ネットワーク上のホストを見つける

11

VLANで特定のワークステーションを見つける最善の方法は何ですか?

ワークステーションのIPアドレスがACL拒否に表示される場合、これを行う必要がある場合があります

  1. 急流の使用
  2. 高帯域幅の使用(トップトーカー)

  3. Snortアラート

    今のやり方は

    • 同じVLAN内のコアスイッチにログオンする
    • IPアドレスをpingし、
    • ARPテーブルからMACを取得する
    • どのスイッチから学習したかを確認するためのMacアドレス検索
    • そのスイッチにログオンし、ワークステーションが見つかるまで繰り返します。

これにより、最大7台のスイッチにログインできる場合があります。このネットワークには、現時点では何もできない特定の課題があります。各VLANに数百人のユーザーがいる巨大なVLAN(/ 16)

シスコのすべてのショップで、シスコのスイッチを使用して最小限の予算で、ホストマシンを追跡するより効率的な方法がなければなりませんか。

編集:詳細を追加するには

具体的には、ユーザーが接続されているスイッチポートを探していますか?また、いくつかの履歴も素晴らしいと思います。私のアプローチはユーザーがまだ接続しているときにのみ機能し、午前中にログを確認しても価値がありませんが、デバイスは接続されていないためです。

中央DNSやActive Directoryはなく、インターネットアクセスのみが提供されるゲストネットワークのようなものです。管理とセキュリティを少し提供するようにしています。

「show ip dhcp binding | inc」を試してみましたが、関連するデバイスMACではない奇妙なMAC(2文字が追加されています)が表示されます。これについてはまだ調べていませんが、ARPは正確で心配です問題のマシンが接続されているスイッチポートを見つけます。

これがいくつかの説明を提供することを願っています

cisco  switch  vlan  cisco-commands  management 
ヒウスフ
ソース
2
「show ip dhcp binding | inc」について:先頭の余分な文字はメディアタイプです。最初の2文字を削除すると、クライアントMACが残ります。二桁の表現は、表2にある:freesoft.org/CIE/RFC/1700/24.htm
some_guy_long_gone
@legioxi、これはMACを使用してデバイス自体がID化されていることを前提としています。文字列を使用した場合、それがサーバーに表示される可能性があります。
リッキービーム

回答:

13

レイヤ2 tracerouteCisco用)を見てください。CDPは実行中です...

Router# traceroute mac 0000.0201.0601 0000.0201.0201
Source 0000.0201.0601 found on con6[WS-C2950G-24-EI] (2.2.6.6)
con6 (2.2.6.6) :Fa0/1 => Fa0/3
con5                 (2.2.5.5        )  :    Fa0/3 => Gi0/1
con1                 (2.2.1.1        )  :    Gi0/1 => Gi0/2
con2                 (2.2.2.2        )  :    Gi0/2 => Fa0/1
Destination 0000.0201.0201 found on con2[WS-C3550-24] (2.2.2.2)
Layer 2 trace completed
Router# 
Router# traceroute mac 0001.0000.0204 0001.0000.0304 detail 
Source 0001.0000.0204 found on VAYU[WS-C6509] (2.1.1.10)
1 VAYU / WS-C6509 / 2.1.1.10 :
                Gi6/1 [full, 1000M] => Po100 [auto, auto]
2 PANI / WS-C6509 / 2.1.1.12 :
                Po100 [auto, auto] => Po110 [auto, auto]
3 BUMI / WS-C6509 / 2.1.1.13 :
                Po110 [auto, auto] => Po120 [auto, auto]
4 AGNI / WS-C6509 / 2.1.1.11 :
                Po120 [auto, auto] => Gi8/12 [full, 1000M] Destination 0001.0000.0304 
found on AGNI[WS-C6509] (2.1.1.11) Layer 2 trace completed.
Router#
user209
ソース
これは素晴らしいです、私は今それで遊んでいます。まさに私が探していたもの
hyussuf 2013
9

Cacti のmactrackプラグインを使用して、そのようなことを行います。非常にうまく機能し、履歴データも利用できます。

ARPおよびMACアドレステーブルがSNMP経由で利用可能である限り、それは機能します。発生した唯一の小さな問題は、サイトのレイヤー3インスタンスがASAである場合です。Mactrackがサポートしているため、スクリプトでARPテーブルをプルし、arpwatchファイルを生成することで、これを回避しました。

セットアップのスクリーンショットの例: ここに画像の説明を入力してください

Imgurlリンク:http ://i.imgur.com/h9JQVkC.png

ステファン・ラドバノビッチ
ソース
いいね!imgurか何かでより大きな画像をスローする方が良いかもしれません。全然見えません。:-)
ジョンジェンセン
@JohnJensenええ、それは単にスタック交換で画像を縮小するだけで、フルサイズでアップロードされます。「右クリック-Chromeの新しいタブで画像を開く」など、別のタブで画像を開いてみてください。とにかく答えへのリンクを追加します。
Stefan Radovanovici 2013年
7

安価でこれを行うにはいくつかの方法があります(研究と実装の両方またはいずれかを行います)。

  1. エッジデバイスのそれぞれにログインし、それらからMACアドレステーブルを取得するスクリプトを用意します。このためにトランクインターフェイスを除外する必要がありますが、キーをエッジスイッチとして、値を基本的に「mac.addr-> interface」である別のハッシュとしてハッシュ(またはPythonの人にとってはdict)を作成するのは簡単です。 」これにより、エッジスイッチのMACを追跡する必要がなくなります。これは、ほとんどのレッグワークです。これを実現するには、Perl Net::Appliance::SessionまたはPython を使用することをお勧めexscriptします(これは、* NIXボックスにアクセスできることを前提としています)。

