802.11 无线嗅探分析和故障排除

已更新: 2024 年 1 月 16 日
文档 ID:200527

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

简介
背景信息
成功捕获的核对表
嗅探器工具
Mac OS X无线嗅探工具
Airportd
机场设施
tcpdump
Wi-Fi诊断
Airtool
使用Windows 7和3.4进行无线嗅探(已弃用方法)
简介
在嗅探器模式下使用思科轻型接入点(LAP)进行无线嗅探
简介
配置步骤
第 1 步:WLC/AP端
第二步:嗅探器端:Wireshark
第三步:嗅探器端:OmniPeek
使用Cisco®自治(IOS) AP进行无线嗅探
将捕获文件上传到TAC服务请求
嗅探器分析
802.11嗅探器捕获分析-物理层
简介:无线数据包捕获中的物理层信息
无线数据包报头-示例
802.11嗅探器捕获分析- Wireshark过滤
简介
Wireshark过滤-wlan
目标
先决条件
为什么需要捕获无线嗅探器跟踪
为什么需要使用无线嗅探器捕获过滤器
何时使用显示过滤器和捕获过滤器
如何过滤
菜单栏
主工具栏
过滤器工具栏
Packet List窗格
数据包详细信息窗格
Packet Bytes窗格
状态栏
初始Statusbar
使用捕获过滤器
显示过滤器
使用着色过滤器规则
802.11嗅探器捕获分析-管理帧和开放式身份验证
简介
802.11 -帧和开放式身份验证
802.11客户端身份验证过程
管理帧
控制帧
数据帧
参考
802.11嗅探器捕获分析-采用PSK或EAP的WPA/WPA2
WPA-PSK(TKIP)
WPA2-PSK(AES/TKIP)
如何使用Wireshark解密无线数据包捕获上的WPA2 AES数据
要求:
Process
WPA/WPA2企业
带dot1x的WPA(TKIP)/WPA2(AES) (EAP-TLS)
802.11嗅探器捕获分析-组播
简介
解决方案
WLC上的IGMP监听
组播模式使用指南
配置组播(使用组播-组播模式)
在无线LAN控制器上
有线网络中的组播配置
数据包捕获
拓扑
MCAST流量生成器工具
MCAST生成器上的有线Wireshark数据包捕获
Mcast数据包生成器上的Windows Netmon捕获
无线客户端无线接口上的Wireshark捕获
无线客户端无线接口上的Netmon捕获
802.11嗅探器捕获分析- Web身份验证
简介
配置Webauth
WLCC上的配置
以下是客户端尝试连接时的客户端调试
参考:

    简介

    本文档介绍收集良好的无线嗅探器轨迹以进行 802.11 行为分析和故障排除的过程。 

    背景信息

    此过程可能是一个困难且耗时的操作。要简化和加速此过程,需要谨记以下几点。通过无线嗅探,可以了解您需要做什么。您希望从空中捕获原始无线帧,如无线嗅探设备本身所见。  

    成功捕获的核对表

    第1步:由于嗅探设备、客户端设备和AP使用产生射频的无线电进行传输或接收,因此让无线嗅探器靠近目标设备(客户端计算机)很有帮助。这样,您的嗅探设备就可以捕获客户端设备在空中所听到的信息。

    第2步:使用单独的设备充当无线嗅探器。如果在测试设备(要获取无线跟踪的客户端计算机)上运行良好的无线嗅探器跟踪,则无法进行良好的无线嗅探器跟踪。

    第3步:在设置捕获之前,确切了解客户端设备使用的802.11信道和带宽。将您的嗅探器锁定到感兴趣的频道-请勿使用嗅探器的扫描频道模式!  (使用扫描通道时,嗅探器每隔一秒左右在通道之间循环。这对于现场勘测或查找恶意程序很有用,但当您尝试捕获802.11问题时则没有用。)

    此外,请记住,您的客户端设备可以漫游到位于不同RF信道或频段上的另一个AP,因此您需要进行相应的规划。通常在802.11b/g (2.4GHz)环境中,可能需要三通道嗅探器。这涉及到在嗅探设备上使用3个无线适配器,每个适配器都设置为信道1、6和11。USB无线适配器最适合此类型的设置。

    第4步:如果排除5GHz故障,信道数量将急剧增加。由于您没有足够的卡来捕获所有信道,因此最好在周围的接入点上运行不超过4个信道。

      

    第5步:如果当客户端从一个信道漫游到另一个信道时,您可以重现该问题,那么2信道嗅探就足够了。  如果只有一个通道嗅探器可用,则让其嗅探漫游目标通道。

    第6步:始终NTP同步您的嗅探器。  数据包捕获需要与debug捕获以及其它有线和/或无线捕获核对。  时间戳哪怕只有一秒钟,都会使归类更加困难。

    第7步:如果捕获时间很长(小时),请将嗅探器配置为每30MB左右剪切一个新的捕获文件。  为了不使硬盘驱动器充满,您需要对写入的文件数量设置上限。

    注释图标

    注意:Linksys USB600N无法可靠地收集防护间隔较短的11n数据包。它错过了20%到30%的短保护间隔数据包。如有必要,可以将WLC配置更改为仅使用较慢的长防护间隔。这只能是临时配置更改。命令为config 802.11 {a | b}11nsupport guard-interval {any | long}

    嗅探器工具

    使用Mac和OS X 10.6及更高版本的无线嗅探。

    Mac上的无线嗅探功能很有效,而Mac OS X内置了捕获无线跟踪的工具。  但是,这取决于您运行的OS X的版本,因为命令可能有所不同。本文档介绍最新版本的OS X 10.6。Wi-Fi诊断是最新的MacBook中的首选方法。最好记住,您的macbook嗅探器至少需要像您正在嗅探的客户一样强大(嗅探带有802.11n macbook的802.11ac智能手机不是最佳选择)。

    Mac OS X无线嗅探工具

    • airportd (10.6-10.8)
    • airport utility (10.6 ― 10.8)
    • tcpdump (10.8)
    • Wi-Fi诊断(10.7->10.12)
    • Wireshark (10.6 ― 10.8)
    • 第三方工具:Airtool

    Airportd

    如果运行OS X 10.6 (Snow Leopard)或更高版本,您可轻松地使用命令行实用程序airportd。 

    请使用以下步骤:

    • 使用命令+空格键组合键在屏幕的右上角显示搜索对话框,并键入单词terminal。这可以搜索终端应用。选择此应用程序运行它。可能会出现终端窗口。
    • 打开终端窗口后,可以运行此命令来捕获RF信道11 (802.11b/g)上的无线嗅探器踪迹:

    sudo /usr/libexec/airportd en1 sniff 11

    需要记住以下事项:

      • 系统会提示您输入帐户密码进行验证。
      • 不能指定捕获文件的名称或输出位置。
      • 捕获过程中,您与网络的所有无线连接都将断开。
      • 如果使用Air,则无线适配器为en0而不是en1。

    完成跟踪后,单击Cntl-C停止跟踪,实用程序将显示捕获文件的名称和位置。文件格式是可以在MAC或Windows上通过Wireshark读取的标准Wireshark PCAP文件。

    机场设施

    Airport实用程序不是嗅探器程序;但是,它可以提供有关无线LAN的信息。此外,它还能够设置默认无线通道,这对于本身无法设置通道的嗅探器程序(tcpdump、Wireshark)至关重要。

    注释图标

    注意:由于到机场实用程序的路径非常丑陋,因此建议从路径中的目录设置指向该路径的符号链接。例如,# sudo ln -s /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport /usr/sbin/airport。

    设置无线通道

    # sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport —channel=48

    转储显示的SSID/BSSID信息

    # sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s

                  SSID BSSID RSSI CHANNEL HT CC SECURITY (auth/unicast/group)

                   测试00:24:97:89:cb:41 -53 11 Y — WPA(PSK/TKIP/TKIP) WPA2(PSK/AES/TKIP)

                   测试2 00:24:97:89:cb:40 -53 11 N — WPA(PSK/TKIP/TKIP)

                   访客00:22:75:e6:73:df -64 6,-1 Y — WPA(PSK/AES,TKIP/TKIP) WPA2(PSK/AES,TKIP/TKIP)

    有关当前关联的详细信息

    # sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -I

    agrCtlRSSI:-54

    agrExtRSSI:0

    agrCtlNoise: -89

    agrExtNoise:0

    状态:正在运行

    操作模式:站点

    lastTxRate:300

    最大速率:300

    lastAssocStatus: 0

    802.11身份验证:打开

    链路身份验证:wpa2-psk

    BSSID:0:24:97:95:47:60

    SSID:GuestNet

    MCS:15

    信道:36,1

    tcpdump

    Tcpdump是OS X附带的命令行实用程序,可执行数据包捕获(与Wireshark捆绑的tshark实用程序非常相似)。  要使用tcpdump执行无线数据包捕获,请执行以下操作:

    • 首先,设置信道并使用airport实用程序(如前所示)。
    • 然后,执行无线数据包捕获,并保存到文件。  完成后,键入Control/C退出。

    示例:

    bash-3.2# tcpdump -I -P -i en1 -w /tmp/channel-11.pcap

    tcpdump:警告: en1:未分配IPv4地址

    tcpdump:listening on en1、link-type IEEE802_11_RADIO(802.11 plus radiotap报头)、capture size 65535 bytes

    ^C
    捕获897个数据包

    过滤器接收了968个数据包

    内核丢弃0个数据包

    bash-3.2#

    Wi-Fi诊断

    最简单的捕获方法是使用称为Wi-Fi诊断的图形程序。 

    按住ALT 键并单击右上角的wifi图标(通常选择要连接的SSID的图标)可以访问它。

    创建诊断报告

    单击列表中的Open Wireless Diagnostics选项。

    它会打开一个窗口,运行关于故障排除的默认报告。这通常不是您感兴趣的内容。

    简介

    保持该窗口打开并导航到屏幕顶部的菜单栏。单击Window。您将看到各种工具的列表(对现场勘测或信号分析很有用)。在无线嗅探器捕获范围内,如果对嗅探器选项感兴趣,请单击该选项。

    Introduction下拉菜单

    然后,您只需选择主信道和信道宽度。

    从Mac Os Sierra开始,嗅探器捕获保存在桌面或/var/tmp/中。

    Airtool

    一些第三方工具还支持许多mac os x版本,并通过更简单的通道选择选项增强了嵌入式嗅探功能。其中一个例子是Airtool。

    使用Windows 7和3.4进行无线嗅探(已弃用方法)

    简介

    有了Microsoft Network Monitor ( 3.4),您现在可以使用标准无线适配器在Windows 7中执行一些像样的802.11a/b/g(或许11n)无线嗅探。  保存自的文件可通过最新的(1.5及更高版本)Wireshark读取,但无法通过OmniPeek读取。需要注意的是,Microsoft不再支持这些帧,而且它们通常不能在11n和11ac适配器上正常工作(大多数帧丢失)。

    XP SP3支持Netmon 3.4;但是,运行XP时,它不支持无线探查。对于Vista,体验是混杂在一起的。 

    本文档的Netmon detailed部分已被删除,因为它已弃用,无法可靠地捕获802.11ac帧。

    有关详细信息,请参阅使用Netmon的Windows无线嗅探

    在嗅探器模式下使用思科轻型接入点(LAP)进行无线嗅探

    简介

    您可以在嗅探器模式下将Cisco WLC和LAP与有线嗅探器结合使用(使用Wireshark可获得最佳效果。Omnipeek以与版本10不同的方式解密协议)。

    单个有线嗅探器可以从多个AP收集数据包,因此此方法对于运行多通道跟踪非常有用。对于静态情况,如果可以移动嗅探器AP,则可以将其用作其他嗅探器选项的有效替代方案。

    对于漫游场景,嗅探器AP通常安装在客户端漫游的AP附近,这样可以报告静态AP的“视点”,而不是客户端。

    为了在漫游时从客户端的视角查看RF,可以使用带有多个无线网卡且可以使用测试客户端的笔记本电脑捕获多信道无线跟踪。

    配置步骤

    第 1 步:  WLC/AP端

    以下是收集使用嗅探器模式LAP的跟踪的步骤。

    在嗅探器模式下配置AP:

    嗅探器选择

    AP可以重新启动,但无法为客户端提供服务。 AP重新加入WLC后,请配置AP的无线电(802.11b/g/n或802.11a/n):  

             

    • 指定嗅探器IP地址
    • 选择信道
    • 启用嗅探

    嗅探器分配

    嗅探器从WLC管理IP地址接收封装的802.11流量并使用airopeek协议,源端口为UDP/5555,目的端口为UDP/5000。

    第二步:嗅探器端:Wireshark

    如果使用Wireshark接收流量,请执行以下步骤:

    • 设置捕获选项以仅接收来自嗅探器AP的流量。如果仅对端口UDP 5000设置过滤器,则如果AP必须对数据包进行分段(如果它嗅探到需要添加PEEKREMOTE封装的1500字节长的帧,则会发生这种情况),捕获中会遗漏IP分段:

    此过滤器是可选的,但强烈建议使用此过滤器,因为它会排除捕获中的所有非无线相关流量。假设WLC将流量发送到UDP端口,并且嗅探器端没有侦听任何应用;这会导致从WLC收到的每个数据包都出现ICMP端口不可达响应。


    虽然这是预期结果,但过滤器还有助于排除这种无用的流量,它只会导致跟踪变得更大、更难读取。

    然后,开始捕获:

    嗅探器代码

    捕获的流量必须解码为。. PEEKREMOTE,以便能够看到802.11流量:

    选择Decode和Destination PortWireshark

    • 现在,可以看到802.11流量:

    代码

    图中所示的RF信息(即信道、信号强度、噪声等)由AP添加。

    第三步:嗅探器端:OmniPeek

    在嗅探器模式下使用OmniPeek作为来自WLC/AP的流量流接收方时,首先必须在Capture Options窗口的Adapter菜单下创建Cisco Remote Adapter

    Omnipeek适配器属性名称

    至少需要一个适配器;名称是必填字段,而如果不希望OmniPeek过滤来自特定WLC的传入流量,则IP Address字段可以留空。

    在这种情况下,不需要过滤掉任何流量(例如ICMP端口不可达),因为OmniPeek在UDP端口上侦听,以专门捕获来自无线局域网控制器的数据流。

    在开始捕获之前,请确认OmniPeek主窗口中的设置:

    Omnipeek开始捕获

    此时,可以开始捕获,结果是一个跟踪,其中包括AP报告的RF信息:

    Omnipeek数据包信息

    注释图标

    注意:默认情况下,OmniPeek远程适配器会获取AP自身发送的时间戳。此信息与AP时钟无关,因此产生的时间戳可能不正确。如果使用单个嗅探器AP,则时间戳可能错误,但至少是一致的。如果您使用多个AP作为嗅探器(因为每个AP都发送自己的时间戳信息,导致合并捕获出现奇怪的时间跳跃),则不再如此。

    解决方案

    您可以明确告知OmniPeek使用本地嗅探器PC时钟设置数据包时间戳。

    这样可以解决单个和多AP场景,并且只要运行OmniPeek的PC具有NTP同步时钟,就会具有正确且一致的时间戳。

    操作步骤:

    在OmniPeek中,执行以下步骤:

    1. 导航到工具>选项>分析模块

    2. 搜索cisco remote adapter,然后双击以显示选项。

    3. 单击Timestamp选项,然后单击OK并再次测试捕获。

    Omnipeek适配器选项

    使用Cisco®自治(IOS) AP进行无线嗅探

    自治AP可用于收集无线数据包捕获。以下说明列出了如何执行空气捕获。

    1. 输入要在其上执行捕获的dot11radio接口。将工作站角色设置为嗅探器,添加可运行Wireshark并收集捕获信息的服务器/PC IP,并选择通道。使用monitor frames 命令指定的端口可以是AP发送捕获的目标UDP端口。

    命令
    目的

    第 1 步

    int {d0 | d1}

    进入用于配置无线电接口的接口配置命令模式。

    步骤 2

    station-role sniffer

    将工作站角色更改为sniffer

    步骤 3

    信道编号

    选择在嗅探器模式下运行的通道。

    步骤 4

    no shut

    取消关闭接口。

    步骤 5

    退出

    退出接口配置命令模式。

    步骤 6

    sniffer ip-address destination-ip port port-number

    设置AP将所有数据包重定向到的IP地址和端口号。您可以在介于1024和65535之间的任何端口号上指定IP地址。

    步骤 7

    wireshark启用

    如果在终端使用Wireshark,这会将Wireshark报头添加到数据包。

    配置示例:

    ap(config)# int d0

    ap(config)-if# station-role sniffer

    ap(config)# channel 11

    ap(config)# no shut

    ap(config)# exit

    ap(config)# sniffer ip-address 10.10.10.1 30 port 5555

    ap(config)# wireshark enable

    2. 在服务器/PC上启动Wireshark。导航到Capture > Options。选择以太网网卡(LAN)并添加过滤器,以仅捕获具有步骤1中指定的UDP端口的流量。

    Wireshark选项

    3. 开始Wireshark捕获。

    将捕获文件上传到TAC服务请求

    如果捕获文件太大,无法发送电子邮件,您可以将其上传到TAC服务请求:

    https://tools.cisco.com/ServiceRequestTool/query/

    输入您的SR编号,然后单击File Upload

    嗅探器分析

    要分析无线捕获,请参阅列出的链接。它们按顺序阅读,因为每个文档都建立在前面的文档之上。  请记住,读取任何无线跟踪时,最好了解802.11无线规范。  这些文档非常有助于您了解数据包流以及在无线跟踪中要查找的内容。它们并非用于讲授802.11无线规范。

    802.11嗅探器捕获分析-物理层

    简介:无线数据包捕获中的物理层信息

    捕获的数据包包含帧数据的副本,但每个帧的前缀是一个元数据报头,它为您提供有关如何捕获该帧的信息。  对于有线数据包,元数据并不多。它是帧编号、捕获数据包的日期和数据包的长度。  当您执行有线数据包分析时,您很少会过于关注物理层,因为比特误码率为1010,您通常假定捕获的比特就是他们声称的比特。

    无线则是另一个完全不同的故事。物理层比有线层更复杂、更危险。  在您尝试根据上层来分析捕获之前,最好先了解捕获所处物理层。  如果物理层工作不正常,则上层将永远不会有机会。

    物理层的品质尤其重要,需要注意:

    信号强度(RSSI、信号强度、信噪比)  通常,最好关注RSSI(如果可用)。嗅探适配器接收数据包的功率级别(以dBm为单位): 

    • RSSI < -90 dBm:此信号在接收方可以接收的信号的边缘非常微弱。
    • RSSI -67dBm:这是一个相当强的信号-思科认为足以支持WLAN语音的信号的边缘。
    • RSSI > -55dBm:这是一个非常强的信号。
    • RSSI > -30dBm:您的嗅探器就坐在发射器旁边。

    信道(频率)。由于无线LAN可以支持3到25个左右的不同信道,因此必须确切了解捕获来自哪个信道。  如果意图获取来自特定AP的嗅探,请将嗅探锁定到该AP的信道,并验证捕获是否在该信道上,否则捕获可能毫无价值。

    .

