在Catalyst 9800無線控制器上以監聽器模式設定存取點

簡介

本文說明如何透過圖形使用者介面(GUI)或指令行介面(CLI)在Catalyst 9800系列無線控制器(9800 WLC)上以監聽器模式設定存取點(AP)，以及如何使用監聽器AP收集空中封包擷取(PCAP)，以便排解和分析無線行為。

必要條件

需求

思科建議您瞭解以下主題：

• 9800 WLC配置
• 802.11標準的基本知識

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• AP 2802
• 9800 WLC Cisco IOS®-XE版本17.3.2a
• Wireshark 3.4.4或更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

注意事項

如果9800連線到具有預設終端學習的思科以應用為中心的基礎設施(ACI)，請勿使用嗅探器模式AP功能。  9800將傳輸其UDP封裝的802.11捕獲的資料包，這些資料包源自9800的出口IP地址，但源MAC地址是嗅探器AP的無線電MAC，低位半位元組設定為0x0F。這將導致問題，因為ACI將看到相同的IP地址源自多個MAC地址。  請參閱Cisco bug ID CSCwa45713 。

設定

需要考慮的事項：

• 建議讓監聽器AP靠近目標裝置和此裝置所連線的AP。
• 確保您知道哪個802.11通道和寬度、客戶端裝置和AP使用。

網路圖表

組態

透過GUI在嗅探器模式下配置AP

步驟 1.在9800 WLC GUI上，導覽至Configuration > Wireless > Access Points > All Access Points，如下圖所示。

步驟 2.選擇需要在嗅探器模式下使用的AP。在常規頁籤上，更新AP的名稱，如圖所示。

步驟 3.驗證Admin Status是否為Enabled，並將AP Mode更改為Sniffer，如下圖所示。

系統會顯示一個彈出窗口，其中包含下一個警報：

「警告：更改AP模式會導致AP重新啟動。點選Update & Apply to Device以繼續」

選擇OK，如圖所示。

步驟 4.點選Update & Apply to Device，如圖所示。

系統將顯示一個彈出窗口，確認更改和AP回彈，如圖所示。

透過CLI在嗅探器模式下配置AP

步驟 1.確定需要用作嗅探器模式的AP並獲取AP名稱。

步驟 2.修改AP名稱

此命令會修改AP名稱。其中<AP名稱>是AP的當前名稱。

carcerva-9k-upg#ap name <AP-name> name 2802-carcerva-sniffer

步驟 3.在嗅探器模式下配置AP。

carcerva-9k-upg#ap name 2802-carcerva-sniffer mode sniffer

配置AP以透過GUI掃描通道

步驟 1.在9800 WLC GUI中，導航至配置>無線>存取點。

步驟 2.在Access Points頁上，顯示5 GHz Radios或2.4 GHz Radios選單清單。這取決於要掃描的通道，如圖所示。

步驟 2.搜尋存取點。點選向下箭頭按鈕顯示搜尋工具，從下拉選單中選擇Contains，然後鍵入AP名稱，如圖所示。

步驟 3.選擇AP並勾選Configure > Sniffer Channel Assignment下的Enable Sniffer覈取方塊，如下圖所示。

 

步驟 4.從Sniff Channel下拉選單中選擇Channel，然後鍵入Sniffer IP address（使用Wireshark的伺服器IP地址），如圖所示。

步驟 5.選擇目標裝置和AP在連線時使用的的Channel width。

導航到Configure > RF Channel Assignment以配置此功能，如下圖所示。

配置AP以透過CLI掃描通道

步驟 1.在AP上啟用通道嗅探。執行此命令：

carcerva-9k-upg#ap name <ap-name> sniff {dot11a for 5GHz | dot11bfor 2.4GHz | dual-band} <channel> <Wireshark-server-ip-address>

範例：

carcerva-9k-upg#ap name 2802-carcerva-sniffer sniff dot11a 36 172.16.0.190

配置Wireshark以收集資料包捕獲

步驟 1.啟動Wireshark。

步驟 2.從Wireshark選擇Capture options選單圖示，如圖所示。

步驟 3.此動作會顯示一個快顯視窗。從清單中選擇有線介面作為捕獲源，如圖所示。 

步驟 4.在Capture filter for selected interfaces： 欄位框下，鍵入udp port 5555，如圖所示。

步驟 5.按一下開始，如圖所示。

步驟 6.等待Wireshark收集所需資訊，然後從Wireshark選擇停止按鈕，如圖所示。

提示：如果WLAN使用加密（如預共用金鑰[PSK]），請確保捕獲捕獲AP與所需客戶端之間的四向握手。如果OTA PCAP在裝置與WLAN關聯之前啟動，或者如果客戶端在捕獲運行時被取消身份驗證並重新進行身份驗證，則可以完成此操作。

步驟 7.Wireshark不會自動解碼資料包。要對資料包進行解碼，請從捕獲中選擇一行，然後使用滑鼠按一下右鍵來顯示選項，並選擇解碼為。.（如圖所示）。

步驟 8.即會出現一個快顯視窗。選擇add按鈕並增加新條目，然後選擇以下選項：UDP port from Field、5555 from Value、SIGCOMP from Default和PEEKREMOTE from Current，如下圖所示。

步驟 9.按一下「OK」（確定）。資料包被解碼並準備開始分析。

驗證

使用本節內容，確認您的組態是否正常運作。

為了從9800 GUI確認AP處於嗅探器模式：

步驟 1.在9800 WLC GUI上，導航到配置>無線>存取點 >所有存取點。

步驟 2.搜尋存取點。按一下向下箭頭按鈕以顯示搜尋工具，從下拉選單中選擇Contains，然後鍵入AP名稱，如圖所示。

步驟 3.確認Admin Status為checkmark in green，並且AP Mode為Sniffer，如下圖所示。

為了確認AP從9800 CLI處於嗅探器模式。運行以下命令：

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i Administrative
Administrative State : Enabled

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config general | i AP Mode
AP Mode : Sniffer

carcerva-9k-upg#show ap name 2802-carcerva-sniffer config dot11 5Ghz | i Sniff
AP Mode : Sniffer
Sniffing : Enabled
Sniff Channel : 36
Sniffer IP : 172.16.0.190
Sniffer IP Status : Valid
Radio Mode : Sniffer

為了確認資料包已在Wireshark上解碼。協定將從UDP更改為802.11，並且會顯示信標幀，如圖所示。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

問題：Wireshark未從AP接收任何資料。

解決方案：無線管理介面(WMI)必須可訪問Wireshark伺服器。確認Wireshark伺服器與WLC中的WMI之間的可接通性。

相關資訊

• Cisco Catalyst 9800系列無線控制器軟體配置指南，Cisco IOS XE阿姆斯特丹版17.3.x -章節：嗅探器模式

• 802.11 無線監聽的基礎知識
• 技術支援與文件 - Cisco Systems