¿Es posible hacer coincidir una dirección IP interna con un puerto de conmutador?

8

Estoy tratando de encontrar una computadora que tenga una determinada dirección IP en nuestra red interna. He identificado el nombre de la computadora de DNS, pero en este caso no me ayuda.

¿Me pregunto si de alguna manera puedo vincular la IP a un puerto de conmutador y rastrearlo desde allí? ¿Si es así, cómo?

networking ip ethernet arp trace Brent
fuente

Respuestas:

15

Dada una dirección IP, debería poder encontrar la dirección MAC del host correspondiente.

arp -a

Tanto en Windows como en Linux le mostrará la caché de arp de ese host, asignando direcciones IP a direcciones MAC. (Tenga en cuenta que esto deberá ejecutarse en una máquina que esté en la misma subred IP que la máquina que está tratando de encontrar).

Una vez que tenga la dirección MAC, inicie sesión en el conmutador al que sospecha que está conectado el host no autorizado y busque esa dirección en la tabla de direcciones MAC. (La tabla de direcciones MAC también se denomina tabla puente o tabla CAM).

Por ejemplo, en los switches basados ​​en Cisco IOS, el siguiente comando:

show mac-address-table address <MAC address>

Le mostrará el puerto en el que se vio por última vez una dirección MAC determinada. Si el puerto resultante es un enlace a otro conmutador, inicie sesión en ese conmutador y ejecute el comando nuevamente. Repita hasta que termine con un puerto host, y debería tener su culpable.

Tenga en cuenta que este enfoque solo funcionará si tiene un conmutador administrado que permita consultar su tabla de direcciones MAC. De lo contrario, será un caso de eliminación manual; encuentre cada puerto que sepa que no es la máquina maliciosa, hasta que se quede con un puerto que no puede tener en cuenta. Buena suerte.

Murali Suriar
fuente
5

Como otros han mencionado, no hay una forma directa de determinar qué IP está conectada a un determinado puerto del conmutador. La razón es que un conmutador Ethernet funciona en L2 del modelo OSI y, por lo general, no inspecciona las capas de nivel superior (Capa 3 -> Dirección IP). (Hay algunas excepciones en el hardware más nuevo)

Una nota importante, para usar el truco ping / ARP, deberá usar un dispositivo en la misma VLAN o subred que el dispositivo que está buscando. De lo contrario, solo verá la dirección MAC de la puerta de enlace predeterminada en la tabla ARP.

Este es el procedimiento que recomiendo, si es posible.

Origen y destino en la misma VLAN

  1. Emita un ping al dispositivo que está intentando localizar.
  2. Una vez que regrese con éxito, busque en la tabla ARP para encontrar la dirección MAC de dicho dispositivo.
  3. Inicie sesión en el conmutador y busque en la tabla de direcciones MAC la dirección que se encuentra en el paso 2. (La tabla de direcciones MAC también se puede llamar tabla CAM). La tabla de direcciones MAC proporciona una asignación de direcciones MAC para cambiar de puerto.

Origen y destino en diferentes VLAN

  1. Desde el enrutador central o la puerta de enlace predeterminada sospechosa, emita un ping. Obviamente, esto funciona mejor si todo el enrutamiento se realiza en el mismo dispositivo.
  2. Si hay varias interfaces L3, es posible que deba "caminar" a través de la red pasando de la interfaz L3 a la interfaz L3 realizando la comprobación de ping / ARP hasta que encuentre la que sirve como puerta de enlace predeterminada para el dispositivo que está buscando.
  3. Una vez que lo encuentre, puede iniciar sesión en el conmutador y buscar en la tabla de direcciones MAC para encontrar el puerto.
Dave K
fuente
3

Verifique el caché ARP en su (s) conmutador (es) para encontrar el MAC y el puerto del conmutador asociados con esa IP del dispositivo. Estos artículos deberían ayudarte:

l0c0b0x
fuente
3
Un detalle menor: los cachés ARP se encuentran en dispositivos L3 (enrutadores, hosts) y proporcionarán solo la dirección MAC asociada con la IP. Las tablas de direcciones MAC (o tablas CAM) permitirán que el MAC se asigne a un puerto físico.
Murali Suriar
El segundo enlace da solo un error.
Lauritz V. Thaulow
Enlace de error @lazyr corregido.
l0c0b0x
1

No especificó qué sistemas operativos tiene disponibles en la red, pero la mayoría de ellos tienen un comando arp. Puede usar el comando arp para averiguar cuál es la dirección MAC de un host con un nombre de host dado (suponiendo que esté en la misma red que el host).

Luego, debe verificar los cachés ARP de sus conmutadores para encontrar en qué puerto se encuentra esa dirección MAC.

jedberg
fuente
1

No hay mapeo 1: 1 entre interfaces físicas y direcciones IP. Un puerto en un conmutador puede manejar el tráfico de muchas máquinas (si otro conmutador está conectado en cadena), y un puerto del conmutador puede reenviar el tráfico para más de una IP (si la máquina es multihome).

Si tiene un conmutador suficientemente avanzado, puede mirar en las pantallas de administración del conmutador para ver si enumera las direcciones MAC que ha escuchado en un puerto en particular.

Alternativamente, suponiendo que la computadora que desea encontrar no esté demasiado lejos (lógicamente), puede intentar enviarle una gran cantidad de tráfico ping -f, lo que debería permitirle rastrear el puerto en el que está la máquina mirando las luces de actividad .

Dave Cheney
fuente
1

Si el conmutador admite snmp, puede obtener información de la tabla de Mac de forma remota, que debería tener la asignación del puerto físico y la dirección de Mac conectados al puerto.

tomoe
fuente
Usamos este y algunos scripts para completar una tabla de base de datos en vivo de lo que se ha visto en la red y dónde los vimos. Haga una referencia cruzada de eso con una base de datos switch-port / wall-jack, y también podemos obtener una ubicación física.
sysadmin1138