    数据速率可以是从1Mbps到300Mbps或更高的任意值。  要了解为什么数据传输并不总是在发送方和接收方之间传输,您必须知道使用的数据速率。  对于调制速度为54Mbps的数据包,-80dBm的“临界”RSSI工作情况非常糟糕,但对于6Mbps的数据包,RSSI则相当令人满意。

    无线数据包报头-示例

    不同的无线嗅探器可以使用不同的元数据报头格式来编码无线物理层。  请注意,信息的准确性取决于使用的具体适配器硬件和驱动程序。  某些值(例如噪声)通常会被考虑在内。

    这些示例突出显示了data ratefrequencyRSSI字段。

    Mac OS X 10.7无线诊断(Broadcom适配器)

    OS X 10.7使用Radiotap v0报头,在Wireshark中如下所示:

    嗅探器代码显示

    OmniPeek 6.8(Ralink USB适配器)

    在Wireshark中,OmniPeek捕获使用Airopeek信头,如下所示:

    嗅探器数据速率、信道和信号强度

    Wireshark(从1.6.x开始)不知道如何解码OmniPeek捕获中的所有无线元数据-在OmniPeek中查看的同一帧本身显示信号dBm、噪声水平和噪声dBm

    嗅探器结果

    Netmon 3.4

    嗅探器802.11频率

    将无线文件应用为Wireshark列。

    如果您将无线字段应用为列,则通常更易于了解无线嗅探器的情况。具体操作如下:

    1.在数据包详细信息部分(如有必要,首先展开适用的报头部分)找到感兴趣的字段,然后右键单击该字段。  选择Apply as Column

    Sniffer下拉菜单

    2.此时将显示新列。  现在,您可以调整大小、重命名(右键单击列标题并选择编辑列详细信息)并根据需要移动列。

    3.对其他感兴趣的栏重复上述操作。  现在,您可以更好地处理捕获的物理层方面。

    嗅探器数据

    4.应用新列后,下次运行Wireshark时,该列将可用(如果未看到,请右键单击列标题并选择显示的列。)

    802.11嗅探器捕获分析- Wireshark过滤

    简介

    '802.11嗅探器捕获分析- Wireshark过滤

    Wireshark过滤-wlan

    目标

    本文档可以指导您如何设置wireshark并分析使用wireshark程序中的多功能工具(称为wireshark过滤器)的相关数据包。

    先决条件

    Wireshark工具本身无法帮助您完成故障排除过程,除非您对协议、网络拓扑以及采用嗅探器跟踪应考虑的数据点有良好的了解和理解。无论对于有线网络还是无线网络,都是如此。在无线网络中,数据包进入网络之前,我们可以通过无线方式捕获数据包。无线MAC地址的删除由AP完成。

    为什么需要捕获无线嗅探器跟踪

    当您检查使用有线嗅探器跟踪的有线网络中的流量或数据时,如果无法找到我们感兴趣的数据包,则需要知道它遗漏了什么位置。您的怀疑可以让您验证它是否通过来源的第一点,即无线、工作正常与否(在空中被错过)。如果它在空中无法正确传输,则显然它不存在,或无法被转换,或通过AP发送到有线端到DS或分布系统。因此,使用无线嗅探器跟踪来识别和定位无线网络问题就变得至关重要。

    为什么需要使用无线嗅探器捕获过滤器

    在排除网络相关故障时,会存在许多依赖关系,而且都是以分层模式进行的,并且每层数据都取决于其下层。有许多组件(或网络元素)以及设备的配置和正确操作可以帮助我们实现网络平稳运行。当正常工作的网络停止运行时,需要使用逻辑方法来定位问题。一旦确定,就很难找到确切的故障点。在这些情况下,嗅探者会来协助我们。尽管您采用了最佳方法,即使您对故障排除技能非常熟悉,此故障排除过程也可能变得复杂。问题是,如果您捕获通过网络设备传输的数据包,可能会有巨大的文件,如果捕获的时间足够长,并且其中包含大量数据包详细信息,甚至可能以1G结束。在如此庞大的数据量下,确定问题的具体位置非常耗时,并且会变成一项非常困难的任务。 过滤可以帮您解决问题,帮助您快速发现问题,消除不需要的流量,减少需要同时关注的变量。这有助于快速查找所收集的流量中是否存在相关流量。 

    • 显示过滤器-捕获大量信息后,它们将帮助您仅可视化您感兴趣的数据包。
    • 捕获过滤器-从一开始,您就知道自己感兴趣的数据包,并只捕获这些数据包。
    • 用于为数据包着色过滤器-这可用作视觉辅助来增强显示过滤器或捕获过滤器,或者可在没有任何过滤器的情况下用于将许多不同数据包分类为各种颜色以进行高级方法。

    何时使用显示过滤器和捕获过滤器

    当您知道要查找什么内容并尝试在流向该事件的流量中验证时,建议使用捕获过滤器。当您在交通繁忙的环境中运行超过几个小时时,就会捕获到它。这有助于使收集的数据在文件大小方面保持合理。

    如果您目前不确定导致问题的原因,并且它更多的是一种行为随机性,则可以在问题发生模式的可能窗口内运行更少时间的数据包捕获(例如一两个小时),并捕获所有流量。然后,使用“显示”过滤器只显示您要搜索的信息。 除此之外,人们还可以看到所有的捕获和使用着色规则,以吸引特定类型数据包的注意,这些数据包被赋予不同的颜色,从而便于对数据包流进行排序或区分。

    如何过滤

    您必须了解典型wireshark嗅探器跟踪中的各个字段。将其细分并定义每个字段。

    您将重点关注3个使用过滤功能需要了解的项目。

    • 捕获过滤器
    • 显示过滤器
    • 着色规则过滤器

    在深入了解详细信息之前,这里是wireshark的嗅探器捕获窗口示例。

    菜单栏

    菜单选项1

    这是金属丝鲨鱼窗口的菜单栏。

    它包含以下项目:

    • 文件-此菜单包含用于打开和合并捕获文件、保存/打印/导出捕获的项目

    全部或部分文件,并退出Wireshark。

    • 编辑-此菜单包含查找数据包、时间参考或标记一个或多个的项目

    数据包、处理配置文件和设置首选项;(剪切、复制和粘贴

    目前尚未实施)。

    • 视图-此菜单控制捕获数据的显示,包括着色显示

    packets(字体的缩放功能)在单独的窗口中显示数据包,展开并

    折叠数据包详细信息中的树。

    • Go(转到)-此菜单包含要转至特定数据包的项目。
    • Capture(捕获)-此菜单允许您开始和停止捕获,以及编辑捕获过滤器。
    • 分析-此菜单包含操作显示过滤器、启用或禁用

    协议解析,配置用户指定的解码并使用TCP数据流。

    • Statistics -此菜单包含用于显示各种统计窗口(包括摘要)的项目

    显示已捕获的数据包数、协议层次结构统计信息等

    更多 .

    • Telephony -此菜单包含用于显示各种电话相关统计窗口的项目,

    包括媒体分析、流程图、显示协议层级统计信息和

    更多实惠.

