Unified Wireless Network の不正な管理

ダウンロードオプション

PDF (1.4 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (1.1 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (1.1 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2019 年 8 月 21 日

Document ID:112045

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

概要

この資料は不正な検出および軽減無線ネットワークで情報を on Cisco 提供したものです。

ワイヤレスネットワークを導入すると有線ネットワークが拡張され、作業者の生産性が向上し、情報へのアクセスが拡大します。ただし、認証されていないワイヤレスネットワークを追加すると、セキュリティの懸念が高まります。有線ネットワークではポートのセキュリティにあまり注意が向けられていませんが、ワイヤレスネットワークもその延長上で考えられがちです。そのため、セキュリティでしっかりと保護されているワイヤレスまたは有線のインフラストラクチャに、従業員が各自のアクセスポイント（シスコまたはシスコ以外）を持ち込むと、せっかくセキュリティで保護されているネットワークに対して不正なユーザアクセスが許可されてしまうため、セキュアなネットワークが簡単に危険にさらされてしまいます。

ネットワーク管理者は不正検出を行うことで、このセキュリティの問題を監視して、解消することができます。 Cisco Unified Network アーキテクチャには、不正の特定と抑止を高度に実行するソリューションを提供する不正検出の方法が用意されています。高価で有効性を検証しにくい追加のネットワークとツールは必要ありません。

前提条件

要件

次の項目に関する知識が推奨されます。

Ciscoワイヤレス LAN コントローラ。
Cisco Prime Infrastructure。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

その Cisco Unified ワイヤレス LAN コントローラ（5520、8540 および 3504 シリーズ）はバージョン 8.8.120.0 を実行します。
2 AP 1832 を、1852、2802 および 3802 シリーズ振って下さい。
1 つ AP 3700 を、2700 および 1700 シリーズ振って下さい。

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

不正の概要

スペクトルを共有し、管理者によって管理されていないデバイスは不正と見なされます。不正が危険と見なされるのは、次のような状況です。

ネットワーク（ハニーポット）と同じサービスセット ID（SSID）を使用するために設定された場合。
それが有線ネットワークで検出する時。
アドホックな悪党。
（多くの場合、悪意ある目的で）部外者によって設定されたとき。

最良の方法は企業の環境のセキュリティリスクを、たとえば、最小限に抑えるのに不正な検出を使用することです。ただし、不正な検出が必要のある特定のシナリオがあります、たとえば、オフィスで市全体のアクセスポイント（OEAP）配備をおよび屋外に拡張しなさい。屋外メッシュ AP の使用方法によって悪党を検出するリソースを分析するのに使用する間、少し値を提供します。最終的には自動的に操作するために去られた場合潜在的な法律上の問題および責任があるので、（または全体で避けるため）悪党自動包含を評価することは重要です。

Cisco Unified Wireless Network（UWN）ソリューションの不正デバイス管理には、3 つの主な段階があります。

検出-無線リソース管理（RRM）スキャンが不正なデバイスの存在を検出するのに使用されています。
分類-不正なデバイスが有線ネットワークに接続される場合不正な Location が Discovery Protocol（CDP）（RLDP）、不正な探知器（ウェーブ 1 AP だけ）およびスイッチポートトレースは識別するのに使用されています。不正な分類ルールはまた特性に基づいて特定のカテゴリーに悪党のろ過で助けます。
軽減-スイッチポート閉鎖が、不正な位置および不正な包含は物理的な位置を見つけ出し、不正なデバイスの脅威を無効にするのに使用されています。

不正の検出

悪党は本質的にスペクトルを共有するがで、制御にありませんデバイス。これには不正なアクセスポイント、無線ルータ、不正なクライアントおよび不正でアドホックなネットワークが含まれています。 Cisco UWN はいくつかのメソッドを以外チャネルスキャンおよび専用モニタモード機能のような Wi-Fi ベース不正なデバイスを検出するのに使用します。また、Cisco Spectrum Expert を使用して、Bluetooth ブリッジなどの 802.11 プロトコルに基づかない不正デバイスを特定できます。

オフチャネルスキャニング

このオペレーションはローカルおよび屈曲接続応答（接続されたモードで）モード AP によって実行された、同じ無線の使用方法とスキャンしているクライアントサービスおよびチャネルを許可するタイムスライシング手法を使用しています。 50ms の期間のチャネルを離れた移動によって 16 秒毎に、AP は、デフォルトで、クライアントを動作しない時間の小さいパーセントだけを費やします。また、10 ミリ秒のチャネル変更間隔が発生することに注意してください。デフォルトの 180 秒のスキャン間隔では、それぞれの 2.4Ghz FCC チャネル（1−11）が少なくとも一度はスキャンされます。 ETSI などのその他の規制区域では、多少長い時間 AP がオフチャネルになります。 RRM 設定では、チャネルのリストとスキャン間隔の両方を調整できます。これにより、パフォーマンスの影響を最大で 1.5 % に制限します。また、インテリジェンスがアルゴリズムに組み込まれ、音声などの優先度が高い QoS フレームを配信する必要があるときには、スキャニングを停止します。

この図は、2.4GHz の周波数帯域におけるローカルモード AP のオフチャネルスキャニングアルゴリズムの説明です。同じようなオペレーションは 5GHz 無線で AP が 1 提供を過す場合並行して行われます。それぞれの赤い四角は AP ホームチャネルで費やされた時間を表します。また、それぞれの青い四角は隣接するチャネルでスキャニングのために費やされた時間を表します。

モニタモードスキャニング

この操作は、モニタモード AP と Adaptive wIPS モニタモード AP で実行されます。このモードでは、無線の 100 % の時間を活用して、それぞれの周波数帯域のチャネルをすべてスキャニングします。これにより、検出の速度が大幅に向上し、より多くの時間をそれぞれのチャネルに費やすことができます。それらに各チャネルに発生するアクティビティのより多くの広範囲のビューがあるのでモニタモード AP はまた不正なクライアントの検出に遠い目上の人です。

この図は、2.4GHz の周波数帯域におけるモニタモード AP のオフチャネルスキャニングアルゴリズムの説明です。同じようなオペレーションは 5GHz 無線で AP が 1 提供を過す場合並行して行われます。

ローカルモードとモニタモードの比較

ローカルモード AP は WLANクライアントのサービスと脅威のためのチャネルのスキャン間のサイクルを分割します。その結果、それはすべてのチャネルを通るためにローカルモード AP に時間がかかりクライアントオペレーションが中断されないようにあらゆる特定のチャネルに収集データのより少ない時間を費やします。そのため、不正と攻撃の検出時間がより長くなり（3 分～ 60 分）、検出できる地上波攻撃がモニタモード AP よりも狭い範囲に限られます。

なお、バースト性トラフィックのための検出は、不正なクライアントのような、同時にトラフィックが送信されるか、または受信される AP がトラフィックのチャネルであるなるので大いにより少なく決定論です。これにより、確率に課題が生じます。モニタモード AP はチャネルのスキャンに悪党および無線不正侵入を探すためにサイクルすべてを使います。モニタモード AP は Adaptive wIPS、場所（状況認識）サービス、およびその他のモニタモードサービスで同時に使用できます。

モニタモード AP を導入する利点は、検出にかかる時間が短いことです。モニタモード AP が Adaptive wIPS とともに追加で設定されている場合、より幅広い地上波の脅威と攻撃を検出できます。

ローカルモード AP	モニタモード AP
タイムスライシング以外チャネルスキャンを用いるクライアントを動作します	専用スキャン
各チャネルの 50ms を聞き取ります	各チャネルの 1.2s を聞き取ります
設定可能スキャンするため: すべてのチャネル国チャネル（デフォルト） DCA チャネル	すべてのチャネルをスキャンします

不正の特定

不正なデバイスからのプローブ応答かビーコンがローカル、屈曲接続応答またはモニタモード AP によって聞かれれば、この情報はプロセスのためのワイヤレス LAN コントローラ（WLC）への CAPWAP によって伝えられます。誤検知を防ぐために、さまざまな方法を使用して、他のシスコベースの管理対象 AP が不正デバイスとして識別されないようにします。これらのメソッドは Prime Infrastructure （PI）によってモビリティグループ更新、RF 隣接パケットおよび白いリスト友好的な AP が含まれています。

不正レコード

コントローラの不正なデバイスのデータベースが検出する悪党の設定される電流だけ含まれている間、PI はまたイベント履歴をおよびもはや見られないログ悪党が含まれています。

