Ağıma bağlı cihazların listesi nasıl bulunur (IP'ler ve MAC'ler)


9

Cisco (Catalyst 2960) anahtarıma bağlı cihazların bir listesini almaya çalışıyorum. Tercihen SNMP yoluyla. İşte zaten yaptım:

ARP tablosunu anahtardan alabildim (anahtardaki SNMP yürüyen OID aracılığıyla 1.3.6.1.2.1.4.22.1.2). Ancak, aygıtlar çevrimdışı olduğunda ARP güncellenmediğinden bu, 'canlı' IP setlerini yansıtmaz. Başka bir deyişle, bir cihazı yeniden başlattığımda ve yeni bir IP adresi (dinamik) edindiğinde, IP şu anda ağda olmasa da ARP tablomda da listelenen eski IP adresi ile karşılaşıyorum.

Bu 'canlı' listeyi anahtardan bulmamın, tercihen ARP tablosundan kaçınmamın bir yolu var mı?

PS Durumlarını belirlemek için aygıtlara sürekli olarak ping atamıyorum, çok düşük bant genişliği koşullarında çalışıyorum.


Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


6

Alt ağa bir yayın, anahtardaki SVI'den (düşük bant genişliğine sahip) ve show mac address-table dynamicsoru dışında mı kullanılıyor ?

some-switch#show mac address-table dynamic
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    000f.257b.ba3b    DYNAMIC     Gi1/0/49
   1    0011.254f.a5be    DYNAMIC     Gi1/0/49
  56    0000.0c57.aa00    DYNAMIC     Gi1/0/49
  56    0004.0ff4.8cf4    DYNAMIC     Gi1/0/49
  56    0004.0af4.c8fb    DYNAMIC     Gi1/0/5

Bu noktada, mac adresinden IP adresine eşlemek için ARP tablonuzu kullanın.

SNMP ile Bunu yapmak mümkün, ancak her mac adresi üzerinde ... kullanımıdır hangi portu bilmek gerekiyorsa biraz acı verici dot1dTpFdbAddress , mac adreslerini kapmak için dot1dBasePortIfIndex arayüz eşlemek için ifIndexve daha sonra ifNamegelen haritaya ifIndexbir isim size' için tanıyacağım.


İlk çözüm hakkında daha fazla bilgi verebilir misiniz? Bunu nasıl yapabilirim? ... Ayrıca, dot1dTpFdbAddress ve dot1dBasePortIfIndex hiçbir şey döndürmüyor: /
AJ J.

1
Alt ağınız 172.16.1.0/24o alt ağ için bir yayın ping ise ping 172.16.1.255snmp ile ilgili ise, ping ile ilgili mac-adres tablosunu nasıl göstereceğinizi bildiğinizi varsayıyorum ... acı verici :-) dedim. .. ile anket yaptığınızdan emin misiniz snmpbulkwalk -v 2c -m BRIDGE-MIB -c <snmp-community>@<vlan> <host-address> dot1dTpFdbAddress? Başka bir deyişle, topluluğunuz "KAMUYU" ise ve Vlan 501'i seçerseniz, BRIDGE-MIB'yi "KAMU @ 501" topluluğuyla anket yapın
Mike Pennington

Not: uzaktan güvenli herhangi bir cihaz yayın ping'ini yanıtlamaz.
Ricky Beam

@RickyBeam, bu yüzden bağlı SVI ile anahtardan yapması gerektiğini söyledim ... Ayrıca Windows'un varsayılan olarak pinglere cevap vermediğini anlıyorum ... bu yüzden hiçbir şeyden daha iyi değil, ama kuşkusuz% 100 değil çözüm ... bu sorundaki bazı yetersiz kısıtlamalarla uğraşıyoruz
Mike Pennington