    • 工具-此菜单包含Wireshark中提供的各种工具,例如如何创建防火墙

    ACL规则

    • 内部-此菜单包含显示有关Wireshark的内部结构的信息的项目。
    • 帮助-此菜单包含帮助用户的项目,例如,访问一些基本帮助,手动

    各种命令行工具的页面,在线访问某些网页,

    和通常的对话。

    主工具栏

    菜单选项2

    主工具栏提供从菜单快速访问常用项目的功能。此工具栏不能由您自定义,但如果需要屏幕上的空间显示更多数据包数据,则可以通过“查看”菜单隐藏它。如同在菜单中所示,只有当前程序状态中有用的项目才可用。其他选项可能会呈灰色显示。(例如,如果尚未加载捕获文件,则无法保存捕获文件)。

    过滤器工具栏

    菜单选项3

    过滤器工具栏允许您快速编辑和应用显示过滤器。

    Filter:打开过滤器构建对话框、Capture Filters和Display Filters对话框。

    • 过滤区域中的输入以输入或编辑显示过滤器字符串表达式。在键入时,会对filterstring进行语法检查。如果输入的字符串不完整或无效,背景将变为红色,而输入有效字符串时,背景将变为绿色。您可以点击下拉箭头从列表中选择之前输入的过滤器字符串。即使在程序重新启动后,下拉列表中的条目仍然可用。
    • 更改此字段中的内容后,不要忘记按Apply按钮(或Enter/Return键),将此过滤器字符串应用于显示。此字段也是显示当前有效过滤器的位置。
    • 表达式:标有“添加表达式……”的中间按钮将打开一个对话框,您可以在其中编辑协议字段列表的显示过滤器,如中所述,“过滤器表达式”对话框。
    • 清除将重置当前显示过滤器,并清除编辑区域。
    • 应用编辑区域中的当前值作为新的显示过滤器。

    Packet List窗格

    数据包列表窗格显示当前捕获文件中的所有数据包。

    数据包列表中的每一行对应于捕获文件中的一个数据包。如果您在此窗格中选择一行,更多详细信息将显示在Packet Details和Packet Bytes窗格中。

    菜单选项4

    数据包详细信息窗格

    Packet Details(数据包详细信息)窗格以更为详细的形式显示当前数据包(即数据包列表窗格中选定的数据包)。

    菜单选项5

    Packet Bytes窗格

    数据包字节窗格显示数据包列表窗格中当前数据包(在数据包列表窗格中选择)的数据

    hexdump样式。

    菜单选项6

    状态栏

    状态栏显示信息性消息。通常,左侧显示情景相关信息,中间部分显示当前数据包数,右侧显示所选配置配置文件。在文本区域之间拖动控制滑块以更改大小。

    初始Statusbar

    未加载捕获文件时,显示此状态栏。例如,当Wireshark启动时。

    菜单选项7

    选项卡标签的上下文菜单(单击鼠标右键)显示所有可用页面的列表。如果窗格中的大小对于所有选项卡标签来说都太小,这会很有帮助。

    状态栏

    菜单选项8

    状态栏显示信息性消息。通常,左侧显示情景相关信息,中间部分显示当前数据包数,右侧显示所选配置配置文件。在文本区域之间拖动控制滑块以更改大小。

    带有已加载捕获文件的状态栏。

    • 左侧显示有关捕获文件、其名称、大小以及捕获期间所经过时间的信息。
    • 左侧的彩色项目符号显示在当前加载的捕获文件中找到的最高专家信息级别。将鼠标悬停在此图标上将显示专家信息级别的文字说明,点击该图标时,可以显示“专家信息”对话框。
    • 中间部分显示捕获文件中的当前数据包数。

    将显示以下值:

    • Packets —捕获的数据包数
    • Displayed —当前显示的数据包数
    • Marked —已标记的数据包数
    • Dropped -丢弃的数据包数(仅在Wireshark无法捕获所有数据包时显示)
    • Ignored -被忽略的数据包数量(仅当忽略数据包时才显示)
    • 右侧显示所选配置配置文件。点击状态栏的此部分可显示包含所有可用配置文件的菜单,要从此列表中进行选择可更改配置配置文件。

    菜单选项9

    使用捕获过滤器

    单击Capture Interfaces options(捕获接口选项),然后从下拉菜单中选择Network adapter(网络适配器),该下拉菜单用于捕获PC上网络中正在运行的数据包。点击Capture Filters(捕获过滤器)并输入过滤器名称和过滤器字符串,或直接输入框中已知的过滤器字符串。然后按按钮。现在,有线鲨鱼嗅探器程序捕获的数据包仅是各种协议的大量实时数据包流中您感兴趣的数据包。

    菜单选项Wireshark

    菜单选项10

    显示过滤器

    加载捕获的文件后,现在设置过滤器以显示您感兴趣的数据包或避免您不感兴趣的数据包。这可以通过简单的过滤器表达式或使用逻辑运算符形成复杂文件服务器字符串的表达式组合来实现。

    单击分析。选择Display Filter

    在本示例中,您将创建一个文件管理器,仅过滤来自802.11无线数据包捕获跟踪的信标数据包,如黄色突出显示区域所示。

    菜单选项新建

    与显示过滤器类似,您可以通过在单击Find packet后应用过滤器来查找特定数据包。

    查找Filter按钮并在过滤器框中输入过滤器值。如果不知道该字符串,则可以进一步挖掘并单击Filter,然后点击New按钮并命名过滤器字符串,然后在框中应用或键入过滤器字符串。如果不知道特定的过滤器弹簧,则可以将其形成并选择提供各种协议选项的Expression按钮。

    选择所需的选项,展开,您就可以从中选择更多选项。

    您还有一个“逻辑”操作符框,可从中选择用于匹配以输入要在完成过滤器中放置和应用的值。

    菜单选项11

    您可以构建显示过滤器,比较使用多种不同比较运算符的值。

    菜单说明和示例

    菜单示例列表

    使用着色过滤器规则

    数据包着色是Wireshark中一个非常有用的机制。您可以设置Wireshark,使其根据过滤器对数据包进行着色。这允许您强调您感兴趣的数据包。 您可以设置Wireshark,使其根据您选择创建的过滤器对数据包进行着色。这允许您强调您(通常)感兴趣的数据包。

    在本例中,根据前面提到的过滤器,为信标、确认、探测响应和解除认证对数据包进行着色。

    单击 View。从主工具栏中选择“着色”规则或“编辑着色规则”

    全向菜单

    这将打开着色规则,您可以使用新建编辑添加新的着色过滤器。选择数据包,或编辑过滤器字符串,然后指定或调整所需的颜色。

    全向编辑选项

    在“编辑颜色”对话框中,只需输入颜色过滤器的名称,然后在“过滤器”文本字段中输入过滤器字符串。Edit Color Filter对话框显示值beacon和wlan.fc.type_subtype == 8,这意味着颜色过滤器的名称为Beacon,并且过滤器可以选择wlan.fc.type_subtype == 8类型的协议(信标过滤器字符串)。输入这些值后,可以为匹配过滤器表达式的数据包选择前景色和背景色。单击前景色...或背景色...可实现此目的。

    一个非常有用的功能是导出或形成着色滤镜,并通过将滤镜导出到文件“tac80211color”来保存它,如示例所示。可以导入此文件。可以在故障排除文件夹中创建多个着色规则文件,并在每次进行故障排除时将其用作模板,以方便操作。

    您可以创新性地思考和定制着色过滤器模板文件,例如路由、wlan、交换等。根据您要排除的问题导入彩色滤镜文件。

    有多种颜色规则可供下载,并使用支持论坛-颜色规则

    全向输入文件名

    这就是在滤色器文件之后,Wireshark数据包窗口的最终外观

    tac80211color已导入并应用。

    全向最终版

    802.11嗅探器捕获分析-管理帧和开放式身份验证

    简介

    802.11嗅探器捕获分析-管理帧和开放式身份验证

    802.11 -帧和开放式身份验证

    当您尝试对使用802.11数据包分析器的无线LAN网络进行分析或排除故障时,您需要透彻了解不同的802.11帧类型,以此为基础找出在WLAN网络中定位问题区域原因的指针。采用使用omnipeek和/或wireshark等工具的wlan嗅探器跟踪,您可以在其中监控无线网络接口卡(NIC)和接入点之间的通信。您需要理解无线LAN运作过程中出现的每种帧类型,并解决网络问题。在WLAN RF环境中,无线电传输条件可以动态更改,因此协调在WLAN中成为一个大问题。管理和控制数据包专用于这些协调功能。

    要查找在与RF环境相关的WLAN网络中发生的WLAN问题的原因,最好使用开放式身份验证测试WLAN网络,而不用考虑任何安全性。当您采用这种方法时,RF连接问题会逐渐显现,而且可以在转移到更严格的加密和OSI层的更高层之前得到纠正。 802.11规范中的身份验证基于对无线站点或设备进行身份验证,而不是对用户进行身份验证。

    根据802.11规范客户端身份验证流程,这些是上述事务。

    1. 接入点连续发送由附近wlan客户端拾取的信标帧。
    2. 客户端还可以在每个信道上广播自己的探测请求帧。
    3. 范围内的无线接入点使用探测响应帧做出响应。
    4. 客户端确定哪个接入点(AP)最适合接入,并发送身份验证请求。
    5. 接入点发送身份验证应答。
    6. 身份验证成功时,客户端向接入点发送关联请求帧。
    7. 接入点以关联响应进行响应。
    8. 客户端现在可以将流量传递到接入点。

    802.11客户端身份验证过程

    1.png

    802.11 MAC第2层通信使用三种类型的帧,它们通过无线进行管理和控制。

    2.png

    它们是管理帧、控制帧和数据帧。您可以详细了解这些帧的组成,以帮助您在使用wlan嗅探器跟踪时更好地分析wlan问题。

    管理帧

    802.11管理帧使站点能够建立和维护通信。管理数据包用于支持身份验证、关联和同步。

    以下是常见的802.11管理帧子类型:

