Trovare l'IP di un indirizzo MAC

9

C'è un modo per derivare l'IP di un dispositivo dal loro indirizzo MAC su un dispositivo Cisco?

Supponiamo di non trovarti su un segmento locale in cui è possibile eseguire lo sweep / arp del ping, ma sei remoto e ci sono molti router tra te e l'endpoint.

Inoltre, la tabella arp sul dispositivo Cisco in questione non include già questo indirizzo MAC.

ipv4

— AL
fonte

7

Ci sono un paio di opzioni.

Se si esegue lo snooping DHCP, si dovrebbe essere in grado di trovare l'indirizzo IP nel database di bind con il seguente comando:

show ip dhcp snooping binding 00:00:00:00:00:00

Se non si dispone di snooping DHCP, il dispositivo Cisco si trova sulla stessa sottorete (o supporta più SVI in modo da poter aggiungere un'interfaccia sulla sottorete), ci si trova su un IOS più recente (12.2ish o migliore) con accesso a TCL, e il dispositivo risponderà a un ping, quindi è possibile utilizzare uno script TCL. Puoi trovare molti esempi su Internet, uno dei quali può essere trovato qui . Una volta che è in grado di eseguire il ping del dispositivo (sulla stessa sottorete), dovrebbe trovarsi nella tabella ARP del dispositivo Cisco.

In generale, sarebbe più veloce / facile controllare sul dispositivo L3 per la voce ARP o il server DHCP, quindi la seconda opzione.

Vecchia risposta (prima della modifica della domanda): rispondere rigorosamente alla domanda, no non c'è modo di ricavare un indirizzo IP di un dispositivo dalla voce della tabella degli indirizzi MAC.

La tabella degli indirizzi MAC parla rigorosamente di un insieme di informazioni L2, collegando i dispositivi a un'interfaccia. In L2 non esiste consapevolezza di un indirizzo IP (poiché le informazioni L3 e precedenti sono irrilevanti per L2 e potrebbero essere altrettanto facilmente un altro protocollo).

Avresti bisogno di accedere al dispositivo L3 per il segmento di rete remoto dove puoi cercare la voce nella tabella ARP.

— YImparare
fonte

Forse preso un po 'troppo alla lettera :), l'ho modificato per riflettere il vero punto della domanda: possiamo trovare l'IP di un indirizzo MAC da remoto?

— AL

user1353: no, gli indirizzi MAC vengono utilizzati solo sul dominio di livello 2 (LAN) e sono invisibili al di fuori di esso.

— Sander Steffann,

Ciao YLearn, grazie per aver chiarito la tua risposta dopo la mia modifica! Risposta molto approfondita e molto apprezzata!

— AL

3

TL; DR - Dovrai trovare il MAC nella tabella ARP di qualcuno - ad es. il router gateway.

Come originariamente detto da YLearn, stai cercando un indirizzo L3 dato solo un indirizzo L2. Dovrai trovare qualcosa all'interno di un dominio L3 appropriato per trovarlo. Se lo switch non ha un'interfaccia L3 nella stessa rete, la sua tabella arp non mostrerà nulla. Se il dispositivo non utilizza DHCP (e / o lo snooping dhcp non è in esecuzione sullo switch), non verrà visualizzato nella tabella snooping. Suppongo che da qualche parte c'è un router che è il gateway per il dispositivo di destinazione; la sua tabella arp dovrebbe mostrare il collegamento ip-mac.

Nel peggiore dei casi, il mac bloccherebbe il dispositivo alla porta. Dovrai controllare il traffico su quella porta per trovare qualsiasi indirizzo IP.

— Ricky Beam
fonte

sì - lo spanning della porta e l'esecuzione di WireShark o tcpdump di solito aiutano a rivelare qual è l'indirizzo IP del dispositivo collegato a quella porta. Di solito quando il dispositivo è acceso o collegato, inizia ARP e infine rivela il segreto

— knotseh

Il problema con lo spanning della porta è che OP sta parlando di una posizione remota e vuole farlo dal dispositivo Cisco, quindi dove estendere la porta? Se l'OP ha un'altra stazione, potrebbe essere facile come eseguire un ping-sweep e questo dovrebbe alzare il MAC in ARP.

— YLearn

È possibile scaricare i pacchetti senza utilizzare uno SPAN. ( debug ip packetma USATE CON ATTENZIONE!) In conclusione, ci deve essere un router da qualche parte per quel dominio L3 da qualche parte, supponendo che stia parlando con qualsiasi altra cosa.

— Ricky Beam,