Introduction
Ce document décrit comment utiliser la fonction de capture de paquets du point d'accès (AP).
Informations générales
La fonctionnalité de capture de paquets AP vous permet d'effectuer des captures de paquets en direct avec peu d'effort. Lorsque la fonctionnalité est activée, une copie de tous les paquets et trames sans fil spécifiés envoyés et reçus de/vers des points d'accès à partir/vers une adresse MAC sans fil spécifique en direct est transférée vers un serveur FTP (File Transfer Protocol), où vous pouvez la télécharger en tant que fichier .pcap et l'ouvrir avec votre outil d'analyse de paquets préféré.
Une fois la capture de paquets démarrée, l'AP auquel le client est associé, crée un nouveau fichier .pcap sur le serveur FTP (assurez-vous que le nom d'utilisateur spécifié pour la connexion FTP a des droits d'écriture). Si le client se déplace, le nouveau point d'accès crée un nouveau fichier .pcap sur le serveur FTP. Si le client se déplace entre les SSID (Service Set Identifiers), le point d'accès conserve la capture de paquets en vie afin que vous puissiez voir toutes les trames de gestion lorsque le client s'associe au nouveau SSID.
Si vous effectuez la capture sur un SSID ouvert (pas de sécurité), vous pouvez voir le contenu des paquets de données, mais si le client est associé à un SSID sécurisé (un SSID protégé par mot de passe ou une sécurité 802.1x), la partie données des paquets de données est chiffrée et ne peut pas être vue en texte clair.
Fonctionnalité disponible uniquement pour les AP IOS (comme AP 3702).
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Accès à l'interface de ligne de commande (CLI) ou à l'interface utilisateur graphique (GUI) aux contrôleurs sans fil.
- Serveur FTP
- fichiers .pcap
Components Used
- 9800 WLC v16.10
- AP 3700
- Serveur FTP
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
Diagramme du réseau

Configurations
Avant la configuration, vérifiez quels sont les points d'accès auxquels le client sans fil peut se connecter.
Étape 1. Vérifiez la balise de site actuelle associée aux points d'accès que le client sans fil peut utiliser pour se connecter.
IUG:
Accédez à Configuration > Wireless > Access Points

CLI :
# show ap tag summary | inc 3702-02
3702-02 f07f.06e1.9ea0 default-site-tag default-policy-tag default-rf-tag No Default
Étape 2. Vérifier le profil de jointure AP associé à cette balise de site
IUG:
Accédez à Configuration > Balises et profils > Balises > Site > Nom de l'étiquette du site

Prenez note du profil de jointure AP associé

CLI :
# show wireless tag site detailed default-site-tag
Site Tag Name : default-site-tag
Description : default site tag
----------------------------------------
AP Profile : default-ap-profile
Local-site : Yes
Image Download Profile: default-me-image-download-profile
Étape 3. Ajouter les paramètres de capture de paquets sur le profil de jointure AP
IUG:
Naviguez jusqu’à Configuration > Tags & Profiles > AP Join > AP Join Profile Name > AP > Packet Capture et ajoutez un nouveau profil AP Packet Capture.

Sélectionnez un nom pour le profil de capture de paquets, entrez les détails du serveur FTP auquel les points d'accès envoient la capture de paquets. Veillez également à sélectionner le type de paquets à surveiller.
Taille de la mémoire tampon = 1 024-4 096
Durée = 1-60


Une fois le profil Capture enregistré, cliquez sur Mettre à jour et appliquer au périphérique.