    • 身份验证帧:这是一个表示wlan拓扑中网络成员资格的帧。802.11身份验证是接入点通过接受或拒绝无线网卡的身份来创建资源的过程。身份验证会限制在网络上发送和接收的能力。这是设备尝试连接到802.11 WLAN的第一步。该功能由管理数据包的交换处理。身份验证由管理数据包的请求/响应交换处理。交换的数据包数量取决于采用的身份验证方法。 

    wlan.fc.type_subtype == 0x0b

    4.png

    5.png

    网卡首先向接入点发送包含其身份的身份验证帧。使用开放式系统身份验证(默认)时,无线网卡仅发送一个身份验证帧,接入点以身份验证帧作为响应进行响应,表示接受(或拒绝)。有一个关联的身份验证ID关联,这是当前工作站在加入网络时进行身份验证时所依据的名称。

    • 解除认证帧:这是站点发出的通知数据包,如果它希望终止安全通信,则会向另一个站点发送解除认证帧。它是来自身份验证站(BSS或等效功能)的单向通信,必须接受。立即生效。

    wlan.fc.type_subtype == 0x0c

    6.png7.png

    8.png

    • 关联请求帧:802.11关联使接入点能够为无线网卡分配资源并与之同步。NIC通过向接入点发送关联请求来开始关联过程。此帧包含网卡(例如,支持的数据速率)以及它想要连接的网络的SSID的相关信息。收到关联请求后,接入点考虑与网卡关联,并且(如果接受)保留内存空间并建立网卡的关联ID。数据包可以显示发送方的当前关联。关联和重新关联由请求/响应管理数据包处理。

    wlan.fc.type_subtype == 0x0

    00.png10.png11.png

    • 关联响应帧:接入点向请求关联的无线网卡发送包含接受或拒绝通知的关联响应帧,该帧包含请求方的关联ID。如果接入点接受无线网卡,则帧包括有关关联的信息,例如关联ID和支持的数据速率。如果关联的结果是肯定的,则无线电NIC可以利用接入点与网络上的其他NIC以及接入点的分布端的系统通信。

    wlan.fc.type_subtype == 0x01

    12.png

    13.png

    14.png

    • 重新关联请求帧:此帧与关联请求类似,但用途不同,主要用于客户端漫游,如果无线网卡漫游离开当前关联的接入点,并找到另一个具有更强信标信号的接入点,则无线网卡会向新接入点发送重新关联帧。然后,新的接入点协调数据帧的转发,该数据帧仍可位于等待传输到无线网卡的先前接入点的缓冲区中。发送方必须已经经过身份验证才能成功关联。

    wlan.fc.type_subtype == 0x02

    15.png

    16.png

    17.png

    • 重新关联响应帧:接入点向请求重新关联的无线网卡发送包含接受或拒绝通知的重新关联响应帧。类似于关联过程,帧包括有关关联的信息,例如关联ID和支持的数据速率。
    • 取消关联帧:如果站点希望终止关联,它会将取消关联帧发送到另一个站点。例如,正常关闭的无线网卡可以发送取消关联帧,以提醒接入点网卡正在关闭电源。然后,接入点可以放弃内存分配,并从关联表中删除无线网卡。解除关联是从接入点或设备发出的简单声明。

    用于仅应用和查找取消关联数据包的过滤器是wlan.fc.type_subtype == 0x0a。

    18.png

    19.png

    20.png

    • 信标帧:接入点定期发送信标帧来通告它的存在和中继信息,例如时间戳,以帮助将成员站与BSS、SSID以及有关接入点到射频NIC范围内其他参数同步。此帧的目的是宣布无争用期(CF)开始,而无线接入点通过轮询来授予传输权。无线电NIC会持续扫描所有802.11无线电信道并侦听信标,以此为基础来选择与哪个接入点关联的最佳信号和可用性。

    用于仅应用和查找信标数据包的过滤器是wlan.fc.type_subtype == 0x08。

    21.png

    22.png

    23.png

    • 探测请求帧:当站点或客户端激活的WLAN卡激活时,站点或客户端激活或在PC上激活;当站点或客户端需要从另一个站点或接入点获取信息时,它发送探测请求帧。在无线NIC发出探测请求以确定哪些接入点在范围内之后,在客户端支持的每个信道上发送探测请求帧,以尝试查找范围内与SSID和客户端请求的数据速率匹配的所有接入点。客户端需要权衡各种因素(如支持的数据速率和接入点负载),选择最佳接入点,从而在802.11网络从Ap获得响应作为探测响应后,进入身份验证阶段。此机制支持还有助于漫游站能够在蜂窝之间移动,同时保持连接以搜索新的接入点。

    用于仅应用和查找探测请求数据包的过滤器是wlan.fc.type_subtype ==0x04。

    24.png

    25.png

    26.png

    • 探测响应帧:为了响应探测请求,具有匹配条件的AP响应一个探测响应帧,该响应帧包含同步信息和接入点负载,并包含功能信息、支持的数据速率等。

    用于仅应用和查找探测请求数据包的过滤器是wlan.fc.type_subtype ==0x05。

    27.png

    28.png

    29.png

    控制帧

    802.11控制帧有助于在站点之间传输数据帧。以下是常见的802.11控制帧子类型:

    • 请求发送(RTS)帧:RTS/CTS功能是可选的,可以减少隐藏站点与同一接入点关联时出现的帧冲突。站点将RTS帧发送到另一个站点,作为发送数据帧之前所需的双向握手的第一阶段。

    wlan.fc.type_subtype == 0x1B

    30.png

    34.png

    35.png

    • 确认(ACK)帧:在接收数据帧后,接收站使用错误来检查进程,以检测是否存在错误。如果未发现错误,接收站会向发送站发送ACK帧。如果发送站点在一段时间之后未收到ACK,则发送站点可以重新传输帧。

    wlan.fc.type_subtype == 0x1D

    36.png

    37.png

    38.png

    数据帧

    这些帧是在移动站和接入点之间已建立基本wlan通信之后游戏中稍后出现的帧。您始终可以访问802.11数据帧进行分析,通常是在帧体内较高层的协议和数据通过线路时,通过无线进行验证和分析。这些帧在帧体内传输来自更高层的数据包,例如网页、打印机控制数据等。

    wlan.fc.type_subtype == 0x20

    39.png

    40.png

    41.png

    在数据包分析器上,可以观察有关802.11数据帧中相关流量的帧体的内容。

    参考

    802.11嗅探器捕获分析-采用PSK或EAP的WPA/WPA2

    WPA-PSK(TKIP)

    1.定期发送信标帧,以通告无线网络的存在并包含有关该网络的所有信息(数据速率、信道、安全密码、密钥管理等):

    WPA-PSK-TKIP-Beacon.png

    2.探测请求由STA发送,以从AP获取信息:

    WPA-PSK-TKIP-Probe-req.png

    3.探测响应。AP在从STA收到探测请求帧后,包含功能信息、支持的数据速率等的探测响应帧进行响应:

    WPA-PSK-TKIP-Probe-res.png

    4.802.11身份验证是接入点接受或拒绝无线网卡身份的过程。网卡首先向接入点发送包含其身份的身份验证帧。使用开放式系统身份验证(默认)时,无线网卡仅发送一个身份验证帧,接入点以身份验证帧作为响应进行响应,表示接受(或拒绝)。

    a.Dot11身份验证请求:

    WPA-PSK-TKIP-Auth-req.png

    b.Dot11身份验证响应:

    WPA-PSK-TKIP-Assos-res.png

    5. 802.11关联使接入点能够为无线网卡分配资源并与之同步。NIC通过向接入点发送关联请求来开始关联过程。此帧包含网卡(例如,支持的数据速率)以及它想要连接的网络的SSID的相关信息。

    a.Dot11关联请求:

    WPA-PSK-TKIP-Assos-req.png

    收到关联请求后,接入点考虑与网卡关联,并且(如果接受)保留内存空间并建立网卡的关联ID。

    b.Dott11关联响应:

    WPA-PSK-TKIP-Auth-res.png

    6.4次握手。在此阶段创建PTK,并将PSK用作PMK来构建这些值:

    a.AP发送带有ANonce的802.1x身份验证帧。STA现在拥有构建PTK所需的所有信息:

    WPA-PSK-TKIP-Key-1.png

    b.STA以802.1x身份验证帧做出响应,其中包含SNonce和MIC:

    WPA-PSK-TKIP-Key-2.png

    c.AP使用新的MIC和序列号的GTK构建802.1x帧。 此序列号在下一个组播或广播帧中使用,以便接收STA可以执行基本重播检测:

    WPA-PSK-TKIP-Key-3.png

    d.STA发送ACK:

    WPA-PSK-TKIP-Key-4.png

    从那时起,所有数据都以加密方式发送。

    WPA2-PSK(AES/TKIP)

