已解决: 回复： 5508升级到C9800，mGig port

cxpxm119114 · ‎02-25-2022

请问：

1. 现有一套 5508 WLC 带100个AP2802i，已经在提供业务服务，想在尽可能少中断业务的情况下，将5508 WLC升级到C9800，请问主要的步骤和注意事项。C5508是AireOS 8.5.135.0版本。

2. C9800-L-F的mGig 端口要和 C3850-24S交换机相连，好像mGig 端口不兼容 1G 的SFP模块（如：GLC-LH-SMD），请问用C9800-L-F的mGig 端口支持哪些优选的SFP模块？

ilay · ‎02-26-2022

1.前期信息的整理，收集ap的名称、IP、楼层分布情况

2.C9800上架准备，分配新IP地址给C9800,将其接入到网内

3.在C9800上配置SSID、以及相关的Profile信息，保证新上线的AP能正常广播SSID，提供网络接入。

4. 建议在5508上启用AP全局的SSH功能，并下发相应的凭据，C9800也做相应的配置

-保证切换过程个别AP出现异常的情况下可以SSH直接登陆到AP上。

5. 登陆5508，按照替换计划将相应楼层或区域的AP的Primary Controller 更改为C9800的信息，随后等待AP自动注册到新控制器即可（2802注册到9800必定要升级IOS，保守估计单个AP升级注册过程需要10-15分钟左右）

6. 检查AP上线状态，验证SSID是否可以正常连接，配置验证没问题后，按照计划切换下一部分即可

看你的要求是尽可能短的中断时间，所以方案是将C9800使用新IP地址接入到网内，然后与5508配置Mobility，有了Mobility，可以将逐个或者逐块区域升级的影响将到最低。当C9800可以正常工作之后就可以着手升级的操作了，方案里面是在5508上逐台修改AP的primary Controller设置，然后关注修改ap在两台控制器上的注册状态的变动，直至正常注册到C9800即可，相对来说比较繁琐。影响我认为是最小的，而且可以控制，出现问题可以终止操作，将AP再注册回5508即可。

**此外前面的步骤并未考虑你的100台AP与5508的网络连接状况，以及原先注册的方法（静态设置、Option43、dns记录等等）需要考虑新加的9800是否受前面一些设置的影响，完成升级后记得更新相应的设置。**

SFP模块的情况，附1可以查看支持的SFP信息，3850-24S是24个1G的设备，大致有三种情况：

- 3850和C9800均使用GLC-SX-MMD 模块，1G的速率，接两根的话可以配置etherchannel

- 3850使用GLC-TE 以太网模块，连接C9800 mGig接口，也是1G的速率，最多可连接4根

- 3850如果有C3850-NM-2-10G模块可以使用SFP-10G-SR进行连接，这样交换机与WLC之间的速率会高一点

注：C9800上无需创建每个interface，只需创建管理interface，保证所需的vlan存在于wlc上即可

附1：C9800-L-F模块支持（SFPs supported部分）

https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/datasheet-c78-742434.html

个人理解，仅供参考

在原帖中查看解决方案

ilay · ‎02-26-2022

1.前期信息的整理，收集ap的名称、IP、楼层分布情况

2.C9800上架准备，分配新IP地址给C9800,将其接入到网内

3.在C9800上配置SSID、以及相关的Profile信息，保证新上线的AP能正常广播SSID，提供网络接入。

4. 建议在5508上启用AP全局的SSH功能，并下发相应的凭据，C9800也做相应的配置

-保证切换过程个别AP出现异常的情况下可以SSH直接登陆到AP上。

5. 登陆5508，按照替换计划将相应楼层或区域的AP的Primary Controller 更改为C9800的信息，随后等待AP自动注册到新控制器即可（2802注册到9800必定要升级IOS，保守估计单个AP升级注册过程需要10-15分钟左右）

6. 检查AP上线状态，验证SSID是否可以正常连接，配置验证没问题后，按照计划切换下一部分即可

看你的要求是尽可能短的中断时间，所以方案是将C9800使用新IP地址接入到网内，然后与5508配置Mobility，有了Mobility，可以将逐个或者逐块区域升级的影响将到最低。当C9800可以正常工作之后就可以着手升级的操作了，方案里面是在5508上逐台修改AP的primary Controller设置，然后关注修改ap在两台控制器上的注册状态的变动，直至正常注册到C9800即可，相对来说比较繁琐。影响我认为是最小的，而且可以控制，出现问题可以终止操作，将AP再注册回5508即可。

