豆子公司的无线系统是思科的WLC和AP，用了大概4年多没升级过软件了。最近总公司扫描漏洞，发了一份警告信给我们 大概是XX IP有若干漏洞等等，其中漏洞最多的就是WLC。 好吧，是时候升级一下了。首先看看当前的AP型号和WLC，找到他们最高兼容的版本，下载之后，就可以准备安装了。

具体步骤

1. 官网下载Code Image，同时准备一个tftp的服务器

2. 登录http和ssh

3. 准备下载安装Code Image

tftp工具上可以看见下载进度

WLC下载之后会自动解压安装，因为我的环境是HA，主控制器完成升级后会自动升级备用控制器。这个步骤会比较花时间，慢慢等

这一步特别费时间

4. 现在我们可以检查一下版本号是否更新了

检查AP的版本，仍然是旧版本

5. pre download image 到 AP上面

这个步骤可做可不做，但是推荐做，因为他可以预先下载好最新的版本到AP上，这样如果有几十上百个AP的话，他们重启之后不需要重新下载新的镜像，可以节约大量宕机的时间

检查一下状态

等个20分钟 应该就都好了

有个别的AP，如果是通过WAN连接管理的，可能没有更新

需要手动地指定这些AP再下载一下就还好啦

最后 所有的AP都准备就绪

6. 交换AP的Primary和Backup镜像

7. 最后准备重启

这里我设置了2分半之后重启HA的两个控制器，重启之前自动备份

15分钟后，测试版本号是否更新

登录看看

9. 测试SSID的登录，验证

豆子配置了4个不同的SSID，他们的authentication和authorization配置的都不太一样。其中一个SSID在升级之后无法登录，经过检查，发现是他的AAA验证是通过Cisco ISE 实现的，其中authrozation里面指定了WLC里面的ACL名字

我把方式改成通过VLAN来判断就OK了

原文地址：http://blog.51cto.com/beanxyz/2072963