Знайдіть хоста в Мережі


11

Який найкращий спосіб розташування певної робочої станції у VLAN?

Мені іноді потрібно це зробити, якщо IP-адреса робочої станції з’являється на ACL-Deny

  1. використання торента
  2. Високе використання пропускної здатності (Топ-динаміки)
  3. Похвилюватися

    Як я це роблю зараз,

    • Перейдіть на основний комутатор у тій же VLAN
    • Введіть IP-адресу,
    • Отримайте MAC з таблиці ARP
    • Пошук адреси Mac, щоб побачити, від якого перемикача він дізнався
    • Увійти до цього вимикача, промити та повторити, поки я не знайду робочу станцію

Іноді це може зайняти вхід до ~ 7 комутаторів, в цій мережі є певні проблеми, з якими я зараз нічого не можу зробити. Величезні VLAN (/ 16) з кількома сотнями користувачів у кожній VLAN

У цілому магазині Cisco, з мінімальним бюджетом за допомогою комутаторів Cisco, повинен бути більш ефективний спосіб відстежувати хост-машини?

РЕДАКТУВАННЯ: Щоб додати більш детальну інформацію

Зокрема, я шукаю порт комутатора, до якого підключений користувач? також деяка історія була б чудовою .. тому що мій підхід працює лише тоді, коли користувач все ще підключений, і немає значення, коли я переглядаю журнали вранці, але пристрій більше не підключений.

Немає центральної DNS або Active Directory, це як гостьова мережа, де надається лише доступ до Інтернету. Я намагаюся забезпечити трохи управління та трохи безпеки.

Я спробував "показати ip dhcp прив'язку | inc", це дає мені дивний MAC (з двома зайвими символами), що не є пов'язаним пристроєм MAC, я ще не розглядав це, але ARP точний і мене більше хвилює з пошуку порту комутатора, до якого підключена машина, що порушує.

сподіваюся, що це дає деяке уточнення


2
Щодо вашого "show ip dhcp" | inc ": додаткові символи спереду - це тип медіа. Якщо ви видалите перші два символи, вам залишається клієнтський MAC.
Двозначні

@legioxi, це передбачає, що пристрій ідентифікував себе за допомогою MAC. Якщо він використовував рядок, це може бути те, що показує сервер.
Ricky Beam

Відповіді:


13

Погляньте на traceroute Layer2 (для Cisco). Cdp має працювати btw ...

Router# traceroute mac 0000.0201.0601 0000.0201.0201
Source 0000.0201.0601 found on con6[WS-C2950G-24-EI] (2.2.6.6)
con6 (2.2.6.6) :Fa0/1 => Fa0/3
con5                 (2.2.5.5        )  :    Fa0/3 => Gi0/1
con1                 (2.2.1.1        )  :    Gi0/1 => Gi0/2
con2                 (2.2.2.2        )  :    Gi0/2 => Fa0/1
Destination 0000.0201.0201 found on con2[WS-C3550-24] (2.2.2.2)
Layer 2 trace completed
Router# 
Router# traceroute mac 0001.0000.0204 0001.0000.0304 detail 
Source 0001.0000.0204 found on VAYU[WS-C6509] (2.1.1.10)
1 VAYU / WS-C6509 / 2.1.1.10 :
                Gi6/1 [full, 1000M] => Po100 [auto, auto]
2 PANI / WS-C6509 / 2.1.1.12 :
                Po100 [auto, auto] => Po110 [auto, auto]
3 BUMI / WS-C6509 / 2.1.1.13 :
                Po110 [auto, auto] => Po120 [auto, auto]
4 AGNI / WS-C6509 / 2.1.1.11 :
                Po120 [auto, auto] => Gi8/12 [full, 1000M] Destination 0001.0000.0304 
found on AGNI[WS-C6509] (2.1.1.11) Layer 2 trace completed.
Router# 

Це дивовижно, я зараз з ним граю. Саме те, що я шукав
hyussuf

9

Для таких дій ми використовуємо плагін Mactrack на Кактусах . Працює досить добре, історичні дані також доступні.

