Знайдіть хоста в Мережі

Який найкращий спосіб розташування певної робочої станції у VLAN?

Мені іноді потрібно це зробити, якщо IP-адреса робочої станції з’являється на ACL-Deny

1. використання торента
2. Високе використання пропускної здатності (Топ-динаміки)

3. Похвилюватися

   Як я це роблю зараз,

   • Перейдіть на основний комутатор у тій же VLAN
   • Введіть IP-адресу,
   • Отримайте MAC з таблиці ARP
   • Пошук адреси Mac, щоб побачити, від якого перемикача він дізнався
   • Увійти до цього вимикача, промити та повторити, поки я не знайду робочу станцію

Іноді це може зайняти вхід до ~ 7 комутаторів, в цій мережі є певні проблеми, з якими я зараз нічого не можу зробити. Величезні VLAN (/ 16) з кількома сотнями користувачів у кожній VLAN

У цілому магазині Cisco, з мінімальним бюджетом за допомогою комутаторів Cisco, повинен бути більш ефективний спосіб відстежувати хост-машини?

РЕДАКТУВАННЯ: Щоб додати більш детальну інформацію

Зокрема, я шукаю порт комутатора, до якого підключений користувач? також деяка історія була б чудовою .. тому що мій підхід працює лише тоді, коли користувач все ще підключений, і немає значення, коли я переглядаю журнали вранці, але пристрій більше не підключений.

Немає центральної DNS або Active Directory, це як гостьова мережа, де надається лише доступ до Інтернету. Я намагаюся забезпечити трохи управління та трохи безпеки.

Я спробував "показати ip dhcp прив'язку | inc", це дає мені дивний MAC (з двома зайвими символами), що не є пов'язаним пристроєм MAC, я ще не розглядав це, але ARP точний і мене більше хвилює з пошуку порту комутатора, до якого підключена машина, що порушує.

сподіваюся, що це дає деяке уточнення

Погляньте на traceroute Layer2 (для Cisco). Cdp має працювати btw ...

Router# traceroute mac 0000.0201.0601 0000.0201.0201
Source 0000.0201.0601 found on con6[WS-C2950G-24-EI] (2.2.6.6)
con6 (2.2.6.6) :Fa0/1 => Fa0/3
con5                 (2.2.5.5        )  :    Fa0/3 => Gi0/1
con1                 (2.2.1.1        )  :    Gi0/1 => Gi0/2
con2                 (2.2.2.2        )  :    Gi0/2 => Fa0/1
Destination 0000.0201.0201 found on con2[WS-C3550-24] (2.2.2.2)
Layer 2 trace completed
Router# 
Router# traceroute mac 0001.0000.0204 0001.0000.0304 detail 
Source 0001.0000.0204 found on VAYU[WS-C6509] (2.1.1.10)
1 VAYU / WS-C6509 / 2.1.1.10 :
                Gi6/1 [full, 1000M] => Po100 [auto, auto]
2 PANI / WS-C6509 / 2.1.1.12 :
                Po100 [auto, auto] => Po110 [auto, auto]
3 BUMI / WS-C6509 / 2.1.1.13 :
                Po110 [auto, auto] => Po120 [auto, auto]
4 AGNI / WS-C6509 / 2.1.1.11 :
                Po120 [auto, auto] => Gi8/12 [full, 1000M] Destination 0001.0000.0304 
found on AGNI[WS-C6509] (2.1.1.11) Layer 2 trace completed.
Router# 

Для таких дій ми використовуємо плагін Mactrack на Кактусах . Працює досить добре, історичні дані також доступні.

Поки таблиці ARP та MAC доступні через SNMP, вона працює. Єдина маленька проблема, яку ми мали, це те, що екземпляр рівня 3 для сайту - це ASA. Ми просто працювали над цим, перетягуючи таблицю ARP за допомогою скриптів та генеруючи файл arpwatch , оскільки mactrack це підтримує.

Приклад знімка екрана з нашої установки:

Imgurl посилання: http://i.imgur.com/h9JQVkC.png

Є кілька способів зробити це дешево (здійснення досліджень та / або впровадження я залишу для вас).

