Найти хост в сети

Каков наилучший способ нахождения конкретной рабочей станции в VLAN?

Мне иногда нужно это делать, если IP-адрес рабочей станции отображается в списке ACL Deny

  1. Использование торрентов
  2. Использование высокой пропускной способности (Top Talkers)
  3. Предупреждение о приостановке

    Как я это делаю сейчас,

    • Вход в основной коммутатор в той же VLAN
    • Ping IP-адрес,
    • Получить MAC из таблицы ARP
    • Поиск MAC-адреса, чтобы узнать, какой коммутатор он узнал из
    • войдите в этот переключатель, и повторите его, пока я не найду рабочую станцию ​​

иногда это может зайти в систему до ~ 7 коммутаторов, в этой сети есть определенные проблемы, о которых я сейчас ничего не могу сделать. Огромные VLAN (/16) с несколькими сотнями пользователей в каждой VLAN

во всем магазине Cisco, с минимальным бюджетом с использованием коммутаторов Cisco, должен быть более эффективный способ отслеживания хост-машин?

EDIT: Чтобы добавить дополнительные сведения

В частности, я ищу порт коммутатора, к которому подключен пользователь? также некоторая история была бы замечательной .. потому что мой подход работает только тогда, когда пользователь все еще подключен, и нет значения, когда я просматриваю журналы по утрам, но устройство больше не подключено.

Нет центрального DNS или Active Directory, это как гостевая сеть, где предоставляется только доступ в Интернет. Я пытаюсь обеспечить некоторое управление и немного безопасности.

Я пробовал «show ip dhcp binding | inc», он дает мне странный MAC (с двумя дополнительными символами), который не является связанным с устройством MAC, я еще не изучил это, но ARP является точной, m больше заботится о том, чтобы найти порт коммутатора, к которому подключен аппарат-нарушитель.

надеюсь, что это даст некоторое разъяснение.

10 голосов | спросил hyussuf 6 J0000006Europe/Moscow 2013, 03:14:33

11 ответов


12

Взгляните на Layer2 traceroute (для cisco) .. Cdp должен работать btw ...

Router# traceroute mac 0000.0201.0601 0000.0201.0201
Source 0000.0201.0601 found on con6[WS-C2950G-24-EI] (2.2.6.6)
con6 (2.2.6.6) :Fa0/1 => Fa0/3
con5                 (2.2.5.5        )  :    Fa0/3 => Gi0/1
con1                 (2.2.1.1        )  :    Gi0/1 => Gi0/2
con2                 (2.2.2.2        )  :    Gi0/2 => Fa0/1
Destination 0000.0201.0201 found on con2[WS-C3550-24] (2.2.2.2)
Layer 2 trace completed
Router# 
Router# traceroute mac 0001.0000.0204 0001.0000.0304 detail 
Source 0001.0000.0204 found on VAYU[WS-C6509] (2.1.1.10)
1 VAYU / WS-C6509 / 2.1.1.10 :
                Gi6/1 [full, 1000M] => Po100 [auto, auto]
2 PANI / WS-C6509 / 2.1.1.12 :
                Po100 [auto, auto] => Po110 [auto, auto]
3 BUMI / WS-C6509 / 2.1.1.13 :
                Po110 [auto, auto] => Po120 [auto, auto]
4 AGNI / WS-C6509 / 2.1.1.11 :
                Po120 [auto, auto] => Gi8/12 [full, 1000M] Destination 0001.0000.0304 
found on AGNI[WS-C6509] (2.1.1.11) Layer 2 trace completed.
Router# 
ответил user209 7 J0000006Europe/Moscow 2013, 00:53:08
9

Мы используем плагин mactrack на Cacti, чтобы делать такие вещи. Хорошо работает, имеются исторические данные.

Пока таблицы ARP и MAC-адресов доступны через SNMP, это работает. Единственная небольшая проблема, с которой мы столкнулись, - это то, где экземпляр слоя 3 для сайта является ASA. Мы просто работали над этим, потянув таблицу ARP через скрипты и создав файл arpwatch , так как mactrack поддерживает это.

Пример скриншота из нашей настройки: введите описание изображения здесь>> </p>

<p> Ссылка Imgurl: <a href= http://i.imgur.com/h9JQVkC.png

ответил Stefan Radovanovici 6 J0000006Europe/Moscow 2013, 03:40:28
7

Есть несколько способов сделать это по дешевке (осуществление исследований и /или реализация я оставлю вам).

  1. У вас есть сценарий, который регистрируется на каждом из ваших граничных устройств и захватывает из них таблицы MAC-адресов. Вы хотите исключить интерфейсы соединительных линий для этого, но было бы тривиально создавать хэш (или dict для вас, людей-питонов), при этом ключи являются краевыми переключателями, а значения - еще одним хэшем, который в основном «mac.addr -> интерфейс". Это избавит вас от необходимости преследовать MAC-адреса на ваших граничных коммутаторах, что, по-видимому, является большей частью проблем с работой. Я могу порекомендовать использовать Perl Net::Appliance::Session или Python exscript, чтобы это произошло (предполагается, что у вас есть доступ к * NIX).