不正の詳細

CAPWAP AP は、不正クライアント、ノイズ、チャネル干渉を監視するために、50 ミリ秒間オフチャネルになります。検出された不正クライアントや不正 AP はコントローラに送信され、次の情報が収集されます。

不正 AP の MAC アドレス
不正が検出された AP の名前
不正な接続クライアントの MAC アドレス
セキュリティポリシー
プリアンブル
信号対雑音比（SNR）
Receiver Signal Strength Indicator（RSSI）
不正検出のチャネル
不正が検出された無線
不正 SSID（不正 SSID がブロードキャストされている場合）
不正 IP アドレス
不正がレポートされた最初と最後の時間
チャネル幅

不正なイベントをエクスポートするため

不正イベントをサードパーティのネットワーク管理システム（NMS）にエクスポートしてアーカイブするために、WLC には追加の SNMP トラップレシーバを追加できます。悪党がこの情報が含まれているコントローラによって検出するか、またはクリアされるとき、トラップはすべての SNMPトラップレシーバと伝えられます。 SNMP によるイベントのエクスポートの 1 警告は相関が PI だけで行われるように複数のコントローラが同じ不正の検出する、重複したイベントは NMS によって参照されることです。

不正レコードのタイムアウト

不正 AP が WLC のレコードに追加されると、その不正 AP がなくなるまで保持されます。ユーザ設定可能なタイムアウト（1200 秒デフォルト）の後で、the_unclassified_category の悪党は老化します。

他の悪党は再現する場合適切な分類がそれらに適用されるようにそのような as_Contained_and_Friendly_will が持続することを示します。

不正レコードのデータベースの最大サイズは、コントローラプラットフォームによって異なります。

3504 - 600 不正な AP までおよび 1500 人の不正なクライアントの検出および包含
5520 - 24000 不正な AP までおよび 32000 人の不正なクライアントの検出および包含
8540 - 24000 不正な AP までおよび 32000 人の不正なクライアントの検出および包含

Rogue Detector AP

Rogue Detector AP は地上波で受信された不正情報を有線ネットワークから取得した ARP 情報と関連付けることを目的とします。 MAC アドレスが不正 AP または不正クライアントとして地上波で受信され、有線ネットワークでも受信されると、有線ネットワーク上に不正が存在することが決定します。悪党が有線ネットワークにあるために検出する場合その不正な AP のためのアラーム重大度は上げられた to_critical_ です。不正な探知器 AP が NAT を使用するデバイスの背後にある不正なクライアントの識別で正常ではないことに注意する必要があります。

これは、不正 AP に何らかの認証（WEP または WPA）が設定されている場合に使用される手法です。認証方式が不正な AP で設定されるとき、Lightweight アクセスポイントは不正な AP で設定される認証方式および資格情報を知っていないので関連付けることができません。

注: ウェーブだけ 1 AP 不正な探知器で設定することができます。

スケーラビリティに関する考慮事項

Rogue Detector AP は最大 500 個の不正と 500 個の不正クライアントを検出できます。不正デバイスが多すぎるトランク上に Rogue Detector が配置されると、これらの制限を超過し、問題が生じます。これを発生するために防ぐためにネットワークのディストリビューションかアクセス層で不正な探知器 AP を保存して下さい。

RLDP

RLDP の目的は、特定の不正 AP が有線インフラストラクチャに接続されているかどうかを特定することです。この機能は無線クライアントとして不正なデバイスに接続するのに本質的に最も密接な AP を使用します。クライアントとして接続の後で、パケットは WLC の宛先アドレスと査定するために AP が有線ネットワークに接続される場合送信されます。不正が有線ネットワーク上にあることが検出された場合、その不正 AP のアラーム重大度は重大に引き上げられます。

次に、RLDP のアルゴリズムを示します。

信号強度値の使用方法によって悪党に最も密接な統一された AP を識別して下さい。
AP は WLANクライアントとして悪党にそれから時間を計る前に、attemps 3 人のアソシエーション接続します。
アソシエーションが成功すると、AP は DHCP を使用して IP アドレスを取得します。
IP アドレスが得られた場合、AP は（WLANクライアントとして機能しますその）コントローラの IP アドレスのそれぞれに UDP パケットを送信します。
コントローラがクライアントから RLDP パケットを 1 つでも受信すると、その不正は接続済みとマーキングされ、重大度は重大になります。

注: RLDP パケットはフィルタ規則が制御装置ネットワークと不正なデバイスが取付けられるネットワーク間できちんと整っている場合コントローラに達することができません。

RLDP の注意事項

認証を用いる無効になる SSID および暗号化をブロードキャストする RLDP は開いた悪党 AP とだけはたらきます。
RLDP はクライアントが不正なネットワークの DHCP によって IP アドレスを得られるのでことを機能する管理された AP 必要とします
手動 RLDP を使用して、不正に対して RLDP トレースを何度も試行できます。
RLDP プロセスで、AP はクライアントを動作することができません。これにより、ローカルモード AP のパフォーマンスと接続性に悪い影響を与えます。
RLDP は 5GHz DFS チャネルで動作する不正な AP に接続するように試みません。

スイッチポートトレース

スイッチポートトレースは不正な AP 緩和技術です。スイッチポートトレースは PI で始められるが、ネットワークの特定のポートに悪党を見つけ出すのに CDP および SNMP 両方情報を利用します。

動作するべきスイッチポートトレースのためにネットワークのすべてのスイッチは SNMP 資格情報との PI に追加する必要があります。ポートを識別するために読み取り専用資格情報がはたらくが悪党は、読み取りと書き込み資格情報割り当てポートを停止する PI またオンになっています従って脅威が含まれています。

現在、この機能は CDP をイネーブルにして IOS を実行するシスコスイッチでのみ動作します。また、CDP が管理対象 AP でイネーブルになっている必要があります。

次に、スイッチポートトレースのアルゴリズムを示します。

PI は無線不正な AP を検出する見つけ CDP ネイバーを取得します最も密接な AP を。
PI はそれから SNMP をそれ探します悪党位置を識別するために肯定的な一致を隣接スイッチ内の CAMテーブルを検査するのに使用します。
正一致は、完全に一致する不正 MAC アドレス、不正 MAC アドレスの +1/−1、任意の不正クライアント MAC アドレス、または MAC アドレスに継承されたベンダー情報に基づく OUI の一致に基づきます。
肯定的な一致が最も密接なスイッチにない場合、PI は離れた 2 つのホップまで隣接スイッチの検索を続けます（デフォルトで）。

不正分類

デフォルトでは、Cisco UWN で検出されたすべての不正は未分類と見なされます。このグラフィックに示すように、悪党はクライアントの includs RSSI、SSID、セキュリティ型、オン/オフネットワークおよび数いくつかの基準で分類することができます:

不正分類ルール

悪意のあるか友好的ように悪党を示す不正な分類ルールは、諸条件を定義することを可能にします。これらのルールは PI か WLC で設定されますが、新しい悪党が検出されるようにコントローラで常に実行された。

WLCs の不正なルールでワイヤレス LAN コントローラ（WLC）および詳細については Prime Infrastructure （PI）の documentRule によって基づく不正な分類を読んで下さい。

HA ファクト

含まれていた状態この情報が Cisco スタンバイ WLC フラッシュメモリで保存されれば（あらゆるクラス）または友好的な状態に手動で不正なデバイスを変わる場合、; ただし、データベースは更新済ではないです。 HA スイッチオーバが行われるとき、Cisco 以前にスタンバイ WLC フラッシュメモリからの不正なリストはロードされます。

高可用性のシナリオでは、不正な検出セキュリティレベルが高くか重要に設定されれば、スタンバイコントローラの不正なタイマーは 300 秒である不正な検出 pend 安定時間の後やっと開始します。従って、スタンバイコントローラのアクティブコンフィギュレーションは 300 秒の後やっと反映されます。

屈曲接続応答ファクト

接続されたモードの FlexConnect AP は（有効にされて不正な検出が）コントローラからの包含リストを奪取します。 SSID および自動を含んでいればアドホックに設定されればコントローラで自動含む場合、これらのコンフィギュレーションは接続されたモードのすべての FlexConnect AP に設定され、AP はメモリでそれを保存します。

FlexConnect AP が独立方式に移動するとき、次のタスクは実行された:

