Cisco Cisco WAP351 Wireless-N Dual Radio Access Point with 5-Port Switch Guía Del Usuario
管理
数据包捕获
思科 WAP131 和 WAP351 管理指南
55
3
WAP351
中的 VAP1 ~ VAP7 流量
-- rpcap://[ 192.168.1.220]:2002/wlan0vap1 ~ wlan0vap7
WAP131
WAP131
中的 VAP1 ~ VAP3 流量
-- rpcap://[ 192.168.1.220]:2002/wlan0vap1 ~ wlan0vap3
最多可以同时跟踪 WAP 设备中的 4 个接口。但必须为每个接口单独启动一个
Wireshark
Wireshark
会话。要启动更多远程捕获会话,请重复 Wireshark 配置步骤。 WAP 设备
上无需进行任何配置。
注
系统使用 4 个连续的端口号,从为远程数据包捕获会话配置的端口开始。验证这 4 个
连续的端口号是否可用。如果不使用默认端口,建议使用大于 1024 的端口号。
在无线接口中捕获流量时,可以禁用信标捕获,但其他的 802.11 控制帧仍发送到
Wireshark
Wireshark
。通过设置显示过滤器,可以仅显示以下内容:
•
跟踪中的数据帧
•
特定基本服务集 ID (BSSID) 的流量
•
两个客户端之间的流量
以下是一些有用的显示过滤器的示例:
•
排除信标和 ACK/RTS/CTS 帧:
!(wlan.fc.type_subtype == 8 | | wlan.fc.type == 1)
•
仅数据帧:
wlan.fc.type == 2
•
特定 BSSID 的流量:
wlan.bssid == 00:02:bc:00:17:d0
•
特定客户端收发的所有流量:
wlan.addr == 00:00:e8:4e:5f:8e
在远程捕获模式下,通过网络接口之一将流量发送到运行 Wireshark 的计算机。根据
Wireshark
Wireshark
工具的位置,可以通过以太网接口或无线之一发送流量。为避免跟踪数据
包引起流量溢出,WAP 设备自动安装捕获过滤器以滤出指定到 Wireshark 应用程序的
所有数据包。例如,如果将 Wireshark IP 端口配置为 58000,则将此捕获过滤器自动
安装到 WAP 设备中:
不在端口范围 58000-58004
出于性能和安全考虑,数据包捕获模式不会保存在 WAP 设备的 NVRAM 中。如果重
置 WAP 设备,捕获模式会被禁用,届时您必须重新启用,才能恢复捕获流量。数据
包捕获参数 (不是模式)保存在 NVRAM 中。