這是一個救火的案子，前陣子釋出個資安漏洞消息，如果要解決漏洞，需要將控制器版本升至8.10.0.5以上，而我那漏洞消息公佈的前一陣子，也做了不少升級到8.10.0.5版本，所以漏洞發佈後，我其實沒做升級的。

那陣子，也不少把控制器升級到8.10.0.6版本，不過都沒有發生啥異常。如果說升級就會導致某型號完全不能用，那肯定是個大事件，OS發表前早就該被測出了，發表後公測也早該被測出了，畢竟8.10.0.6發佈到這次客戶升級控制器也過了快一個月，因此我推測是個案，但也無法驗證是不是通例。

基於救火，就教客戶重置AP，再從IAP網頁管理介面去轉換。原負責同事是這麼想得，但是失敗了。

跳出錯誤訊息「圖像驗證失敗…」，我就知道是使用機器中翻英，原本英文詞是「image」，也就是我們常說的韌體。

從log可以看出來，從客戶的Aruba7205 8.10.0.6版本下載的OS，是無法通過驗證的。要怎麽知道檔案有沒有被篡改？有些下載網站會提供檔案的HASH值，像是以SHA去HASH整個檔案得出來的值，只要檔案被改一個bit，產出的HASH值就完全不同，只要將下載來的檔案比對網站上提供的HASH值，若一樣就代表可信任，如果不一樣就要當心了！

因此，我覺得問題是出在控制器的apimages中。

身為Aruba 4個P的我，因此又更深掘那些電子書跟討論都不會寫的基礎運作。

如果AP要被納管的話，AP使用的image是從控制器身上下載的。而且「檢查版本，下載iamge」這個步驟是AP被納管過程中第一次重開機部分，也就是最優先檢查的部分。如果AP的OS跟控制器的OS版本不一致，AP就會從控制器上下載OS，如此一來達到AP會主動跟控制器版本對齊。

AP在同版本不同型號的控制器上切換，是不需要重新下載OS的。實測也證實，AP沒有再重新下載OS。

藉此，我去比較客戶的Aruba7205跟其他的VMC或是70xx系列的AP image，發現客戶出問題的apimage跟VMC與70xx系列同AP型號的apimage是不同大小的，而VMC與70xx系列的apimage是相同大小的，所以是客戶控制器中的apimage有問題，這也跟AP的Log對得上。如果是實體控制器，可使用「dir flash」去檢查apimages內的檔案大小。

解決狀況遠比找出造成狀況的原因還重要。

接下來就要知道，到底AP去檢查跟控制器版本時，條件是以檢查apimage檔案大小一致？還是檢查版本訊息一致？

「我只是想知道解決方法可不可行。」我拿到一顆504測試，因為都是用同樣的image所以可以替代。

答案是，檢查版本訊息一致即可。

所以幫AP刷正常的韌體，就能讓AP正常被客戶的控制器納管。然而幫AP刷IAP韌體是新手境界，而刷成Thin AP韌體就是高手境界，想刷，要先有個Thin AP的韌體，這沒有放在ASP可供下載呢。

想想之後，我覺得大概只有我出馬才能解決了。

在公司使用AP-504測試可以過，方法就是讓AP先刷到正常的AOS 8.10.0.6，接著再去跟客戶的控制器報到，避免AP更新錯誤的image，避免image檢驗失敗而失聯。

到客戶端，很快，我就讓五顆505，能被控制器控管，提供正常穩定的無線服務。然後發現565也是同樣的image，只是這一段就快不起了😂。