コントローラが設定する包含は続きます。
FlexConnect AP が SSID FlexConnect AP がに接続されること（設定される SSID コントローラで）のと同じ SSID が以下にある不正な AP を検出する、包含は独立方式に移動する前に自動がコントローラから SSID が有効になったら含まれている場合開始します。
FlexConnect AP がアドホックな悪党を検出する場合、包含は接続されたモードにあったときにアドホックに有効にされたらコントローラから自動含む場合開始します。

スタンドアロン FlexConnect AP が接続されたモードに戻って移動するとき、下記のタスクは実行された:

すべての包含はクリアされます。
コントローラから始められた包含は引き継ぎます。

不正緩和

不正抑止

包含は物理的に取除くことができるまで一時的に不正なデバイスのサービスを割り込む使用無線パケット方式です。包含は不正な AP のスプーフィングされた送信元アドレスの非認証パケットのスプーフィングを関連付けられるどのクライアントでも開始されるように使用します。

不正抑止の詳細

クライアントがない不正 AP で起動された抑止は、ブロードキャストアドレスに送信された認証解除フレームだけを使用します。

クライアントのある不正 AP で起動された抑止は、ブロードキャストアドレスとクライアントアドレスに送信された認証解除フレームを使用します。

抑止パケットは、管理対象 AP の出力レベルと、イネーブルになっている最小のデータレートで送信されます。

抑止は 100 ミリ秒ごとに少なくとも 2 つのパケット送信します。

注: 非モニタモード AP によって実行された包含はモニタモード AP によって使用される 100ms 間隔の代りに 500ms の間隔で送信されます。

個別の不正デバイスは、1 つから 4 つの管理対象 AP によって抑止されます。管理対象 AP は連係して脅威を一時的に緩和します。
包含はローカルモード、モニタモードおよび屈曲接続応答（接続される）モード AP の使用方法によって実行されたことができます。屈曲接続応答 AP のローカルモードの場合、最大無線毎に 3 つの不正なデバイスは含まれている場合があります。モニタモード AP の場合、無線あたり最大 6 つの不正デバイスを抑止できます。

自動抑止

手動で PI または WLC GUI による不正なデバイスの包含の開始に加えて、また自動的にある特定のシナリオの下で包含を起動させる機能があります。この設定は PI またはコントローラインターフェイスの見つけられた underGeneralin theRogue Policiessection です。これらの機能のそれぞれはデフォルトで無効になり、ほとんどの損害を与えるかもしれない脅威を無効にするためにだけ有効になる必要があります。

Rogue on Wire：不正デバイスが有線ネットワークに接続されていることが特定されると、自動的に抑止状態になります。
SSID の使用-不正なデバイスがコントローラで設定されるそれと同じである SSID を使用すれば自動的に含まれています。この機能は、障害を引き起こす前にハニーポット攻撃に対応するための機能です。
不正な AP の有効なクライアント- Radius/AAA サーバにリストされているクライアントが不正なデバイスによって関連付けられるためにある場合包含はアソシエーションからあらゆる非管理された AP にそのクライアントだけに対して、それ防ぎますそれを起動します。
アドホックな悪党 AP -アドホックなネットワークが検出される場合、自動的に含まれています。

不正抑止の注意事項

抑止では、管理対象 AP の無線時間の一部を使用して認証解除フレームを送信するため、データクライアントと音声クライアントの両方のパフォーマンスに、最大 20 % の悪影響が出ることがあります。データクライアントの場合、この影響によりスループットが低下します。音声クライアントの場合、抑止によって、会話が中断されたり、音声品質が低下したりすることがあります。
包含は隣接ネットワークに対して起動させたとき法的意味がある場合があります。抑止を起動する前に、不正デバイスがネットワーク内にあり、セキュリティリスクを引き起こすことを確認してください。

締まっているスイッチポート

スイッチポートが SPT の使用方法によってトレースされれば、PI のそのポートを無効にするオプションがあります。管理者はこの操作を手動で行う必要があります。オプションは悪党がネットワークから物理的に取除かれる場合 PI によってスイッチポートを有効にして利用できます。

設定

不正検出の設定

デフォルトでは、コントローラでの不正検出はイネーブルです。

さまざまなオプションを設定するため、ナビゲート toSecurity > ワイヤレス保護ポリシー > 悪党ポリシー > 一般。例として:

ステップ 1.不正な AP のためのタイムアウトを変更して下さい。

ステップ 2.アドホックで不正なネットワークの検知を有効にして下さい。

CLI を使用する場合：

(Cisco Controller) >config rogue ap timeout ?

<seconds>      The number of seconds<240 - 3600> before rogue entries are flushed

(Cisco Controller) >config rogue adhoc enable/disable

不正検出のチャネルスキャニングの設定

ローカル/屈曲接続応答/モニタモード AP に関してはユーザがどのチャネルが悪党のためにスキャンされるか選択することを可能にするオプションが RRM 設定の下にあります。それは構成によって、AP スキャンします悪党のためのすべてのチャネル/国 channel/DCA チャネルを決まります。

これを GUI から設定するために、> 802.11a/802.11b > RRM > 一般、イメージに示すように toWireless ナビゲートして下さい。

CLI を使用する場合：

(Cisco Controller) >config advanced 802.11a monitor channel-list ?

all            Monitor all channels
country        Monitor channels used in configured country code
dca            Monitor channels used by automatic channel assignment

不正分類の設定

不正 AP の手動分類

不正な AP を > 分類していない AP 友好的な、悪意のあるかまたは分類していない、ナビゲート toMonitor > 悪党として分類し、特定の悪党 AP 名前をクリックするため。イメージに示すようにドロップダウンリストからオプションを、選択して下さい。

CLI を使用する場合：

(Cisco Controller) >config rogue ap ? classify Configures rogue access points classification. friendly Configures friendly AP devices. rldp Configures Rogue Location Discovery Protocol. ssid Configures policy for rogue APs advertsing our SSID. timeout Configures the expiration time for rogue entries, in seconds. valid-client Configures policy for valid clients using rogue APs.

不正なエントリを > 分類していない AP、およびイメージに示すように clickRemove、不正なリスト、ナビゲート toMonitor > 悪党から手動で削除するため。

不正な AP を友好的な AP で設定するために、ナビゲート toSecurity は > ワイヤレス保護ポリシー > 悪党ポリシー > 友好的な Roguesand 不正な MAC アドレスを追加します。

追加された友好的で不正なエントリはイメージに示すように確認された fromMonitor > 悪党 > 友好的な Roguepage、のどれである場合もあります。

Rogue Detector AP の設定

AP を GUI によって不正な探知器で設定するために、toWireless > すべての AP ナビゲートして下さい。 AP 名前を選択し、イメージに示すように APモードを変更して下さい。

CLI を使用する場合：

(Cisco Controller) >config ap mode rogue AP_Managed Changing the AP's mode will cause the AP to reboot. Are you sure you want to continue? (y/n) y

Rogue Detector AP のスイッチポートの設定

interface GigabitEthernet1/0/5
description Rogue Detector
switchport trunk native vlan 100
switchport mode trunk

注: この設定でのネイティブ VLAN は、WLC への IP 接続のある VLAN の 1 つです。

RLDP の設定

コントローラの GUI の RLDP を設定するため、ナビゲート toSecurity > ワイヤレス保護ポリシー > 悪党ポリシー > 一般。

Monitor Mode APs：モニタモードの AP にのみ RLDP への参加を許可します。

すべての AP –ローカル/屈曲接続応答/モニタモード AP は RLDP プロセスに加わります。

Disabled：RLDP は自動的にトリガーされません。ただし、ユーザは CLI から特定の MAC アドレスに対して RLDP を手動でトリガーできます。

注: 両方が -85dbm RSSI の上の特定の悪党を検出する場合モニタモード AP は RLDP を行うためにローカル/屈曲接続応答 AP 上のプリファレンスを得ます。

CLI を使用する場合：

(Cisco Controller) >config rogue ap rldp enable ?

alarm-only Enables RLDP and alarm if rogue is detected
auto-contain Enables RLDP, alarm and auto-contain if rogue is detected.

(Cisco Controller) >config rogue ap rldp enable alarm-only ?

monitor-ap-only Perform RLDP only on monitor AP

RLDP スケジュールは手動でですコマンドプロンプトだけによって設定可能引き起こし。 RLDP を手動で始めるため:

(Cisco Controller) >config rogue ap rldp initiate ?