    此过程与上一节中的过程完全相同。仅突出显示不同信息。

    1.WPA2 AP管理帧包括包含单播密码套件、AKM信息和GTK密码套件的RSN元素(如果同时选择AES和TKIP,则可以对GTK使用强度较低的加密方法)。

    image012.png

    2.在四次握手期间,帧在“类型”字段中包含WPA2的版本信息。

    image013.png

    注释图标

    注意:如果跟踪中包含四次握手密钥交换帧且PSK已知,则可以解密WEP/WPA-PSK/WPA2-PSK加密的无线流量。

    为了加密wireshark中的无线流量,请导航到首选项->协议->IEEE 802.11 并提供PSK信息,然后选择启用解密选项

    要解密WPA/WPA2加密流量,请以以下格式指定密钥:

    wpa-psk:PSK:SSI

    注释图标

    注意:为了过滤来自Wireshark中特定STA的WLAN流量,您可以使用WLAN统计选项。

    要过滤来自特定STA的流量,请导航到统计信息> WLAN流量。 从SSID列表中,选择与STA关联的相应SSID,并根据STA应用过滤器。

    image014.jpg

    如何使用Wireshark解密无线数据包捕获上的WPA2 AES数据

    要求:

    1. 捕获采用.pcap格式。
    2. 帧以802.11格式显示。
    3. 了解从中收集无线捕获的WLAN的SSID名称和PSK。
    4. 密钥:捕获4次EAPOL 4次握手。

    最准确的过程是开始捕获,然后取消对客户端的身份验证,以便从零捕获该过程,这意味着可以包括4次EAPOL握手。

    如果帧采用其他格式(如PEEKREMOTE),可能需要将其解码,请参阅如何解码PEEKREMOTE帧部分。

    Process

    在Wireshark中打开捕获后,导航到编辑>首选项菜单。

    协议菜单

    转到Protocols 菜单并查找IEEE 802.11

    协议选项IEEE 802.11

        

    在IEEE 802.11部分中,选中Enable Decryption复选框,然后单击Decryption Keys标签旁边的Edit...按钮。

    选择IEEE 802.11

    进入Edit菜单后,单击窗口左侧的New按钮。

    选择新建

    从key type中选择wpa-psk

    要获取密钥,必须知道执行解密过程的SSID和PSK的确切名称。

    具有这两个值,然后导航到下一个网站,以基于这两个元素生成密钥。

    在指定字段中键入SSID名称和PSK。输入字段的字符串必须与SSID和PSK的定义完全相同。

    选择生成PSK

    定义值后,单击Generate PSK。这将生成密钥,复制密钥并返回Wireshark。

    选择生成

    将生成的密钥粘贴到Key字段中。Click OK.

    WEP和WPA解密

    然后在首选项屏幕上单击应用。捕获开始解码。

    输入值

    一旦解码,就有可能看到先前加密的802.11数据包的内容。

    打印输出

    WPA/WPA2企业

    1. 带dot1x的WPA(TKIP)/WPA2(AES) (PEAP)

    除了AKM方法和PTK/GTK以及AP在802.11管理帧中通告属性外,此过程使用与之前相同的步骤。

    1. 在本示例中,AP通告采用dot1x身份验证的WPA(TKIP)/WPA2(AES),AKM的RSN和WPA标记属性均包含WPA值(无论在PSK身份验证的情况下,此字段是否包含PSK)。本例中还将TKIP用于WPA,将AES用于WPA2。

    dot1x.png

    b. STA会选择由AP通告的身份验证方法和密码套件之一。在本例中,选择了具有AES的WPA2。RSN IE参数中可以看出这一点。

    WPA2PEAP.png

    c.成功进行dot11关联后,将执行dot1x身份验证。在此过程中,我们可以看到STA使用哪种EAP方法进行身份验证,以及请求方和AAA服务器之间的证书交换信息。

    dot1x-PEAP-1.png

    d.在成功执行dot1x身份验证后,PMK在来自AAA服务器的访问接受消息中传输到AP,并在客户端上派生相同的PMK。随后将进行四次握手,并建立PTK和GTK。

    WLC和AAA服务器之间的RADIUS交换:

    image018.jpg

    一般流程图:

    image019.jpg

    带dot1x的WPA(TKIP)/WPA2(AES) (EAP-TLS)

    这种类型的身份验证与之前的身份验证的区别在于,客户端在“Client Hello”消息中提供其证书,并且根据证书在客户端和AAA服务器之间执行相互身份验证。

    STA和WLC之间的EAP交换:

    image020.jpg

    WLC和AAA服务器之间的RADIUS交换:

    image021.jpg

    一般流程图:

    image022.jpg

    2.WPA(TKIP)/WPA2(AES),带dot1x (FAST)

    只有dot1x身份验证阶段与上一个示例相比略有不同。成功进行dot11关联dot1x身份验证后,AP会向STA发送dot1x身份请求,STA提供身份响应。响应取决于所使用的PAC配置(带内PAC配置(第0阶段)或带外PAC配置)。在带内调配的情况下,PAC从AAA服务器发送到客户端。客户端建立PAC后,它将从此点进入EAP-FAST阶段1,TLS隧道建立开始(阶段1)。

    image023.jpg

    建立TLS隧道后,内部身份验证方法(第2阶段)在加密隧道内启动。在身份验证成功时,PMK会从AAA服务器以Access-Accept消息形式发送到AP。根据STA上的dot1x交换得到相同的密钥。此密钥(PMK)用于计算4次握手期间的PTK,可用于保护STA和AP之间的通信。

    一般流程图:

    image024.jpg

    802.11嗅探器捕获分析-组播

    简介

    组播嗅探

    解决方案

    控制器以两种模式执行组播:

    • 单播模式 - 在此模式中,控制器将各组播数据包单播至与控制器关联的各个 AP。此模式效率低下,但在不支持组播的网络上可能需要使用此模式。
    • 组播模式 - 在此模式中,控制器将组播数据包发送至 LWAPP 组播组。此方法可减少控制器处理器的开销,并将数据包复制工作转移到您的网络,这比单播方法效率高得多。
    • 您可以启用使用控制器GUI或CLI的组播模式。

    WLC上的IGMP监听

    在控制器软件版本 4.2 中,引入了 IGMP 监听以更好地引导组播数据包。启用此功能后,控制器从客户端收集IGMP报告,处理报告,在检查第3层组播地址和VLAN编号后从IGMP报告创建唯一组播组ID (MGID),并将IGMP报告发送到基础设施交换机。控制器发送这些源地址作为接口地址的报告,控制器在该接口地址上从客户端接收报告。

    然后控制器会利用客户端 MAC 地址更新 AP 上的接入点 MGID 表。当控制器接收特定组播组的组播数据流时,会将其转发至所有 AP。但是,只有那些具有侦听或订阅该组播组的活动客户端的AP才能在该特定WLAN上发送组播流量。IP 数据包会通过 MGID 转发,该 MGID 对于输入 VLAN 和目标组播组来说是唯一的。第 2 层组播数据包会通过 MGID 转发,该 MGID 对于输入接口来说是唯一的。

    注释图标

    注意:2000系列控制器、2100系列控制器或思科集成多业务路由器的思科无线局域网控制器网络模块不支持IGMP监听。

    组播模式使用指南

    当您在网络中启用组播模式时,请使用这些指南:

    Cisco 统一无线网络解决方案针对具体目的使用某些 IP 地址范围。配置组播组时,请记住这些范围。尽管不推荐,但任何组播地址都可以分配给LWAPP组播组;这包括OSPF、EIGRP、PIM、HSRP和其他组播协议使用的保留链路本地组播地址。

    Cisco 建议从管理范围块 239/8 分配组播地址。IANA 已保留范围 239.0.0.0-239.255.255.255 作为管理范围地址,以用于私有组播域。请参阅附注以了解其他限制。这些地址本质上类似于保留的私有 IP 单播范围,例如 RFC 1918 中定义的 10.0.0.0/8。网络管理员可在其域内自由使用此范围内的组播地址,而无需担心与 Internet 中的其他地址产生冲突。管理性或专用地址空间必须在企业范围内使用,并且从自治域 (AS) 阻止其离开或进入。

    注释图标

    注意:请勿使用239.0.0.X地址范围或239.128.0.X地址范围。这些范围内的地址与本地链路 MAC 地址重叠并且泛洪所有交换机端口,即使 IGMP 监听已开启。

    Cisco建议企业网络管理员进一步将此地址范围细分为企业网络中的较小地理管理范围,以限制特定组播应用的范围。这可防止离开园区(带宽充足)的高速率组播流量和WAN链路拥塞。它也允许高效地过滤到达控制器和无线网络的高带宽组播。

    当您启用控制器上的组播模式时,必须在控制器上配置一个 LWAPP 组播组地址。AP 使用 Internet 组管理协议 (IGMP) 预订 LWAPP 组播组。

    • Cisco 1100、1130、1200、1230 和 1240 AP 使用 IGMP 版本 1、2 和 3。然而,Cisco 1000 系列 AP 仅使用 IGMP v1 加入组播组。
    • 组播模式仅在第 3 层 LWAPP 模式下运行。
    • 在监控模式、嗅探器模式或者恶意探测器模式下的 AP 不加入 LWAPP 组播组地址。
    • 使用运行 4.1 或更低版本的控制器时,您可以在所有控制器上使用同一个组播地址。如果使用运行 4.2 或更高版本的控制器,控制器上配置的 LWAPP 组播组必须不同于网络上使用的各个控制器。
    • 如果使用 4.1 或更高版本的控制器,组播模式不会跨子网移动事件(例如访客隧道、特定站点 VLAN 或使用 RADIUS 的接口覆盖)运行。当您在有线 LAN 上禁用第 2 层 IGMP 监听/CGMP 功能时,组播模式不会在这些子网移动事件中运行。

