Catalyst 9800 Wireless Controller에서 AP 패킷 캡처 구성

소개

이 문서에서는 액세스 포인트(AP) 패킷 캡처 기능을 사용하는 방법에 대해 설명합니다.

배경 정보

AP Packet Capture(AP 패킷 캡처) 기능을 사용하면 적은 노력으로 공기 중에 패킷 캡처를 수행할 수 있습니다.이 기능이 활성화되면 특정 무선 MAC 주소(FTP)에서/에서/또는 공중으로 전송되거나 수신되는 지정된 모든 무선 패킷 및 프레임의 복사본이 FTP(File Transfer Protocol) 서버로 전달되며, 여기서 .pcap 파일로 다운로드하여 기본 설정 패킷 분석 도구를 사용하여 열 수 있습니다.

패킷 캡처가 시작되면 클라이언트가 연결된 AP가 FTP 서버에 새 .pcap 파일을 생성합니다(FTP 로그인에 대해 지정된 사용자 이름에 쓰기 권한이 있는지 확인). 클라이언트가 로밍되면 새 AP는 FTP 서버에 새 .pcap 파일을 생성합니다.클라이언트가 SSID(Service Set Identifier) 사이에서 이동하는 경우 AP는 패킷 캡처를 활성 상태로 유지하므로 클라이언트가 새 SSID에 연결할 때 모든 관리 프레임을 볼 수 있습니다.

열린 SSID에서 캡처를 수행할 경우(보안 없음) 데이터 패킷의 내용을 볼 수 있지만 클라이언트가 보안 SSID(비밀번호 보호 SSID 또는 802.1x 보안)에 연결된 경우 데이터 패킷의 데이터 부분이 암호화되며 일반 텍스트로 표시되지 않습니다. 

기능은 IOS AP에만 사용할 수 있습니다(예: AP 3702).

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• 무선 컨트롤러에 대한 CLI(Command Line Interface) 또는 GUI(Graphic User Interface) 액세스
• FTP 서버
• .pcap 파일

사용되는 구성 요소

• 9800 WLC v16.10
• AP 3700
• FTP 서버

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

네트워크 다이어그램

구성

컨피그레이션 전에 무선 클라이언트가 연결할 수 있는 AP를 선택합니다.

1단계. 무선 클라이언트가 연결에 사용할 수 있는 AP와 연결된 현재 사이트 태그를 확인합니다.

GUI:

Configuration(구성) > Wireless(무선) > Access Points(액세스 포인트)로 이동합니다. 

CLI:

# show ap tag summary | inc 3702-02

3702-02 f07f.06e1.9ea0 default-site-tag default-policy-tag default-rf-tag No Default

2단계. 해당 사이트 태그와 연결된 AP 가입 프로필을 확인합니다.

GUI: 

Configuration(구성) > Tags & Profiles(태그 및 프로파일) > Tags(태그) > Site(사이트) > Site Tag Name(사이트 태그 이름)으로 이동합니다.

연결된 AP Join Profile(AP 가입 프로파일)을 기록해 둡니다.

CLI:

# show wireless tag site detailed default-site-tag

Site Tag Name : default-site-tag
Description : default site tag
----------------------------------------
AP Profile : default-ap-profile
Local-site : Yes
Image Download Profile: default-me-image-download-profile

3단계. AP 가입 프로파일에 패킷 캡처 설정을 추가합니다.

GUI:

Configuration(구성) > Tags & Profiles(태그 및 프로파일) > AP Join(AP 조인) > AP Join Profile Name(AP 조인 프로파일 이름) > AP > Packet Capture(패킷 캡처)로 이동하고 새 AP Packet Capture Profile(AP 패킷 캡처 프로파일)을 추가합니다.

패킷 캡처 프로파일의 이름을 선택하고 AP가 패킷 캡처를 전송할 FTP 서버 세부사항을 입력합니다.또한 모니터링할 패킷 종류를 선택해야 합니다.

버퍼 크기 = 1024-4096

기간 = 1-60

캡처 프로필이 저장되면 Update & Apply to Device(업데이트 및 디바이스에 적용)를 클릭합니다.