<MAC addr> Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).

RLDP のスケジュールに関しては:

(Cisco Controller) >config rogue ap rldp schedule ?

add            Enter the days when RLDP scheduling to be done.
delete         Enter the days when RLDP scheduling needs to be deleted.
enable         Configure to enable RLDP scheduling.
disable        Configure to disable RLDP scheduling.


(Cisco Controller) >config rogue ap rldp schedule add ?

fri            Configure Friday for RLDP scheduling.
sat            Configure Saturday for RLDP scheduling.
sun            Configure Sunday for RLDP scheduling.
mon            Configure Monday for RLDP scheduling.
tue            Configure Tuesday for RLDP scheduling.
wed            Configure Wednesday for RLDP scheduling.
thu            Configure Thursday for RLDP scheduling.

RLDP 再試行はコマンドで設定することができます:

(Cisco Controller) >config rogue ap rldp retries ?

<count>        Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.

不正緩和の設定

設定手動包含

不正な AP が手動で含まれるために、ナビゲート toMonitor は > >、イメージに示すように分類していないだまします。

CLI を使用する場合：

(Cisco Controller) >config rogue client ?

aaa Configures to validate if a rogue client is a valid client using AAA/local database.
alert Configure the rogue client to the alarm state.
contain Start containing a rogue client.
delete Delete rogue Client
mse Configures to validate if a rogue client is a valid client using MSE.

(Cisco Controller) >config rogue client contain 11:22:33:44:55:66 ?

<num of APs> Enter the maximum number of Cisco APs to actively contain the rogue client [1-4].

注: 特定の悪党は 1-4 AP と含まれている場合があります。デフォルトで、コントローラはクライアントが含まれているのに 1 AP を使用します。 2 つの AP で特定の不正が検出される場合、AP のモードにかかわらず、最も高い RSSI を持つ AP がクライアントを抑止します。

オート包含

オート包含を設定するために、>Wireless 保護 Policies>Rogue Policies>General toSecurity 行き、ネットワークのためのすべての適当なオプションを有効にして下さい。

Cisco WLC に自動的にある特定の不正なデバイスが含まれていてほしい場合下記のチェックボックスをチェックして下さい。さもなければ、チェックボックスを選択を解除される残して下さい、デフォルト値である。

警告：のこれらのパラメータ有効にするとき、メッセージが現れます: 「この機能を使用して可能な結果を持つかもしれないです。続けたいと思いますか」。産業、科学的な、および医学（ISM）帯域の 2.4- および 5 ギガヘルツ周波数はパブリックに開いて、ライセンスなしで使用することができます。そのように、他のパーティのネットワークのデバイスの包含は可能な結果がある可能性があります。

これらは自動含まれていますパラメータがです:

パラメータ	説明
オート包含レベル	1 から 4.まで水平な不正なオート包含を選択できるドロップダウンリスト。悪党がオート封じ込め政策の何れかによる含まれていた状態に変えられるときオート包含のための 4 AP まで選択できます。またオート包含に使用する AP の数の自動選択のための自動を選択できます。 Cisco WLC は有効な包含のための RSSI に基づいて AP の必須の数を選択します。各包含レベルと関連付けられる RSSI 値は次の通りです: 1 — 0 への– 55 dBm – 55 dBm への 2 — – 75 – 75 dBm への 3 — – 85 4 — – 85 dBm よりより少し
モニタモード AP のためのだけオート包含	オート包含におけるモニタモード AP を有効にするために選択できるチェックボックス。デフォルトは使用不可状態です。
スタンドアロン FlexConnect のオート包含	独立方式の FlexConnect AP のオート包含を有効にするために選択できるチェックボックス。デフォルトは使用不可状態です。 FlexConnect AP が独立方式にあるとき、SSID かアドホックな悪党 AP オート封じ込め政策の使用だけ有効にすることができます。包含はスタンドアロン AP が Cisco WLC に戻って接続した後停止します。
ネットワークの悪党	自動的に有線ネットワークで検出する悪党が含まれているために有効になるチェックボックス。デフォルトは使用不可状態です。
SSID の使用	自動的にそれらの悪党が含まれているためにネットワークの SSID をアドバタイズする有効になるチェックボックス。このパラメータを選択解除にされて残す場合、そのような悪党が検出するときだけ Cisco WLC はアラームを生成します。デフォルトは使用不可状態です。
不正な AP の有効なクライアント	自動的にクライアントを信頼した不正なアクセスポイントが含まれているために有効になるチェックボックスは準です。このパラメータを選択解除にされて残す場合、そのような悪党が検出するときだけ Cisco WLC はアラームを生成します。デフォルトは使用不可状態です。
アドホックな悪党 AP	自動的に Cisco WLC によって検出するアドホックなネットワークが含まれているために有効になるチェックボックス。このパラメータを選択解除にされて残す場合、そのようなネットワークが検出するときだけ Cisco WLC はアラームを生成します。デフォルトは使用不可状態です。

Cisco WLC にデータを送信するために『Apply』をクリックして下さいしかしデータは電源の再投入を渡って維持されません; これらのパラメータは揮発 RAM で一時的に保存されます。

CLI を使用する場合：

(Cisco Controller) >config rogue adhoc ? alert Stop Auto-Containment, generate a trap upon detection of the adhoc rogue. auto-contain Automatically containing adhoc rogue. contain Start containing adhoc rogue. disable Disable detection and reporting of Ad-Hoc rogues. enable Enable detection and reporting of Ad-Hoc rogues. external Acknowledge presence of a adhoc rogue. (Cisco Controller) >config rogue adhoc auto-contain ? (Cisco Controller) >config rogue adhoc auto-contain Warning! Using this feature may have legal consequences Do you want to continue(y/n) :y

Prime Infrastructure を使って

Cisco Prime Infrastructure が 1つ以上のコントローラおよび関連 AP を設定し、監視するのに使用することができます。 Cisco PI にシステム・モニタおよび制御を促進するツールがあります。 Ciscoワイヤレスソリューションで Cisco PI を使用するとき、コントローラは定期的にクライアントを、不正なアクセスポイント、不正なアクセスポイントクライアント、無線周波 ID （RFID）タグ位置判別し、Cisco PI データベースで場所を格納します。

Cisco は Infrastructuresupports 規則に基づいている分類の発動を促し、コントローラで設定される分類ルールを使用します。コントローラはトラップ toCisco プライム記号 Infrastructureafter をこれらのイベント送信します:

未知アクセスポイントが友好的な状態にはじめて変わる場合、コントローラは theroguestate がアラートである場合トラップ toCisco プライム記号 Infrastructureonly を送信します。それは theroguestate が内部または外部である場合トラップを送信しません。
arogueentry タイムアウトが期限切れになった後、コントローラ送信します（アラート、脅威）悪意のあるまたは分類していないように分類されるトラップ toCisco プライム記号 Infrastructurefor rogueaccess ポイントを取除かれます（アラート）。コントローラは theseroguestates が付いている removerogueentries: 含まれられていた、含まれていた保留中、内部、および外部。

確認

グラフィカルインターフェイスのコントローラの不正な詳細を見つけるために、toMonitor > 悪党イメージに示すように、ナビゲートして下さい。

このページでは、不正のさまざまな分類を利用できます。

Friendly APs：管理者によって友好的とマーキングされている AP です。
悪意のある AP – RLDP か不正な探知器 AP によって悪意のあるように識別される AP。
カスタム AP –不正なルールによってカスタムとして分類される AP。
Unclassified APs：デフォルトでは、不正 AP は未分類リストとしてコントローラに表示されます。
Rogue Clients：不正 AP に接続されているクライアントです。
Adhoc Rogues：アドホックの不正クライアントです。
不正な AP 無視リスト– PI によってリストされている。

注: WLC および自律 AP が同じ PI によって管理される場合、WLC は不正な AP 無視リストのこの自律 AP を自動的にリストします。この機能をイネーブルにするために、WLC での追加の設定は必要ありません。

特定の不正エントリをクリックして、その不正の詳細を取得します。有線ネットワークで検出する悪党の例はここにあります:

