Ist es möglich, eine interne IP-Adresse einem Switch-Port zuzuordnen?

8

Ich versuche, einen Computer mit einer bestimmten IP-Adresse in unserem internen Netzwerk zu finden. Ich habe den Computernamen über DNS identifiziert, aber in diesem Fall hilft es mir nicht.

Sie fragen sich nur, ob ich die IP irgendwie an einen Switch-Port binden und von dort aus verfolgen kann? Wenn das so ist, wie?

networking ip ethernet arp trace Brent
quelle

Antworten:

15

Bei einer gegebenen IP-Adresse sollten Sie in der Lage sein, die MAC-Adresse des entsprechenden Hosts zu finden.

arp -a

Unter Windows und Linux wird Ihnen der Arp-Cache dieses Hosts angezeigt, in dem IPs MAC-Adressen zugeordnet werden. (Beachten Sie, dass dies auf einem Computer ausgeführt werden muss, der sich im selben IP-Subnetz befindet wie der Computer, den Sie suchen möchten.)

Sobald Sie die MAC-Adresse haben, melden Sie sich bei dem Switch an, mit dem der Rogue-Host vermutlich verbunden ist, und durchsuchen Sie die MAC-Adresstabelle nach dieser Adresse. (Die MAC-Adresstabelle wird auch als Bridging-Tabelle oder CAM-Tabelle bezeichnet.)

Bei Cisco IOS-basierten Switches beispielsweise den folgenden Befehl:

show mac-address-table address <MAC address>

Zeigt Ihnen den Port an, an dem eine bestimmte MAC-Adresse zuletzt gesehen wurde. Wenn der resultierende Port eine Verbindung zu einem anderen Switch ist, melden Sie sich bei diesem Switch an und führen Sie den Befehl erneut aus. Wiederholen Sie diesen Vorgang, bis Sie einen Host-Port haben und Sie Ihren Schuldigen haben sollten.

Beachten Sie, dass dieser Ansatz nur funktioniert, wenn Sie über einen verwalteten Switch verfügen, mit dem die MAC-Adresstabelle abgefragt werden kann. Andernfalls wird es sich um eine manuelle Eliminierung handeln. Finden Sie jeden Port, von dem Sie wissen, dass er nicht die Rogue-Maschine ist, bis Sie nur noch einen Port haben, den Sie nicht berücksichtigen können. Viel Glück.

Murali Suriar
quelle
5

Wie bereits erwähnt, gibt es keine direkte Möglichkeit, festzustellen, welche IP mit einem bestimmten Switch-Port verbunden ist. Der Grund dafür ist, dass ein Ethernet-Switch an L2 des OSI-Modells arbeitet und normalerweise keine Ebenen höherer Ebenen (Schicht 3 -> IP-Adresse) überprüft. (Es gibt einige Ausnahmen bei neuerer Hardware)

Ein wichtiger Hinweis: Um den Ping / ARP-Trick verwenden zu können, müssen Sie ein Gerät im selben VLAN oder Subnetz wie das gesuchte Gerät verwenden. Andernfalls wird nur die MAC-Adresse des Standard-Gateways in der ARP-Tabelle angezeigt.

Hier ist das Verfahren, das ich nach Möglichkeit empfehle.

Quelle und Ziel im selben VLAN

  1. Senden Sie einen Ping an das Gerät, das Sie suchen.
  2. Suchen Sie nach erfolgreicher Rückkehr in der ARP-Tabelle nach der MAC-Adresse des Geräts.
  3. Melden Sie sich am Switch selbst an und durchsuchen Sie die MAC-Adresstabelle nach der in Schritt 2 gefundenen Adresse. (Die MAC-Adresstabelle kann auch als CAM-Tabelle bezeichnet werden.) Die MAC-Adresstabelle enthält eine Zuordnung von MAC-Adressen zu Switch-Ports.

Quelle und Ziel in verschiedenen VLANs

  1. Geben Sie auf dem Core-Router oder dem vermuteten Standard-Gateway einen Ping aus. Dies funktioniert natürlich am besten, wenn das gesamte Routing auf demselben Gerät erfolgt.
  2. Wenn mehrere L3-Schnittstellen vorhanden sind, müssen Sie möglicherweise das Netzwerk von der L3-Schnittstelle zur L3-Schnittstelle "durchlaufen" und die Ping- / ARP-Prüfung durchführen, bis Sie die finden, die als Standard-Gateway für das gesuchte Gerät dient.
  3. Sobald Sie es gefunden haben, können Sie sich beim Switch anmelden und die MAC-Adresstabelle durchsuchen, um den Port zu finden.
Dave K.
quelle
3

Überprüfen Sie den ARP-Cache auf Ihren Switches, um den MAC und den Switch-Port zu finden, die dieser IP des Geräts zugeordnet sind. Dieser Artikel soll Ihnen helfen:

l0c0b0x
quelle
3
Ein kleines Detail - ARP-Caches befinden sich auf L3-Geräten (Router, Hosts) und geben nur die der IP zugeordnete MAC-Adresse an. MAC-Adresstabellen (oder CAM-Tabellen) ermöglichen dann die Zuordnung des MAC zu einem physischen Port.
Murali Suriar
Der zweite Link gibt nur einen Fehler.
Lauritz V. Thaulow
@lazyr Fehler Link behoben.
l0c0b0x
1

Sie haben nicht angegeben, welche Betriebssysteme Ihnen im Netzwerk zur Verfügung stehen, aber die meisten von ihnen verfügen über einen Befehl arp. Mit dem Befehl arp können Sie herausfinden, wie die MAC-Adresse eines Hosts mit einem angegebenen Hostnamen lautet (vorausgesetzt, Sie befinden sich im selben Netzwerk wie der Host).

Dann müssen Sie die ARP-Caches Ihrer Switches überprüfen, um herauszufinden, an welchem ​​Port sich diese MAC-Adresse befindet.

jedberg
quelle
1

Es gibt keine 1: 1-Zuordnung zwischen physischen Schnittstellen und IP-Adressen. Ein Port auf einem Switch kann den Datenverkehr für viele Computer verarbeiten (wenn ein anderer Switch verkettet ist), und ein Switch-Port kann Datenverkehr für mehr als eine IP weiterleiten (wenn der Computer mehrfach vernetzt ist).

Wenn Sie über einen ausreichend erweiterten Switch verfügen, können Sie in den Verwaltungsbildschirmen des Switches nachsehen, ob dort MAC-Adressen aufgelistet sind, die er an einem bestimmten Port gehört hat.

Angenommen, der Computer, den Sie finden möchten, ist (logischerweise) nicht zu weit entfernt, können Sie beispielsweise versuchen, eine große Menge an Datenverkehr an ihn zu senden ping -f, um den Port, an dem sich der Computer befindet, anhand der Aktivitätsanzeigen zu verfolgen .

Dave Cheney
quelle
1

Wenn der Switch snmp unterstützt, können Sie Mac-Tabelleninformationen remote abrufen, wobei die Zuordnung von physischem Port und Mac-Adresse mit dem Port verbunden sein sollte.

Tomoe
quelle
Wir verwenden dieses und einige Skripte, um eine Live-Datenbanktabelle zu füllen, in der angegeben ist, welche IPs im Netzwerk gesehen wurden und wo wir sie gesehen haben. Vergleichen Sie dies mit einer Switch-Port / Wall-Jack-Datenbank, und wir können auch den physischen Standort ermitteln.
sysadmin1138