Xác định vị trí máy chủ trên Mạng


11

Phương pháp tốt nhất để định vị một máy trạm cụ thể trên Vlan là gì?

Đôi khi tôi cần phải làm điều này, nếu một địa chỉ IP của máy trạm, xuất hiện trên Từ chối ACL

  1. sử dụng torrent
  2. Sử dụng băng thông cao (Top Talkers)
  3. Cảnh báo khịt mũi

    Cách tôi làm bây giờ,

    • Đăng nhập vào một chuyển đổi lõi trong cùng một Vlan
    • Ping địa chỉ IP,
    • Lấy MAC từ bảng ARP
    • Tra cứu địa chỉ Mac để xem nó được học từ công tắc nào
    • đăng nhập vào công tắc đó rửa sạch và lặp lại cho đến khi tôi xác định vị trí máy trạm

đôi khi điều này có thể mất đăng nhập vào ~ 7 thiết bị chuyển mạch, có những thách thức cụ thể đối với mạng này mà tôi không thể làm gì vào lúc này. Vlan khổng lồ (/ 16) với vài trăm người dùng trên mỗi Vlan

trong tất cả các cửa hàng của Cisco, với ngân sách tối thiểu sử dụng các thiết bị chuyển mạch của Cisco, phải có cách nào hiệu quả hơn để theo dõi các máy chủ?

EDIT: Để thêm chi tiết

Cụ thể tôi đang tìm cổng chuyển đổi mà người dùng được kết nối? Ngoài ra một số lịch sử sẽ rất tuyệt .. vì cách tiếp cận của tôi chỉ hoạt động trong khi người dùng vẫn được kết nối và không có giá trị khi tôi xem lại nhật ký vào buổi sáng, nhưng thiết bị không còn được kết nối.

Không có DNS trung tâm hoặc Active Directory, nó giống như Mạng khách, nơi chỉ cung cấp truy cập internet. Tôi cố gắng cung cấp một số quản lý và một chút bảo mật.

Tôi đã thử "show ip dhcp ràng buộc với việc tìm cổng chuyển đổi, máy vi phạm được kết nối với.

hy vọng điều này cung cấp một số làm rõ


2
Về "show ip dhcp ràng buộc | inc" của bạn: Các ký tự phụ ở phía trước là loại phương tiện. Nếu bạn xóa hai ký tự đầu tiên, bạn sẽ rời khỏi máy khách MAC. Các biểu diễn hai chữ số nằm trong bảng 2: freesoft.org/CIE/RFC/1700/24.htm
some_guy_long_gone

@legioxi, điều này giả sử chính id thiết bị sử dụng MAC. Nếu nó sử dụng một chuỗi, đó có thể là những gì máy chủ hiển thị.
Ricky Beam

Câu trả lời:


13

Hãy xem Layer2 traceroute (cho cisco) .. Cdp nên chạy btw ...

Router# traceroute mac 0000.0201.0601 0000.0201.0201
Source 0000.0201.0601 found on con6[WS-C2950G-24-EI] (2.2.6.6)
con6 (2.2.6.6) :Fa0/1 => Fa0/3
con5                 (2.2.5.5        )  :    Fa0/3 => Gi0/1
con1                 (2.2.1.1        )  :    Gi0/1 => Gi0/2
con2                 (2.2.2.2        )  :    Gi0/2 => Fa0/1
Destination 0000.0201.0201 found on con2[WS-C3550-24] (2.2.2.2)
Layer 2 trace completed
Router# 
Router# traceroute mac 0001.0000.0204 0001.0000.0304 detail 
Source 0001.0000.0204 found on VAYU[WS-C6509] (2.1.1.10)
1 VAYU / WS-C6509 / 2.1.1.10 :
                Gi6/1 [full, 1000M] => Po100 [auto, auto]
2 PANI / WS-C6509 / 2.1.1.12 :
                Po100 [auto, auto] => Po110 [auto, auto]
3 BUMI / WS-C6509 / 2.1.1.13 :
                Po110 [auto, auto] => Po120 [auto, auto]
4 AGNI / WS-C6509 / 2.1.1.11 :
                Po120 [auto, auto] => Gi8/12 [full, 1000M] Destination 0001.0000.0304 
found on AGNI[WS-C6509] (2.1.1.11) Layer 2 trace completed.
Router# 

Điều này thật tuyệt vời, tôi đang chơi xung quanh nó bây giờ. Chính xác những gì tôi đang tìm kiếm
hyussuf

9

Chúng tôi sử dụng plugin mactrack trên Cacti để làm những việc như vậy. Hoạt động khá tốt, dữ liệu lịch sử cũng có sẵn.

Miễn là bảng địa chỉ ARP và MAC có sẵn thông qua SNMP thì nó hoạt động. Vấn đề nhỏ duy nhất chúng tôi gặp phải là trường hợp lớp 3 cho một trang web là ASA. Chúng tôi chỉ giải quyết vấn đề này bằng cách kéo bảng ARP qua các tập lệnh và tạo tệp arpwatch , vì mactrack hỗ trợ điều đó.

