Configureer access point in snuffelmodus op Catalyst 9800 draadloze controllers

Inleiding

Dit document beschrijft hoe u een access point (AP) kunt configureren in de snuffelmodus op een Catalyst 9800 Series draadloze controller (9800 WLC) via de grafische gebruikersinterface (GUI) of de opdrachtlijninterface (CLI) en hoe u een Packet Capture (PCAP) over the Air (OTA) kunt verzamelen met het snuffeltoegangspunt om problemen op te lossen en draadloos gedrag te analyseren.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• 9800 WLC-configuratie
• Basiskennis in de 802.11-standaard

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• AP. 2802
• 980 WLC Cisco IOS®-XE versie 17.3.2a
• Wireshark 3.4.4 of hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Voorbehouden

Gebruik de functie Sniffer Mode AP niet als de 9800 is verbonden met Cisco Application Centric Infrastructure (ACI) met standaard endpoint learning.  De 9800 zal zijn UDP-ingekapselde 802.11-ingekapselde pakketten verzenden die afkomstig zijn van het uitgaande IP-adres van de 9800's, maar waarbij het MAC-adres van de bron het MAC-adres van de radio van de AP is, met een laag-orde nibble ingesteld op 0x0F. Dit zal problemen veroorzaken omdat ACI hetzelfde IP-adres zal zien dat afkomstig is van meerdere MAC-adressen.  Zie Cisco bug-id CSC45713 .

Configureren

Aandachtspunten:

• Aanbevolen wordt om het snuffeltoegangspunt te sluiten bij het doelapparaat en het toegangspunt waarmee dit apparaat is verbonden.
• Zorg ervoor dat u weet welk 802.11-kanaal en -breedte, het clientapparaat en het toegangspunt gebruiken.

Netwerkdiagram

Configuraties

AP in snuffelmodus configureren via GUI

Stap 1. Op de 9800 WLC GUI, navigeer naar Configuration > Wireless > Access points > Alle access points, zoals in de afbeelding.

Stap 2. Selecteer het toegangspunt dat in de snuffelmodus moet worden gebruikt. Werk op het tabblad Algemeen de naam van het toegangspunt bij, zoals in de afbeelding.

Stap 3. Controleer of de beheerstatus ingeschakeld is en verander de AP-modus in Sniffer, zoals in het beeld wordt weergegeven.

Er verschijnt een pop-upvenster met de volgende waarschuwing:

"Waarschuwing: door het wijzigen van de AP-modus wordt het AP opnieuw opgestart. Klik op Bijwerken en toepassen op apparaat om verder te gaan"

Selecteer OK, zoals in de afbeelding.

Stap 4. Klik op Bijwerken en toepassen op apparaat, zoals in de afbeelding.

Er verschijnt een pop-upvenster om de wijzigingen en de weerkaatsing van het toegangspunt te bevestigen, zoals in de afbeelding wordt weergegeven.

AP configureren in snuffelmodus via CLI

Stap 1. Bepaal het toegangspunt dat als snuffelmodus moet worden gebruikt en pak de naam van het toegangspunt.

Stap 2. Wijzig de AP naam.

Deze opdracht wijzigt de AP-naam. Waar <AP-name> de huidige naam van het AP is.

carcerva-9k-upg#ap name <AP-name> name 2802-carcerva-sniffer

Stap 3. Configureer het toegangspunt in de modus Sniffer.

carcerva-9k-upg#ap name 2802-carcerva-sniffer mode sniffer

AP configureren om een kanaal te scannen via GUI

Stap 1. In de 9800 WLC GUI, navigeer naar Configuration > Wireless > Access points.

Stap 2. Geef op de pagina Access points de menulijst met 5 GHz-radio's of 2,4 GHz-radio's weer. Dit is afhankelijk van het kanaal dat u wilt scannen, zoals in de afbeelding wordt aangegeven.

Stap 2. Zoek op het toegangspunt. Klik op de knop pijl-omlaag om het zoekgereedschap weer te geven, selecteer Bevat in de vervolgkeuzelijst en typ de naam van het toegangspunt, zoals in de afbeelding.

Stap 3. Selecteer het toegangspunt en vink het aanvinkvakje Sniffer inschakelen aan onder het kopje Configureren > Kanaaltoewijzing Sniffer, zoals in de afbeelding.

 

Stap 4. Selecteer het kanaal in de vervolgkeuzelijst Snijkanaal en typ het IP-adres voor Sniffer (IP-adres van server met Wireshark), zoals in de afbeelding.