CLI を使用する場合：

(Cisco Controller) >show rogue ap summary Rogue Detection Security Level................... custom Rogue Pending Time............................... 180 secs Rogue on wire Auto-Contain....................... Disabled Rogue using our SSID Auto-Contain................ Disabled Valid client on rogue AP Auto-Contain............ Disabled Rogue AP timeout................................. 1200 Rogue Detection Report Interval.................. 10 Rogue Detection Min Rssi......................... -90 Rogue Detection Transient Interval............... 0 Rogue Detection Client Num Threshold............. 0 Validate rogue AP against AAA.................... Enabled Rogue AP AAA validation interval................. 0 secs Total Rogues(AP+Ad-hoc) supported................ 600 Total Rogues classified.......................... 12 MAC Address Class State #Det #Rogue #Highest RSSI #RSSI #Channel #Second Highest #RSSI #Channel Aps Clients det-Ap RSSI Det-Ap ----------------- ------------ -------------------- ---- ------- ----------------- ------ --------------- ----------------- ------ --------------- 00:a3:8e:db:01:a0 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13 00:a3:8e:db:01:a1 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13 00:a3:8e:db:01:a2 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13 00:a3:8e:db:01:b0 Malicious Threat 2 1 00:27:e3:36:4d:a0 -27 40 00:27:e3:36:4d:a0 -37 40 00:a3:8e:db:01:b1 Unclassified Alert 2 0 00:27:e3:36:4d:a0 -28 40 00:27:e3:36:4d:a0 -36 40 00:a3:8e:db:01:b2 Unclassified Alert 2 0 00:27:e3:36:4d:a0 -28 40 00:27:e3:36:4d:a0 -37 40 50:2f:a8:a2:0a:60 Malicious Threat 1 2 00:27:e3:36:4d:a0 -66 1 50:2f:a8:a2:0d:40 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -65 11 9c:97:26:61:d2:79 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 6 ac:22:05:ea:21:26 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 (1,5) c4:e9:84:c1:c8:90 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 (6,2) d4:28:d5:da:e0:d4 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -85 13
(Cisco Controller) >show rogue ap detailed 50:2f:a8:a2:0a:60 Rogue BSSID...................................... 50:2f:a8:a2:0a:60 Is Rogue on Wired Network........................ Yes Classification................................... Malicious Classification change by......................... Auto Manual Contained................................. No State............................................ Threat State change by.................................. Auto First Time Rogue was Reported.................... Tue Jun 4 13:06:55 2019 Last Time Rogue was Reported..................... Wed Jun 5 08:25:57 2019 Reported By AP 1 MAC Address.............................. 00:27:e3:36:4d:a0 Name..................................... tiagoAPcb.98E1.3DEC Radio Type............................... 802.11n2.4G SSID..................................... buterfly Channel.................................. 1 RSSI..................................... -64 dBm SNR...................................... 29 dB Security Policy.......................... WPA2/FT ShortPreamble............................ Disabled Last reported by this AP................. Wed Jun 5 08:25:57 2019

トラブルシューティング

悪党が検出する

悪党検出が AP で有効になることを確認して下さい。 GUI:

CLI:

(Cisco Controller) >show ap config general tiagoAPcb.98E1.3DEC

Cisco AP Identifier.............................. 13
Cisco AP Name.................................... tiagoAPcb.98E1.3DEC
[...]
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... Local
Public Safety ................................... Disabled 
AP SubMode ...................................... Not Configured
Rogue Detection ................................. Enabled
Remote AP Debug ................................. Disabled
Logging trap severity level ..................... informational
KPI not configured .............................. 
Logging syslog facility ......................... kern
S/W  Version .................................... 8.8.120.0
Boot  Version ................................... 1.1.2.4
[...]
Power Type/Mode.................................. PoE/Full Power
Number Of Slots.................................. 3 
AP Model......................................... AIR-AP3802I-I-K9
AP Image......................................... AP3G3-K9W8-M
IOS Version...................................... 8.8.120.0
Reset Button..................................... Enabled
AP Serial Number................................. FGL2114A4SU
[...]

不正な検出はこのコマンドで AP で有効にすることができます:

(Cisco Controller) >config rogue detection enable ?
all            Applies the configuration to all connected APs.
<Cisco AP>     Enter the name of the Cisco AP.

ローカルモード AP は国 channels/DCA チャネルだけスキャンし、設定によって決まります。不正が他のチャネルにある場合、ネットワークにモニタモード AP がなければ、コントローラではその不正を特定できません。確認するため、次のコマンドを発行します。

(Cisco Controller) >show advanced 802.11a monitor

Default 802.11a AP monitoring
  802.11a Monitor Mode........................... enable
  802.11a Monitor Mode for Mesh AP Backhaul...... disable
  802.11a Monitor Channels....................... Country channels
  802.11a RRM Neighbor Discover Type............. Transparent
  802.11a RRM Neighbor RSSI Normalization........ Enabled
  802.11a AP Coverage Interval................... 90 seconds
  802.11a AP Load Interval....................... 60 seconds
  802.11a AP Monitor Measurement Interval........ 180 seconds
  802.11a AP Neighbor Timeout Factor............. 20
  802.11a AP Report Measurement Interval......... 180 seconds

不正な AP は SSID ブロードキャストではないかもしれません。
不正な AP の MAC アドレスを追加されません友好的で不正なリストまたは白いリストされた直通 PI に確認して下さい。
不正な AP からのビーコンは悪党を検出する AP に到達可能ではないかもしれません。これは AP 探知器悪党の近くのスニファーが付いているパケットのキャプチャによって確認することができます。
ローカルモード AP は、不正を検出するために最大で 9 分かかることがあります（3 サイクル 180 X 3）。
Cisco AP では、パブリックセーフティチャネル（4.9 Ghz）のような周波数上にある不正を検出できません。
Cisco AP は FHSS （周波数ホッピングスペクトラム拡散）に取り組む悪党を検出する。

有益なデバッグ

(Cisco Controller) >debug client <rogue_mac_address> (If rogue mac is known)
(Cisco Controller) >debug client 50:2f:a8:a2:0a:60

(Cisco Controller) >*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Found Rogue AP: 50:2f:a8:a2:0a:60 on slot 0

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 New RSSI report from AP 00:27:e3:36:4d:a0  rssi -55, snr 39 wepMode 81 wpaMode 86, detectinglradtypes :20
*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue SSID timestmap set to 1559724417. Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60  SYNC for Channel (new/old : 1/0) or channel width (new/old :0/0) change detected on  Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 rg changed rssi prev -64, new -55
*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Updated AP report 00:27:e3:36:4d:a0  rssi -55, snr 39 
*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue detected by AP: 00:27:e3:36:4d:a0 
*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue before Rule Classification : Class malicious, Change by Auto State Threat Change by Auto 

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue doesnt qualify for rule classification : Class malicious, Change by Auto State Threat Change by Auto 

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Manual Contained Flag = 0, trustlevel = 7

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 ssidLen = 8 min = 8 50:2f:a8:a2:0a:60

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 This rogue is not using my ssid. Rogue ssid=buterfly

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60  Rogue AP: 50:2f:a8:a2:0a:60 autocontain = 2 Mode = 7

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Checking Impersonation source 50:2f:a8:a2:0a:60 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 7, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1
*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly

*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly

(Cisco Controller) >debug dot11 rogue enable 

(Cisco Controller) >*emWeb: Jun 05 08:39:46.828: 
Debugging session started on Jun 05 08:39:46.828  for WLC AIR-CT3504-K9   Version :8.8.120.0  SN :FCW2245M09Y  Hostname tiagoWLCcb
*iappSocketTask: Jun 05 08:39:57.104: 00:27:e3:36:4d:a0 Posting Rogue AP Iapp Report from AP for processing Payload version:c1, slot:0 , Total Entries:5, num entries this packet:5 Entry index :0, pakLen:285

*apfRogueTask_2: Jun 05 08:39:57.104: 00:27:e3:36:4d:a0 fakeAp check: slot=0, entryIndex=0, (Radio_upTime-now)=152838
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid b0:72:bf:93:e0:d7 src b0:72:bf:93:e0:d7 channel 1 rssi -59 ssid SMA1930072865
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 50:2f:a8:a2:0a:60 src 50:2f:a8:a2:0a:60 channel 1 rssi -63 ssid buterfly
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:a1 src 00:a3:8e:db:01:a1 channel 13 rssi -16 ssid 
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:b0 src a4:c3:f0:cf:db:18 channel 40 rssi -26 ssid blizzard
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 New RSSI report from AP 00:27:e3:36:4d:a0  rssi -28, snr 61 wepMode 81 wpaMode 82, detectinglradtypes :30
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:b2 src 00:a3:8e:db:01:b2 channel 40 rssi -28 ssid 
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Found Rogue AP: 00:a3:8e:db:01:a1 on slot 0