  2. SNMPを使用してこのデータを照会すると、スクリプトが実際にスイッチにログインしてコマンドを実行する必要がなくなります。自分でMACアドレステーブルのMIBを検索する必要がありますが、これを開始するためのGoogle検索があります

  3. Windowsのみを使用している場合は、SecureCRTまたはTeraTermを使用してマクロを設定してこれを「半自動化」することができますが、これらのいずれかを使用した経験は非常に限られているため、YMMVです。

それがあなたにいくつかのアイデアを与えることを願っています。

ジョン・ジェンセン
ソース
6

15分ごとにグラブshow arpしてshow cam dyn出力するスクリプトをterm exec prompt timestamp用意し、タイムスタンプを付けて、時間の大まかな相関関係を作成します。次に、すべてのスイッチ出力をファイルに追加します。スイッチごとに1日1ファイルです。

これらすべてのログは、簡単にgreppingできるように同じディレクトリに保存されます。

トポロジーがわかっている場合、ホストを見つけることはかなり簡単なgrepの練習になります... grepなしでウィンドウに行き詰まっていますか?cygwinを使用...

マイク・ペニントン
ソース
2

なぜ物事を簡素化してIPのnslookupを実行し、DNSからホスト名を取得し、そのホスト名を使用して、資産リストまたは管理データベースを介してコンピューターを見つけますか?または、逆DNS設定がない場合は、DHCPサーバーにログインしてホスト名を取得できます。

Cisco / CLIの方法ではないことはわかっていますが、ユーザーがコンピュータ1〜1に割り当てられている場合は機能するはずです。多対多の場合は、Windows / Linuxツールを使用して、コンピューターの現在のユーザーを見つけることができます。

some_guy_long_gone
ソース
hyussufがコンピューターに誰がいるのかを見つけようとしているとは思いません-これはネットワークエンジニアリングであり、彼が提供した例では、デバイスが接続されている物理ポートを特定しようとしていると思います。常にワークステーションであるとは限りません。
マーク
確かに、それだけでなく、これは一種のゲストネットワークであり、私たちが提供する唯一のサービスはインターネットであり、BYODと小企業が混在して作業を行うことを要求しています。技術的には、あらゆる種類のユーザーがいる遠隔地のISP。シスコのルーターは私のdhcpサーバーです。バインディング情報を見ると、MACが完全に間違っているため、まだ2文字追加されていません。
hyussuf 2013年
また、私の主な目標は、問題のあるスイッチポートを見つけて切断または「シャットダウン」することです。申し訳ありませんが、改行方法を理解できません
hyussuf
私の回答に投稿した2つのコメントの詳細で質問を更新したい場合があります。答えを助けるのに間違いなくいくつかの良い情報。
some_guy_long_gone 2013年
2

あなたは私が手動で行うのと同じ方法でそれをやっています。

そこから手動でステップを実行するソフトウェアがあります。残念ながら安価ではありませんが、SolarWinds Engineering Toolkitに含まれているツールを使用できます。他の選択肢があると確信しています。

中間の解決策やスクリプト作成作業に没頭している場合は、この回答で発行されたSNMPコマンドを調べて、CLI SNMPクライアントを備えたシステムからスクリプトを作成する方法を考えてください。

追加のために編集:私はあなたの「すすぎと繰り返し」がpingとその他のものを含まないことを推測しています。Macアドレスを決定したら、sh mac addr |を実行できるようになります。####(フープ山かっこが消えます)

マーク
ソース
正しい、一度だけping、「show mac add | inc ####」、いくつかのshow cdpネイバーと複数回混在
hyussuf
私はエンジニアリングツールキットとユーザーデバイストラッカー(solarwinds.com/user-device-tracker.aspx)の両方にアクセスできることと、99%の時間でスイッチにログインしてそれを実行することになることを開示します手動で。確かに、私が深さ7まで行かなければならないことはまれですが、それでうまくいきます。
マーク・
私のSNMP-fuは強力ではありませんが、そのリンクは非常に興味深いものであり、いくつかのアイデアを与えてくれました。
hyussuf 2013
1

あなたは二つのことを求めています。
1.ネットワーク上でMACを検索します-スクリプト(php)を作成し、SNMPを使用してすべてのMACアドレステーブルをクエリし、IP / MACアドレスが配置されているスイッチ/ポートを取得することをお勧めします。

2.(トレントの使用、高帯域幅の使用(トップトーカー)、Snortアラート)の使用状況を監視する-ソリューションをntopとして使用して、ネットワーク上のフローを監視します。私はこれをずっと前から使っていて、素晴らしかった。

cgasp
ソース
1

単なる提案...特定のイベントでトリガーできるアクティブなsyslog検査がある場合は、SNMPにスクリプトを記述してすべてのスイッチのIPをルックアップし、イベントが発生したおおよその時間を確認できます。

(申し訳ありませんが、正確なOIDが見つかりません)

編集:リンクSNMPを使用して、CatalystスイッチのMACアドレスからポート番号を検索するcomm @ vlanのトリックを忘れていました。人間に必要なすべての情報を見つけるためにpingするテーブルはたくさんあります。:-(

リッキービーム
ソース
1

switchmapは、他の何よりも、どのMACアドレスがどのスイッチポートの背後にあるかを追跡するために使用できる別のツールです。

テウンビンク
ソース
1

私はnetdiscoを使用してこの情報を収集しました。ホスト名、IPアドレス、MACアドレスなどを使用してデータベースを照会し、スイッチとスイッチポートを返すことができます。他にもいくつかの便利なことができます。

ヒース
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.