Einleitung
In diesem Dokument wird beschrieben, wie Sie einen Access Point (AP) im Sniffer-Modus auf einem Catalyst Wireless Controller der Serie 9800 (9800 WLC) über die grafische Benutzeroberfläche (GUI) oder die Befehlszeilenschnittstelle (CLI) konfigurieren und wie Sie mit dem Sniffer-AP eine PCAP (Packet Capture) Over the Air (OTA) erfassen, um Fehler zu beheben und das Wireless-Verhalten zu analysieren.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- 9800 WLC-Konfiguration
- Grundkenntnisse im 802.11-Standard
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- AP 2802
- 9800 WLC Cisco IOS®-XE Version 17.3.2a
- Wireshark 3.4.4 oder höher
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hinweise
Verwenden Sie nicht die Sniffer-Modus-Zugangspunktfunktion, wenn der 9800 mit der Cisco Application Centric Infrastructure (ACI) mit standardmäßigem Endpunkt-Learning verbunden ist. Der 9800 überträgt seine UDP-gekapselten 802.11-Pakete, die von der IP-Ausgangsadresse des 9800 stammen, wobei die MAC-Quelladresse jedoch die MAC-Adresse des Sniffer-AP ist, wobei der Nibble-Wert niedriger Ordnung auf 0x0F gesetzt ist. Dies führt zu Problemen, da die ACI dieselbe IP-Adresse aus mehreren MAC-Adressen sieht. C-Adressen. Siehe Cisco Bug-ID CSCwa45713 .
Konfigurieren
Wichtige Punkte:
- Es wird empfohlen, den Sniffer-AP in der Nähe des Zielgeräts und des AP zu haben, mit dem dieses Gerät verbunden ist.
- Stellen Sie sicher, dass Sie wissen, welcher 802.11-Kanal und welche Breite vom Client-Gerät und vom Access Point verwendet werden.
Hinweis: Der Sniffer-Modus wird nicht unterstützt, wenn die L3-Schnittstelle des Controllers die Wireless Management Interface (WMI) ist.
Hinweis: Der Access Point wird im Sniffer-Modus nicht von 9800-CL unterstützt, die in einer Public Cloud bereitgestellt werden.
Netzwerkdiagramm
Konfigurationen
Konfigurieren des Access Points im Sniffer-Modus über die Benutzeroberfläche
Schritt 1: Navigieren Sie auf der Benutzeroberfläche des 9800 WLC zu Configuration > Wireless > Access Points > All Access Points (Konfiguration > Wireless > Access Points > Alle Access Points), wie im Bild dargestellt.
Schritt 2: Wählen Sie den AP aus, der im Sniffer-Modus verwendet werden soll. Aktualisieren Sie auf der Registerkarte Allgemein den Namen des Access Points, wie im Bild dargestellt.
Schritt 3: Überprüfen Sie, ob der Admin-Status aktiviert ist, und ändern Sie den AP-Modus in Sniffer, wie im Bild gezeigt.
Ein Popup-Fenster mit der nächsten Warnmeldung wird angezeigt:
"Warnung: Wenn Sie den AP-Modus ändern, wird der AP neu gestartet. Klicken Sie auf "Aktualisieren und auf Gerät anwenden, um fortzufahren".
Wählen Sie OK, wie im Bild dargestellt.
Schritt 4: Klicken Sie auf Aktualisieren und auf Gerät anwenden, wie im Bild gezeigt.
Ein Popup-Fenster wird angezeigt, um die Änderungen zu bestätigen und der Access Point wird zurückgeschleudert, wie im Bild gezeigt.
Konfigurieren des Access Points im Sniffer-Modus über CLI
Schritt 1: Bestimmen Sie den AP, der als Sniffer-Modus verwendet werden soll, und rufen Sie den AP-Namen auf.
Schritt 2: Ändern Sie den Namen des Access Points.
Mit diesem Befehl wird der AP-Name geändert. Dabei steht <AP-name> für den aktuellen Namen des Access Points.
carcerva-9k-upg#ap name <AP-name> name 2802-carcerva-sniffer
Schritt 3: Konfigurieren Sie den Access Point im Sniffer-Modus.
carcerva-9k-upg#ap name 2802-carcerva-sniffer mode sniffer
Konfigurieren des AP zum Scannen eines Kanals über die GUI
Schritt 1: Navigieren Sie in der GUI des 9800 WLC zu Configuration > Wireless > Access Points.
Schritt 2: Zeigen Sie auf der Seite Access Points (Zugangspunkte) die Menüliste 5-GHz-Funkmodule oder 2,4-GHz-Funkmodule an. Dies hängt von dem Kanal ab, der gescannt werden soll, wie im Bild gezeigt.
Schritt 2: Durchsuchen Sie den AP. Klicken Sie auf den Pfeil nach unten, um das Suchtool anzuzeigen, wählen Sie Enthält aus der Dropdown-Liste aus, und geben Sie den AP-Namen ein, wie im Bild dargestellt.
Schritt 3: Wählen Sie den AP aus und aktivieren Sie das Kontrollkästchen Sniffer aktivieren unter Konfigurieren > Sniffer Channel Assignment, wie im Bild gezeigt.