Поки таблиці ARP та MAC доступні через SNMP, вона працює. Єдина маленька проблема, яку ми мали, це те, що екземпляр рівня 3 для сайту - це ASA. Ми просто працювали над цим, перетягуючи таблицю ARP за допомогою скриптів та генеруючи файл arpwatch , оскільки mactrack це підтримує.

Приклад знімка екрана з нашої установки: введіть тут опис зображення

Imgurl посилання: http://i.imgur.com/h9JQVkC.png


Приємно! Можливо, краще кинути на зображення більше або більше. Я багато чого з цього не бачу. :-)
Джон Дженсен

@JohnJensen Так, це лише зміна стакелів, зменшення масштабу зображення, воно завантажено в повному розмірі. Спробуйте відкрити зображення на іншій вкладці, наприклад "Клацніть правою кнопкою миші - відкрийте зображення в новій вкладці в Chrome". Додамо посилання на відповідь у будь-якому випадку.
Стефан Радовановичі

7

Є кілька способів зробити це дешево (здійснення досліджень та / або впровадження я залишу для вас).

  1. У вас є сценарій, який входить у кожне з ваших крайових пристроїв і захоплює таблиці MAC-адрес із них. Ви хочете виключити для цього інтерфейси магістралей, але було б тривіально створити хеш (або диктувати для вас пітонів), при цьому ключі є крайніми перемикачами, а значення - іншим хешем, який в основному "інтерфейс mac.addr -> ". Це позбавить вас необхідності виганяти MAC на ваших крайових комутаторах, що, як видається, є більшою частиною роботи. Я можу порекомендувати використовувати Perl's Net::Appliance::Sessionабо Python exscriptдля того, щоб це сталося (це передбачає, що у вас є доступ до поля * NIX).

  2. Використовуйте SNMP для запиту цих даних, що позбавить від необхідності в сценарії фактичного входу в систему для перемикань та запуску команд. Ви самостійно шукаєте MIB-адреси для таблиць MAC-адрес, але ось пошук у Google для початку роботи .

  3. Якщо ви працюєте лише в Windows, ви можете використовувати SecureCRT або TeraTerm, щоб налаштувати макроси для "напівавтоматизації" для вас, але мій досвід роботи з будь-яким із них дуже обмежений, тому YMMV.

Сподіваюсь, що дає кілька ідей.


6

Мені подобається мати сценарій, який захоплює show arpта show cam dynвиводить кожні 15 хвилин, я розмічаю його часом, term exec prompt timestampщоб ми мали грубу кореляцію у рази. Тоді я додаю весь вихід комутатора до файлу ... один файл за комутатор, на день.

Усі ці журнали зберігаються в одному каталозі для легкого збирання.

Пошук хостів стає досить простим вправою грепа, якщо ви знаєте топологію ... Застрягли у вікнах без грепа? Використовуйте cygwin ...


2

Чому б не спростити речі і зробити nslookup в IP-адресі, захопити ім'я хоста з DNS і використовувати ім'я хоста для пошуку комп'ютера через список активів або бази даних управління? Або якщо у вас немає зворотного налаштування DNS, ви можете увійти на сервер DHCP, щоб отримати ім'я хоста.

Я знаю, що це не метод Cisco / CLI, але він повинен працювати, якщо ваші користувачі призначені для комп'ютерів 1-1. Якщо вам більше 1, ви можете скористатись інструментами Windows / Linux, щоб дізнатись про поточного користувача комп'ютера.


