it-swarm-pt.tech

É possível combinar um endereço IP interno a uma porta do switch?

Estou tentando encontrar um computador que tenha um determinado endereço IP em nossa rede interna. Identifiquei o nome do computador no DNS, mas neste caso não me ajuda.

Gostaria de saber se posso, de alguma forma, vincular o IP a uma porta do switch e rastreá-lo a partir daí? Se sim, como?

8
Brent

Dado um endereço IP, você deve ser capaz de encontrar o endereço MAC do host correspondente.

arp -a

Tanto no Windows quanto no Linux irá mostrar a você o cache arp desse Host, mapeando IPs para endereços MAC. (Observe que isso precisará ser executado em uma máquina que esteja na mesma sub-rede IP da máquina que você está tentando encontrar).

Assim que tiver o endereço MAC, faça logon no switch ao qual você suspeita que o host não autorizado está conectado e pesquise esse endereço na tabela de endereços MAC. (A tabela de endereços MAC também é chamada de tabela de ponte ou tabela CAM).

Por exemplo, em Cisco IOS switches baseados, o seguinte comando:

show mac-address-table address <MAC address>

Mostra a porta em que um determinado endereço MAC foi visto pela última vez. Se a porta resultante for um link para outro switch, faça logon nesse switch e execute o comando novamente. Repita até que você termine com uma porta Host, e você deve ter seu culpado.

Observe que esta abordagem só funcionará se você tiver um switch gerenciado que permite que sua tabela de endereços MAC seja consultada. Caso contrário, será um caso de eliminação manual; encontre cada porta que você conhece não é a máquina desonesta, até que você fique com uma porta que não consegue contabilizar. Boa sorte.

15
Murali Suriar

Como outros mencionaram, não há uma maneira direta de determinar qual IP está conectado a uma determinada porta de switch. O motivo é que um switch Ethernet funciona em L2 do modelo OSI e normalmente não inspeciona camadas de nível superior (Camada 3 -> Endereço IP). (Existem algumas exceções em hardware mais recente)

Uma observação importante: para usar o truque do ping/ARP, você precisará usar um dispositivo no mesmo VLAN ou sub-rede do dispositivo que está procurando. Caso contrário, você verá apenas o MAC endereço do gateway padrão na tabela ARP.

Este é o procedimento que recomendo, se possível.

Origem e destino na mesma VLAN

  1. Emita um ping para o dispositivo que você está tentando localizar.
  2. Assim que retornar com sucesso, procure na tabela ARP para encontrar o endereço MAC do referido dispositivo.
  3. Faça login no próprio switch e procure na tabela de endereços MAC o endereço encontrado na etapa 2. (A tabela de endereços MAC também pode ser chamada de tabela CAM). A tabela de endereços MAC fornece um mapeamento de endereços MAC para portas de switch.

Origem e destino em diferentes VLANs

  1. No roteador central ou no gateway padrão suspeito, emita um ping. Obviamente, isso funciona melhor se todo o roteamento for feito no mesmo dispositivo.
  2. Se houver várias interfaces L3, talvez você precise "caminhar" pela rede, indo da interface L3 para a interface L3, executando a verificação de ping/ARP até encontrar aquela que funciona como gateway padrão para o dispositivo que você está procurando.
  3. Depois de encontrá-lo, você pode fazer login no switch e pesquisar a tabela de endereços MAC para encontrar a porta.
5
Dave K

Verifique o cache ARP em seu (s) switch (es) para encontrar o MAC e a Porta do switch associada a esse IP do dispositivo. Estes artigos devem ajudá-lo a:

3
l0c0b0x

Você não especificou quais sistemas operacionais estão disponíveis para você na rede, mas a maioria deles tem um comando arp. Você pode usar o comando arp para descobrir qual é o endereço MAC de um Host com um nome de host fornecido (assumindo que você esteja na mesma rede do Host).

Em seguida, você deve verificar os caches ARP de seus switches para descobrir em qual porta esse endereço MAC está.

1
jedberg

Não há mapeamento 1: 1 entre interfaces físicas e endereços IP. Uma porta em um switch pode lidar com o tráfego de muitas máquinas (se outro switch estiver conectado em série), e uma porta de switch pode encaminhar o tráfego para mais de um IP (se a máquina for multihomed).

Se você tiver um switch suficientemente avançado, poderá olhar nas telas de gerenciamento do switch para ver se ele lista os endereços MAC que ouviu em uma porta específica.

Alternativamente, supondo que o computador que você deseja encontrar não está muito longe (logicamente), você pode tentar enviar uma grande quantidade de tráfego para ele, digamos ping -f, que deve permitir que você rastreie a porta em que a máquina está, observando as luzes de atividade.

1
Dave Cheney

Se o switch suportar snmp, você pode obter informações da tabela mac remotamente, que deve ter o mapeamento da porta física e do endereço mac conectado à porta.

1
tomoe