Schritt 4: Wählen Sie den Channel aus der Sniff Channel-Dropdown-Liste aus, und geben Sie die Sniffer IP-Adresse (Server-IP-Adresse mit Wireshark) ein, wie im Bild dargestellt.
Schritt 5: Wählen Sie die Kanalbreite aus, die das Zielgerät und der Access Point bei der Verbindung verwenden.
Navigieren Sie zu Configure > RF Channel Assignment, um dies zu konfigurieren, wie im Bild gezeigt.
Konfigurieren des AP zum Scannen eines Kanals über die CLI
Schritt 1: Aktivieren Sie den Kanalabgleich auf dem Access Point. Führen Sie diesen Befehl aus:
carcerva-9k-upg#ap name <ap-name> sniff {dot11a for 5GHz | dot11bfor 2.4GHz | dual-band} <channel> <Wireshark-server-ip-address>
Beispiel:
carcerva-9k-upg#ap name 2802-carcerva-sniffer sniff dot11a 36 172.16.0.190
Konfigurieren von Wireshark zum Erfassen der Paketerfassung
Schritt 1: Starten Sie Wireshark.
Schritt 2: Wählen Sie das Symbol des Menüs Capture-Optionen in Wireshark aus, wie im Bild dargestellt.
Schritt 3: Diese Aktion zeigt ein Popup-Fenster an. Wählen Sie die kabelgebundene Schnittstelle aus der Liste als Quelle für die Aufzeichnung aus, wie im Bild gezeigt.
Schritt 4: Geben Sie im Feld Capture filter for selected interfaces (Filter für ausgewählte Schnittstellen erfassen) udp port 555 ein, wie im Bild dargestellt.
Schritt 5: Klicken Sie auf Start, wie in der Abbildung dargestellt.
Schritt 6: Warten Sie, bis Wireshark die erforderlichen Informationen erfasst hat, und wählen Sie die Schaltfläche Stopp von Wireshark aus, wie im Bild gezeigt.
Tipp: Wenn das WLAN eine Verschlüsselung wie Pre-shared Key (PSK) verwendet, stellen Sie sicher, dass bei der Erfassung der Vier-Wege-Handshake zwischen dem WAP und dem gewünschten Client abgefangen wird. Dies ist möglich, wenn die OTA-PCAP vor der Zuordnung des Geräts zum WLAN startet oder der Client bei der Erfassung deauthentifiziert und erneut authentifiziert wird.
Schritt 7. Wireshark decodiert die Pakete nicht automatisch. Um die Pakete zu decodieren, wählen Sie eine Zeile aus der Erfassung aus, klicken Sie mit der rechten Maustaste, um die Optionen anzuzeigen, und wählen Sie Decode As..., wie im Bild gezeigt.
Schritt 8: Ein Popup-Fenster wird angezeigt. Wählen Sie die Schaltfläche "Hinzufügen" und fügen Sie einen neuen Eintrag hinzu, wählen Sie diese Optionen aus: UDP-Port aus Feld, 5555 aus Wert, SIGCOMP aus Standard und PEEKREMOTE aus Aktuell, wie im Bild dargestellt.
Schritt 9. Klicken Sie auf OK. Die Pakete werden decodiert und können mit der Analyse beginnen.
Überprüfung
Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
So überprüfen Sie, ob sich der AP über die Benutzeroberfläche des 9800 im Sniffer-Modus befindet:
Schritt 1: Navigieren Sie auf der Benutzeroberfläche des 9800 WLC zu Configuration > Wireless > Access Points > All Access Points.
Schritt 2: Durchsuchen Sie den AP. Klicken Sie auf den Pfeil nach unten, um das Suchtool anzuzeigen, wählen Sie Enthält aus der Dropdown-Liste aus, und geben Sie den Namen des Access Points ein, wie im Bild dargestellt.
Schritt 3: Vergewissern Sie sich, dass das Häkchen Admin-Status grün markiert und der AP-Modus Sniffer ist, wie im Bild gezeigt.
Um zu bestätigen, dass sich der Access Point im Sniffer-Modus von der 9800-CLI befindet. Führen Sie folgende Befehle aus:
carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i Administrative
Administrative State : Enabled
carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i AP Mode
AP Mode : Sniffer
carcerva-9k-upg#show ap name 2802-carcerva-sniffer config dot11 5Ghz | i Sniff
AP Mode : Sniffer
Sniffing : Enabled
Sniff Channel : 36
Sniffer IP : 172.16.0.190
Sniffer IP Status : Valid
Radio Mode : Sniffer
Um zu bestätigen, dass die Pakete in Wireshark decodiert werden. Das Protokoll ändert sich von UDP in 802.11, und es gibt sichtbare Beacon-Frames, wie im Bild gezeigt.
Fehlerbehebung
In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
Problem: Wireshark empfängt keine Daten vom WAP.
Lösung: Der Wireshark-Server muss über die Wireless Management Interface (WMI) erreichbar sein. Bestätigen Sie die Erreichbarkeit zwischen dem Wireshark-Server und dem WMI vom WLC.
Zugehörige Informationen