Introduction
Este documento descreve como usar o recurso de Captura de Pacote de Ponto de Acesso (AP - Access Point).
Informações de Apoio
O recurso Captura de pacote AP permite que você realize capturas de pacote no ar com pouco esforço. Quando o recurso está ativado, uma cópia de todos os pacotes e quadros sem fio especificados enviados e recebidos de/para APs de/para um endereço mac sem fio específico pelo ar é encaminhada para um servidor FTP, onde você pode baixá-lo como arquivo .pcap e abri-lo com sua ferramenta de análise de pacote preferencial.
Quando a captura de pacote é iniciada, o AP ao qual o cliente está associado cria um novo arquivo .pcap no servidor FTP (certifique-se de que o nome de usuário especificado para login FTP tenha direitos de gravação). Se o cliente fizer roaming, o novo AP cria um novo arquivo .pcap no servidor FTP. Se o cliente se mover entre os SSIDs (Service Set Identifiers, identificadores do conjunto de serviços), o AP mantém a captura do pacote ativa para que você possa ver todos os quadros de gerenciamento quando o cliente se associa ao novo SSID.
Se você fizer a captura em um SSID aberto (sem segurança), poderá ver o conteúdo dos pacotes de dados, mas se o cliente estiver associado a um SSID seguro (um SSID protegido por senha ou segurança 802.1x), a parte de dados dos pacotes de dados será criptografada e não poderá ser vista em texto claro.
O recurso está disponível somente para APs IOS (como AP 3702).
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Acesso à Interface de Linha de Comando (CLI - Command Line Interface) ou Interface Gráfica de Usuário (GUI - Graphic User Interface) para os controladores sem fio.
- servidor FTP
- arquivos .pcap
Componentes Utilizados
- WLC 9800 v16.10
- AP 3700
- servidor FTP
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuração
Diagrama de Rede

Configurações
Antes da configuração, verifique quais seriam os APs aos quais o cliente sem fio poderia se conectar.
Etapa 1. Verifique a marca de site atual associada aos APs que o cliente sem fio pode usar para se conectar.
GUI:
Navegue até Configuração > Sem fio > Pontos de acesso

CLI:
# show ap tag summary | inc 3702-02
3702-02 f07f.06e1.9ea0 default-site-tag default-policy-tag default-rf-tag No Default
Etapa 2. Verifique o perfil de adesão do AP associado à tag do site
GUI:
Navegue até Configuration > Tags & Profiles > Tags > Site > Site Tag Name

Anote o Perfil de adesão AP associado

CLI:
# show wireless tag site detailed default-site-tag
Site Tag Name : default-site-tag
Description : default site tag
----------------------------------------
AP Profile : default-ap-profile
Local-site : Yes
Image Download Profile: default-me-image-download-profile
Etapa 3. Adicione as configurações de Captura de Pacotes no perfil AP Join
GUI:
Navegue até Configuration > Tags & Profiles > AP Join > AP Join Profile Name > AP > Packet Capture e adicione um novo AP Packet Capture Profile.

Selecione um nome para o perfil de captura de pacote, insira os detalhes do servidor FTP para os quais os APs enviam a captura de pacote. Verifique também o tipo de pacotes que deseja monitorar.
Tamanho do buffer = 1024-4096
Duração = 1-60


Quando o perfil Capture (Capturar) for salvo, clique em Update & Apply to Device (Atualizar e aplicar ao dispositivo).