Я не думаю, що Хьюсуф намагається знайти того, хто знаходиться на комп'ютері - оскільки це мережева інженерія, і на прикладі, який він надав, я припускаю, що він намагається визначити, до якого фізичного порту підключено пристрій, і який пристрій може не завжди бути робочою станцією.
Марк

Правда, не тільки це, але це свого роду гостьова мережа, єдиною послугою, яку ми надаємо, є Інтернет, суміш BYOD та невеликі компанії, які вимагають доступу до Інтернету для виконання своєї роботи. технічно Інтернет-провайдер у віддаленому місці з усіма видами користувачів. Маршрутизатори cisco - це мої сервери dhcp, коли я дивлюся на інформацію про прив'язку, MAC абсолютно неправий, у нього навіть додаткові 2 символи ще не вивчені.
hyussuf

Крім того, моя головна мета - знайти порт перемикача, який порушує правопорушення, відключити або "вимкнути" ... Вибачте, не можу зрозуміти, як нова лінія
hyussuf

Ви можете поповнити це питання детальніше з двох коментарів, які ви опублікували до моєї відповіді. Однозначно хороша інформація, яка допоможе у відповідях.
some_guy_long_gone

2

Ви робите це так само, як я це робив би вручну.

Там є програмне забезпечення, яке зробить ручні кроки з нього для вас. Інструмент, що входить до програми SolarWinds Engineering Toolkit, буде, хоча, на жаль, не з дешевих. Я впевнений, що є й інші альтернативи.

Якщо ви перебуваєте у вирішенні проміжних завдань чи певних сценаріїв, погляньте на команди SNMP, випущені в цій відповіді, щоб дізнатись, як можна скриптувати його із системи з клієнтом CLMP SNMP

Відредаговано, щоб додати: Я припускаю, що ваше "промивання та повторення" не включає повторно пінг та інше на цьому шляху. Визначивши mac-адресу, ви зможете просто зробити sh mac addr | в #### (кутові дужки кута зникають)


правильно, ping лише один раз, "показати mac add | inc ####", змішаний з деяким шоу сусідом cdp кілька разів
hyussuf

Я розкрию, що у мене є доступ як до Інструментального інструментарію, так і до пристрою відстеження користувальницьких пристроїв ( solarwinds.com/user-device-tracker.aspx ) і 99% часу я закінчу входити в систему до комутаторів і просто роблю це вручну. Правда, це рідко, що мені доводиться проходити 7 глибоко, але це просто працює.
Марк

Мій SNMP-fu не дуже сильний, але ця посилання дуже цікава і дала мені кілька ідей.
hyussuf

1

Ви запитуєте дві речі.
1.Знайдіть MAC у вашій мережі - раджу створити скрипт (php) і використовувати SNMP для запиту всіх MAC-адресних таблиць, щоб дати вам комутатор / порт, де знаходиться IP / MAC-адреса.

2.Monitor Використання вашого (торрент-використання, велике використання пропускної здатності (Топ-розмовники), Snort-попередження) - Використовуйте рішення як ntop для контролю потоків у вашій мережі. Я користувався цим давно і був чудовим.


1

Лише пропозиція ... якщо у вас є якась активна перевірка системного журналу, яка може викликати певні події, ви можете написати сценарій для пошуку SNMP для IP-адреси на кожному комутаторі, щоб знати, де це було приблизно за час події.

(вибачте, я не можу знайти точні OID)

Редагувати: посилання " Використання SNMP для пошуку номера порту з MAC-адреси на комутаторі каталізатора " я забув про трюк comm @ vlan . Існує багато таблиць, щоб знайти всю інформацію, необхідну людині. :-(


1

switchmap - це ще один інструмент, за допомогою якого можна відстежувати, яка мак-адреса стоїть за яким комутаційним транспортом (серед іншого).


1

Я використовував netdisco для збору цієї інформації. Це дозволить запитувати базу даних з ім'ям хоста, IP-адресою, MAC-адресою тощо, а також повертати комутатор та комутаційний порт. Це також зробить і деякі інші корисні речі.


-3

Це посилання може бути корисним

http://arunrkaushik.blogspot.com/2007/10/traceroute-mac-ip.html


Як правило, в Net Eng SE вважається хорошим стилем включати основні деталі вашої відповіді та, якщо потрібно, надати посилання на посилання на матеріали. (Тому що "зникнення посилань" означає, що зрештою ця URL-адреса нікуди не стане корисною.)
Крейг Костянтин,
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.