**此外前面的步骤并未考虑你的100台AP与5508的网络连接状况，以及原先注册的方法（静态设置、Option43、dns记录等等）需要考虑新加的9800是否受前面一些设置的影响，完成升级后记得更新相应的设置。**

SFP模块的情况，附1可以查看支持的SFP信息，3850-24S是24个1G的设备，大致有三种情况：

- 3850和C9800均使用GLC-SX-MMD 模块，1G的速率，接两根的话可以配置etherchannel

- 3850使用GLC-TE 以太网模块，连接C9800 mGig接口，也是1G的速率，最多可连接4根

- 3850如果有C3850-NM-2-10G模块可以使用SFP-10G-SR进行连接，这样交换机与WLC之间的速率会高一点

注：C9800上无需创建每个interface，只需创建管理interface，保证所需的vlan存在于wlc上即可

附1：C9800-L-F模块支持（SFPs supported部分）

https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/datasheet-c78-742434.html

个人理解，仅供参考

cxpxm119114 · ‎02-27-2022

谢谢ilay的回复！我是看到文档Cisco Catalyst 9800 Wireless Controller-Aireos IRCM Deployment Guide，谈到事先要将5508（或3504）升级到特定的固件如8.5.164.0 IRCM，然后还有其他的注意点。这是正在计划即将要进行的事项，文档尚待细看，也借此询专家。还有community--https://community.cisco.com/t5/wireless/wlc-config-converter-aireos-ios-xe/td-p/2895495

cxpxm119114 · ‎12-11-2022

我按照上面的步骤做到第5步: ssh到一个AP(这时它join到旧WLC5508的)，我将它的Primary Controller 更改为C9800的信息, 重启AP，但发现它不能join到新控制器，仍然加入到旧WLC5508上。试了多种方法仍加入旧的wlc。

我想问题是不是因为mobility tunnel我未做？我看上面帖子说 “方案是将C9800使用新IP地址接入到网内，然后与5508配置Mobility....”. 想请问这新旧WLC之间要建怎样的mobility tunnel？旧WLC5508用的是vlan 305的IP地址，新WLC 9800用的是vlan 800的IP地址，它们都连到同一个核心交换机上，核心交换上开通了inter-vlan routing，也就是IP可到没问题。

ilay · ‎12-11-2022

你是用的capwap ap controller ip address x.x.x.x的命令改的控制器地址么？这种对于有旧配置的ap不太管用，需要用capwap ap primary-base XXX_WLC 10.1.x.x来修改，show capwap client config可以验证配置

我之前写的第5步是直接在5508上修改配置，不用ssh到ap上，在wlc上点击某一个ap，然后将该ap的ha的primary修改为9800的信息就行了。

额外注意一点，上周五搞了一个3702,准备升级os，注册到5520上面，结果cisco内置的一个MIC正好过期了，导致镜像无法验证过去，升级一直失败。目前不确定是否影响的2802，感觉大概率会有影响，先找台设备测试一下吧。

解决办法，临时禁用ntp，修改新wlc的的时间早于12月4日即可。
*Dec 9 07:39:55.319: Using SHA-2 signed certificate for image signing validation.
*Dec 9 07:39:55.387: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: 4E78A210000000000007) has expired. Validity period ended on 21:43:46 UTC Dec 4 2022
*Dec 9 07:39:55.387: Image signing certificate validation failed (1A).

ref:https://www.cisco.com/c/en/us/support/docs/field-notices/725/fn72524.html

cxpxm119114 · ‎12-11-2022

谢谢@ilay。今天试了2台AP，可以切到新wlc 9800。是用capwap ap primary-base XXX_WLC 10.1.x.x来修改控制器地址的。上次AP reload后仍加入到旧WLC5508上，可能原因是原AP配置的gateway有点乱没指向核心交换，原来5508和AP都在同subnet故网关实际不起作用。

今天迁移了2个AP，NTP问题这里未遇到，我想AP是同一批买的可能没问题。等下一个停产窗口期就全部几十个ap迁移了。

还有一个也是关于从5508到C9800的迁移问题能请问吗：当时计划这个迁移项目时看到有资料提示“To be able to connect to a Cisco Catalyst 9800 Series controller, each access point requires a Cisco DNA subscription license.(you may use offers and migration credits)”--不记得哪里看到的了，于是为5508上的AP AIR-AP2802I-H-K9买了几十个license AIR-DNA-E-5Y。请问如何用这些license？我发现没有使用这些DNA license，这些AP也connect加入到了C9800。

ilay · ‎12-11-2022

license的问题不是太清楚，貌似cat9xxx系列的ap都会默认自带一个-E的dna license，但实际应该没啥作用。ap join到wlc的时候不验证这玩意儿，我之前也尝试用AIROS的ap往9800上注册过，也没啥问题。估计有dna center的时候可能才会用到这个玩意儿。要是你的设备或者license还有效，直接给思科支持打电话，问问他们是个啥情况吧。

cxpxm119114 · ‎12-12-2022

谢谢！客户没意见我OK， ^_^