    在更高的版本中,即 4.2 或更高版本,组播模式不会跨子网移动事件(例如访客隧道)运行。但是,它可以与使用 RADIUS 的接口覆盖(仅当 IGMP 监听启用时)和特定站点 VLAN(接入点组 VLAN)协同运行。

    • 控制器会丢弃发送至 UDP 端口号 12222、12223 和 12224 的所有组播数据包。请确保网络中的组播应用程序没有使用那些端口号。
    • 组播数据流在 802.11a 网络中以 6 Mbps 的速度传输。因此,如果多个 WLAN 尝试以 1.5 Mbps 的速度传输,会发生数据包丢失。这会中断组播会话。

    配置组播(使用组播-组播模式)

    选择Mutlicast - Multicast并配置您的组,移动组中的每个WLC可以使用唯一的地址。

    在第3层设备上启用组播路由,并在这些VLAN上启用PIM。  管理、AP管理器、AP所在的VLAN以及接收组播流的客户端所在的VLAN。

    示例:

    VLAN 40是WLC管理,VLAN 40是用于AP的,而VLAN 50是客户端所在的位置。因此,在所有这些SVI下,您需要发出组播命令。

    发出所有组播show命令来验证(例如show ip mroute、show ip igmp groups),以验证AP的组是否已正确建立。

    您还可以在WLC上启用IGMP监听。WLC保留其自身接收的IGMP消息的监听表,以便知道谁请求该流。

    在无线LAN控制器上

    在WLC上启用全局组播并在WLC上启用组播-组播模式。

    组播选项

    组播选择

    一旦客户端发送组播加入,您将在WLC MGID上看到它。

    组播组

    有线网络中的组播配置

    全局配置组播路由,然后在每个接口上启用PIM。

    6504-WLCBUG#sh run | i组播

    ip multicast-routing

    6504-WLCBUG#sh run int vla 50

    正在构建配置…

    当前配置:119字节

    interface Vlan50

    说明// WLAN DHCP池VLAN //

    ip address 172.16.1.1 255.255.255.0

    ip pim dense-mode

    结束

    6504-WLCBUG#sh run int vla 40

    正在构建配置…

    当前配置:121字节

    interface Vlan40

    说明//管理Vlan //

    ip address 10.105.135.136 255.255.255.128

    ip pim dense-mode

    结束

    6504-WLCBUG#sh ip pim interface vlan 40

    地址接口版本/ Nbr查询DR    

                                                           DR模式计数Intvl优先

    10.105.135.136 Vlan40 v2/D 0 30 1 10.105.135.136

    6504-WLCBUG#sh ip pim interface vlan 50

    地址接口版本/ Nbr查询DR

                                                            Mode Count Intvl Prior

    172.16.1.1 Vlan50 v2/D 0 30 1 172.16.1.1

    6504-WLCBUG#sh ip mroute

    IP组播路由表

    标志:D -密集、S -稀疏、B -双向组、s - SSM组、C -已连接、

           L -本地,P -已修剪,R - RP位集,F -寄存器标志,

           T - SPT位设置,J -加入SPT,M - MSDP创建的条目,

           X -代理加入计时器正在运行,A - MSDP通告的候选者,

           U - URD, I -已收到源特定主机报告,

           Z -组播隧道,z - MDT数据组发送器,

          Y -已加入MDT数据组,y -正在发送到MDT数据组

           V - RD和矢量, v -矢量

    传出接口标志:H -硬件交换,A -断言获胜者

    计时器:正常运行时间/过期

    接口状态:接口、下一跳或VCD、状态/模式

    (*, 239.255.255.255),4d17h/00:02:03,RP 0.0.0.0,标志:DC

    传入接口:空,RPF nbr 0.0.0.0

    传出接口列表:

       Vlan40,转发/密集,4d17h/00:00:00

    (*, 239.254.0.3),2w1d/00:02:07,RP 0.0.0.0,标志:DC

    传入接口:空,RPF nbr 0.0.0.0

    传出接口列表:

       Vlan40,转发/密集,3d10h/00:00:00

    (*, 224.0.1.40),2w1d/00:02:13,RP 0.0.0.0,标志:DCL

    传入接口:空,RPF nbr 0.0.0.0

    传出接口列表:

       Vlan11,转发/密集,2w1d/00:00:00

    数据包捕获

    拓扑

    有线PC ----------- 6500交换机--------WISM ------- AP ))) ((((无线客户端

    Vlan 50 Vlan 40 Vlan 40 Vlan 40 Vlan 40 Vlan 50

    MCAST流量生成器工具

    在有线PC上用于生成组播流-连续UDP数据包。

    生成流量

    MCAST生成器上的有线Wireshark数据包捕获

    Traffic

    组播数据包生成器上的Windows Netmon捕获</h=5>

    流量报告

    MCAST Receiver Tool在无线客户端上用于从源(有线PC)接收组播流量。

    组播主机组和UDP端口

    无线客户端无线接口上的Wireshark捕获

    组播报告

    无线客户端无线接口上的Netmon捕获

    Mcast决赛

    802.11嗅探器捕获分析- Web身份验证

    简介

    Cisco WLC上的WEB身份验证嗅探器故障排除

    Web 身份认证过程

    Web 身份验证属于第 3 层安全功能,控制器可以使用该功能禁止来自特定客户端的 IP 数据流(DHCP/DNS 相关的数据包除外),直到该客户端正确提供有效的用户名和口令,但通过预身份验证 ACL 允许的数据流除外。Web 身份验证是唯一允许客户端在身份验证前获得 IP 地址的安全策略。它是一种不需要请求者或客户端实用程序的简单身份验证方法。Web身份验证可以在WLC上本地完成,也可以通过RADIUS服务器完成。当您想要部署访客接入网络时,通常使用Web身份验证。

    Web 身份验证在控制器拦截来自客户端的第一个 TCP HTTP(端口 80)GET 数据包时开始。为了使客户端的 Web 浏览器发送数据包,客户端必须首先获得 IP 地址,并为 Web 浏览器将 URL 转换为 IP 地址(DNS 解析)。这样,Web 浏览器就知道应向哪个 IP 地址发送 HTTP GET。

    在 WLAN 上配置 Web 身份验证时,控制器将阻止所有数据流(DHCP 和 DNS 数据流除外),直到身份验证过程完成。当客户端发送第一个 HTTP GET 至 TCP 端口 80 时,控制器将客户端重定向至 https://10.10.10.1/ 进行处理。此过程最终会启动登录网页。

    • 打开 Web 浏览器并输入 URL,例如,http://www.google.com。  客户端将发出该 URL 的 DNS 请求,以获取目标 IP。WLC绕过DNS请求到达DNS服务器,DNS服务器返回DNS应答,其中包含目标http://www.google.com的IP地址,并进一步转发给无线客户端

    • 然后,客户端尝试打开与目标 IP 地址之间的 TCP 连接,并将TCP SYN数据包发送至http://www.google.com的IP地址

    • WLC配置了客户端规则,因此可作为http://www.google.com的代理。WLC将TCP SYN-ACK数据包发回至客户端,其中包含http://www.google.com的IP地址源。客户端发回TCP ACK数据包以完成三次TCP握手,并完全建立TCP连接。

    • 客户端向http://www.google.com发送HTTP GET数据包。WLC拦截此数据包,然后将其发送进行重定向处理。HTTP 应用程序网关准备 HTML 主体并将其作为客户端 HTTP GET 请求的应答返回。此HTML可以使客户端导航到WLC的默认网页URL,例如,<Virtual-Server-IP>/login.html。

    • 客户端关闭与IP地址(例如http://www.google.com)的TCP连接

    • 现在,客户端要转至http://10.10.10.1/login.html,并尝试打开与WLC的虚拟IP地址之间的TCP连接。它将 10.10.10.1 的 TCP SYN 数据包发送至 WLC。

    • WLC 返回 TCP SYN-ACK,而客户端则发回 TCP ACK 至 WLC,以完成握手。

    • 客户端向/login.html发送HTTP GET到10.10.10.1以请求登录页。

    • 此请求由 WLC 的 Web 服务器确认允许,该服务器返回默认登录页。客户端在浏览器窗口中接收登录页面,用户可以在该窗口中登录到该页面。

    配置Webauth

    请继续进行配置。

    拓扑

    无线客户端连接到AP,该AP注册到连接到交换机的WLC,该交换机连接到配置了DNS、路由、L3连接的路由器。

    充当DNS的路由器。

    3825#sh run | i host
hostname 3825
ip host www.google.com 192.168.200.1
ip host www.yahoo.com 192.168.200.200.2
ip host www.facebook.com 192.168.200.200.3
3825#sh run | i dns
 dns-server 172.16.16.1
ip dns server
3825#sh run | b dhcp
ip dhcp excluded-address 172.16.16.1 172.16.16.5

