it-swarm-es.com

¿Es posible hacer coincidir una dirección IP interna con un puerto de conmutador?

Estoy tratando de encontrar una computadora que tenga una determinada dirección IP en nuestra red interna. He identificado el nombre de la computadora por DNS, pero en este caso no me ayuda.

Me pregunto si de alguna manera puedo vincular la IP a un puerto de conmutador y rastrearlo desde allí. ¿Si es así, cómo?

8
Brent

Dada una dirección IP, debería poder encontrar la dirección MAC del host correspondiente.

arp -a

Tanto en Windows como en Linux le mostrará la caché arp de ese Host, asignando IP a direcciones MAC. (Tenga en cuenta que esto deberá ejecutarse en una máquina que esté en la misma subred IP que la máquina que está tratando de encontrar).

Una vez que tenga la dirección MAC, inicie sesión en el conmutador al que sospecha que el host no autorizado está conectado y busque esa dirección en la tabla de direcciones MAC. (La tabla de direcciones MAC también se denomina tabla puente o tabla CAM).

Por ejemplo, en los switches basados ​​en Cisco IOS, el siguiente comando:

show mac-address-table address <MAC address>

Le mostrará el puerto en el que se vio por última vez una dirección MAC determinada. Si el puerto resultante es un enlace a otro conmutador, inicie sesión en ese conmutador y vuelva a ejecutar el comando. Repita hasta que termine con un puerto de host, y debería tener su culpable.

Tenga en cuenta que este enfoque solo funcionará si tiene un conmutador administrado que permite consultar su tabla de direcciones MAC. De lo contrario, será un caso de eliminación manual; encuentra cada puerto que conoces no es la máquina deshonesta, hasta que te quedes con un puerto que no puedes tener en cuenta. Buena suerte.

15
Murali Suriar

Como han mencionado otros, no hay una forma directa de determinar qué IP está conectada a un determinado puerto de conmutador. La razón es que un conmutador Ethernet funciona en L2 del modelo OSI y, por lo general, no inspecciona las capas de nivel superior (Capa 3 -> Dirección IP). (Hay algunas excepciones en el hardware más nuevo)

Una nota importante, para usar el truco ping/ARP necesitará usar un dispositivo en la misma VLAN o subred que el dispositivo que está buscando. De lo contrario, solo verá el MAC dirección de la puerta de enlace predeterminada en la tabla ARP.

Este es el procedimiento que recomiendo, si es posible.

Origen y destino en la misma VLAN

  1. Emita un ping al dispositivo que está intentando localizar.
  2. Una vez que regrese exitosamente, busque en la tabla ARP para encontrar la dirección MAC de dicho dispositivo.
  3. Inicie sesión en el propio conmutador y busque en la tabla de direcciones MAC la dirección que se encontró en el paso 2. (La tabla de direcciones MAC también se puede llamar tabla CAM). La tabla de direcciones MAC proporciona una asignación de direcciones MAC a los puertos del switch.

Origen y destino en diferentes VLAN

  1. Desde el enrutador central o la puerta de enlace predeterminada sospechada, emita un ping. Obviamente, esto funciona mejor si todo el enrutamiento se realiza en el mismo dispositivo.
  2. Si hay varias interfaces L3, es posible que deba "caminar" a través de la red yendo de la interfaz L3 a la interfaz L3 realizando la verificación ping/ARP hasta que encuentre la que sirve como puerta de enlace predeterminada para el dispositivo que está buscando.
  3. Una vez que lo encuentre, puede iniciar sesión en el conmutador y buscar en la tabla de direcciones MAC para encontrar el puerto.
5
Dave K

Verifique la caché ARP en su (s) conmutador (es) para encontrar el MAC y Puerto del conmutador asociado con esa IP del dispositivo. Estos artículos deberían ayudarlo a:

3
l0c0b0x

No especificó qué sistemas operativos tiene disponibles en la red, pero la mayoría de ellos tienen un comando arp. Puede usar el comando arp para averiguar cuál es la dirección MAC de un host con un nombre de host dado (asumiendo que está en la misma red que el host).

Luego, debe verificar las cachés ARP de sus conmutadores para encontrar en qué puerto está esa dirección MAC.

1
jedberg

No existe un mapeo 1: 1 entre interfaces físicas y direcciones IP. Un puerto de un conmutador puede gestionar el tráfico de muchas máquinas (si otro conmutador está conectado en cadena) y un puerto de conmutador puede reenviar el tráfico para más de una IP (si la máquina es de origen múltiple).

Si tiene un conmutador lo suficientemente avanzado, puede mirar en las pantallas de administración del conmutador para ver si enumera las direcciones MAC que ha escuchado en un puerto en particular.

Alternativamente, suponiendo que la computadora que desea encontrar no esté demasiado lejos (lógicamente), podría intentar enviarle una gran cantidad de tráfico, digamos ping -f, que debería permitirle rastrear el puerto en el que está la máquina mirando las luces de actividad.

1
Dave Cheney

Si el conmutador admite snmp, puede obtener información de la tabla mac de forma remota, que debe tener la asignación del puerto físico y la dirección mac conectada al puerto.

1
tomoe