借助AP抓空口报文。找到需要抓包的AP，点击抓包按钮

填写抓包终端IP地址和端口，格式推荐pacp+radio。

命令行方式

#ap packet-capture raw-start ip-addr 172.23.2.249 172.23.14.92 5555 0 radio 0

raw-start 表示将原始数据包流传输到外部查看器，包括AP听到的和正在传输的报文。
第一个IP 172.23.2.249 表示AP地址，也可以是AP-name或者AP MAC。
第二个IP 172.23.14.92 表示开启Wireshark的终端IP。
5555 表示接收抓包端口
0代表数据格式：
0 = pcap
1 = peek（通常用于 Omnipeek）
2 = airmagnet
3 = pcap+radio header（通常用于 Wireshark）*** 推荐 ***
4 = ppi
5 = peek with 11n/11ac header
最后radio 0=5 GHz，radio 1=2.4 GH

Wireshark 设置，两个步骤：

1. 告诉它监听哪个端口

在编辑->首选项->协议里设置ARUBA_ERM UDP port 为5555

2. 告诉它如何“解码”数据

在分析->解码里增加一条解码设置： Aruba_ERM type 按照实际选择（与AP配置的对应）

3.开启有线网卡抓包即可收到报文。wireshark过滤规则参考https://arubase.club/archives/6471

如果抓到报文显示ARUBA_ERM表示解码设置错误，需要修改解码设置。

正常报文