A Cisco publicou um alerta técnico importante para ambientes com Access Points Wi-Fi 6 e 6E (C9124, C9130, C9136I,CW9162I,CW9163E-A, CW9164I-A, CW9166D1-A, IW9167EH, IW9167) executando Cisco IOS XE 17.12.4, 17.12.5, 17.12.6 ou 17.12.6a. O problema envolve crescimento contínuo de logs internos que pode impedir downloads de novas imagens e pacotes APSP, além de provocar falhas graves durante upgrades.
O tema exige atenção imediata das equipes de rede. Embora o problema esteja ligado a armazenamento local, o impacto aparece justamente quando a organização precisa atualizar os APs.
Entendendo o defeito: crescimento do cnssdaemon.log
Três bugs relacionados descrevem a raiz do problema:
-
CSCwf37271 — cnssdaemon.log preenche a partição flash e impede upgrades
-
CSCws70285 — necessidade de limpeza do arquivo cnssdaemon.log
-
CSCwf25731 — arquivo cresce após cada reboot sem limpeza
O comportamento ocorre devido a uma atualização de biblioteca introduzida no IOS XE 17.12.4. Essa mudança faz com que o AP gere continuamente um arquivo chamado cnssdaemon.log na memória flash.
Esse arquivo cresce cerca de 5 MB por dia. Além disso, ele aumenta aproximadamente 8 KB a cada reinicialização. Como não pode ser removido pela CLI do AP, o consumo de armazenamento se torna cumulativo.
Com o tempo, esse arquivo ocupa grande parte do espaço disponível na partição flash. Consequentemente, a probabilidade de falha durante download de firmware aumenta diariamente.
Portanto, quanto mais tempo o AP permanecer nessas versões, maior o risco de falha de upgrade.
Por que o upgrade começa a falhar
Os APs Catalyst utilizam duas partições de boot: part1 e part2. Durante upgrades, o novo software é instalado na partição inativa.
O problema aparece quando a partição destino contém o arquivo de log crescente. Se o espaço livre for insuficiente, o processo de upgrade não consegue completar a instalação.
Isso gera falhas típicas de falta de espaço, como:
-
“No space left on device” durante o upgrade
-
Erros de sincronização de logs
-
Falha do script capwap-upgrade
-
Falhas de verificação de assinatura de imagem
Em cenários mais graves, o AP pode entrar em bootloop após a tentativa de upgrade. Esse comportamento aumenta significativamente o impacto operacional.
Além disso, a recuperação pode exigir procedimentos manuais ou suporte do TAC.
Quando os dispositivos são afetados
O problema afeta APs que executam ou já executaram versões IOS XE 17.12.4 até 17.12.6a. O risco permanece mesmo após upgrades posteriores, pois o arquivo continua armazenado na flash.
Existe uma exceção importante. A série Cisco Catalyst IW9167 Heavy Duty operando com software Unified Industrial Wireless em modos URWB ou WGB não sofre impacto direto. Porém, o dispositivo pode ser afetado se já tiver operado em modo AP com software impactado.
Portanto, a análise deve considerar o histórico de operação do equipamento.
A importância dos upgrade prechecks
A Cisco recomenda fortemente a execução de verificações pré-upgrade antes de qualquer atualização. Essa etapa reduz o risco de falhas e evita indisponibilidades inesperadas.
Além disso, os prechecks devem ocorrer até 48 horas antes da janela de manutenção. Como o arquivo cresce diariamente, verificações antigas podem gerar resultados imprecisos.
Verificação automatizada com WLANPoller
A Cisco disponibiliza a ferramenta WLANPoller para automatizar validações em múltiplos APs. A solução executa comandos, coleta saídas e analisa o estado dos dispositivos.
Se algum AP exigir recuperação, a ferramenta recomenda o melhor caminho. Portanto, essa abordagem reduz esforço manual e melhora a consistência das verificações.
Procedimento manual de validação
Ambientes sem automação podem executar verificações diretamente via CLI do AP.
Os comandos principais são:
-
show boot → identifica a partição ativa
-
show filesystems → verifica espaço disponível em part2
-
show flash | in cnss → exibe o tamanho do cnssdaemon.log
-
show image integrity → valida integridade das imagens
O ponto crítico envolve a partição ativa.
Se part1 estiver ativa, o upgrade tentará instalar a nova imagem em part2. Como o arquivo de log reside nessa partição, o risco de falha aumenta.
Se part2 possuir menos de 85 MB livres, o upgrade provavelmente falhará.
Por outro lado, se part2 estiver ativa, a instalação ocorrerá em part1. Nesse cenário, a atualização tende a ocorrer com sucesso.
Essa análise simples evita tentativas de upgrade com alta probabilidade de falha.
Sintomas após tentativa de upgrade sem precheck
Quando o upgrade ocorre sem validação prévia, os APs podem apresentar erros críticos. Os logs normalmente exibem mensagens relacionadas à falta de espaço.
Entre os sintomas mais comuns:
-
Falha ao abrir arquivos temporários
-
Espaço insuficiente para syslogs
-
Falha no processo de predownload
-
Erros de verificação de assinatura de imagem
Em casos extremos, o AP entra em bootloop. Esse cenário exige recuperação manual ou automação com ferramentas como WLANPoller e RADkit.
Consequentemente, o tempo de indisponibilidade pode aumentar significativamente.
Estratégia recomendada pela Cisco
Para garantir upgrades bem-sucedidos, a Cisco recomenda:
-
Executar prechecks próximos à janela de manutenção
-
Utilizar WLANPoller para validação automatizada
-
Seguir procedimentos de recuperação quando necessário
-
Abrir chamado no TAC se a recuperação manual for indicada
Essa abordagem reduz riscos operacionais e melhora a previsibilidade do processo de atualização.
About The Author