CLI:

# config t
# wireless profile ap packet-capture Capture-all
# classifier arp
# classifier broadcast
# classifier data
# classifier dot1x
# classifier iapp
# classifier ip
# classifier tcp
# ftp password 0 backup
# ftp path /home/backup
# ftp serverip 172.16.0.6
# ftp username backup
# exit
 
# ap profile default-ap-profile
# packet-capture Capture-all
# end

# show wireless profile ap packet-capture detailed Capture-all

Profile Name : Capture-all
Description  :
---------------------------------------------------
Buffer Size       : 2048 KB
Capture Duration  : 10 Minutes
Truncate Length   : packet length
FTP Server IP     : 172.16.0.6
FTP path          : /home/backup
FTP Username      : backup

Packet Classifiers
  802.11 Control  : Enabled
  802.11 Mgmt     : Enabled
  802.11 Data     : Enabled
  Dot1x           : Enabled
  ARP             : Enabled
  IAPP            : Enabled
  IP              : Enabled
  TCP             : Enabled
  TCP port        : all
  UDP             : Disabled
  UDP port        : all
  Broadcast       : Enabled
  Multicast       : Disabled

4단계. 모니터링할 무선 클라이언트가 이미 SSID 및 패킷 캡처 설정을 사용하여 AP 가입 프로필이 할당된 AP 중 하나에 연결되어 있는지 확인하십시오. 그렇지 않으면 캡처를 시작할 수 없습니다.

팁: 클라이언트가 SSID에 연결할 수 없는 이유를 트러블슈팅하려면 정상적으로 작동하는 SSID에 연결한 다음 결함이 있는 SSID로 로밍하면 캡처는 클라이언트를 따라 모든 활동을 캡처합니다.

GUI:

Monitoring(모니터링) > Wireless(무선) > Clients(클라이언트)로 이동합니다. 

CLI:

# show wireless client summary | inc e4b3.187c.3058

e4b3.187c.3058 3702-02 3 Run 11ac 

5단계. 캡처 시작

GUI:

Troubleshooting(트러블슈팅) > AP Packet Capture(AP 패킷 캡처)로 이동합니다.

모니터링할 클라이언트의 mac 주소를 입력하고 캡처 모드를 선택합니다. 자동은 무선 클라이언트가 연결되는 모든 AP가 자동으로 새 .pcap 파일을 생성함을 의미합니다. 정적을 사용하면 무선 클라이언트를 모니터링할 특정 AP를 하나 선택할 수 있습니다.

시작으로 캡처를 시작합니다.

그런 다음 캡처의 현재 상태를 볼 수 있습니다.

CLI:

# ap packet-capture start <E4B3.187C.3058> auto

 6단계. 캡처를 중지합니다.

원하는 동작이 캡처되면 GUI 또는 CLI에서 캡처를 중지합니다.

GUI:

CLI:

# ap packet-capture stop <E4B3.187C.3058> all

7단계. FTP 서버에서 .pcap 파일을 수집합니다.

이름이 <ap-name><9800-wlc-name>-<#-file><day><month><year>_<year>_<minute><second>.pcap인 파일을 찾아야 합니다.

8단계. 원하는 패킷 분석 도구를 사용하여 파일을 열 수 있습니다.

 다음을 확인합니다.

이 명령을 사용하여 패킷 캡처 기능의 컨피그레이션을 확인할 수 있습니다.

# show ap status packet-capture

Number of Clients with packet capture started : 1

Client MAC      Duration(secs)   Site tag name            Capture Mode
-------------------------------------------------------------------------
e4b3.187c.3058  600              default-site-tag         auto

# show ap status packet-capture detailed e4b3.187c.3058

Client MAC Address    : e4b3.187c.3058
Packet Capture Mode   : auto
Capture Duration      : 600 seconds
Packet Capture Site   : default-site-tag

Access Points with status
AP Name                   AP MAC Addr     Status
----------------------------------------------------
APf07f.06e1.9ea0          f07f.06ee.f590  Started

문제 해결

다음 단계에 따라 이 기능을 해결할 수 있습니다.

1단계. 디버그 조건 사용

# set platform software trace wireless chassis active R0 wncmgrd all-modules debug

2단계. 동작을 재현합니다.

3단계. 현재 컨트롤러의 시간을 확인하여 적시에 로그를 추적할 수 있는지 확인

# show clock

4단계. 로그 수집

# show logging process wncmgrd internal | inc ap-packet-capture

5단계. 로그 조건을 기본값으로 설정합니다.

# set platform software trace wireless chassis active R0 wncmgrd all-modules notice

참고: 문제 해결 세션 후 로그 수준을 설정하여 불필요한 로그가 생성되지 않도록 하는 것이 매우 중요합니다.