Introduzione
In questo documento viene descritto come configurare un Access Point (AP) in modalità sniffer su un Catalyst serie 9800 Wireless Controller (9800 WLC).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Configurazione 9800 WLC
- Conoscenze base dello standard 802.11
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- AP 2802
- 9800 WLC Cisco IOS® XE versione 17.3.2a
- Wireshark 3.4.4 o superiore
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Il punto di accesso in modalità sniffer può essere configurato tramite l'interfaccia grafica utente (GUI) o l'interfaccia della riga di comando (CLI). Questo documento descrive anche come raccogliere un pacchetto PCAP (Packet Capture) over the Air (OTA) con l'access point sniffer per risolvere i problemi e analizzare i comportamenti wireless.
Avvertenze
Non utilizzare la funzionalità Sniffer Mode AP se lo switch 9800 è connesso a Cisco Application Centric Infrastructure (ACI) con funzionalità di apprendimento dell'endpoint predefinite. Lo switch 9800 trasmette i pacchetti 802.11 incapsulati da UDP provenienti dall'indirizzo IP in uscita dello switch 9800, ma con l'indirizzo MAC di origine che corrisponde al MAC della radio dell'access point sniffer, con l'opzione low-order nibble impostata su 0x0F. Ciò causa problemi in quanto ACI vede lo stesso indirizzo IP originato da più indirizzi MAC. Vedere l'ID bug Cisco CSCwa45713
.
Configurazione
Elementi da considerare:
- Si consiglia di avvicinare l'access point sniffer al dispositivo di destinazione e all'access point a cui è connesso il dispositivo.
- Accertarsi di conoscere il canale e la larghezza 802.11 utilizzati dal dispositivo client e dall'access point.
Nota: La modalità sniffer non è supportata quando l'interfaccia L3 del controller è WMI (Wireless Management Interface).
Nota: L'access point in modalità sniffer non è supportato su 9800-CL distribuito in un cloud pubblico.
Esempio di rete

Configurazioni
Configurazione dell'access point in modalità sniffer tramite GUI
Passaggio 1. Sull'interfaccia utente del WLC 9800, selezionare Configuration > Wireless > Access Point > All Access Point, come mostrato nell'immagine.

Passaggio 2. Selezionare l'access point da utilizzare in modalità sniffer. Nella scheda General, aggiornare il nome dell'access point, come mostrato nell'immagine.

Passaggio 3. Verificare che Admin Status sia Enabled (Stato amministratore) e modificare AP Mode (Modalità punto di accesso) in Sniffer, come mostrato nell'immagine.

Viene visualizzata una finestra popup con l'avviso successivo:
"Avviso: Se si modifica la modalità, l'access point verrà riavviato. Fare clic su Aggiorna e applica al dispositivo per continuare."
Selezionate OK, come mostrato nell'immagine.

Passaggio 4. Fare clic su Aggiorna e applica alla periferica, come mostrato nell'immagine.

Viene visualizzato un popup per confermare le modifiche e i rimbalzi dell'access point, come mostrato nell'immagine.

Configurazione dell'access point in modalità sniffer tramite CLI
Passaggio 1. Determinare l'access point che si desidera utilizzare come modalità sniffer e selezionare il nome dell'access point.
Passaggio 2. Modificare il nome dell'access point.
Questo comando modifica il nome dell'access point. Dove <AP-name> è il nome corrente del punto di accesso.
carcerva-9k-upg#ap name <AP-name> name 2802-carcerva-sniffer
Passaggio 3. Configurare l'access point in modalità Sniffer.
carcerva-9k-upg#ap name 2802-carcerva-sniffer mode sniffer
Configurazione dell'access point per la scansione di un canale tramite GUI
Passaggio 1. Nell'interfaccia GUI del WLC 9800, selezionare Configuration > Wireless > Access Point (Configurazione > Wireless > Punti di accesso).
Passaggio 2. Nella pagina Access Point, visualizzare l'elenco dei menu delle radio da 5 GHz o da 2,4 GHz. Dipende dal canale che si desidera digitalizzare, come mostrato nell'immagine.

Passaggio 2. Cercare nell'access point. Fare clic sul pulsante freccia giù per visualizzare lo strumento di ricerca, selezionare Contiene dall'elenco a discesa e digitare il nome dell'access point, come mostrato nell'immagine.

Passaggio 3. Selezionare l'access point e selezionare la casella di controllo Abilita sniffer in Configurazione > Assegnazione canale sniffer, come mostrato nell'immagine.