Ảnh chụp màn hình ví dụ từ thiết lập của chúng tôi: nhập mô tả hình ảnh ở đây

Liên kết Imgurl: http://i.imgur.com/h9JQVkC.png


Đẹp! Có thể tốt hơn để đưa lên một hình ảnh lớn hơn trên imgur hoặc một cái gì đó. Tôi không thể thấy nhiều về điều đó cả. :-)
John Jensen

@JohnJensen Vâng, đó chỉ là stackexchange thu nhỏ hình ảnh xuống, nó được tải lên ở kích thước đầy đủ. Hãy thử mở hình ảnh trong một tab khác, ví dụ: "Nhấp chuột phải - mở hình ảnh trong tab mới trong Chrome". Sẽ thêm một liên kết đến câu trả lời nào.
Stefan Radovanovici

7

Có một số cách để làm điều này với giá rẻ (việc thực hiện nghiên cứu và / hoặc thực hiện tôi sẽ tùy thuộc vào bạn).

  1. Có một tập lệnh đăng nhập vào từng thiết bị cạnh của bạn và lấy các bảng địa chỉ MAC khỏi chúng. Bạn sẽ muốn loại trừ các giao diện trung kế cho việc này, nhưng sẽ rất đơn giản để tạo ra một hàm băm (hoặc dict cho bạn python) với các khóa là các công tắc cạnh và các giá trị là một hàm băm khác về cơ bản là giao diện "mac.addr -> ". Điều này sẽ loại bỏ sự cần thiết của bạn để theo đuổi MAC trên các công tắc cạnh của bạn, đây là hầu hết các công việc có vẻ như. Tôi có thể khuyên bạn nên sử dụng Perl's Net::Appliance::Sessionhoặc Python exscriptđể thực hiện điều này (điều này giả sử bạn có quyền truy cập vào hộp * NIX).

  2. Sử dụng SNMP để truy vấn dữ liệu này, điều này sẽ loại bỏ sự cần thiết của một tập lệnh để thực sự đăng nhập vào các công tắc và chạy các lệnh. Bạn tự mình tìm kiếm MIB cho các bảng địa chỉ MAC, nhưng đây là một tìm kiếm Google để giúp bạn bắt đầu .

  3. Nếu bạn chỉ sử dụng Windows, bạn có thể sử dụng SecureCRT hoặc TeraTerm để thiết lập macro để "tự động hóa một nửa" cho bạn, nhưng trải nghiệm của tôi với một trong hai điều đó rất hạn chế, vì vậy YMMV.

Hy vọng rằng cung cấp cho bạn một số ý tưởng.


6

Tôi muốn có một kịch bản lấy show arpshow cam dynxuất ra cứ sau 15 phút, tôi đánh dấu thời gian cho nó term exec prompt timestampđể chúng ta có một mối tương quan sơ bộ cho thời gian. Sau đó, tôi nối tất cả đầu ra chuyển đổi vào một tệp ... một tệp cho mỗi chuyển đổi, mỗi ngày.

Tất cả các bản ghi này được giữ trong cùng một thư mục để dễ dàng grepping.

Tìm máy chủ lưu trữ trở thành một bài tập grep khá đơn giản nếu bạn biết cấu trúc liên kết ... Bị kẹt trong cửa sổ mà không có grep? Sử dụng ...


2

Tại sao không đơn giản hóa mọi thứ và thực hiện nslookup trên IP, lấy tên máy chủ từ DNS và sử dụng tên máy chủ để tìm máy tính thông qua danh sách tài sản hoặc cơ sở dữ liệu quản lý? Hoặc nếu bạn không thiết lập DNS ngược, bạn có thể đăng nhập vào máy chủ DHCP để lấy tên máy chủ.

Tôi biết đó không phải là phương pháp của Cisco / CLI, nhưng nó sẽ hoạt động nếu người dùng của bạn được gán cho máy tính 1-1. Nếu bạn có nhiều đến 1, bạn có thể sử dụng các công cụ Windows / Linux để tìm ra người dùng hiện tại của máy tính.


