Ağ üzerinde bir ana bilgisayar bulun


11

VLAN'da belirli bir iş istasyonunu bulmanın en iyi yöntemi nedir?

Bazen bir iş istasyonu IP adresi bir ACL Reddetme gösterirse bunu yapmam gerekir

  1. torrent kullanımı
  2. Yüksek bant genişliği kullanımı (En Çok Konuşanlar)
  3. Snort uyarısı

    Şimdi yapma şeklim,

    • Aynı VLAN'da bir çekirdek anahtara oturum açma
    • IP adresine ping atın,
    • MAC'yi ARP tablosundan alın
    • Hangi anahtardan öğrenildiğini görmek için Mac adres araması
    • bu anahtara durulayın ve iş istasyonunu bulana kadar tekrarlayın

Bazen bu ~ 7 anahtarına giriş yapabilir, bu ağda şu anda hiçbir şey yapamayacağım belirli zorluklar var. Her bir VLAN'da birkaç yüz kullanıcıya sahip büyük VLAN'lar (/ 16)

tüm Cisco mağazalarında, Cisco anahtarlarını kullanarak minimum bütçeyle, ana bilgisayarları izlemenin daha verimli bir yolu olmalı mı?

DÜZENLE: Daha fazla ayrıntı eklemek için

Özellikle kullanıcının bağlı olduğu anahtar-portu mu arıyorum? Ayrıca bazı geçmiş harika olurdu ... çünkü benim yaklaşım sadece kullanıcı hala bağlı iken çalışır ve ben sabahları günlükleri gözden değer yok, ama cihaz artık bağlı değil.

Merkezi bir DNS veya Active Directory yoktur, sadece internet erişiminin sağlandığı Konuk Ağı gibidir. Biraz yönetim ve biraz güvenlik sağlamaya çalışıyorum.

Ben "gösteri ip dhcp ciltleme | inc" denedim bana ilişkili aygıt MAC olmayan garip bir MAC (2 ekstra karakter ile) verir, ben henüz içine bakmadım, ama ARP doğru ve ben daha endişe rahatsız edici makinenin bağlı olduğu anahtar bağlantı noktasını bulmak.

umarım bu biraz açıklama sağlar


2
"Show ip dhcp ciltleme | inc" ile ilgili: Öndeki ekstra karakterler medya tipidir. İlk iki karakteri kaldırırsanız, istemci MAC'de kalırsınız. İki basamaklı gösterim tablo 2'de verilmiştir: freesoft.org/CIE/RFC/1700/24.htm
some_guy_long_gone

@legioxi, bu cihazın MAC kullanarak kendini idd ettiğini varsaymaktadır. Bir dize kullandıysa, sunucunun gösterdiği şey bu olabilir.
Ricky Beam

Yanıtlar:


13

(Cisco için) Layer2 traceroute'a bir göz atın .. Cdp btw çalışıyor olmalı ...

Router# traceroute mac 0000.0201.0601 0000.0201.0201
Source 0000.0201.0601 found on con6[WS-C2950G-24-EI] (2.2.6.6)
con6 (2.2.6.6) :Fa0/1 => Fa0/3
con5                 (2.2.5.5        )  :    Fa0/3 => Gi0/1
con1                 (2.2.1.1        )  :    Gi0/1 => Gi0/2
con2                 (2.2.2.2        )  :    Gi0/2 => Fa0/1
Destination 0000.0201.0201 found on con2[WS-C3550-24] (2.2.2.2)
Layer 2 trace completed
Router# 
Router# traceroute mac 0001.0000.0204 0001.0000.0304 detail 
Source 0001.0000.0204 found on VAYU[WS-C6509] (2.1.1.10)
1 VAYU / WS-C6509 / 2.1.1.10 :
                Gi6/1 [full, 1000M] => Po100 [auto, auto]
2 PANI / WS-C6509 / 2.1.1.12 :
                Po100 [auto, auto] => Po110 [auto, auto]
3 BUMI / WS-C6509 / 2.1.1.13 :
                Po110 [auto, auto] => Po120 [auto, auto]
4 AGNI / WS-C6509 / 2.1.1.11 :
                Po120 [auto, auto] => Gi8/12 [full, 1000M] Destination 0001.0000.0304 
found on AGNI[WS-C6509] (2.1.1.11) Layer 2 trace completed.
Router# 

Bu inanılmaz, şimdi onunla oynuyorum. Tam olarak ne arıyordum
hyussuf

9

Bu tür şeyleri yapmak için Cacti'deki mactrack eklentisini kullanıyoruz . Oldukça iyi çalışıyor, geçmiş verileri de mevcut.