CLI:
# config t
# wireless profile ap packet-capture Capture-all
# classifier arp
# classifier broadcast
# classifier data
# classifier dot1x
# classifier iapp
# classifier ip
# classifier tcp
# ftp password 0 backup
# ftp path /home/backup
# ftp serverip 172.16.0.6
# ftp username backup
# exit
# ap profile default-ap-profile
# packet-capture Capture-all
# end
# show wireless profile ap packet-capture detailed Capture-all
Profile Name : Capture-all
Description :
---------------------------------------------------
Buffer Size : 2048 KB
Capture Duration : 10 Minutes
Truncate Length : packet length
FTP Server IP : 172.16.0.6
FTP path : /home/backup
FTP Username : backup
Packet Classifiers
802.11 Control : Enabled
802.11 Mgmt : Enabled
802.11 Data : Enabled
Dot1x : Enabled
ARP : Enabled
IAPP : Enabled
IP : Enabled
TCP : Enabled
TCP port : all
UDP : Disabled
UDP port : all
Broadcast : Enabled
Multicast : Disabled
Etapa 4. Certifique-se de que o cliente sem fio que você deseja monitorar já esteja associado a qualquer SSIDs e a um dos APs que atribuíram a tag onde o perfil de junção do AP com as configurações de captura de pacote foi atribuído, caso contrário, a captura não poderá ser iniciada.
Dica: Se você quiser solucionar o problema do motivo pelo qual um cliente não pode se conectar a um SSID, você poderá se conectar a um SSID que funcione bem e, em seguida, navegar até o SSID com falha, a captura seguirá o cliente e capturará toda sua atividade.
GUI:
Navegue até Monitoring > Wireless > Clients (Monitoramento > Sem fio > Clientes)

CLI:
# show wireless client summary | inc e4b3.187c.3058
e4b3.187c.3058 3702-02 3 Run 11ac
Etapa 5. Iniciar a captura
GUI:
Navegue até Solução de problemas > Captura de pacote AP

Digite o endereço mac do cliente que deseja monitorar e selecione o modo de captura. Auto significa que cada AP ao qual o cliente sem fio se conecta cria automaticamente um novo arquivo .pcap. Estático permite escolher um AP específico para monitorar o cliente sem fio.
Inicie a captura com Start (Iniciar).

Em seguida, você pode ver o estado atual da captura:

CLI:
# ap packet-capture start <E4B3.187C.3058> auto
Etapa 6. Parar a captura
Depois que o comportamento desejado for capturado, pare a captura por GUI ou CLI:
GUI:


CLI:
# ap packet-capture stop <E4B3.187C.3058> all
Passo 7. Coletar o arquivo .pcap do servidor FTP
Você deve encontrar um arquivo com um nome como <ap-name><9800-wlc-name>-<##-file><dia><mês>_<hora><minuto><segundo>.pcap

Etapa 8. Você pode abrir o arquivo com a ferramenta de análise de pacote preferida.

Verificar
Você pode usar esses comandos para verificar a configuração do recurso de captura de pacotes.
# show ap status packet-capture
Number of Clients with packet capture started : 1
Client MAC Duration(secs) Site tag name Capture Mode
-------------------------------------------------------------------------
e4b3.187c.3058 600 default-site-tag auto
# show ap status packet-capture detailed e4b3.187c.3058
Client MAC Address : e4b3.187c.3058
Packet Capture Mode : auto
Capture Duration : 600 seconds
Packet Capture Site : default-site-tag
Access Points with status
AP Name AP MAC Addr Status
----------------------------------------------------
APf07f.06e1.9ea0 f07f.06ee.f590 Started
Troubleshoot
Você pode seguir estes passos para solucionar problemas deste recurso:
Etapa 1. Ativar condição de depuração
# set platform software trace wireless chassis active R0 wncmgrd all-modules debug
Etapa 2. Reproduzir o comportamento
Etapa 3. Verifique o tempo do controlador atual para poder rastrear o tempo de login
# show clock
Etapa 4. Coletar os logs
# show logging process wncmgrd internal | inc ap-packet-capture
Etapa 5. Defina novamente a condição de logs como padrão.
# set platform software trace wireless chassis active R0 wncmgrd all-modules notice
Observação: é muito importante que, após uma sessão de solução de problemas, você defina os níveis dos registros novamente para evitar a geração de registros desnecessários.