Configurar a captura de pacotes AP nos Catalyst 9800 Wireless Controllers

Introduction

Este documento descreve como usar o recurso de Captura de Pacote de Ponto de Acesso (AP - Access Point).

Informações de Apoio

O recurso Captura de pacote AP permite que você realize capturas de pacote no ar com pouco esforço. Quando o recurso está ativado, uma cópia de todos os pacotes e quadros sem fio especificados enviados e recebidos de/para APs de/para um endereço mac sem fio específico pelo ar é encaminhada para um servidor FTP, onde você pode baixá-lo como arquivo .pcap e abri-lo com sua ferramenta de análise de pacote preferencial.

Quando a captura de pacote é iniciada, o AP ao qual o cliente está associado cria um novo arquivo .pcap no servidor FTP (certifique-se de que o nome de usuário especificado para login FTP tenha direitos de gravação). Se o cliente fizer roaming, o novo AP cria um novo arquivo .pcap no servidor FTP. Se o cliente se mover entre os SSIDs (Service Set Identifiers, identificadores do conjunto de serviços), o AP mantém a captura do pacote ativa para que você possa ver todos os quadros de gerenciamento quando o cliente se associa ao novo SSID.

Se você fizer a captura em um SSID aberto (sem segurança), poderá ver o conteúdo dos pacotes de dados, mas se o cliente estiver associado a um SSID seguro (um SSID protegido por senha ou segurança 802.1x), a parte de dados dos pacotes de dados será criptografada e não poderá ser vista em texto claro. 

O recurso está disponível somente para APs IOS (como AP 3702).

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Acesso à Interface de Linha de Comando (CLI - Command Line Interface) ou Interface Gráfica de Usuário (GUI - Graphic User Interface) para os controladores sem fio.
• servidor FTP
• arquivos .pcap

Componentes Utilizados

• WLC 9800 v16.10
• AP 3700
• servidor FTP

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configuração

Diagrama de Rede

Configurações

Antes da configuração, verifique quais seriam os APs aos quais o cliente sem fio poderia se conectar.

Etapa 1. Verifique a marca de site atual associada aos APs que o cliente sem fio pode usar para se conectar.

GUI:

Navegue até Configuração > Sem fio > Pontos de acesso 

CLI:

# show ap tag summary | inc 3702-02

3702-02 f07f.06e1.9ea0 default-site-tag default-policy-tag default-rf-tag No Default

Etapa 2. Verifique o perfil de adesão do AP associado à tag do site

GUI: 

Navegue até Configuration > Tags & Profiles > Tags > Site > Site Tag Name

Anote o Perfil de adesão AP associado

CLI:

# show wireless tag site detailed default-site-tag

Site Tag Name : default-site-tag
Description : default site tag
----------------------------------------
AP Profile : default-ap-profile
Local-site : Yes
Image Download Profile: default-me-image-download-profile

Etapa 3. Adicione as configurações de Captura de Pacotes no perfil AP Join

GUI:

Navegue até Configuration > Tags & Profiles > AP Join > AP Join Profile Name > AP > Packet Capture e adicione um novo AP Packet Capture Profile.

Selecione um nome para o perfil de captura de pacote, insira os detalhes do servidor FTP para os quais os APs enviam a captura de pacote. Verifique também o tipo de pacotes que deseja monitorar.

Tamanho do buffer = 1024-4096

Duração = 1-60

Quando o perfil Capture (Capturar) for salvo, clique em Update & Apply to Device (Atualizar e aplicar ao dispositivo).