ARP ve MAC adres tabloları SNMP aracılığıyla mevcut olduğu sürece çalışır. Sahip olduğumuz tek küçük sorun, bir site için katman 3 örneğinin bir ASA olduğu. Mactrack bunu desteklediğinden , ARP tablosunu komut dosyaları aracılığıyla çekip bir arpwatch dosyası oluşturarak bu sorunu çözdük.

Kurulumumuzdan örnek ekran görüntüsü: resim açıklamasını buraya girin

İmgurl linki: http://i.imgur.com/h9JQVkC.png


Güzel! İmgur ya da başka bir şeye daha büyük bir resim çekmek daha iyi olabilir. Bunların çoğunu hiç göremiyorum. :-)
John Jensen

@JohnJensen Evet, bu sadece resmi küçültmek için yığın yığını, tam boyutta yüklendi. Görüntüyü başka bir sekmede açmayı deneyin, örneğin "Sağ tıklama - resmi Chrome'da yeni sekmede aç". Yine de cevaba bir link ekleyeceğim.
Stefan Radovanovici

7

Bunu ucuza yapmanın birkaç yolu vardır (araştırma ve / veya uygulamanın size bırakacağım).

  1. Edge cihazlarınızın her birinde oturum açan ve MAC adres tablolarını alan bir komut dosyası bulundurun. Bunun için gövde arayüzlerini hariç tutmak isteyeceksiniz, ancak anahtarlar kenar anahtarları ve değerler temel olarak "mac.addr -> arabirimi olan bir karma (veya python kullanıcıları için dikte) oluşturmak önemsiz olacaktır. ". Bu, görünen anahtarın çoğu olan kenar anahtarlarınızdaki MAC'leri takip etme ihtiyacınızı ortadan kaldıracaktır. Bunu yapmak için Perl Net::Appliance::Sessionveya Python'ları kullanmanızı tavsiye ederim exscript(bu bir * NIX kutusuna erişiminiz olduğunu varsayar).

  2. Bu verileri sorgulamak için SNMP'yi kullanın, bu da anahtarlarda oturum açmak ve komutları çalıştırmak için bir komut dosyasına gereksinimi ortadan kaldırır. MAC adres tabloları için MIB'leri aramak için tek başınızasınız, ancak başlamanız için bir Google araması .

  3. Yalnızca Windows kullanıyorsanız, makroları bunu sizin için "yarı otomatik hale getirecek" şekilde ayarlamak için SecureCRT veya TeraTerm'i kullanabilirsiniz, ancak bunlardan herhangi biriyle yaşadığım deneyim çok sınırlıdır, bu nedenle YMMV.

Umarım bu size bazı fikirler verir.


6

Ben her 15 dakikada bir kapmak show arpve show cam dynçıktı bir senaryo var , ben zaman damgası term exec prompt timestampböylece zamanlar için kaba bir korelasyon var. Sonra tüm anahtar çıktısını bir dosyaya ... anahtar başına günde bir dosya eklerim.

Tüm bu günlükler kolay açılma için aynı dizinde tutulur.

Topolojiyi biliyorsanız, ana bilgisayar bulmak oldukça basit bir grep egzersizi olur ... Grep olmadan pencerelerde mi takıldınız? Cygwin kullan ...


2

Neden işleri basitleştirmiyor ve IP üzerinde nslookup yapmıyor, DNS'den ana bilgisayar adını alıp bilgisayarı bir varlık listesi veya yönetim veritabanı aracılığıyla bulmak için ana bilgisayar adını kullanmıyor musunuz? Veya ters DNS ayarınız yoksa, ana bilgisayar adını almak için DHCP sunucusunda oturum açabilirsiniz.

Bunun bir Cisco / CLI yöntemi olmadığını biliyorum, ancak kullanıcılarınız bilgisayarlara 1-1 atanmışsa çalışmalıdır. 1 ile 1 arasındaysanız, bilgisayarın geçerli kullanıcısını bulmak için Windows / Linux araçlarını kullanabilirsiniz.


