres, rzędu 2-3 lat, więc jeżeli klient posiada dany
zestaw punktów dostępowych w swoim klastrze i chce dokupić nowe punkty dostępowe, to się często
może okazać, że po prostu nie ma już możliwości dokupienia punktów dostępowych starszych. W
związku z tym zostaje opcja kupienia punktów dostępowych aktualnie dostępnych, ale oznacza to że
łączymy w danym klastrze punkty dostępowe różnych modeli. I teraz, jeżeli popatrzymy sobie na
oprogramowanie, które jest dla różnych modeli – to są inne pliki. Czyli dla modelu 205 jest inny plik, dla
modelu 305 ten plik będzie inny dla tej samej wersji oprogramowania. Co jest oczywiście
rekomendowane w takie sytuacji. Mamy możliwość, i to pokażę w przyszłym odcinku, zaktualizowania
takiego klastra podając poszczególne linki do oprogramowania dla danych modeli, które są w danym
klastrze, ale również zalecane jest, w miarę możliwości, trzymanie się jednego modelu punktu
dostępowego dla danego klastra. Czyli jeżeli brakuje nam już tych punktów dostępowych nowych do
rozbudowy danego klastra, no to opcje mamy dwie. Albo myślimy o tym, żeby zmigrować starszy model
punktów dostępowych z innego klastra do naszego, który chcemy rozbudować o starsze punkty
dostępowe, a ten nowy budujemy już w oparciu o nowe modele. Wersja B – możemy rozpatrzyć
podłączenie kontrolera bezprzewodowego do punktów dostępowych, które do tej pory pracowały w
klastrze. Obie wersje dają nam więcej elastyczności przy upgrade’ach takiego modelu i przy sytuacji, o
której dzisiaj rozmawiamy również jest nam łatwiej.
Na dzisiaj to tyle. Jeżeli masz jakieś pytania co do
tego zagadnienia, to oczywiście napisz w komentarzu. Jeżeli będą jakieś jeszcze elementy, które Was
interesują, a ich nie poruszyłem, to postaram się na nie odpowiedzieć w kolejnym odcinku. Także do
zobaczenia i do usłyszenia w kolejnym odcinku.
%MCEPASTEBIN%
