Catalyst 9800 Wireless Controller에서 스니퍼 모드로 액세스 포인트 구성

소개

이 문서에서는 GUI(Graphic User Interface) 또는 CLI(Command Line Interface)를 통해 Catalyst 9800 Series Wireless Controller(9800 WLC)에서 스니퍼 모드로 AP(Access Point)를 구성하는 방법과 무선 동작 문제를 해결하고 분석하기 위해 스니퍼 AP로 OTA(Packet Capture Over the Air)를 수집하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• 9800 WLC 컨피그레이션
• 802.11 표준의 기본 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• AP 2802
• 9800 WLC Cisco IOS®-XE 버전 17.3.2a
• Wireshark 3.4.4 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

경고

9800이 기본 엔드포인트 학습을 통해 Cisco ACI(Application Centric Infrastructure)에 연결된 경우 스니퍼 모드 AP 기능을 사용하지 마십시오.  9800은 9800의 이그레스 IP 주소에서 소싱한 UDP 캡슐화된 802.11 캡처 패킷을 전송하지만, 소스 MAC 주소가 스니퍼 AP의 무선 MAC이며, 낮은 순서의 니블이 0x0F로 설정됩니다. ACI에서 여러 MAC 주소에서 소싱한 동일한 IP 주소가 표시되므로 문제가 발생합니다.  Cisco 버그 ID CSCwa45713을 참조하십시오 .

구성

고려할 사항:

• 스니퍼 AP를 대상 장치 및 이 장치가 연결된 AP와 가까운 곳에 두는 것이 좋습니다.
• 어떤 802.11 채널 및 너비, 클라이언트 디바이스 및 AP를 사용하는지 확인합니다.

네트워크 다이어그램

설정

GUI를 통해 스니퍼 모드에서 AP 구성

1단계. 그림과 같이 9800 WLC GUI에서 Configuration(구성) > Wireless(무선) > Access Points(액세스 포인트) > All Access Points(모든 액세스 포인트)로 이동합니다.

2단계. 스니퍼 모드에서 사용할 AP를 선택합니다. General(일반) 탭에서 이미지에 표시된 대로 AP의 이름을 업데이트합니다.

3단계. 이미지에 표시된 대로 Admin Status(관리 상태)가 Enabled(활성화됨)인지 확인하고 AP Mode(AP 모드)를 Sniffer(스니퍼)로 변경합니다.

다음 알림과 함께 팝업 창이 나타납니다.

"경고: AP 모드를 변경하면 AP가 리부팅됩니다. Update & Apply to Device to Proceed(계속하려면 디바이스에 업데이트 및 적용)를 클릭합니다."

이미지에 표시된 대로 확인을 선택합니다.

4단계. 이미지에 표시된 대로 Update & Apply to Device를 클릭합니다.

그림과 같이 변경 사항을 확인하는 팝업이 나타나고 AP가 반송됩니다.

CLI를 통해 스니퍼 모드에서 AP 구성

1단계. 스니퍼 모드로 사용할 AP를 결정하고 AP 이름을 가져옵니다.

2단계. AP 이름을 수정합니다.

이 명령은 AP 이름을 수정합니다. 여기서 <AP-name>은 AP의 현재 이름입니다.

carcerva-9k-upg#ap name <AP-name> name 2802-carcerva-sniffer

3단계. 스니퍼 모드에서 AP를 구성합니다.

carcerva-9k-upg#ap name 2802-carcerva-sniffer mode sniffer

GUI를 통해 채널을 스캔하도록 AP 구성

1단계. 9800 WLC GUI에서 Configuration(컨피그레이션) > Wireless(무선) > Access Points(액세스 포인트)로 이동합니다.

2단계. Access Points(액세스 포인트) 페이지에서 5GHz Radio(5GHz 무선) 또는 2.4GHz Radio(2.4GHz 무선) 메뉴 목록을 표시합니다. 이는 이미지에 표시된 대로 스캔하려는 채널에 따라 달라집니다.

2단계. AP를 검색합니다. 이미지에 표시된 대로 아래쪽 화살표 버튼을 클릭하여 검색 툴을 표시하고 드롭다운 목록에서 Contains(포함)를 선택한 다음 AP 이름을 입력합니다.

3단계. 그림과 같이 AP를 선택하고 Configure(구성) > Sniffer Channel Assignment(스니퍼 채널 할당) 아래의 Enable Sniffer(스니퍼 활성화) 확인란을 선택합니다.

 

4단계. 이미지에 표시된 대로 Sniff Channel(스니프 채널) 드롭다운 목록에서 Channel(채널)을 선택하고 스니퍼 IP 주소(Wireshark가 있는 서버 IP 주소)를 입력합니다.