Tôi không nghĩ hyussuf đang cố gắng tìm ai đang ở trên máy tính - vì đây là Kỹ thuật mạng và theo ví dụ anh ta cung cấp, tôi cho rằng anh ta đang cố xác định cổng vật lý nào được kết nối với thiết bị đó và thiết bị đó có thể không phải luôn luôn là một máy trạm.
Đánh dấu

Đúng, không chỉ vậy, đây là loại Mạng khách, dịch vụ duy nhất chúng tôi cung cấp là internet, hỗn hợp BYOD và các công ty nhỏ yêu cầu truy cập internet để thực hiện công việc của họ. về mặt kỹ thuật một ISP ở một địa điểm từ xa với tất cả các loại người dùng. Các bộ định tuyến cisco là máy chủ dhcp của tôi, khi tôi xem thông tin ràng buộc, MAC hoàn toàn sai, thậm chí còn có thêm 2 ký tự chưa được xem xét.
hyussuf

Ngoài ra, mục tiêu chính của tôi là xác định vị trí cổng chuyển đổi vi phạm và ngắt kết nối hoặc 'tắt' ... Tôi xin lỗi, không thể tìm ra cách tạo dòng mới
hyussuf

Bạn có thể muốn cập nhật câu hỏi với nhiều chi tiết hơn từ hai bình luận bạn đã đăng lên câu trả lời của tôi. Chắc chắn một số thông tin tốt để giúp với câu trả lời.
some_guy_long_gone

2

Bạn đang làm nó giống như cách tôi sẽ làm nó bằng tay.

Có phần mềm ngoài đó sẽ thực hiện các bước thủ công từ đó cho bạn. Một công cụ có trong SolarWinds Engineering Toolkit sẽ, mặc dù không may là nó không rẻ. Tôi chắc chắn có những lựa chọn thay thế khác.

Nếu bạn không có giải pháp ở giữa hoặc một số công việc tạo kịch bản, hãy xem các lệnh SNMP được đưa ra trong câu trả lời này để biết cách bạn có thể tạo kịch bản từ hệ thống với máy khách SNMP CLI

Chỉnh sửa để thêm: Tôi cho rằng "rửa và lặp lại" của bạn không bao gồm lại ping và không có gì trên đường đi. Khi bạn đã xác định địa chỉ mac, bạn sẽ có thể thực hiện sh add add | trong #### (dấu ngoặc vuông biến mất)


đúng, chỉ ping một lần, "show mac add | inc ####", trộn lẫn với một số chương trình hàng xóm cdp nhiều lần
hyussuf

Tôi sẽ tiết lộ rằng tôi có quyền truy cập vào cả Bộ công cụ kỹ thuật cũng như Trình theo dõi thiết bị người dùng ( solarwinds.com/user-device-tracker.aspx ) và 99% thời gian tôi kết thúc đăng nhập vào các công tắc và chỉ cần thực hiện thủ công Phải thừa nhận rằng hiếm khi tôi phải đi sâu 7, nhưng nó chỉ hoạt động.
Đánh dấu

SNMP-fu của tôi không mạnh, nhưng liên kết đó rất thú vị và đã cho tôi một số ý tưởng.
hyussuf

1

Bạn đang hỏi hai điều.
1.Locate MAC trên mạng của bạn - Tôi khuyên bạn nên tạo tập lệnh (php) và sử dụng SNMP để truy vấn tất cả bảng địa chỉ MAC để cung cấp cho bạn công tắc / cổng nơi đặt địa chỉ IP / MAC.

2.Monitor Cách sử dụng của bạn (sử dụng torrent, sử dụng băng thông cao (Top Talkers), cảnh báo Snort) - Sử dụng giải pháp dưới dạng ntop để theo dõi các luồng trên mạng của bạn. Tôi đã sử dụng nó từ lâu và rất tuyệt.


1

Chỉ là một gợi ý ... nếu bạn có một số loại kiểm tra nhật ký hệ thống hoạt động có thể kích hoạt các sự kiện cụ thể, bạn có thể viết một tập lệnh để SNMP tra cứu IP trên mỗi công tắc để biết đó là khoảng thời gian xảy ra sự kiện.

(xin lỗi, tôi không thể tìm thấy OID chính xác)

Chỉnh sửa: liên kết " Sử dụng SNMP để tìm số cổng từ địa chỉ MAC trên công tắc Catalyst " Tôi quên mất thủ thuật comm @ vlan . Có rất nhiều bảng để ping để tìm tất cả thông tin cần thiết cho một con người. :-(


1

switchmap là một công cụ khác có thể được sử dụng để theo dõi địa chỉ mac nào đứng sau cổng chuyển mạch (trong số những thứ khác).


1

Tôi đã sử dụng netdisco để thu thập thông tin này. Nó sẽ cho phép một người truy vấn cơ sở dữ liệu với tên máy chủ, địa chỉ IP, địa chỉ MAC, v.v. và trả về công tắc và cổng chuyển đổi. Nó sẽ làm một số điều hữu ích khác là tốt.


-3

Bạn có thể thấy liên kết này hữu ích

http://arunrkaushik.blogspot.com/2007/10/traceroute-mac-ip.html


Nó thường được coi là phong cách tốt trên Net Eng SE để bao gồm các chi tiết cơ bản của câu trả lời của bạn và để cung cấp một liên kết đến các tài liệu tham khảo nếu cần thiết. (Bởi vì, "liên kết thối" có nghĩa là cuối cùng URL sẽ không đi đến đâu hữu ích.)
Craig Constantine
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.