Configuration de la capture de paquets AP sur les contrôleurs sans fil Catalyst 9800
Contenu
Introduction
Ce document décrit comment utiliser la fonction de capture de paquets du point d'accès (AP).
Informations générales
La fonctionnalité de capture de paquets AP vous permet d'effectuer des captures de paquets en direct avec peu d'effort. Lorsque la fonctionnalité est activée, une copie de tous les paquets et trames sans fil spécifiés envoyés et reçus de/vers des points d'accès à partir/vers une adresse MAC sans fil spécifique en direct est transférée vers un serveur FTP (File Transfer Protocol), où vous pouvez la télécharger en tant que fichier .pcap et l'ouvrir avec votre outil d'analyse de paquets préféré.
Une fois la capture de paquets démarrée, l'AP auquel le client est associé, crée un nouveau fichier .pcap sur le serveur FTP (assurez-vous que le nom d'utilisateur spécifié pour la connexion FTP a des droits d'écriture). Si le client se déplace, le nouveau point d'accès crée un nouveau fichier .pcap sur le serveur FTP. Si le client se déplace entre les SSID (Service Set Identifiers), le point d'accès conserve la capture de paquets en vie afin que vous puissiez voir toutes les trames de gestion lorsque le client s'associe au nouveau SSID.
Si vous effectuez la capture sur un SSID ouvert (pas de sécurité), vous pouvez voir le contenu des paquets de données, mais si le client est associé à un SSID sécurisé (un SSID protégé par mot de passe ou une sécurité 802.1x), la partie données des paquets de données est chiffrée et ne peut pas être vue en texte clair.
Fonctionnalité disponible uniquement pour les AP IOS (comme AP 3702).
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Accès à l'interface de ligne de commande (CLI) ou à l'interface utilisateur graphique (GUI) aux contrôleurs sans fil.
- Serveur FTP
- fichiers .pcap
Components Used
- 9800 WLC v16.10
- AP 3700
- Serveur FTP
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
Diagramme du réseau
Configurations
Avant la configuration, vérifiez quels sont les points d'accès auxquels le client sans fil peut se connecter.
Étape 1. Vérifiez la balise de site actuelle associée aux points d'accès que le client sans fil peut utiliser pour se connecter.
IUG:
Accédez à Configuration > Wireless > Access Points
CLI :
# show ap tag summary | inc 3702-02
3702-02 f07f.06e1.9ea0 default-site-tag default-policy-tag default-rf-tag No Default
Étape 2. Vérifier le profil de jointure AP associé à cette balise de site
IUG:
Accédez à Configuration > Balises et profils > Balises > Site > Nom de l'étiquette du site
Prenez note du profil de jointure AP associé
CLI :
# show wireless tag site detailed default-site-tag
Site Tag Name : default-site-tag
Description : default site tag
----------------------------------------
AP Profile : default-ap-profile
Local-site : Yes
Image Download Profile: default-me-image-download-profile
Étape 3. Ajouter les paramètres de capture de paquets sur le profil de jointure AP
IUG:
Naviguez jusqu’à Configuration > Tags & Profiles > AP Join > AP Join Profile Name > AP > Packet Capture et ajoutez un nouveau profil AP Packet Capture.
Sélectionnez un nom pour le profil de capture de paquets, entrez les détails du serveur FTP auquel les points d'accès envoient la capture de paquets. Veillez également à sélectionner le type de paquets à surveiller.
Taille de la mémoire tampon = 1 024-4 096
Durée = 1-60
Une fois le profil Capture enregistré, cliquez sur Mettre à jour et appliquer au périphérique.
CLI :
# config t # wireless profile ap packet-capture Capture-all # classifier arp # classifier broadcast # classifier data # classifier dot1x # classifier iapp # classifier ip # classifier tcp # ftp password 0 backup # ftp path /home/backup # ftp serverip 172.16.0.6 # ftp username backup # exit # ap profile default-ap-profile # packet-capture Capture-all # end
# show wireless profile ap packet-capture detailed Capture-all Profile Name : Capture-all Description : --------------------------------------------------- Buffer Size : 2048 KB Capture Duration : 10 Minutes Truncate Length : packet length FTP Server IP : 172.16.0.6 FTP path : /home/backup FTP Username : backup Packet Classifiers 802.11 Control : Enabled 802.11 Mgmt : Enabled 802.11 Data : Enabled Dot1x : Enabled ARP : Enabled IAPP : Enabled IP : Enabled TCP : Enabled TCP port : all UDP : Disabled UDP port : all Broadcast : Enabled Multicast : Disabled
Étape 4. Assurez-vous que le client sans fil que vous voulez surveiller est déjà associé à l'un des SSID et à l'un des points d'accès qui a attribué la balise où le profil de jointure AP avec les paramètres de capture de paquets a été attribué, sinon la capture ne peut pas être démarrée.
IUG:
Accédez à Surveillance > Sans fil > Clients
CLI :
# show wireless client summary | inc e4b3.187c.3058
e4b3.187c.3058 3702-02 3 Run 11ac
Étape 5. Démarrer la capture
IUG:
Accédez à Dépannage > Capture de paquets AP
Entrez l'adresse MAC du client à surveiller et sélectionnez le mode Capture. Auto signifie que chaque point d'accès auquel le client sans fil se connecte crée automatiquement un nouveau fichier .pcap. Static vous permet de choisir un point d'accès spécifique pour surveiller le client sans fil.
Commencez la capture par Démarrer.
Vous pouvez ensuite voir l'état actuel de la capture :
CLI :
# ap packet-capture start <E4B3.187C.3058> auto
Étape 6. Arrêter la capture
Une fois que le comportement souhaité a été capturé, arrêtez la capture soit par l'interface utilisateur graphique soit par l'interface de ligne de commande :
IUG:
CLI :
# ap packet-capture stop <E4B3.187C.3058> all
Étape 7. Collecter le fichier .pcap à partir du serveur FTP
Vous devez trouver un fichier portant le nom <ap-name><9800-wlc-name>-<##-file><day><mois><année>_<heure><minute><seconde>.pcap
Étape 8. Vous pouvez ouvrir le fichier à l'aide de l'outil d'analyse de paquets de votre choix.
Vérification
Vous pouvez utiliser ces commandes pour vérifier la configuration de la fonction de capture de paquets.
# show ap status packet-capture Number of Clients with packet capture started : 1 Client MAC Duration(secs) Site tag name Capture Mode ------------------------------------------------------------------------- e4b3.187c.3058 600 default-site-tag auto
# show ap status packet-capture detailed e4b3.187c.3058 Client MAC Address : e4b3.187c.3058 Packet Capture Mode : auto Capture Duration : 600 seconds Packet Capture Site : default-site-tag Access Points with status AP Name AP MAC Addr Status ---------------------------------------------------- APf07f.06e1.9ea0 f07f.06ee.f590 Started
Dépannage
Vous pouvez suivre les étapes suivantes pour dépanner cette fonctionnalité :
Étape 1. Activer la condition de débogage
# set platform software trace wireless chassis active R0 wncmgrd all-modules debug
Étape 2. Reproduire le comportement
Étape 3. Vérifier l'heure du contrôleur actuel pour pouvoir suivre les journaux dans le temps
# show clock
Étape 4. Collecter les journaux
# show logging process wncmgrd internal | inc ap-packet-capture
Étape 5. Réglez la condition des journaux sur les valeurs par défaut.
# set platform software trace wireless chassis active R0 wncmgrd all-modules notice
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)