Est-il possible de faire correspondre une adresse IP interne à un port de commutateur?

8

J'essaie de trouver un ordinateur qui a une certaine adresse IP sur notre réseau interne. J'ai identifié le nom de l'ordinateur à partir du DNS, mais dans ce cas, cela ne m'aide pas.

Vous vous demandez simplement si je peux en quelque sorte lier l'IP à un port de commutateur et le suivre à partir de là? Si c'est le cas, comment?

networking ip ethernet arp trace Brent
la source

Réponses:

15

Étant donné une adresse IP, vous devriez pouvoir trouver l'adresse MAC de l'hôte correspondant.

arp -a

Sous Windows et Linux, vous verrez le cache arp de cet hôte, mappant les adresses IP aux adresses MAC. (Notez que cela devra être exécuté sur une machine qui se trouve sur le même sous-réseau IP que la machine que vous essayez de trouver).

Une fois que vous avez l'adresse MAC, connectez-vous au commutateur auquel vous pensez que l'hôte escroc est connecté et recherchez dans cette table l'adresse MAC. (La table d'adresses MAC est également appelée table de pontage ou table CAM).

Par exemple, sur les commutateurs Cisco IOS, la commande suivante:

show mac-address-table address <MAC address>

Vous montrera le port sur lequel une adresse MAC donnée a été vue pour la dernière fois. Si le port résultant est un lien vers un autre commutateur, connectez-vous à ce commutateur et réexécutez la commande. Répétez jusqu'à ce que vous vous retrouviez avec un port hôte, et vous devriez avoir votre coupable.

Notez que cette approche ne fonctionnera que si vous disposez d'un commutateur géré qui permet d'interroger sa table d'adresses MAC. A défaut, ce sera une élimination manuelle; trouvez chaque port dont vous savez qu'il n'est pas la machine escroc, jusqu'à ce qu'il vous reste un port dont vous ne pouvez pas tenir compte. Bonne chance.

Murali Suriar
la source
5

Comme d'autres l'ont mentionné, il n'y a aucun moyen direct de déterminer quelle IP est connectée à un certain port de commutateur. La raison en est qu'un commutateur Ethernet fonctionne à L2 du modèle OSI et n'inspecte généralement pas les couches de niveau supérieur (couche 3 -> adresse IP). (Il existe quelques exceptions dans le matériel plus récent)

Une note importante, pour utiliser l'astuce ping / ARP, vous devrez utiliser un appareil sur le même VLAN ou sous-réseau que l'appareil que vous recherchez. Sinon, vous ne verrez que l'adresse MAC de la passerelle par défaut dans la table ARP.

Voici la procédure que je recommande, si possible.

Source et destination sur le même VLAN

  1. Envoyez un ping au périphérique que vous essayez de localiser.
  2. Une fois qu'il revient avec succès, regardez dans la table ARP pour trouver l'adresse MAC dudit appareil.
  3. Connectez-vous au commutateur lui-même et recherchez dans la table d'adresses MAC l'adresse trouvée à l'étape 2. (La table d'adresses MAC peut également être appelée table CAM). Le tableau d'adresses MAC fournit un mappage des adresses MAC pour commuter les ports.

Source et destination sur différents VLAN

  1. À partir du routeur principal ou de la passerelle par défaut suspectée, émettez un ping. Évidemment, cela fonctionne mieux si tout le routage est effectué sur le même appareil.
  2. S'il existe plusieurs interfaces L3, vous devrez peut-être parcourir le réseau allant de l'interface L3 à l'interface L3 en effectuant la vérification ping / ARP jusqu'à ce que vous trouviez celle qui sert de passerelle par défaut pour le périphérique que vous recherchez.
  3. Une fois que vous l'avez trouvé, vous pouvez alors vous connecter au commutateur et rechercher dans le tableau d'adresses MAC pour trouver le port.
Dave K
la source
3

Vérifiez le cache ARP sur votre ou vos commutateurs pour trouver le MAC et le port de commutateur associés à cette IP de l'appareil. Ces articles devraient vous aider:

l0c0b0x
la source
3
Un détail mineur - les caches ARP se trouvent sur les appareils L3 (routeurs, hôtes) et ne fourniront que l'adresse MAC associée à l'IP. Les tables d'adresses MAC (ou tables CAM) permettront alors au MAC d'être mappé sur un port physique.
Murali Suriar
Le deuxième lien donne juste une erreur.
Lauritz V. Thaulow
Lien d'erreur @lazyr corrigé.
l0c0b0x
1

Vous n'avez pas spécifié les systèmes d'exploitation dont vous disposez sur le réseau, mais la plupart d'entre eux ont une commande arp. Vous pouvez utiliser la commande arp pour savoir quelle est l'adresse MAC d'un hôte avec un nom d'hôte donné (en supposant que vous êtes sur le même réseau que l'hôte).

Ensuite, vous devez vérifier les caches ARP de vos commutateurs pour trouver le port sur lequel cette adresse MAC est activée.

jedberg
la source
1

Il n'y a pas de mappage 1: 1 entre les interfaces physiques et les adresses IP. Un port sur un commutateur peut gérer le trafic de nombreuses machines (si un autre commutateur est connecté en guirlande), et un port de commutateur peut transmettre le trafic pour plus d'une IP (si la machine est multi-hébergée).

Si vous disposez d'un commutateur suffisamment avancé, vous pouvez regarder dans les écrans de gestion du commutateur pour voir s'il répertorie les adresses MAC qu'il a entendues sur un port particulier.

Alternativement, en supposant que l'ordinateur que vous souhaitez trouver n'est pas trop loin (logiquement), vous pouvez essayer de lui envoyer un trafic important, par exemple ping -f, ce qui devrait vous permettre de tracer le port sur lequel la machine se trouve en regardant les voyants d'activité .

Dave Cheney
la source
1

Si le commutateur prend en charge snmp, vous pouvez obtenir à distance les informations de la table mac, qui doivent avoir le mappage du port physique et de l'adresse mac connectés au port.

tomoe
la source
Nous utilisons cela et quelques scripts pour remplir une table de base de données en direct de ce que les IP ont été vues sur le réseau et où nous les avons vues. Faites une référence croisée avec une base de données de port de commutateur / prise murale, et nous pouvons également obtenir un emplacement physique.
sysadmin1138