Passaggio 4. Selezionare il canale dall'elenco a discesa Canale sniffer e digitare l'indirizzo IP dello sniffer (indirizzo IP del server con Wireshark), come mostrato nell'immagine.

Passaggio 5. Selezionare la larghezza del canale utilizzata dal dispositivo di destinazione e dall'access point quando collegato.
Per configurare questa funzione, selezionare Configure > RF Channel Assignment, come mostrato nell'immagine.

Configurazione dell'access point per la scansione di un canale tramite CLI
Passaggio 1. Abilitare la funzione di sniffatura del canale sull'access point. Eseguire questo comando:
carcerva-9k-upg#ap name <ap-name> sniff {dot11a for 5GHz | dot11bfor 2.4GHz | dual-band}
Esempio:
carcerva-9k-upg#ap name 2802-carcerva-sniffer sniff dot11a 36 172.16.0.190
Configurazione di Wireshark per la raccolta dell'acquisizione del pacchetto
Passaggio 1. Avviare Wireshark.
Passaggio 2. Selezionare l'icona del menu Capture options da Wireshark, come mostrato nell'immagine.

Passaggio 3. Questa azione visualizza una finestra popup. Selezionare Wired Interface dall'elenco come origine della cattura, come mostrato nell'immagine.

Passaggio 4. Sotto il filtro di acquisizione per le interfacce selezionate: nella casella campo, digitare udp port 5555, come mostrato nell'immagine.

Passaggio 5. Fare clic su Start, come mostrato nell'immagine.

Passaggio 6. Attendere che Wireshark raccolga le informazioni richieste e selezionare il pulsante Stop da Wireshark, come mostrato nell'immagine.

Suggerimento: Se la WLAN utilizza la crittografia, ad esempio la chiave già condivisa (PSK), verificare che l'acquisizione intercetti l'handshake a quattro vie tra l'AP e il client desiderato. Questa operazione può essere eseguita se il PCAP OTA viene avviato prima che il dispositivo sia associato alla WLAN o se il client viene deautenticato e riautenticato durante l'acquisizione.
Passaggio 7. Wireshark non decodifica i pacchetti automaticamente. Per decodificare i pacchetti, selezionare una linea dall'acquisizione, fare clic con il pulsante destro del mouse per visualizzare le opzioni e selezionare Decodifica come..., come mostrato nell'immagine.

Passaggio 8. Viene visualizzata una finestra popup. Selezionare il pulsante aggiungi e aggiungere una nuova voce. Selezionare le opzioni seguenti: Porta UDP da Field, 555 da Value, SIGCOMP da Default e PEEKREMOTE da Current, come mostrato nell'immagine.

Passaggio 9. Fare clic su OK. I pacchetti vengono decodificati e pronti per iniziare l'analisi.
Verifica
Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.
Per verificare che l'access point sia in modalità sniffer dall'interfaccia utente di 9800:
Passaggio 1. Nell'interfaccia utente del WLC 9800, selezionare Configuration > Wireless > Access Point > All Access Point (Configurazione > Wireless > Punti di accesso > Tutti i punti di accesso).
Passaggio 2. Cercare nell'access point. Fare clic sul pulsante freccia giù per visualizzare lo strumento di ricerca. Selezionare Contiene dall'elenco a discesa e digitare il nome dell'access point, come mostrato nell'immagine.

Passaggio 3. Verificare che Admin Status (Stato amministratore) sia selezionato con il segno di spunta in verde e che AP Mode (Modalità AP) sia Sniffer, come mostrato nell'immagine.

Per verificare che l'access point sia in modalità sniffer dalla CLI 9800, eseguire questi comandi:
carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i Administrative
Administrative State : Enabled
carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i AP Mode
AP Mode : Sniffer
carcerva-9k-upg#show ap name 2802-carcerva-sniffer config dot11 5Ghz | i Sniff
AP Mode : Sniffer
Sniffing : Enabled
Sniff Channel : 36
Sniffer IP : 172.16.0.190
Sniffer IP Status : Valid
Radio Mode : Sniffer
Per verificare che i pacchetti siano decodificati su Wireshark, il protocollo passa da UDP a 802.11 e vengono visualizzati i frame del beacon, come mostrato nell'immagine.

Risoluzione dei problemi
Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.
Problema: Wireshark non riceve dati dall'access point.
Soluzione: Il server Wireshark deve essere raggiungibile tramite l'interfaccia di gestione wireless (WMI). Verificare la raggiungibilità tra il server Wireshark e WMI dal WLC.
Informazioni correlate