Encontrar la IP de una dirección MAC

9

¿Hay alguna manera de derivar la IP de un dispositivo desde su dirección MAC en un dispositivo Cisco?

Suponga que no se encuentra en un segmento local donde es posible hacer un barrido de ping / arp, sino que es remoto y hay muchos enrutadores entre usted y el punto final.

Además, la tabla arp en el dispositivo Cisco en cuestión no incluye esta dirección MAC.

Alabama
fuente

Respuestas:

7

Hay un par de opciones.

Si está investigando DHCP, debería poder encontrar la dirección IP en la base de datos vinculante con el siguiente comando:

show ip dhcp snooping binding 00:00:00:00:00:00

Si no tiene DHCP snooping, el dispositivo Cisco está en la misma subred (o admite múltiples SVI para que pueda agregar una interfaz en la subred), está en un IOS más nuevo (12.2 o mejor) con acceso a TCL, y el dispositivo responderá a un ping, entonces puede usar un script TCL. Puede encontrar muchos ejemplos en Internet, uno de los cuales se puede encontrar aquí . Una vez que puede hacer ping al dispositivo (en la misma subred), debe estar en la tabla ARP del dispositivo Cisco.

En general, sería más rápido / fácil verificar en el dispositivo L3 la entrada ARP o el servidor DHCP que la segunda opción.

Respuesta anterior (antes del cambio de pregunta): respondiendo estrictamente a su pregunta, no, no hay forma de derivar una dirección IP de un dispositivo a partir de la entrada de la tabla de direcciones MAC.

La tabla de direcciones MAC es estrictamente hablando un conjunto de información L2, que une los dispositivos a una interfaz. En L2, no hay conocimiento de una dirección IP (ya que la información L3 y superior es irrelevante para L2 y podría ser fácilmente otro protocolo).

Necesitaría acceso al dispositivo L3 para el segmento de red remota donde podría buscar la entrada en la tabla ARP.

YLearn
fuente
Tal vez tomado un poco demasiado literalmente :), lo he editado para reflejar el verdadero punto de la pregunta: ¿Podemos encontrar la dirección IP de una dirección MAC de forma remota?
AL
user1353: no, las direcciones MAC solo se usan en el dominio de capa 2 (LAN) y son invisibles fuera de él.
Sander Steffann
Hola YLearn, ¡gracias por aclarar tu respuesta después de mi edición! Respuesta muy completa y muy apreciada!
AL
3

TL; DR: tendrás que encontrar el MAC en la tabla ARP de alguien, por ejemplo. El enrutador de puerta de enlace.

Como YLearn dijo originalmente, está buscando una dirección L3 dada solo una dirección L2. Tendrá que encontrar algo dentro de un dominio L3 apropiado para encontrarlo. Si el conmutador no tiene una interfaz L3 en la misma red, entonces su tabla arp no mostrará nada. Si el dispositivo no usa DHCP (y / o dhcp snooping no se está ejecutando en el conmutador), no aparecerá en la tabla de snooping. Supongo que hay un enrutador en algún lugar que es la puerta de entrada para el dispositivo de destino; su tabla arp debería mostrar el enlace ip-mac.

En el peor de los casos, la Mac fijaría el dispositivo al puerto. Tendrá que mirar el tráfico en ese puerto para encontrar cualquier dirección IP.

Ricky Beam
fuente
sí, abarcar el puerto y ejecutar wireshark o tcpdump generalmente ayudará a revelar cuál es la dirección IP del dispositivo conectado a ese puerto. Por lo general, cuando el dispositivo está encendido o conectado, comienza ARPing y finalmente revela el secreto
knotseh
El problema con la expansión del puerto es que OP está hablando de una ubicación remota y quiere hacer esto desde el dispositivo Cisco, entonces, ¿a dónde abarcar el puerto? Si el OP tiene otra estación, podría ser tan fácil como hacer un barrido de ping y eso debería activar el MAC en ARP.
YLearn
Puede volcar paquetes sin usar un SPAN. (¡ debug ip packetpero USE CUIDADOSAMENTE!) En pocas palabras, debe haber un enrutador en algún lugar para ese dominio L3 en algún lugar, suponiendo que esté hablando con cualquier otra cosa.
Ricky Beam