Hyussuf'un bilgisayarda kim olduğunu bulmaya çalıştığını sanmıyorum - bu Ağ Mühendisliği olduğu için ve sağladığı örnekle, bir cihazın hangi fiziksel bağlantı noktasına bağlı olduğunu belirlemeye çalıştığını ve bu cihazın her zaman bir iş istasyonu olmamalı.
Mark

Doğru, sadece bu değil, bu bir tür Misafir Ağıdır, sağladığımız tek hizmet internet, BYOD ve işlerini yapmak için internet erişimi isteyen küçük şirketlerin karışımıdır. teknik olarak her türlü kullanıcı ile uzak bir yerde bir ISS. Cisco yönlendiriciler benim dhcp sunucularım, bağlanma bilgisine baktığımda, MAC tamamen yanlış bile ekstra bir 2 karakter henüz içine bakmadım.
hyussuf

Ayrıca asıl amacım rahatsız edici anahtar bağlantı noktasını bulmak ve bağlantıyı kesmek veya 'kapatmak' ... Özür dilerim, yeni hattın nasıl yapılacağını
anlayamıyorum

Soruyu, cevabıma gönderdiğiniz iki yorumdan daha fazla ayrıntıyla güncellemek isteyebilirsiniz. Kesinlikle cevapları ile yardımcı olacak bazı iyi bilgiler.
some_guy_long_gone

2

Bunu elle yaptığım gibi yapıyorsun.

Orada manuel adımları sizin için dışarı çıkaracak yazılım var. Ne yazık ki ucuz olmasa da, SolarWinds Mühendislik Araç Seti'nde bulunan bir araç olacak. Eminim başka alternatifler de vardır.

Arada bir çözüm veya bazı komut dosyası oluşturma işleri için çalışıyorsanız, CLI SNMP istemcisine sahip bir sistemden nasıl komut dosyası yazabileceğinizi öğrenmek için bu cevapta verilen SNMP komutlarına bakın.

Eklemek için düzenlendi: Ben "durulama ve tekrar" ping ve yol boyunca değil ne dahil değildir sanırım. Mac adresini belirledikten sonra sadece sh mac addr | #### (kıvrımlı açılı ayraçlar kaybolur)


doğru, sadece bir kez ping, "show mac add | inc ####", bazı gösteri cdp komşu ile birden çok kez karışık
hyussuf

Hem Mühendislik Araç Seti'ne hem de Kullanıcı Cihazı İzleyicisi'ne ( solarwinds.com/user-device-tracker.aspx ) erişebileceğimi ve anahtarlara giriş yapıp sadece bunu yaptığım zamanın% 99'unu açıklayacağım manuel. Kuşkusuz 7 derinliğe gitmem gerekiyor, ama işe yarıyor.
Mark

SNMP-fu'm güçlü değil, ama bu bağlantı çok ilginç ve bana bazı fikirler verdi.
hyussuf

1

İki şey soruyorsun.
Ağınızda bir MAC bulun - Bir komut dosyası (php) oluşturmanızı ve IP / MAC adresinin bulunduğu anahtarı / bağlantı noktasını vermek için tüm MAC adres tablosunu sorgulamak için SNMP kullanmanızı öneririm.

2.Monitör Kullanımı (torrent kullanımı, Yüksek bant genişliği kullanımı (En İyi Konuşmacılar), Snort uyarısı) - Ağınızdaki akışları izlemek için ntop olarak bir çözüm kullanın . Bunu uzun zaman önce kullanmıştım ve harikaydım.


1

Sadece bir öneri ... belirli olayları tetikleyebilecek bir çeşit aktif syslog denetimi varsa, her anahtarda IP'ye SNMP araması için bir komut dosyası yazabilirsiniz, bu yüzden olayın gerçekleştiği zaman kabaca nerede olduğunu bilin.

(üzgünüm, tam OID'leri bulamıyorum)

Düzenleme: bağlantı " Bir Catalyst Switch bir MAC adresinden bir bağlantı noktası numarası bulmak için SNMP kullanma " Comm @ vlan hile unuttum . Bir insan için gereken tüm bilgileri bulmak için ping yapmak için birçok tablo var. :-(


1

switchmap mac adresi (diğer şeyler arasında) hangi Switchport arkasında olduğu izlemek için kullanılabilecek diğer bir araçtır.


1

Bu bilgileri toplamak için netdisco kullandım. Veri tabanının bir ana bilgisayar adı, IP adresi, MAC adresi vb. İle sorgulanmasına ve anahtar ve anahtar portunun döndürülmesine izin verir. Başka yararlı şeyler de yapacak.


Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.