Temukan host di Network

11

Apa metode terbaik untuk menemukan workstation tertentu di VLAN?

Saya kadang-kadang perlu melakukan ini, jika alamat IP workstation, muncul pada ACL Deny

  1. penggunaan torrent
  2. Penggunaan bandwidth tinggi (Pembicara Top)

  3. Peringatan mendengus

    Cara saya melakukannya sekarang,

    • Masuk ke sakelar inti di VLAN yang sama
    • Ping alamat IP,
    • Ambil MAC dari tabel ARP
    • Pencarian alamat Mac untuk mengetahui darimana saklar itu dipelajari
    • logon ke saklar itu bilas dan ulangi sampai saya menemukan workstation

kadang-kadang ini bisa masuk ke ~ 7 switch, ada tantangan khusus untuk jaringan ini yang tidak bisa saya lakukan saat ini. VLAN besar (/ 16) dengan beberapa ratus pengguna di setiap VLAN

di semua toko Cisco, dengan anggaran minimal menggunakan sakelar Cisco, harus ada cara yang lebih efisien untuk melacak mesin host?

EDIT: Untuk menambahkan detail lebih lanjut

Secara khusus saya mencari port switch yang terhubung dengan pengguna? juga beberapa sejarah akan menjadi hebat .. karena pendekatan saya hanya berfungsi saat pengguna masih terhubung, dan tidak ada nilai ketika saya meninjau log di pagi hari, tetapi perangkat tidak lagi terhubung.

Tidak ada DNS pusat atau Direktori Aktif itu seperti Jaringan Tamu, di mana hanya akses internet disediakan. Saya mencoba memberikan beberapa manajemen dan sedikit keamanan.

Saya sudah mencoba "show ip dhcp binding | inc" itu memberi saya MAC aneh (dengan 2 karakter tambahan) yang bukan perangkat terkait MAC, saya belum melihat ke dalam ini, tapi ARP akurat dan saya lebih peduli dengan menemukan port sakelar mesin yang terhubung terhubung.

Semoga ini memberikan beberapa klarifikasi

cisco switch vlan cisco-commands management hyussuf
sumber
2
Mengenai "show ip dhcp binding | inc" Anda: Karakter tambahan di depan adalah tipe media. Jika Anda menghapus dua karakter pertama, Anda tersisa dengan MAC klien. Representasi dua digit ada di tabel 2: freesoft.org/CIE/RFC/1700/24.htm
some_guy_long_gone
@legioxi, ini mengasumsikan perangkat id'd itu sendiri menggunakan MAC. Jika menggunakan string, mungkin itu yang ditampilkan server.
Ricky Beam

Jawaban:

13

Lihatlah Layer2 traceroute (untuk cisco) .. Cdp harus dijalankan btw ...

Router# traceroute mac 0000.0201.0601 0000.0201.0201
Source 0000.0201.0601 found on con6[WS-C2950G-24-EI] (2.2.6.6)
con6 (2.2.6.6) :Fa0/1 => Fa0/3
con5                 (2.2.5.5        )  :    Fa0/3 => Gi0/1
con1                 (2.2.1.1        )  :    Gi0/1 => Gi0/2
con2                 (2.2.2.2        )  :    Gi0/2 => Fa0/1
Destination 0000.0201.0201 found on con2[WS-C3550-24] (2.2.2.2)
Layer 2 trace completed
Router# 
Router# traceroute mac 0001.0000.0204 0001.0000.0304 detail 
Source 0001.0000.0204 found on VAYU[WS-C6509] (2.1.1.10)
1 VAYU / WS-C6509 / 2.1.1.10 :
                Gi6/1 [full, 1000M] => Po100 [auto, auto]
2 PANI / WS-C6509 / 2.1.1.12 :
                Po100 [auto, auto] => Po110 [auto, auto]
3 BUMI / WS-C6509 / 2.1.1.13 :
                Po110 [auto, auto] => Po120 [auto, auto]
4 AGNI / WS-C6509 / 2.1.1.11 :
                Po120 [auto, auto] => Gi8/12 [full, 1000M] Destination 0001.0000.0304 
found on AGNI[WS-C6509] (2.1.1.11) Layer 2 trace completed.
Router#
pengguna209
sumber
Ini luar biasa, saya bermain-main dengannya sekarang. Persis apa yang saya cari
hyussuf
9

Kami menggunakan plugin mactrack di Cacti untuk melakukan hal-hal seperti itu. Berfungsi cukup baik, data historis juga tersedia.

