È possibile abbinare un indirizzo IP interno a una porta dello switch?


8

Sto cercando di trovare un computer con un determinato indirizzo IP sulla nostra rete interna. Ho identificato il nome del computer da DNS, ma in questo caso non mi aiuta.

Ti stai solo chiedendo se posso in qualche modo collegare l'IP a una porta dello switch e seguirlo da lì? Se é cosi, come?

Risposte:


15

Dato un indirizzo IP, dovresti essere in grado di trovare l'indirizzo MAC dell'host corrispondente.

arp -a

Su Windows e Linux ti mostrerà la cache arp di quell'host, mappando gli IP su indirizzi MAC. (Notare che questo dovrà essere eseguito su una macchina che si trova sulla stessa sottorete IP della macchina che si sta tentando di trovare).

Una volta che hai l'indirizzo MAC, accedi allo switch a cui sospetti sia connesso l'host non autorizzato e cerca nella tabella dell'indirizzo MAC quell'indirizzo. (La tabella degli indirizzi MAC è anche chiamata tabella di bridge o tabella CAM).

Ad esempio, sugli switch basati su Cisco IOS, il seguente comando:

show mac-address-table address <MAC address>

Ti mostrerà la porta su cui un determinato indirizzo MAC è stato visto l'ultima volta. Se la porta risultante è un collegamento a un altro switch, accedere a tale switch ed eseguire nuovamente il comando. Ripeti fino a quando non finisci con una porta host e dovresti avere il tuo colpevole.

Si noti che questo approccio funzionerà solo se si dispone di uno switch gestito che consente di interrogare la sua tabella degli indirizzi MAC. In caso contrario, sarà un caso di eliminazione manuale; trova ogni porta che sai non è la macchina canaglia, finché non ti rimane una porta di cui non puoi tenere conto. In bocca al lupo.


5

Come altri hanno già detto, non esiste un modo diretto per determinare quale IP è collegato a una determinata porta dello switch. Il motivo è che uno switch Ethernet funziona su L2 del modello OSI e in genere non controlla i livelli di livello superiore (Livello 3 -> Indirizzo IP). (Ci sono alcune eccezioni nell'hardware più recente)

Una nota importante, per usare il trucco ping / ARP dovrai usare un dispositivo sulla stessa VLAN o sottorete del dispositivo che stai cercando. Altrimenti, vedrai solo l'indirizzo MAC del gateway predefinito nella tabella ARP.

Ecco la procedura che raccomando, se possibile.

Origine e destinazione sulla stessa VLAN

  1. Invia un ping al dispositivo che stai cercando di individuare.
  2. Una volta restituito correttamente, cerca nella tabella ARP per trovare l'indirizzo MAC di detto dispositivo.
  3. Accedere allo switch stesso e cercare nella tabella degli indirizzi MAC l'indirizzo trovato nel passaggio 2. (La tabella degli indirizzi MAC può anche essere chiamata tabella CAM). La tabella degli indirizzi MAC fornisce una mappatura degli indirizzi MAC per cambiare porta.

Origine e destinazione su diverse VLAN

  1. Dal router principale o dal gateway predefinito sospetto, emettere un ping. Ovviamente, questo funziona meglio se tutto il routing viene eseguito sullo stesso dispositivo.
  2. Se ci sono più interfacce L3, potrebbe essere necessario "camminare" attraverso la rete passando dall'interfaccia L3 all'interfaccia L3 eseguendo il controllo ping / ARP fino a trovare quello che funge da gateway predefinito per il dispositivo che si sta cercando.
  3. Una volta trovato, è quindi possibile accedere allo switch e cercare la tabella degli indirizzi MAC per trovare la porta.

3

Controlla la cache ARP sui tuoi switch per trovare il MAC e la porta dello switch associata a quell'IP del dispositivo. Questo articolo dovrebbe aiutarti:


3
Un dettaglio minore: le cache ARP si trovano sui dispositivi L3 (router, host) e forniranno solo l'indirizzo MAC associato all'IP. Le tabelle degli indirizzi MAC (o tabelle CAM) consentiranno quindi di mappare il MAC su una porta fisica.
Murali Suriar,

Il secondo collegamento fornisce solo un errore.
Lauritz V. Thaulow,

Collegamento errore @lazyr risolto.
l0c0b0x

1

Non hai specificato quali sistemi operativi hai a disposizione sulla rete, ma la maggior parte di essi ha un comando arp. È possibile utilizzare il comando arp per scoprire quale sia l'indirizzo MAC di un host con un nome host assegnato (supponendo che ci si trovi sulla stessa rete dell'host).

Quindi devi controllare le cache ARP dei tuoi switch per trovare su quale porta si trova l'indirizzo MAC.


1

Non esiste un mapping 1: 1 tra interfacce fisiche e indirizzi IP. Una porta su uno switch può gestire il traffico per molte macchine (se un altro switch è collegato in cascata) e una porta dello switch può inoltrare il traffico per più di un IP (se la macchina è multihome).

Se si dispone di uno switch sufficientemente avanzato, è possibile guardare nelle schermate di gestione dello switch per vedere se elenca gli indirizzi MAC che ha ascoltato su una determinata porta.

In alternativa, supponendo che il computer che desideri trovare non sia troppo lontano (logicamente) potresti provare a inviare una grande quantità di traffico, diciamo ping -f, che dovrebbe permetterti di tracciare la porta su cui si trova la macchina guardando le luci di attività .


1

Se lo switch supporta snmp, è possibile ottenere informazioni sulla tabella mac in remoto, che dovrebbe avere la mappatura della porta fisica e dell'indirizzo mac collegati alla porta.


Usiamo questo e alcuni script per popolare una tabella di database live di ciò che gli IP sono stati visti sulla rete e dove li abbiamo visti. Fai un riferimento incrociato a quello con un database switch-port / wall-jack e possiamo ottenere anche la posizione fisica.
sysadmin1138
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.