*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue SSID timestmap expired. last update at 0 Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 fakeAp check:  knownApCount=0, totalNumOfRogueEntries=5, #entriesThisPkt=5, #totalEntries=5
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 New RSSI report from AP 00:27:e3:36:4d:a0  rssi -16, snr 76 wepMode 81 wpaMode 82, detectinglradtypes :28
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 fakeAp check:  avgNumOfRogues[0]/10=4, rogueAlarmInitiated[0]=0 
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2  SYNC for Channel (new/old : 40/0) or channel width (new/old :0/0) change detected on  Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue SSID timestmap expired. last update at 0 Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 rg changed rssi prev -28, new -28
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1  SYNC for Channel (new/old : 13/0) or channel width (new/old :0/0) change detected on  Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Updated AP report 00:27:e3:36:4d:a0  rssi -28, snr 61 
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Updated AP report 00:27:e3:36:4d:a0  rssi -16, snr 76 
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 RadioType: 3 lradInfo->containSlotId = 1 ReceiveSlotId = 0 ReceiveBandId = 1

*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue before Rule Classification : Class unclassified, Change by Default State Alert Change by Default 

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Created rogue client table for Rogue AP at 0xfff0617238 

*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue is Rule candidate for  : Class Change by Default State Change by Default 

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Added Rogue AP: b0:72:bf:93:e0:d7

*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Applying Rogue rule to this MAC

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Looking for Rogue b0:72:bf:93:e0:d7 in known AP table
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue AP b0:72:bf:93:e0:d7 is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue After Rule Classification : Class unclassified, Change by Default State Alert Change by Default 

*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Manual Contained Flag = 0, trustlevel = 2

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Scheduled pending Time 184 and expiry time 1200 for rogue AP b0:72:bf:93:e0:d7 
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 ssidLen = 0 min = 0 00:a3:8e:db:01:b2

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Change state from 0 to 1 for rogue AP b0:72:bf:93:e0:d7
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 This rogue is not using my ssid. Rogue ssid=

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7

*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2  Rogue AP: 00:a3:8e:db:01:b2 autocontain = 2 Mode = 2

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue detected by AP: 00:27:e3:36:4d:a0 
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Checking Impersonation source 00:a3:8e:db:01:b2 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 2, apAuthEnabled on mac 0, ptype -155740480 mfp_supported 1
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 New RSSI report from AP 00:27:e3:36:4d:a0  rssi -59, snr 36 wepMode 81 wpaMode 83, detectinglradtypes :20
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue is Rule candidate for  : Class Change by Default State Change by Default 

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7  Send Rogue Info Notificaiton for AP report 00:27:e3:36:4d:a0  Rogue ssid change from   to SMA1930072865 
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Applying Rogue rule to this MAC

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg send new rssi -59 
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue After Rule Classification : Class unclassified, Change by Default State Alert Change by Default 

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Updated AP report 00:27:e3:36:4d:a0  rssi -59, snr 36 
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Manual Contained Flag = 0, trustlevel = 2

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue detected by AP: 00:27:e3:36:4d:a0 
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 ssidLen = 0 min = 0 00:a3:8e:db:01:a1

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 This rogue is not using my ssid. Rogue ssid=

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue before Rule Classification : Class unconfigured, Change by Default State Pending Change by Default 

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1  Rogue AP: 00:a3:8e:db:01:a1 autocontain = 2 Mode = 2

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue state is pending or lrad, cannot apply rogue rule 

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue doesnt qualify for rule classification : Class unconfigured, Change by Default State Pending Change by Default 

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Checking Impersonation source 00:a3:8e:db:01:a1 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 2, apAuthEnabled on mac 0, ptype -155740480 mfp_supported 1
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Manual Contained Flag = 0, trustlevel = 1

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 6 

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Checking Impersonation source b0:72:bf:93:e0:d7 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 1, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Found Rogue AP: 00:a3:8e:db:01:b0 on slot 0

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg new Rogue AP: b0:72:bf:93:e0:d7

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 New RSSI report from AP 00:27:e3:36:4d:a0  rssi -26, snr 61 wepMode 81 wpaMode 82, detectinglradtypes :32
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 New RSSI report from AP 00:27:e3:36:4d:a0  rssi -63, snr 5 wepMode 81 wpaMode 86, detectinglradtypes :20
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0  SYNC for Channel (new/old : 40/0) or channel width (new/old :0/0) change detected on  Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 rg changed rssi prev -28, new -26
*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60  SYNC for Channel (new/old : 1/0) or channel width (new/old :0/0) change detected on  Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Updated AP report 00:27:e3:36:4d:a0  rssi -26, snr 61 
*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 rg changed rssi prev -65, new -63
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue detected by AP: 00:27:e3:36:4d:a0 
*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Updated AP report 00:27:e3:36:4d:a0  rssi -63, snr 5 
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 RadioType: 3 lradInfo->containSlotId = 1 ReceiveSlotId = 0 ReceiveBandId = 1

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue detected by AP: 00:27:e3:36:4d:a0 
*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Manual Contained Flag = 0, trustlevel = 7

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue before Rule Classification : Class malicious, Change by Auto State Threat Change by Auto 

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 ssidLen = 8 min = 8 00:a3:8e:db:01:b0

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Manual Contained Flag = 0, trustlevel = 7

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 This rogue is not using my ssid. Rogue ssid=blizzard

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 ssidLen = 8 min = 8 50:2f:a8:a2:0a:60

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0  Rogue AP: 00:a3:8e:db:01:b0 autocontain = 2 Mode = 7

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 This rogue is not using my ssid. Rogue ssid=buterfly

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60  Rogue AP: 50:2f:a8:a2:0a:60 autocontain = 2 Mode = 7

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Checking Impersonation source 50:2f:a8:a2:0a:60 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 7, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1
*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 

*apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 APF processing Rogue Client: on slot 0

*apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 Rogue Client IPv6 addr: Not known

*apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 APF processing Rogue Client: on slot 0

*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue Client ssid: blizzard

*apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 Rogue Client IPv6 addr: Not known

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly

*apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 New AP report 00:27:e3:36:4d:a0  rssi -37, snr 50 
*apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 rgc change from -38 RSSI -37 
*apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 rgc change from -39 RSSI -39 
*apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 Updated AP report 00:27:e3:36:4d:a0 rssi -37, snr 50 
*apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 Updated AP report 00:27:e3:36:4d:a0 rssi -39, snr 43 
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 APF processing Rogue Client: on slot 0

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue Client IPv6 addr: Not known

*apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly

*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 New AP report 00:27:e3:36:4d:a0  rssi -62, snr 32 
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rgc change from -61 RSSI -62 
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Updated AP report 00:27:e3:36:4d:a0 rssi -62, snr 32 
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Looking for Rogue b0:72:bf:93:e0:d7 in known AP table
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue AP b0:72:bf:93:e0:d7 is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Change state from 1 to 2 for rogue AP b0:72:bf:93:e0:d7
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7

*apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7

*apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 Deleting Rogue AP: b0:72:bf:93:e0:d7

*apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 Freed rogue client table for Rogue AP at 0xfff0617238 

*apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 rg delete for Rogue AP: b0:72:bf:93:e0:d7

一般的なトラップログ

悪党が不正のから検出する/取除かれたらリストして下さい:

0	水曜日 2019 年 6 月 5 日 09:01:57	不正なクライアント: b4:c0:f5:2b:4f:90 は 1 人の AP 不正なクライアント Bssid によって検出する: a6:b1:e9:f0:e8:41、状態: アラート、AP を検出する最後: 00:27:e3:36:4d:a0 悪党クライアントゲートウェイ MAC 00:00:00:02:02:02。
1	水曜日 2019 年 6 月 5 日 09:00:39	不正な AP: 基礎無線 MAC から取除かれる 9c:97:26:61:d2:79: 00:27:e3:36:4d:a0 インターフェイス no:0(802.11n(2.4 GHz））
2	水曜日 2019 年 6 月 5 日 08:53:39	不正な AP: 基礎無線 MAC から取除かれる 7c:b7:33:c0:51:14: 00:27:e3:36:4d:a0 インターフェイス no:0(802.11n(2.4 GHz））
3	水曜日 2019 年 6 月 5 日 08:52:27	不正なクライアント: fc:3f:7c:5f:b1:1b は 1 人の AP 悪党クライアント Bssid によって検出する: 50:2f:a8:a2:0a:60、状態: アラート、AP を検出する最後: 00:27:e3:36:4d:a0 悪党クライアントゲートウェイ MAC 00:26:44:73:c5:1d。
4	水曜日 2019 年 6 月 5 日 08:52:17	不正な AP: 基礎無線 MAC から取除かれる d4:28:d5:da:e0:d4: 00:27:e3:36:4d:a0 インターフェイス no:0(802.11n(2.4 GHz））

推奨事項

ネットワークの潜在的な悪党を疑う場合すべてのチャネルにチャネルスキャンを設定して下さい。
不正な探知器 AP の数および位置はフロアごとに 1 つからビルディングごとに 1 に異なることができ、有線ネットワークのレイアウトによって異なります。フロアまたは建物ごとに少なくとも 1 つの Rogue Detector AP を配備することをお勧めします。 Rogue Detector AP には、監視するすべてのレイヤ 2 ネットワークブロードキャストドメインへのトランクが必要であるため、配置はネットワークの論理レイアウトによって異なります。

悪党が分類されなければ

不正ルールが適切に設定されているかどうか確認します。

有益なデバッグ

(Cisco Controller) >debug dot11 rogue rule enable 

(Cisco Controller) >*emWeb: Jun 05 09:12:27.095: 
Debugging session started on Jun 05 09:12:27.095 for WLC AIR-CT3504-K9 Version :8.8.120.0 SN :FCW2245M09Y Hostname tiagoWLCcb

(Cisco Controller) >
*apfRogueTask_1: Jun 05 09:12:57.135: 00:a3:8e:db:01:a0 Rogue Rule Classify Params: rssi=-16, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154623, wep=1, ssid=blizzard slotId = 0 channel = 13 snr = 76 dot11physupport =
*apfRogueTask_3: Jun 05 09:12:57.135: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154683, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3

*apfRogueTask_1: Jun 05 09:12:57.135: ac:22:05:ea:21:26 Rogue Rule Classify Params: rssi=-89, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=5790, wep=1, ssid=NOWO-A2121 slotId = 0 channel = 1 snr = 4 dot11physupport = 3

*apfRogueTask_1: Jun 05 09:13:27.135: ac:22:05:ea:21:26 Rogue Rule Classify Params: rssi=-89, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=5820, wep=1, ssid=NOWO-A2121 slotId = 0 channel = 1 snr = 4 dot11physupport = 3
*apfRogueTask_3: Jun 05 09:13:27.135: 50:2f:a8:a2:0d:40 Rogue Rule Classify Params: rssi=-62, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154353, wep=1, ssid=buterfly slotId = 0 channel = 11 snr = 30 dot11physupport =
*apfRogueTask_3: Jun 05 09:13:27.135: 50:2f:a8:a2:0d:40 Rogue Classification:malicious, RuleName:TestRule, Rogue State:Containment Pending

*apfRogueTask_3: Jun 05 09:13:27.136: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154713, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3

*apfRogueTask_1: Jun 05 09:13:57.136: 00:a3:8e:db:01:a0 Rogue Rule Classify Params: rssi=-16, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154683, wep=1, ssid=blizzard slotId = 0 channel = 13 snr = 76 dot11physupport =
*apfRogueTask_3: Jun 05 09:13:57.136: 50:2f:a8:a2:0d:40 Rogue Classification:malicious, RuleName:TestRule, Rogue State:Containment Pending

*apfRogueTask_3: Jun 05 09:13:57.136: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154743, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3

推奨事項

不正なエントリを知っている場合、それらを友好的なリストで追加しか、または AAA の検証を有効にし、既知のクライアントエントリをそこにあります認証、許可および会計（AAA）データベースに確認して下さい。

RLDP は悪党を見つけません

不正が DFS チャネルにある場合、RLDP は動作しません。
RLDP は不正の WLAN が開いていて、DHCP が利用できる場合にのみ動作します。
ローカルモード AP が DFS チャネルのクライアントを機能する場合、RLDP プロセスに加わりません。
RLDP は AP モデル 1800i で、1810 OEAP、1810W、1815、1830、1850、2800、および 3800 シリーズ AP サポートされません。

有益なデバッグ

(Cisco Controller) >debug dot11 rldp enable

!--- RLDP not available when AP used to contain only has invalid channel for the AP country code 

*apfRLDP: Jun 05 12:24:41.291: 50:2f:a8:a2:0a:61 Received request to detect Rogue
*apfRLDP: Jun 05 12:24:41.291: 50:2f:a8:a2:0a:61 Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:24:41.292: Rogue detected slot :0 Rogue containingSlotId :2
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Invalid channel 1 for the country IL for AP 00:27:e3:36:4d:a0
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:24:41.292: Waiting for ARLDP request

!--- ROGUE detected on DFS channel

*apfRLDP: Jun 05 12:43:16.659: 50:2f:a8:a2:0d:4e Received request to detect Rogue
*apfRLDP: Jun 05 12:43:16.659: 50:2f:a8:a2:0d:4e Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:43:16.660: Rogue detected slot :1 Rogue containingSlotId :1
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Our AP 00:27:e3:36:4d:a0 detected this rogue on a DFS Channel 100
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:43:16.660: Waiting for ARLDP request

!--- RLDP is not supported on AP model 1800i, 1810 OEAP, 1810W, 1815, 1830, 1850, 2800, and 3800 Series APs

*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Received request to detect Rogue
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Skipping RLDP on AP 94:d4:69:f5:f7:e0 AP Model: AIR-AP1852I-E-K9 
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:52:41.980: Waiting for ARLDP request

!--- Association TO ROGUE AP

*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Received request to detect Rogue
*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Entering apfFindClosestLrad
*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Skipping RLDP on AP 94:d4:69:f5:f7:e0 AP Model: AIR-AP1852I-E-K9 
*apfRLDP: Jun 05 15:02:49.602: Rogue detected slot :0 Rogue containingSlotId :0
*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Monitor Mode AP found b4:de:31:a4:e0:30 with RSSI -61
*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 found closest monitor AP b4:de:31:a4:e0:30 slot = 0, channel = 1

*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Exiting apfFindClosestLrad
*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Found RAD: 0xffd682b5b8, slotId = 0, Type=1

*apfRLDP: Jun 05 15:02:50.102: 50:2f:a8:a2:0a:61 AP b4:de:31:a4:e0:30 Client b4:de:31:a4:e0:31 Slot = 0
*apfRLDP: Jun 05 15:02:50.102: 50:2f:a8:a2:0a:61 WARNING!!!!! mscb already exists!

*apfRLDP: Jun 05 15:02:50.102: b4:de:31:a4:e0:31 In rldpSendAddMobile:724 setting Central switched to TRUE
*apfRLDP: Jun 05 15:02:50.302: 50:2f:a8:a2:0a:61 rldp started association, attempt 1
*apfRLDP: Jun 05 15:02:55.346: 50:2f:a8:a2:0a:61 RLDP could not finish the association in time. RLDP State(2)

*apfRLDP: Jun 05 15:02:55.346: 50:2f:a8:a2:0a:61 rldp started association, attempt 2
*apfRLDP: Jun 05 15:03:00.390: 50:2f:a8:a2:0a:61 RLDP could not finish the association in time. RLDP State(2)

*apfRLDP: Jun 05 15:03:00.390: 50:2f:a8:a2:0a:61 rldp started association, attempt 3
*apfOpenDtlSocket: Jun 05 15:03:00.608: apfRoguePreamble = 0 mobile b4:de:31:a4:e0:31.
*apfOpenDtlSocket: Jun 05 15:03:00.808: 50:2f:a8:a2:0a:61 RLDP state RLDP_ASSOC_DONE (3).

*apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Successfully associated with rogue: 50:2F:A8:A2:0A:61

!--- Attempt to get ip from ROGUE

*apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Starting dhcp
*apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31        htype: Ethernet

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31         hlen: 6

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31         hops: 1

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31          xid: 0x3da1f13

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31         secs: 0

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31        flags: 0x0

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31        hw_addr: B4:DE:31:A4:E0:31

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31      client IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31          my IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31      server IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31     gateway IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31   options:

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31         DHCP message: 1 DISCOVER

*apfRLDP: Jun 05 15:03:00.870: DHCP option: 39/57.2: (2)

*apfRLDP: Jun 05 15:03:00.870:      [0000] 02 40

*apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31           host name: RLDP

*apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 RLDP DHCP SELECTING for rogue 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:10.877: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:10.877: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31        htype: Ethernet

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31         hlen: 6

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31         hops: 1

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31          xid: 0x3da1f13

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31         secs: 0

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31        flags: 0x0

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31        hw_addr: B4:DE:31:A4:E0:31

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31      client IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31          my IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31      server IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31     gateway IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31   options:

*apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31         DHCP message: 1 DISCOVER

*apfRLDP: Jun 05 15:03:10.878: DHCP option: 39/57.2: (2)

*apfRLDP: Jun 05 15:03:10.878:      [0000] 02 40

*apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31           host name: RLDP

*apfRLDP: Jun 05 15:03:10.878: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:10.878: 50:2f:a8:a2:0a:61 RLDP DHCP SELECTING for rogue 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31        htype: Ethernet

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31         hlen: 6

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31         hops: 1

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31          xid: 0x3da1f13

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31         secs: 0

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31        flags: 0x0

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31        hw_addr: B4:DE:31:A4:E0:31

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31      client IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31          my IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31      server IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31     gateway IP: 0.0.0.0

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31   options:

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31         DHCP message: 1 DISCOVER

*apfRLDP: Jun 05 15:03:20.885: DHCP option: 39/57.2: (2)

*apfRLDP: Jun 05 15:03:20.885:      [0000] 02 40

*apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31           host name: RLDP

*apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61

!--- RLDP DHCP fails as there is no DHCP server providing IP address

*apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 RLDP DHCP FAILED state for rogue  50:2f:a8:a2:0a:61
*apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 DHCP failed
*apfRLDP: Jun 05 15:03:20.885: Waiting for ARLDP request

推奨事項

疑わしい不正エントリ上で RLDP を手動で起動してください。
RLDP が定期的に実行されるようにスケジュールを設定してください。
RLDP はローカル AP またはモニタモード AP に配備できます。ほとんどの大規模な展開では、クライアントサービスへの影響を排除するため、できる限り RLDP をモニタモード AP 上に展開してください。ただし、この推奨事項では、5 つのローカルモード AP ごとに 1 つのモニタモード AP という一般的な比率で、モニタモード AP のオーバーレイを配備する必要があります。この作業には、Adaptive wIPS モニタモードの AP を活用することもできます。

Rogue Detector AP

不正な探知器の不正なエントリは AP コンソールのこのコマンドで見られる場合があります。配線された悪党に関してはステータスを設定するために、フラグは移動します。

tiagoAP.6d09.eff0#show capwap rm rogue detector 
 LWAPP Rogue Detector Mode
  Current Rogue Table:
  Rogue hindex = 0: MAC 502f.a8a2.0a61, flag = 0, unusedCount = 1
  Rogue hindex = 0: MAC 502f.a8a2.0a60, flag = 0, unusedCount = 1
  Rogue hindex = 7: MAC 502f.a8a2.0d41, flag = 0, unusedCount = 1
  Rogue hindex = 7: MAC 502f.a8a2.0d40, flag = 0, unusedCount = 1

!--- once rogue is detected on wire, the flag is set to 1

AP コンソール内の便利なデバッグコマンド

Rogue_Detector#debug capwap rm rogue detector

*Jun 05 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2
*Jun 05 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec
*Jun 05 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77
*Jun 05 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794
*Jun 05 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80
*Jun 05 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710
*Jun 05 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 05 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*Jun 05 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 05 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e

不正抑止

期待されたデバッグ

*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Updated AP report b4:de:31:a4:e0:30 rssi -33, snr 59 
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Looking for Rogue 00:a3:8e:db:01:b0 in known AP table
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue AP 00:a3:8e:db:01:b0 is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue in same state as before : 6 ContainmentLevel : 4 level 4

*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue detected by AP: b4:de:31:a4:e0:30 
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RadioType: 2 lradInfo->containSlotId = 1 ReceiveSlotId = 1 ReceiveBandId = 1

*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue before Rule Classification : Class malicious, Change by Auto State Contained Change by Auto

*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue doesnt qualify for rule classification : Class malicious, Change by Auto State Contained Change by Auto

*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Manual Contained Flag = 0, trustlevel = 6

*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue AP: 00:a3:8e:db:01:b0 autocontain = 1 Mode = 6

*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 apfRogueMode : 6 apfRogueContainmentLevel : 4 lineNumber : 8225 apfRogueManualContained : 0 function : apfUpdateRogueContainmentState

*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Trying Containment on 1 band for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Skipping xor radio for 1 band and cont slotid 1 
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Found 0 channels to try containment for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Trying Containment on 2 band for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue detected on detected slot 0 containing slot 1 for detecting lrad 00:27:e3:36:4d:a0. 
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Found 1 channels to try containment for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC 00:27:e3:36:4d:a0 RSSI = -28
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC 00:27:e3:36:4d:a0 RSSI = -31
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC b4:de:31:a4:e0:30 RSSI = -33
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC 00:27:e3:36:4d:a0 RSSI = -28 totClientsDetected = 2
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC 00:27:e3:36:4d:a0 RSSI = -31 totClientsDetected = 2
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC b4:de:31:a4:e0:30 RSSI = -33 totClientsDetected = 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP 00:27:e3:36:4d:a0. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP 00:27:e3:36:4d:a0. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP b4:de:31:a4:e0:30. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Containing rogue using 3 container AP(s).Requested containment level : 4
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Checking Impersonation source 00:a3:8e:db:01:b0 detected by b4:de:31:a4:e0:30, FailCnt 0, mode 6, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 3

推奨事項

ローカル/屈曲接続応答モード AP は無線毎に 3 つのデバイスが一度に含まれてい、モニタモード AP は無線毎に 6 つのデバイスが含まれている場合があります。その結果、AP をまだ含まれていません許可されたデバイスの最大数が確認して下さい。最大数のデバイスが抑止されていると、クライアントは抑止の保留状態にあります。
自動抑止ルールを検証してください。

結論

シスコの中央集中型コントローラソリューションの不正検出と抑止は、業界でも最も効果的で影響の少ない不正検出/抑止手法です。ネットワーク管理者はさらに柔軟にソリューションをカスタマイズして、ネットワークの要件に対応できます。

Unified Wireless Network の不正な管理

ダウンロード オプション

翻訳について

目次

概要

前提条件

要件

使用するコンポーネント

不正の概要

不正の検出

オフチャネル スキャニング

モニタ モード スキャニング

ローカル モードとモニタ モードの比較

不正の特定

不正レコード

不正の詳細

不正なイベントをエクスポートするため

不正レコードのタイムアウト

Rogue Detector AP

スケーラビリティに関する考慮事項

RLDP

RLDP の注意事項

スイッチ ポート トレース

不正分類

不正分類ルール

HA ファクト

屈曲接続応答ファクト

不正緩和

不正抑止

不正抑止の詳細

自動抑止

不正抑止の注意事項

締まっているスイッチポート

設定

不正検出の設定

不正検出のチャネル スキャニングの設定

不正分類の設定

不正緩和の設定

設定手動包含

オート包含

Prime Infrastructure を使って

確認

トラブルシューティング

悪党が検出する

有益なデバッグ

一般的なトラップ ログ

推奨事項

悪党が分類されなければ

有益なデバッグ

推奨事項

RLDP は悪党を見つけません

有益なデバッグ

推奨事項

Rogue Detector AP

AP コンソール内の便利なデバッグ コマンド

不正抑止

期待されたデバッグ

推奨事項

結論

関連情報

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

シスコに問い合わせ

関連するシスコ コミュニティ ディスカッション

このドキュメントは次の製品に対応しています

シェアする

ダウンロードオプション

オフチャネルスキャニング

モニタモードスキャニング

ローカルモードとモニタモードの比較

スイッチポートトレース

不正検出のチャネルスキャニングの設定

一般的なトラップログ

AP コンソール内の便利なデバッグコマンド

シスコエンジニア提供

関連するシスココミュニティディスカッション