Stap 5. Selecteer de breedte van het kanaal die het doelapparaat en het toegangspunt gebruiken bij de verbinding.

Navigeer om > RF-kanaaltoewijzing te configureren om dit te configureren, zoals in de afbeelding wordt getoond.

AP configureren om een kanaal te scannen via CLI

Stap 1. Schakel de kanaalsnufjes op het toegangspunt in. Voer deze opdracht uit:

carcerva-9k-upg#ap name <ap-name> sniff {dot11a for 5GHz | dot11bfor 2.4GHz | dual-band} <channel> <Wireshark-server-ip-address>

Voorbeeld:

carcerva-9k-upg#ap name 2802-carcerva-sniffer sniff dot11a 36 172.16.0.190

Configuratie van Wireshark om de pakketvastlegging te verzamelen

Stap 1. Start Wireshark.

Stap 2. Selecteer het pictogram Opname-opties in Wireshark, zoals in de afbeelding.

Stap 3. Deze actie toont een pop-upvenster. Selecteer de bekabelde interface in de lijst als bron voor de opname, zoals in de afbeelding. 

Stap 4. Typ onder het filter Opname voor geselecteerde interfaces: veldvak udp poort 5555, zoals in de afbeelding.

Stap 5. Klik op Start, zoals in de afbeelding.

Stap 6. Wacht op Wireshark om de vereiste informatie te verzamelen en selecteer de Stop-knop van Wireshark, zoals in de afbeelding.

Tip: Als het WLAN codering gebruikt zoals een vooraf gedeelde sleutel (PSK), zorg er dan voor dat de opname de vierwegse handdruk tussen het toegangspunt en de gewenste client vangt. Dit kan worden gedaan als de OTA PCAP begint voordat het apparaat wordt gekoppeld aan het WLAN of als de client wordt gedeauthenticeerd en opnieuw geauthenticeerd terwijl de opname wordt uitgevoerd.

Stap 7. Wireshark decodeert de pakketten niet automatisch. Om de pakketten te decoderen selecteert u een lijn uit de opname, klikt u met de rechtermuisknop om de opties weer te geven en selecteert u Decode als..., zoals in de afbeelding.

Stap 8. Er verschijnt een pop-upvenster. Selecteer de knop Add en voeg een nieuwe ingang toe, selecteer deze opties: UDP-poort uit veld, 5555 uit Value, SIGCOMP van Default, en PEEKREMOTE van Current, zoals in de afbeelding.

Stap 9. Klik op OK. De pakketten zijn gedecodeerd en klaar om de analyse te starten.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Zo bevestigt u dat het toegangspunt zich in de Sniffermodus van de 9800 GUI bevindt:

Stap 1. Op de 9800 WLC GUI Navigeren naar Configuratie > Draadloos > Access points > Alle access points.

Stap 2. Zoek op het toegangspunt. Klik op de pijl-omlaag om het zoekgereedschap weer te geven, selecteer Bevat in de vervolgkeuzelijst en typ de naam van het toegangspunt, zoals in de afbeelding.

Stap 3. Controleer of de Admin Status met het selectieteken groen is en of de AP-modus Sniffer is, zoals in de afbeelding wordt weergegeven.

Om te bevestigen dat het toegangspunt zich in de Sniffermodus van de 9800 CLI bevindt. Voer deze opdrachten uit:

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i Administrative
Administrative State : Enabled

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i AP Mode
AP Mode : Sniffer

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config dot11 5Ghz | i Sniff
AP Mode : Sniffer
Sniffing : Enabled
Sniff Channel : 36
Sniffer IP : 172.16.0.190
Sniffer IP Status : Valid
Radio Mode : Sniffer

Om te bevestigen dat de pakketten zijn gedecodeerd op Wireshark. Het protocol verandert van UDP in 802.11 en er worden beacon frames gezien, zoals in de afbeelding.

Problemen oplossen

Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

Probleem: Wireshark ontvangt geen gegevens van het toegangspunt.

Oplossing: De WirelessShark-server moet bereikbaar zijn via de Wireless Management Interface (WMI). Bevestig de bereikbaarheid tussen de Wireshark-server en de WMI vanuit de WLC.

Gerelateerde informatie

• Software voor Cisco Catalyst 9800 Series draadloze controller, Cisco IOS XE Amsterdam 17.3.x - Hoofdstuk: Sniffer Mode

• Basisprincipes van 802.11 wireless sniffing
• Technische ondersteuning en documentatie – Cisco Systems