5단계. 대상 장치와 AP가 연결할 때 사용하는 채널 너비를 선택합니다.

이미지에 표시된 대로 이를 구성하려면 Configure(구성) > RF Channel Assignment(RF 채널 할당)로 이동합니다.

CLI를 통해 채널을 스캔하도록 AP 구성

1단계. AP에서 채널 스니프를 활성화합니다. 다음 명령을 실행합니다.

carcerva-9k-upg#ap name <ap-name> sniff {dot11a for 5GHz | dot11bfor 2.4GHz | dual-band} <channel> <Wireshark-server-ip-address>

예:

carcerva-9k-upg#ap name 2802-carcerva-sniffer sniff dot11a 36 172.16.0.190

패킷 캡처를 수집하도록 Wireshark 구성

1단계. Wireshark 시작

2단계. 이미지에 표시된 대로 Wireshark에서 캡처 옵션 메뉴 아이콘을 선택합니다.

3단계. 이 작업은 팝업 창을 표시합니다. 그림과 같이 목록에서 Wired Interface(유선 인터페이스)를 캡처 소스로 선택합니다. 

4단계. 선택한 인터페이스에 대한 Capture filter:(캡처 필터:) 필드 상자 아래에 이미지와 같이 udp 포트 5555를 입력합니다.

5단계. 이미지에 표시된 대로 Start(시작)를 클릭합니다.

6단계. Wireshark가 필요한 정보를 수집할 때까지 기다렸다가 이미지에 표시된 것처럼 Wireshark에서 Stop(중지) 버튼을 선택합니다.

팁: WLAN에서 PSK(Pre-shared Key)와 같은 암호화를 사용하는 경우 캡처에서 AP와 원하는 클라이언트 간의 4방향 핸드셰이크를 캡처하는지 확인합니다. 디바이스가 WLAN에 연결되기 전에 OTA PCAP가 시작되거나, 캡처가 실행되는 동안 클라이언트가 인증되지 않고 재인증된 경우 이 작업을 수행할 수 있습니다.

7단계. Wireshark는 패킷을 자동으로 디코딩하지 않습니다. 패킷을 디코딩하려면 캡처에서 한 줄을 선택하고, 마우스 오른쪽 버튼을 클릭하여 옵션을 표시한 다음 그림과 같이 Decode As...를 선택합니다.

8단계. 팝업 창이 나타납니다. 추가 버튼을 선택하고 새 항목을 추가합니다. 이미지에 표시된 대로 UDP port from Field, 5555 from Value, SIGCOMP from Default, PEEKREMOTE from Current를 선택합니다.

9단계. OK(확인)를 클릭합니다. 패킷이 디코딩되고 분석을 시작할 준비가 됩니다.

다음을 확인합니다.

구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

AP가 9800 GUI에서 스니퍼 모드에 있는지 확인하려면 다음을 수행합니다.

1단계. 9800 WLC GUI에서 Configuration(구성) > Wireless(무선) > Access Points(액세스 포인트) > All Access Points(모든 액세스 포인트)로 이동합니다.

2단계. AP를 검색합니다. 검색 툴을 표시하려면 아래쪽 화살표 버튼을 클릭하고 드롭다운 목록에서 Contains를 선택한 다음 이미지에 표시된 대로 AP 이름을 입력합니다.

3단계. 그림과 같이 Admin Status(관리 상태)가 녹색의 확인 표시이고 AP Mode(AP 모드)가 Sniffer(스니퍼)인지 확인합니다.

AP가 9800 CLI에서 스니퍼 모드에 있는지 확인하기 위해 다음 명령을 실행합니다.

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i Administrative
Administrative State : Enabled

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i AP Mode
AP Mode : Sniffer

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config dot11 5Ghz | i Sniff
AP Mode : Sniffer
Sniffing : Enabled
Sniff Channel : 36
Sniffer IP : 172.16.0.190
Sniffer IP Status : Valid
Radio Mode : Sniffer

패킷을 확인하기 위해 Wireshark에서 디코딩됩니다. Protocol이 UDP에서 802.11로 변경되고 그림과 같이 비컨 프레임이 표시됩니다.

문제 해결

이 섹션에서는 설정 문제 해결을 위해 사용할 수 있는 정보를 제공합니다.

문제: Wireshark가 AP에서 데이터를 수신하지 않습니다.

해결 방법: WMI(Wireless Management Interface)를 통해 Wireshark 서버에 연결할 수 있어야 합니다. WLC에서 Wireshark 서버와 WMI 간의 연결성을 확인합니다.

관련 정보

• Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Amsterdam 17.3.x - 장: 스니퍼 모드

• 802.11 무선 스니핑의 기본 사항
• 기술 지원 및 문서 − Cisco Systems