Selama tabel alamat ARP dan MAC tersedia melalui SNMP maka ia akan berfungsi. Satu-satunya masalah kecil yang kami miliki adalah di mana instance layer 3 untuk sebuah situs adalah ASA. Kami hanya mengatasinya dengan menarik tabel ARP melalui skrip dan menghasilkan file arpwatch , karena mactrack mendukungnya.

Contoh tangkapan layar dari pengaturan kami: masukkan deskripsi gambar di sini

Tautan imgurl: http://i.imgur.com/h9JQVkC.png

Stefan Radovanovici
sumber
Bagus! Mungkin lebih baik untuk memunculkan gambar yang lebih besar pada imgur atau sesuatu. Saya tidak bisa melihat banyak tentang itu sama sekali. :-)
John Jensen
@ JohnJensen Ya, itu hanya stackexchange yang menurunkan gambar, itu diunggah dalam ukuran penuh. Coba buka gambar di tab lain, misalnya "Klik kanan - buka gambar di tab baru di Chrome". Akan menambahkan tautan ke jawabannya.
Stefan Radovanovici
7

Ada beberapa cara untuk melakukan ini dengan murah (latihan penelitian dan / atau implementasi saya akan serahkan kepada Anda).

  1. Miliki skrip yang masuk ke masing-masing perangkat tepi Anda dan ambil tabel alamat MAC darinya. Anda ingin mengecualikan antarmuka trunk untuk ini, tetapi akan sepele untuk membuat hash (atau dict untuk Anda orang python) dengan tombol menjadi tepi switch dan nilai menjadi hash lain yang pada dasarnya "mac.addr -> interface ". Ini akan menghilangkan kebutuhan Anda untuk mengejar MAC pada switch tepi Anda, yang tampaknya merupakan sebagian besar kerja keras. Saya dapat merekomendasikan menggunakan Perl Net::Appliance::Sessionatau Python exscriptuntuk membuat ini terjadi (ini mengasumsikan Anda memiliki akses ke kotak * NIX).

  2. Gunakan SNMP untuk menanyakan data ini, yang akan menghilangkan kebutuhan skrip untuk benar-benar masuk ke sakelar dan menjalankan perintah. Anda sendirian untuk mencari MIB untuk tabel alamat MAC, tapi inilah pencarian Google untuk membantu Anda memulai .

  3. Jika Anda hanya menggunakan Windows, Anda dapat menggunakan SecureCRT atau TeraTerm untuk mengatur makro untuk "setengah-otomatis" ini untuk Anda, tetapi pengalaman saya dengan salah satu dari itu sangat terbatas, jadi YMMV.

Harapan yang memberi Anda beberapa ide.

John Jensen
sumber
6

Saya suka memiliki skrip yang dapat diraih show arpdan show cam dyndiproduksi setiap 15 menit, saya term exec prompt timestampmencatatnya dengan waktu sehingga kami memiliki korelasi kasar untuk kali. Lalu saya menambahkan semua switch output ke file ... satu file per switch, per hari.

Semua log ini disimpan di direktori yang sama agar mudah dipahami.

Menemukan host menjadi latihan grep yang cukup sederhana jika Anda mengetahui topologi ... Terjebak di windows tanpa grep? Gunakan cygwin ...

Mike Pennington
sumber
2

Mengapa tidak menyederhanakan dan melakukan nslookup pada IP, ambil nama host dari DNS dan gunakan nama host untuk menemukan komputer melalui daftar aset atau database manajemen? Atau jika Anda tidak memiliki pengaturan DNS terbalik, Anda bisa masuk ke server DHCP untuk menarik nama host.

Saya tahu ini bukan metode Cisco / CLI, tetapi harus berfungsi jika pengguna Anda ditugaskan ke komputer 1-1. Jika Anda banyak ke 1, Anda dapat menggunakan alat Windows / Linux untuk mengetahui pengguna komputer saat ini.