  2. Используйте SNMP для запроса этих данных, что избавит от необходимости сценария для входа в систему для переключения и запуска команд. Вы сами можете искать MIB для таблиц MAC-адресов, но вот поиск Google, чтобы вы начали .

  3. Если вы используете только Windows, вы можете использовать SecureCRT или TeraTerm, чтобы настроить макрос, чтобы «полуавтоматизировать» это для вас, но мой опыт с любым из них очень ограничен, поэтому YMMV.

Надеюсь, что вы получите несколько идей.

ответил John Jensen 6 J0000006Europe/Moscow 2013, 03:35:00
6

Мне нравится иметь скрипт, который захватывает show arp и show cam dyn вывод каждые 15 минут, я отмечаю его с помощью term exec prompt timestamp, поэтому мы имеем грубую корреляцию для времени. Затем я добавляю весь вывод переключателя в файл ... по одному файлу на каждый коммутатор в день.

Все эти журналы хранятся в одном каталоге для упрощения grepping.

Поиск хостов становится довольно простым упражнением grep, если вы знаете топологию ... Застряли в окнах без grep? Используйте cygwin ...

ответил Mike Pennington 6 J0000006Europe/Moscow 2013, 03:27:11
2

Почему бы не упростить вещи и сделать nslookup на IP, захватить имя хоста из DNS и использовать имя хоста, чтобы найти компьютер через список активов или базу данных управления? Если у вас нет обратной настройки DNS, вы можете войти в DHCP-сервер, чтобы вытащить имя хоста.

Я знаю, что это не метод Cisco /CLI, но он должен работать, если ваши пользователи назначены компьютерам 1-1. Если вас много, вы можете использовать инструменты Windows /Linux, чтобы узнать текущего пользователя компьютера.

ответил some_guy_long_gone 6 J0000006Europe/Moscow 2013, 03:23:59
2

Вы делаете это так же, как и вручную.

Там есть программное обеспечение, которое выберет для вас ручные шаги. Инструмент, включенный в SolarWinds Engineering Toolkit, будет, хотя, к сожалению, не дешевым. Я уверен, что есть и другие альтернативы.

Если вы хотите использовать промежуточное решение или какую-либо работу по созданию сценариев, посмотрите на команды SNMP, выпущенные в этом ответе, за идею о том, как вы могли сценарий из системы с клиентом CLI CLI

Отредактировано для добавления: Я полагаю, что ваше «полоскание и повторение» не включает повторение пинга и еще чего-то по пути. После того, как вы определили адрес mac, вы должны просто сделать sh mac addr | в #### (угловые скобки исчезают)

ответил Mark 6 J0000006Europe/Moscow 2013, 03:22:26
1

Просто предложение ... если у вас есть какая-то активная проверка syslog, которая может запускаться при определенных событиях, вы можете написать сценарий для SNMP-поиска IP-адреса на каждом коммутаторе, чтобы знать, где это было примерно примерно в то время, когда событие происходит .

(извините, я не могу найти точные OID)

Изменить: ссылка " Использование SNMP для поиска номера порта с MAC-адреса на коммутаторе Catalyst «Я забыл об трюке comm @ vlan . Есть много таблиц для ping, чтобы найти всю информацию, необходимую человеку. : - (

ответил Ricky Beam 6 J0000006Europe/Moscow 2013, 09:14:44
1

switchmap - еще один инструмент, который можно использовать для отслеживания того, за каким MAC-адресом стоит какой-то коммутатор (между прочим).

ответил Teun Vink 6 J0000006Europe/Moscow 2013, 10:33:05
1

Я использовал netdisco для сбора этой информации. Это позволит запросить базу данных с именем хоста, IP-адресом, MAC-адресом и т. Д. И вернуть коммутатор и коммутатор. Он также сделает некоторые другие полезные вещи.

ответил Heath 25 J0000006Europe/Moscow 2013, 06:51:03
0

Вы задаете две вещи.
1. Установите MAC-адрес в своей сети. Советую создать сценарий (php) и использовать SNMP для запроса всей MAC-адресной таблицы, чтобы предоставить вам коммутатор /порт, где расположен IP-адрес /MAC-адрес.

2.Monitor Использование вашего (использование торрента, использование высокой пропускной способности (Top Talkers), предупреждение Snort) - используйте решение как ntop , чтобы отслеживать потоки в вашей сети. Я использовал это давно и отлично.

ответил cgasp 6 J0000006Europe/Moscow 2013, 09:25:15
-3

Вы можете найти эту ссылку полезной

http://arunrkaushik.blogspot.com/2007/10/трассировку-MAC-ip.html

ответил edrtz 27 J0000006Europe/Moscow 2013, 01:38:18

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132