1
@AJJ. Mac adresi tablosunun varsayılan olarak beş dakikalık bir önbellek süresi vardır, bu cihazların bağlantısı beş dakikadan daha kısa mı sürdü? Gerçek zamanlı bilgiye ihtiyacınız varsa, kontrol etmeniz gerekir ifOperStatus, bu da cevabımda bahsettiğim kıvrımlı MIB değer eşleme alıştırması anlamına gelir. Bunların tümü DHCP kullanan makinelerse, aşağıdaki GeneralNetworkError tarafından önerildiği gibi DHCP gözetlemeyi düşünebilirsiniz
Mike Pennington

4

DHCP İstemcilerinizi yalnızca dinamik adresler kullanarak tanımlamak istiyorsanız, hem L3 IP hem de L2 MAC adresleri için gözetleme . Bu, güvenlik için sahte DHCP sunucularını engellemek ve yalnızca teklif edilen ve talep edilen geçerli DHCP adreslerine sahip anahtar portlarında paketlerin alınmasına izin vermek için kullanılır (yani aslında kullanımda).

İzlemek istediğiniz VLAN'larınız için küresel olarak dhcp gözetlemesini etkinleştirin

ip dhcp gözetleme vlan 10,20,30,40,50
ip dhcp gözetleme bilgi seçeneği yok
ip dhcp gözetleme yok mac adresini doğrula
ip dhcp gözetleme

DHCP sunucularınızın arkasında bulunan güvenilir arayüzlerinizi aşağıdakileri kullanarak tanımladığınızdan emin olun:

arayüz xy / z
 ip dhcp gözetleme güven

IP-MAC adreslerinin örnek bağlama tabloları:

s-oc2-3h-s1 # sh ip dhcp gözetleme ciltleme
MacAddress IpAddress Kira (sn) Tipi VLAN Arayüzü
------------------ --------------- ---------- ------- ------ ---- --------------------
B4: B5: 2F: DB: 85: C6 172.17.3.29 254427 dhcp-snooping 30 FastEthernet1 / 0/30
3C: 07: 54: 3F: 91: CB 172.17.3.26 224542 dhcp-gözetleme 30 FastEthernet2 / 0/42
6C: 62: 6D: 77: 95: 1A 172.17.3.37 256986 dhcp-gözetleme 30 FastEthernet1 / 0/17
B4: B5: 2F: 2D: 27: 37 172.17.3.22 149352 dhcp-snooping 30 FastEthernet2 / 0/30
B4: B5: 2F: DB: 85: C2 172.17.3.18 207629 dhcp-snooping 30 FastEthernet1 / 0/16
...

Bu nesnelere SNMP erişimi için ciscoDhcpSnoopingMIB dosyasına bakın . OID 1.3.6.1.4.1.9.9.380


1

IP'ler dinamikse, mac-ip çiftlerini almak için dhcp günlüklerine sahip olmalısınız. SNMP ile ne tür cihazlara sahip olduğunuzu anlamaya çalışabilirsiniz. ancak snmp'nin istasyonunuzdan yapılandırılmış ve izin verilmiş olması gerektiğini unutmayın. Windows makineleri hakkında konuşuyorsanız, iş istasyonları hakkında bilgi almak için powershell'i kullanmak daha kolaydır. Ayrıca, tüm alt ağı taramak ve sakinleri hakkında daha fazla bilgi almak için nmap'i kullanmayı deneyebilirsiniz.


DHCP günlüklerini nasıl alabilirim?
AJ J.

dhcp sunucu satıcınıza bağlıdır ...
Romalılar Fomicevs

0

Bu muhtemelen bant genişliği ile ilgili gereksinimlerinizi giderir, ancak "ahbap" gibi bir snmp keşif sw kullanabilirsiniz. Snmp trafiğinin sunucuya geri dönmesi için topluluk ve özel vlansları uygun şekilde ayarlamanız gerekir. Bu çözümle ilgileniyorsanız, size vlans ve sw ayarı ile ilgili daha fazla bilgi verebilirim.


Sanırım "ahbap" mesajınızdaki bazı yazım hatalarını düzeltti: -) ... HTC cihazımdan mesaj gönderdiğimde bu bana çok oluyor ... cep telefonu mu kullanıyordunuz?
Mike Pennington
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.