some_guy_long_gone
sumber
Saya tidak berpikir hyussuf sedang mencoba menemukan siapa yang ada di komputer - karena ini adalah Teknik Jaringan, dan dengan contoh yang diberikannya, saya berasumsi dia sedang mencoba menentukan port fisik yang terhubung ke suatu perangkat, dan perangkat itu mungkin tidak selalu menjadi workstation.
Markus
Benar, tidak hanya itu, tetapi ini adalah semacam Jaringan Tamu, satu-satunya layanan yang kami sediakan adalah internet, campuran BYOD dan perusahaan kecil yang memerlukan akses internet untuk melakukan pekerjaan mereka. secara teknis ISP di lokasi terpencil dengan semua jenis pengguna. Router cisco adalah server dhcp saya, ketika saya melihat info yang mengikat, MAC benar-benar salah bahkan memiliki tambahan 2 karakter belum melihat ke dalamnya.
hyussuf
Juga tujuan utama saya adalah untuk menemukan port switch yang menyinggung dan lepaskan atau 'tutup' ... Saya minta maaf, tidak bisa mencari cara untuk saluran baru
hyussuf
Anda mungkin ingin memperbarui pertanyaan dengan lebih detail dari dua komentar yang Anda posting pada jawaban saya. Pasti beberapa info bagus untuk membantu dengan jawaban.
some_guy_long_gone
2

Anda melakukannya dengan cara yang sama seperti yang saya lakukan secara manual.

Ada perangkat lunak di luar sana yang akan mengambil langkah-langkah manual untuk Anda. Alat yang termasuk dalam SolarWinds Engineering Toolkit akan, meskipun sayangnya itu tidak murah. Saya yakin ada alternatif lain.

Jika Anda tidak menyukai solusi di sela-sela atau beberapa tugas penulisan skrip , lihatlah perintah SNMP yang dikeluarkan dalam jawaban ini untuk ide bagaimana Anda dapat skrip itu dari sistem dengan klien CLI SNMP

Diedit untuk menambahkan: Saya menganggap bahwa "bilas dan ulangi" Anda tidak termasuk ping dan yang lainnya di sepanjang jalan. Setelah Anda menentukan alamat mac Anda harus dapat melakukan sh mac addr | di #### (kurung sudut whoops menghilang)

Menandai
sumber
benar, ping hanya sekali, "show mac add | inc ####", dicampur dengan beberapa show cdp neighbor beberapa kali
hyussuf
Saya akan mengungkapkan bahwa saya memiliki akses ke Toolkit Rekayasa serta Pelacak Perangkat Pengguna ( solarwinds.com/user-device-tracker.aspx ) dan 99% dari waktu saya akhirnya masuk ke sakelar dan hanya melakukannya secara manual. Memang jarang saya harus menggali lebih dalam, tetapi hanya berhasil.
Tandai
SNMP-fu saya tidak kuat, tetapi tautan itu sangat menarik, dan telah memberi saya beberapa ide.
hyussuf
1

Anda bertanya dua hal.
1.Locate MAC di jaringan Anda - Saya menyarankan untuk membuat skrip (php) dan menggunakan SNMP untuk menanyakan semua tabel alamat MAC untuk memberi Anda switch / port tempat IP / MAC address berada.

2.Monitor Penggunaan Anda (penggunaan torrent, Penggunaan bandwidth tinggi (Pembicara Top), Snort alert) - Gunakan solusi sebagai ntop untuk memantau arus di jaringan Anda. Saya telah menggunakan ini sejak lama dan bagus.

cgasp
sumber
1

Hanya saran ... jika Anda memiliki semacam inspeksi syslog aktif yang dapat memicu pada peristiwa tertentu, Anda dapat menulis skrip untuk SNMP mencari IP pada setiap switch jadi tahu di mana kira-kira sekitar waktu peristiwa itu terjadi.

(maaf, saya tidak dapat menemukan OID yang tepat)

Sunting: tautan " Menggunakan SNMP untuk Menemukan Nomor Port dari Alamat MAC di Catalyst Switch " Saya lupa tentang trik comm @ vlan . Ada banyak tabel untuk melakukan ping untuk menemukan semua informasi yang dibutuhkan manusia. :-(

Ricky Beam
sumber
1

switchmap adalah alat lain yang dapat digunakan untuk melacak alamat mac di belakang switchport yang mana (antara lain).

Teun Vink
sumber
1

Saya telah menggunakan netdisco untuk mengumpulkan informasi ini. Ini akan memungkinkan seseorang untuk meminta basis data dengan nama host, alamat IP, alamat MAC, dll dan mengembalikan switch dan switchport. Ini akan melakukan beberapa hal berguna lainnya juga.

Heath
sumber
-3

Anda mungkin menemukan tautan ini bermanfaat

http://arunrkaushik.blogspot.com/2007/10/traceroute-mac-ip.html

edrtz
sumber
Umumnya dianggap gaya yang baik di Net Eng SE untuk memasukkan perincian dasar jawaban Anda, dan untuk menyediakan tautan ke bahan referensi jika perlu. (Karena, "tautan busuk" pada akhirnya berarti bahwa URL tidak akan berguna di mana pun.)
Craig Constantine