CLI:

# config t
# wireless profile ap packet-capture Capture-all
# classifier arp
# classifier broadcast
# classifier data
# classifier dot1x
# classifier iapp
# classifier ip
# classifier tcp
# ftp password 0 backup
# ftp path /home/backup
# ftp serverip 172.16.0.6
# ftp username backup
# exit
 
# ap profile default-ap-profile
# packet-capture Capture-all
# end

# show wireless profile ap packet-capture detailed Capture-all

Profile Name : Capture-all
Description  :
---------------------------------------------------
Buffer Size       : 2048 KB
Capture Duration  : 10 Minutes
Truncate Length   : packet length
FTP Server IP     : 172.16.0.6
FTP path          : /home/backup
FTP Username      : backup

Packet Classifiers
  802.11 Control  : Enabled
  802.11 Mgmt     : Enabled
  802.11 Data     : Enabled
  Dot1x           : Enabled
  ARP             : Enabled
  IAPP            : Enabled
  IP              : Enabled
  TCP             : Enabled
  TCP port        : all
  UDP             : Disabled
  UDP port        : all
  Broadcast       : Enabled
  Multicast       : Disabled

Etapa 4. Certifique-se de que o cliente sem fio que você deseja monitorar já esteja associado a qualquer SSIDs e a um dos APs que atribuíram a tag onde o perfil de junção do AP com as configurações de captura de pacote foi atribuído, caso contrário, a captura não poderá ser iniciada.

Dica: Se você quiser solucionar o problema do motivo pelo qual um cliente não pode se conectar a um SSID, você poderá se conectar a um SSID que funcione bem e, em seguida, navegar até o SSID com falha, a captura seguirá o cliente e capturará toda sua atividade.

GUI:

Navegue até Monitoring > Wireless > Clients (Monitoramento > Sem fio > Clientes) 

CLI:

# show wireless client summary | inc e4b3.187c.3058

e4b3.187c.3058 3702-02 3 Run 11ac 

Etapa 5. Iniciar a captura

GUI:

Navegue até Solução de problemas > Captura de pacote AP

Digite o endereço mac do cliente que deseja monitorar e selecione o modo de captura. Auto significa que cada AP ao qual o cliente sem fio se conecta cria automaticamente um novo arquivo .pcap. Estático permite escolher um AP específico para monitorar o cliente sem fio.

Inicie a captura com Start (Iniciar).

Em seguida, você pode ver o estado atual da captura:

CLI:

# ap packet-capture start <E4B3.187C.3058> auto

 Etapa 6. Parar a captura

Depois que o comportamento desejado for capturado, pare a captura por GUI ou CLI:

GUI:

CLI:

# ap packet-capture stop <E4B3.187C.3058> all

Passo 7. Coletar o arquivo .pcap do servidor FTP

Você deve encontrar um arquivo com um nome como <ap-name><9800-wlc-name>-<##-file><dia><mês>_<hora><minuto><segundo>.pcap

Etapa 8. Você pode abrir o arquivo com a ferramenta de análise de pacote preferida.

 Verificar

Você pode usar esses comandos para verificar a configuração do recurso de captura de pacotes.

# show ap status packet-capture

Number of Clients with packet capture started : 1

Client MAC      Duration(secs)   Site tag name            Capture Mode
-------------------------------------------------------------------------
e4b3.187c.3058  600              default-site-tag         auto

# show ap status packet-capture detailed e4b3.187c.3058

Client MAC Address    : e4b3.187c.3058
Packet Capture Mode   : auto
Capture Duration      : 600 seconds
Packet Capture Site   : default-site-tag

Access Points with status
AP Name                   AP MAC Addr     Status
----------------------------------------------------
APf07f.06e1.9ea0          f07f.06ee.f590  Started

Troubleshoot

Você pode seguir estes passos para solucionar problemas deste recurso:

Etapa 1. Ativar condição de depuração

# set platform software trace wireless chassis active R0 wncmgrd all-modules debug

Etapa 2. Reproduzir o comportamento

Etapa 3. Verifique o tempo do controlador atual para poder rastrear o tempo de login

# show clock

Etapa 4. Coletar os logs

# show logging process wncmgrd internal | inc ap-packet-capture

Etapa 5. Defina novamente a condição de logs como padrão.

# set platform software trace wireless chassis active R0 wncmgrd all-modules notice

Observação: é muito importante que, após uma sessão de solução de problemas, você defina os níveis dos registros novamente para evitar a geração de registros desnecessários.