!
ip dhcp pool webauth-sniffer
 network 172.16.16.0 172.16.255.0
 default-router 172.16.16.1
 dns-server 172.16.16.1

    WLCC上的配置

    • 导航到WLAN,然后导航到NEW并输入详细信息。
    • 为WLAN配置NO L2 Auth。
    • 配置带WEBAUTH的L3身份验证的WLAN。
    • 配置后,您可以看到如下所示的内容。
    • 导航到安全选项卡并创建本地网络用户。
    • 输入客户端凭证。
    • 导航到Security>> Webauth选项卡并选择Web auth type ==Internal / External redirect / Custom
    • 连接客户端。
    • 获得IP地址后,打开浏览器并键入网址。
    • 客户端将重定向到网络身份验证页面,您可以在其中输入用户名和密码。
    • 登录成功后,客户端被重定向到“重定向”页面。

    下面是客户端尝试连接时的数据包捕获。

    客户端可以:

    • DHCP
    • DNS
    • WTTP

    客户端的IP地址是172.16.16.7。客户端将访问的 Web 服务器的 URL 解析为 192.168.200.1。您可以看到,客户端进行了三次握手以启动TCP连接,然后发送了一个以数据包576开头的HTTP GET数据包。控制器正在拦截数据包并以代码 200 回复。代码 200 数据包中含重定向 URL:

    客户端获得HTTPS登录页面

    客户端接受证书

    接着,客户端启动 HTTPS 连接,以连接至重定向 URL,并将其发送至控制器的虚拟 IP 地址 10.10.10.1。客户端必须验证或忽略服务器证书,以建立 SSL 隧道。此处,客户端尝试在身份验证成功后访问Facebook.com,并且他的TCP会话开始没有任何问题。

    以下是客户端尝试连接时的客户端调试

    Cisco Controller) >
(Cisco Controller) >show debug 
MAC address ................................ 00:21:5c:8c:c7:61

Debug Flags Enabled:
 dhcp packet enabled.
 dot11 mobile enabled.
 dot11 state enabled
 dot1x events enabled.
 dot1x states enabled.
 pem events enabled.
 pem state enabled.
 CCKM client debug enabled.
 webauth redirect enabled.

May 18 13:43:50.568: 00:21:5c:8c:c7:61 Adding mobile on LWAPP AP a8:b1:d4:c4:35:b0(0) 
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Association received from mobile on AP a8:b1:d4:c4:35:b0
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Changing ACL 'MNGMNT' (ACL ID 0) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:1633)
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Applying site-specific IPv6 override for station 00:21:5c:8c:c7:61 - vapId 1, site 'default-group', interface 'webauth-sniffer'
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Applying IPv6 Interface Policy for station 00:21:5c:8c:c7:61 - vlan 300, interface id 4, interface 'webauth-sniffer'
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 STA - rates (8): 130 132 139 150 12 18 24 36 0 0 0 0 0 0 0 0
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 STA - rates (12): 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Initializing policy
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4) DHCP Not required on AP a8:b1:d4:c4:35:b0 vapId 1 apVapId 1for this client
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Not Using WMM Compliance code qosCap 00
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP a8:b1:d4:c4:35:b0 vapId 1 apVapId 1
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state DHCP_REQD (7)
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 apfMsAssoStateInc
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 apfPemAddUser2 (apf_policy.c:223) Changing state for mobile 00:21:5c:8c:c7:61 on AP a8:b1:d4:c4:35:b0 from Idle to Associated
*apfMsConnTask_0: May 18 13:43:50.568: 00:21:5c:8c:c7:61 Scheduling deletion of Mobile Station: (callerId: 49) in 1800 seconds
*apfMsConnTask_0: May 18 13:43:50.569: 00:21:5c:8c:c7:61 Sending Assoc Response to station on BSSID a8:b1:d4:c4:35:b0 (status 0) ApVapId 1 Slot 0
*apfMsConnTask_0: May 18 13:43:50.569: 00:21:5c:8c:c7:61 apfProcessAssocReq (apf_80211.c:5272) Changing state for mobile 00:21:5c:8c:c7:61 on AP a8:b1:d4:c4:35:b0 from Associated to Associated
*apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 4494, Adding TMP rule
*apfReceiveTask: May 18 13:26:46.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule

 type = Airespace AP - Learn IP address
 on AP a8:b1:d4:c4:35:b0, slot 0, interface = 1, QOS = 0
 ACL Id = 255, Jumbo Fr

*apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 1506 IPv6 Vlan = 300, IPv6 intf id = 4
*apfReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255)
*pemReceiveTask: May 18 13:43:50.570: 00:21:5c:8c:c7:61 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*pemReceiveTask: May 18 13:43:50.571: 00:21:5c:8c:c7:61 Sent an XID frame
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP received op BOOTREQUEST (1) (len 310,vlan 0, port 1, encap 0xec03)
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP processing DHCP DISCOVER (1)
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags: 0
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP chaddr: 00:21:5c:8c:c7:61
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP requested ip: 192.168.226.44
*DHCP Socket Task: May 18 13:43:50.689: 00:21:5c:8c:c7:61 DHCP successfully bridged packet to DS
*DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP received op BOOTREPLY (2) (len 308,vlan 300, port 1, encap 0xec00)
*DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP processing DHCP OFFER (2)
*DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0

*DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags: 0
*DHCP Socket Task: May 18 13:43:50.690: 00:21:5c:8c:c7:61 DHCP chaddr: 00:21:5c:8c:c7:61
*DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCP ciaddr: 0.0.0.0, yiaddr: 172.16.16.7
*DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0
*DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCP server id: 172.16.16.1 rcvd server id: 172.16.16.1
*DHCP Socket Task: May 18 13:43:50.691: 00:21:5c:8c:c7:61 DHCP successfully bridged packet to STA
*DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP received op BOOTREQUEST (1) (len 314,vlan 0, port 1, encap 0xec03)
*DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP processing DHCP REQUEST (3)
*DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0
*DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags: 0
*DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP chaddr: 00:21:5c:8c:c7:61
*DHCP Socket Task: May 18 13:43:50.704: 00:21:5c:8c:c7:61 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0
*DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0
*DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP requested ip: 172.16.16.7
*DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP server id: 172.16.16.1 rcvd server id: 172.16.16.1
*DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP successfully bridged packet to DS
*DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP received op BOOTREPLY (2) (len 308,vlan 300, port 1, encap 0xec00)
*DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP processing DHCP ACK (5)
*DHCP Socket Task: May 18 13:43:50.705: 00:21:5c:8c:c7:61 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCP xid: 0xf665da29 (4133870121), secs: 0, flags: 0
*DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCP chaddr: 00:21:5c:8c:c7:61
*DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCP ciaddr: 0.0.0.0, yiaddr: 172.16.16.7
*DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0
*DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 DHCP server id: 172.16.16.1 rcvd server id: 172.16.16.1
*DHCP Socket Task: May 18 13:43:50.706: 00:21:5c:8c:c7:61 Static IP client associated to interface webauth-sniffer which can support client subnet.
*DHCP Socket Task: May 18 13:43:50.708: 00:21:5c:8c:c7:61 Adding Web RuleID 22 for mobile 00:21:5c:8c:c7:61

*DHCP Socket Task: May 18 13:43:50.708: 00:21:5c:8c:c7:61 172.16.16.7 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state WEBAUTH_REQD (8)

*apfMsConnTask_0: May 18 13:44:43.347: 00:21:5c:8c:c7:61 172.16.16.7 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 1506 IPv6 Vlan = 300, IPv6 intf id = 4

*apfMsConnTask_0: May 18 13:44:43.347: 00:21:5c:8c:c7:61 172.16.16.7 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL ID 255)

(Cisco Controller) >*emWeb: May 18 13:47:39.321: 00:21:5c:8c:c7:61 Username entry (Cisco) created for mobile, length = 5 
*emWeb: May 18 13:47:39.321: 00:21:5c:8c:c7:61 Username entry (Cisco) created in mscb for mobile, length = 5 
*emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 172.16.16.7 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_NOL3SEC (14)
*emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 apfMsRunStateInc
*emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 172.16.16.7 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state RUN (20)
*emWeb: May 18 13:47:39.322: 00:21:5c:8c:c7:61 Session Timeout is 1800 - starting session timer for the mobile

    参考: 

    修订历史记录

    版本 发布日期 备注
    3.0
    16-Jan-2024
    更新了SEO、样式要求、机器翻译、拼写和格式。
    2.0
    10-Nov-2022
    文章要求主要更新、多次更新以符合PII、有偏见的语言、机器翻译、SEO、风格要求和其他要求。
    1.0
    20-Jun-2016
    初始版本
    TAC Authored

    由思科工程师提供

    • 阿隆·伦纳德
      客户交付工程技术主管
    • 尚卡尔·拉曼纳坦
      首席工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品