Konfigurieren des Access Points im Sniffer-Modus auf Catalyst 9800 Wireless Controllern

Einleitung

Dieses Dokument beschreibt die Konfiguration eines Access Points (AP) im Sniffer-Modus auf einem Catalyst 9800 Wireless Controller (9800 WLC). 

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• 9800 WLC-Konfiguration
• Grundkenntnisse im 802.11-Standard

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• AP 2802
• 9800 WLC Cisco IOS® XE Version 17.3.2a
• Wireshark 3.4.4 oder höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Der Access Point kann im Sniffer-Modus über die grafische Benutzeroberfläche (GUI) oder die Befehlszeilenschnittstelle (CLI) konfiguriert werden. In diesem Dokument wird auch beschrieben, wie mit dem Sniffer AP eine Packet Capture (PCAP) Over the Air (OTA) gesammelt wird, um Probleme mit dem Wireless-Verhalten zu beheben und zu analysieren.

Hinweise

Verwenden Sie nicht die Sniffer-Modus-Zugangspunktfunktion, wenn der 9800 mit der Cisco Application Centric Infrastructure (ACI) mit standardmäßigem Endpunkt-Learning verbunden ist.  Der 9800 überträgt seine UDP-gekapselten 802.11-Pakete, die von der Ausgangs-IP-Adresse des 9800 stammen, wobei die Quell-MAC-Adresse jedoch die MAC-Adresse des Sniffer-AP ist, wobei der Nibble-Wert niedriger Ordnung auf 0x0F festgelegt ist.  Dies führt zu Problemen, da die ACI dieselbe IP-Adresse aus mehreren MAC-Adressen bezieht.  Siehe Cisco Bug-ID CSCwa45713 .

Konfigurieren

Wichtige Punkte:

• Es wird empfohlen, den Sniffer-AP in der Nähe des Zielgeräts und des AP zu haben, mit dem dieses Gerät verbunden ist.
• Stellen Sie sicher, dass Sie wissen, welcher 802.11-Kanal und welche Breite vom Client-Gerät und vom Access Point verwendet werden.

Anmerkung: Der Sniffer-Modus wird nicht unterstützt, wenn die L3-Schnittstelle des Controllers die Wireless-Verwaltungsschnittstelle (WMI) ist.

Anmerkung: Der Access Point im Sniffer-Modus wird auf 9800-CLs, die in einer Public Cloud bereitgestellt werden, nicht unterstützt.

Netzwerkdiagramm

Konfigurationen

Konfigurieren des Access Points im Sniffer-Modus über die Benutzeroberfläche

Schritt 1: Navigieren Sie auf der Benutzeroberfläche des 9800 WLC zu Configuration > Wireless > Access Points > All Access Points (Konfiguration > Wireless > Access Points > Alle Access Points), wie im Bild dargestellt.

Schritt 2: Wählen Sie den Access Point aus, der im Sniffer-Modus verwendet werden soll. Aktualisieren Sie auf der Registerkarte Allgemein den Namen des Access Points, wie im Bild dargestellt.

Schritt 3: Überprüfen Sie, ob der Admin-Status aktiviert ist, und ändern Sie den AP-Modus in Sniffer, wie im Bild gezeigt.

Ein Popup-Fenster mit der nächsten Warnmeldung wird angezeigt:

"Warnung: Wenn Sie den AP-Modus ändern, wird der Access Point neu gestartet. Klicken Sie auf "Aktualisieren und auf Gerät anwenden, um fortzufahren".

Wählen Sie OK, wie im Bild dargestellt.

Schritt 4: Klicken Sie auf Aktualisieren und auf Gerät anwenden, wie im Bild dargestellt.

Ein Popup-Fenster wird angezeigt, um die Änderungen zu bestätigen und der Access Point wird zurückgeschleudert, wie im Bild gezeigt.

Konfigurieren des Access Points im Sniffer-Modus über CLI

Schritt 1: Bestimmen Sie den Access Point, der als Sniffer-Modus verwendet werden soll, und geben Sie den Namen des Access Points ein.

Schritt 2: Ändern des AP-Namens.

Mit diesem Befehl wird der AP-Name geändert. Dabei steht <AP-name> für den aktuellen Namen des Access Points.

carcerva-9k-upg#ap name <AP-name> name 2802-carcerva-sniffer

Schritt 3: Konfigurieren Sie den Access Point im Sniffer-Modus.

carcerva-9k-upg#ap name 2802-carcerva-sniffer mode sniffer

Konfigurieren des AP zum Scannen eines Kanals über die GUI

Schritt 1: Navigieren Sie in der GUI des 9800 WLC zu Konfiguration > Wireless > Access Points.

Schritt 2: Zeigen Sie auf der Seite Access Points die Menüliste 5 GHz Radios oder 2,4 GHz Radios an. Dies hängt von dem Kanal ab, der gescannt werden soll, wie im Bild gezeigt.

Schritt 2: Durchsuchen Sie den Access Point. Klicken Sie auf die Pfeil-nach-unten-Schaltfläche, um das Suchtool anzuzeigen, wählen Sie Enthält aus der Dropdown-Liste aus, und geben Sie den AP-Namen ein, wie im Bild dargestellt.

Schritt 3. Wählen Sie den AP und aktivieren Sie das Kontrollkästchen Sniffer aktivieren unter Konfigurieren > Sniffer Channel Assignment, wie im Bild gezeigt.