1. У вас є сценарій, який входить у кожне з ваших крайових пристроїв і захоплює таблиці MAC-адрес із них. Ви хочете виключити для цього інтерфейси магістралей, але було б тривіально створити хеш (або диктувати для вас пітонів), при цьому ключі є крайніми перемикачами, а значення - іншим хешем, який в основному "інтерфейс mac.addr -> ". Це позбавить вас необхідності виганяти MAC на ваших крайових комутаторах, що, як видається, є більшою частиною роботи. Я можу порекомендувати використовувати Perl's Net::Appliance::Sessionабо Python exscriptдля того, щоб це сталося (це передбачає, що у вас є доступ до поля * NIX).

2. Використовуйте SNMP для запиту цих даних, що позбавить від необхідності в сценарії фактичного входу в систему для перемикань та запуску команд. Ви самостійно шукаєте MIB-адреси для таблиць MAC-адрес, але ось пошук у Google для початку роботи .

3. Якщо ви працюєте лише в Windows, ви можете використовувати SecureCRT або TeraTerm, щоб налаштувати макроси для "напівавтоматизації" для вас, але мій досвід роботи з будь-яким із них дуже обмежений, тому YMMV.

Сподіваюсь, що дає кілька ідей.

Мені подобається мати сценарій, який захоплює show arpта show cam dynвиводить кожні 15 хвилин, я розмічаю його часом, term exec prompt timestampщоб ми мали грубу кореляцію у рази. Тоді я додаю весь вихід комутатора до файлу ... один файл за комутатор, на день.

Усі ці журнали зберігаються в одному каталозі для легкого збирання.

Пошук хостів стає досить простим вправою грепа, якщо ви знаєте топологію ... Застрягли у вікнах без грепа? Використовуйте cygwin ...

Чому б не спростити речі і зробити nslookup в IP-адресі, захопити ім'я хоста з DNS і використовувати ім'я хоста для пошуку комп'ютера через список активів або бази даних управління? Або якщо у вас немає зворотного налаштування DNS, ви можете увійти на сервер DHCP, щоб отримати ім'я хоста.

Я знаю, що це не метод Cisco / CLI, але він повинен працювати, якщо ваші користувачі призначені для комп'ютерів 1-1. Якщо вам більше 1, ви можете скористатись інструментами Windows / Linux, щоб дізнатись про поточного користувача комп'ютера.

Ви робите це так само, як я це робив би вручну.

Там є програмне забезпечення, яке зробить ручні кроки з нього для вас. Інструмент, що входить до програми SolarWinds Engineering Toolkit, буде, хоча, на жаль, не з дешевих. Я впевнений, що є й інші альтернативи.

Якщо ви перебуваєте у вирішенні проміжних завдань чи певних сценаріїв, погляньте на команди SNMP, випущені в цій відповіді, щоб дізнатись, як можна скриптувати його із системи з клієнтом CLMP SNMP

Відредаговано, щоб додати: Я припускаю, що ваше "промивання та повторення" не включає повторно пінг та інше на цьому шляху. Визначивши mac-адресу, ви зможете просто зробити sh mac addr | в #### (кутові дужки кута зникають)

Ви запитуєте дві речі.
1.Знайдіть MAC у вашій мережі - раджу створити скрипт (php) і використовувати SNMP для запиту всіх MAC-адресних таблиць, щоб дати вам комутатор / порт, де знаходиться IP / MAC-адреса.

2.Monitor Використання вашого (торрент-використання, велике використання пропускної здатності (Топ-розмовники), Snort-попередження) - Використовуйте рішення як ntop для контролю потоків у вашій мережі. Я користувався цим давно і був чудовим.

Лише пропозиція ... якщо у вас є якась активна перевірка системного журналу, яка може викликати певні події, ви можете написати сценарій для пошуку SNMP для IP-адреси на кожному комутаторі, щоб знати, де це було приблизно за час події.

(вибачте, я не можу знайти точні OID)

Редагувати: посилання " Використання SNMP для пошуку номера порту з MAC-адреси на комутаторі каталізатора " я забув про трюк comm @ vlan . Існує багато таблиць, щоб знайти всю інформацію, необхідну людині. :-(

switchmap - це ще один інструмент, за допомогою якого можна відстежувати, яка мак-адреса стоїть за яким комутаційним транспортом (серед іншого).

Я використовував netdisco для збору цієї інформації. Це дозволить запитувати базу даних з ім'ям хоста, IP-адресою, MAC-адресою тощо, а також повертати комутатор та комутаційний порт. Це також зробить і деякі інші корисні речі.

Це посилання може бути корисним

http://arunrkaushik.blogspot.com/2007/10/traceroute-mac-ip.html