Apakah mungkin untuk mencocokkan alamat IP internal dengan port switch?

8

Saya mencoba mencari komputer yang memiliki alamat IP tertentu di jaringan internal kami. Saya telah mengidentifikasi nama komputer dari DNS, tetapi dalam hal ini tidak membantu saya.

Hanya ingin tahu apakah saya bisa mengikat IP ke port switch, dan melacaknya dari sana? Jika ya, bagaimana caranya?

networking ip ethernet arp trace Brent
sumber

Jawaban:

15

Diberikan alamat IP, Anda harus dapat menemukan alamat MAC dari host yang sesuai.

arp -a

Pada Windows dan Linux akan menunjukkan cache arp dari host itu, memetakan IP ke alamat MAC. (Perhatikan bahwa ini harus dijalankan pada mesin yang berada di subnet IP yang sama dengan mesin yang Anda coba temukan).

Setelah Anda memiliki alamat MAC, masuklah ke sakelar yang Anda duga host jahat itu terhubung, dan cari tabel alamat MAC untuk alamat itu. (Tabel alamat MAC juga disebut tabel bridging, atau tabel CAM).

Misalnya, pada switch berbasis Cisco IOS, perintah berikut:

show mac-address-table address <MAC address>

Akan menunjukkan kepada Anda port yang terakhir dilihat alamat MAC. Jika port yang dihasilkan adalah tautan ke sakelar lain, masuklah ke sakelar itu dan jalankan perintah lagi. Ulangi sampai Anda berakhir dengan port host, dan Anda harus memiliki pelakunya.

Perhatikan bahwa pendekatan ini hanya akan berfungsi jika Anda memiliki sakelar terkelola yang memungkinkan tabel alamat MAC-nya untuk ditanyakan. Jika gagal, itu akan menjadi kasus eliminasi manual; temukan setiap port yang Anda tahu bukan mesin jahat, sampai Anda memiliki satu port yang tidak dapat Anda pertanggungjawabkan. Semoga berhasil.

Murali Suriar
sumber
5

Seperti yang telah disebutkan orang lain, tidak ada cara langsung untuk menentukan IP apa yang terhubung ke port switch tertentu. Alasannya adalah bahwa switch Ethernet bekerja pada L2 Model OSI, dan biasanya tidak memeriksa lapisan level yang lebih tinggi (Layer 3 -> IP Address). (Ada beberapa pengecualian di perangkat keras yang lebih baru)

Satu catatan penting, untuk menggunakan trik ping / ARP Anda harus menggunakan perangkat pada VLAN atau subnet yang sama dengan perangkat yang Anda cari. Jika tidak, Anda hanya akan melihat alamat MAC dari gateway default di tabel ARP.

Inilah prosedur yang saya rekomendasikan, jika memungkinkan.

Sumber dan Tujuan pada VLAN yang sama

  1. Berikan ping ke perangkat yang ingin Anda temukan.
  2. Setelah berhasil kembali, lihat di tabel ARP untuk menemukan alamat MAC perangkat tersebut.
  3. Masuk ke sakelar itu sendiri dan lihatlah tabel alamat MAC untuk alamat yang ditemukan pada langkah 2. (Tabel alamat MAC juga bisa disebut tabel CAM). Tabel alamat MAC menyediakan pemetaan alamat MAC untuk berpindah port.

Sumber dan Tujuan pada VLAN yang berbeda

  1. Dari router inti atau gateway default yang dicurigai, berikan ping. Jelas, ini bekerja paling baik jika semua routing dilakukan pada perangkat yang sama.
  2. Jika ada beberapa antarmuka L3, Anda mungkin perlu "berjalan" melalui jaringan dari antarmuka L3 ke antarmuka L3 yang melakukan pemeriksaan ping / ARP hingga Anda menemukan yang berfungsi sebagai gateway default untuk perangkat yang Anda cari.
  3. Setelah Anda menemukannya, Anda kemudian dapat masuk ke sakelar dan mencari tabel alamat MAC untuk menemukan port.
Dave K.
sumber
3

Periksa cache ARP pada switch Anda untuk menemukan MAC dan Switch Port yang terkait dengan IP perangkat tersebut. Artikel ini akan membantu Anda:

l0c0b0x
sumber
3
Detail kecil - cache ARP ditemukan pada perangkat L3 (router, host), dan hanya akan memberikan alamat MAC yang terkait dengan IP. Tabel alamat MAC (atau tabel CAM) kemudian akan memungkinkan MAC untuk dipetakan ke port fisik.
Murali Suriar
Tautan kedua hanya memberikan kesalahan.
Lauritz V. Thaulow
@Lazyr tautan kesalahan diperbaiki.
l0c0b0x
1

Anda tidak menentukan sistem operasi mana yang tersedia untuk Anda di jaringan, tetapi kebanyakan dari mereka memiliki perintah arp. Anda dapat menggunakan perintah arp untuk mengetahui apa alamat MAC dari sebuah host dengan hostname beri (dengan asumsi Anda berada di jaringan yang sama dengan host).

Maka Anda harus memeriksa di cache ARP switch Anda untuk menemukan port apa yang alamat MAC aktif.

jedberg
sumber
1

Tidak ada pemetaan 1: 1 antara antarmuka fisik dan alamat IP. Satu port pada sakelar dapat menangani lalu lintas untuk banyak mesin (jika sakelar lain dirantai daisy), dan satu port sakelar dapat meneruskan lalu lintas untuk lebih dari satu IP (jika mesin multi-homed).

Jika Anda memiliki sakelar yang cukup mahir, Anda dapat melihat di layar manajemen sakelar untuk melihat apakah sakelar itu mencantumkan alamat MAC yang pernah didengarnya pada port tertentu.

Atau, dengan asumsi komputer yang ingin Anda temukan tidak terlalu jauh (secara logis) Anda dapat mencoba mengirim sejumlah besar lalu lintas ke sana, katakanlah ping -f, yang seharusnya memungkinkan Anda melacak port yang digunakan mesin dengan melihat lampu aktivitas .

Dave Cheney
sumber
1

Jika sakelar mendukung snmp, Anda bisa mendapatkan informasi tabel mac dari jarak jauh, yang seharusnya memetakan port fisik dan alamat mac yang terhubung ke port.

tomoe
sumber
Kami menggunakan ini dan beberapa skrip untuk mengisi tabel database langsung dari apa yang telah dilihat IP di jaringan dan di mana kami melihatnya. Referensi silang dengan database switch-port / wall-jack, dan kita bisa mendapatkan lokasi fisik juga.
sysadmin1138