Schritt 4: Wählen Sie den Channel aus der Sniff Channel Dropdown-Liste aus und geben Sie die Sniffer IP-Adresse (Server IP-Adresse mit Wireshark) ein, wie im Bild dargestellt.

Schritt 5: Wählen Sie die Kanalbreite aus, die das Zielgerät und der Access Point bei der Verbindung verwenden.

Navigieren Sie zu Configure > RF Channel Assignment, um dies zu konfigurieren, wie im Bild gezeigt.

Konfigurieren des AP zum Scannen eines Kanals über die CLI

Schritt 1: Aktivieren Sie den Kanalabgleich auf dem Access Point. Führen Sie diesen Befehl aus:

carcerva-9k-upg#ap name <ap-name> sniff {dot11a for 5GHz | dot11bfor 2.4GHz | dual-band}  

Beispiel:

carcerva-9k-upg#ap name 2802-carcerva-sniffer sniff dot11a 36 172.16.0.190

Konfigurieren von Wireshark zum Erfassen der Paketerfassung

Schritt 1: Starten Sie Wireshark.

Schritt 2: Wählen Sie das Menüsymbol Capture-Optionen in Wireshark aus, wie im Bild dargestellt.

Schritt 3: Diese Aktion zeigt ein Popup-Fenster an. Wählen Sie die kabelgebundene Schnittstelle aus der Liste als Quelle für die Aufzeichnung aus, wie im Bild gezeigt. 

Schritt 4: Führen Sie unter dem Erfassungsfilter für ausgewählte Schnittstellen folgende Schritte durch: field box, geben Sie udp port 555 ein, wie im Bild dargestellt.

Schritt 5. Klicken Sie auf Start, wie in der Abbildung dargestellt.

Schritt 6: Warten Sie, bis Wireshark die erforderlichen Informationen erfasst hat, und wählen Sie die Schaltfläche Stopp in Wireshark aus, wie im Bild gezeigt.

Tipp: Wenn das WLAN eine Verschlüsselung wie PSK (Pre-shared Key) verwendet, stellen Sie sicher, dass bei der Erfassung der Vier-Wege-Handshake zwischen dem WAP und dem gewünschten Client abgefangen wird. Dies ist möglich, wenn die OTA-PCAP vor der Zuordnung des Geräts zum WLAN startet oder der Client bei der Erfassung deauthentifiziert und erneut authentifiziert wird.

Schritt 7: Wireshark decodiert die Pakete nicht automatisch. Um die Pakete zu decodieren, wählen Sie eine Zeile aus der Erfassung, klicken Sie mit der rechten Maustaste, um die Optionen anzuzeigen, und wählen Sie Decode As..., wie im Bild gezeigt.

Schritt 8: Ein Popup-Fenster wird angezeigt. Wählen Sie die Schaltfläche Hinzufügen, und fügen Sie einen neuen Eintrag hinzu. Wählen Sie diese Optionen aus: UDP-Port von Field, 5555 von Value, SIGCOMP von Default und PEEKREMOTE von Current, wie im Bild dargestellt.

Schritt 9: Klicken Sie auf OK. Die Pakete werden decodiert und können mit der Analyse beginnen.

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

So überprüfen Sie, ob sich der AP über die Benutzeroberfläche des 9800 im Sniffer-Modus befindet:

Schritt 1: Navigieren Sie auf der Benutzeroberfläche des 9800 WLC zu Konfiguration > Wireless > Access Points > All Access Points.

Schritt 2: Durchsuchen Sie den Access Point. Klicken Sie auf den Pfeil nach unten, um das Suchwerkzeug anzuzeigen. Wählen Sie Contains aus der Dropdown-Liste aus, und geben Sie den AP-Namen ein, wie im Bild dargestellt.

Schritt 3: Vergewissern Sie sich, dass der Admin-Status mit dem Häkchen in Grün angezeigt wird und dass der AP-Modus Sniffer ist, wie im Bild gezeigt.

Führen Sie die folgenden Befehle aus, um zu überprüfen, ob sich der Access Point im Sniffer-Modus von der 9800 CLI befindet:

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i Administrative
Administrative State : Enabled

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i AP Mode
AP Mode : Sniffer

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config dot11 5Ghz | i Sniff
AP Mode : Sniffer
Sniffing : Enabled
Sniff Channel : 36
Sniffer IP : 172.16.0.190
Sniffer IP Status : Valid
Radio Mode : Sniffer

Um zu bestätigen, dass die Pakete in Wireshark decodiert werden, wechselt das Protokoll von UDP zu 802.11, und Beacon-Frames werden angezeigt, wie im Bild gezeigt.

Fehlerbehebung

In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Problem: Wireshark empfängt keine Daten vom WAP.

Lösung: Der Wireshark-Server muss über die Wireless-Verwaltungsschnittstelle (WMI) erreichbar sein. Bestätigen Sie die Erreichbarkeit zwischen dem Wireshark-Server und dem WMI vom WLC.

Zugehörige Informationen

• Software-Konfigurationsanleitung für Cisco Catalyst Wireless Controller der Serie 9800, Cisco IOS XE Amsterdam 17.3.x - Kapitel: Sniffer-Modus

• Grundlagen von 802.11 Wireless Sniffing
• Technischer Support und Dokumentation für Cisco Systeme