CLI :
# config t
# wireless profile ap packet-capture Capture-all
# classifier arp
# classifier broadcast
# classifier data
# classifier dot1x
# classifier iapp
# classifier ip
# classifier tcp
# ftp password 0 backup
# ftp path /home/backup
# ftp serverip 172.16.0.6
# ftp username backup
# exit
# ap profile default-ap-profile
# packet-capture Capture-all
# end
# show wireless profile ap packet-capture detailed Capture-all
Profile Name : Capture-all
Description :
---------------------------------------------------
Buffer Size : 2048 KB
Capture Duration : 10 Minutes
Truncate Length : packet length
FTP Server IP : 172.16.0.6
FTP path : /home/backup
FTP Username : backup
Packet Classifiers
802.11 Control : Enabled
802.11 Mgmt : Enabled
802.11 Data : Enabled
Dot1x : Enabled
ARP : Enabled
IAPP : Enabled
IP : Enabled
TCP : Enabled
TCP port : all
UDP : Disabled
UDP port : all
Broadcast : Enabled
Multicast : Disabled
Étape 4. Assurez-vous que le client sans fil que vous voulez surveiller est déjà associé à l'un des SSID et à l'un des points d'accès qui a attribué la balise où le profil de jointure AP avec les paramètres de capture de paquets a été attribué, sinon la capture ne peut pas être démarrée.
Conseil : si vous souhaitez résoudre le problème de connexion d'un client à un SSID, vous pouvez vous connecter à un SSID qui fonctionne correctement, puis se déplacer vers le SSID défaillant, la capture suit le client et capture toute son activité.
IUG:
Accédez à Surveillance > Sans fil > Clients

CLI :
# show wireless client summary | inc e4b3.187c.3058
e4b3.187c.3058 3702-02 3 Run 11ac
Étape 5. Démarrer la capture
IUG:
Accédez à Dépannage > Capture de paquets AP

Entrez l'adresse MAC du client à surveiller et sélectionnez le mode Capture. Auto signifie que chaque point d'accès auquel le client sans fil se connecte crée automatiquement un nouveau fichier .pcap. Static vous permet de choisir un point d'accès spécifique pour surveiller le client sans fil.
Commencez la capture par Démarrer.

Vous pouvez ensuite voir l'état actuel de la capture :

CLI :
# ap packet-capture start <E4B3.187C.3058> auto
Étape 6. Arrêter la capture
Une fois que le comportement souhaité a été capturé, arrêtez la capture soit par l'interface utilisateur graphique soit par l'interface de ligne de commande :
IUG:


CLI :
# ap packet-capture stop <E4B3.187C.3058> all
Étape 7. Collecter le fichier .pcap à partir du serveur FTP
Vous devez trouver un fichier portant le nom <ap-name><9800-wlc-name>-<##-file><day><mois><année>_<heure><minute><seconde>.pcap

Étape 8. Vous pouvez ouvrir le fichier à l'aide de l'outil d'analyse de paquets de votre choix.

Vérification
Vous pouvez utiliser ces commandes pour vérifier la configuration de la fonction de capture de paquets.
# show ap status packet-capture
Number of Clients with packet capture started : 1
Client MAC Duration(secs) Site tag name Capture Mode
-------------------------------------------------------------------------
e4b3.187c.3058 600 default-site-tag auto
# show ap status packet-capture detailed e4b3.187c.3058
Client MAC Address : e4b3.187c.3058
Packet Capture Mode : auto
Capture Duration : 600 seconds
Packet Capture Site : default-site-tag
Access Points with status
AP Name AP MAC Addr Status
----------------------------------------------------
APf07f.06e1.9ea0 f07f.06ee.f590 Started
Dépannage
Vous pouvez suivre les étapes suivantes pour dépanner cette fonctionnalité :
Étape 1. Activer la condition de débogage
# set platform software trace wireless chassis active R0 wncmgrd all-modules debug
Étape 2. Reproduire le comportement
Étape 3. Vérifier l'heure du contrôleur actuel pour pouvoir suivre les journaux dans le temps
# show clock
Étape 4. Collecter les journaux
# show logging process wncmgrd internal | inc ap-packet-capture
Étape 5. Réglez la condition des journaux sur les valeurs par défaut.
# set platform software trace wireless chassis active R0 wncmgrd all-modules notice
Remarque : il est très important qu'après une session de dépannage, vous régliez les niveaux de journalisation afin d'éviter la génération de journaux inutiles.