Brent Asked: 2009-05-21 14:01:21 +0800 CST2009-05-21 14:01:21 +0800 CST 2009-05-21 14:01:21 +0800 CST 是否可以将内部 IP 地址与交换机端口匹配? 772 我正在尝试在我们的内部网络上查找具有特定 IP 地址的计算机。我已经从 DNS 中识别出计算机名称,但在这种情况下它对我没有帮助。 只是想知道我是否可以以某种方式将 IP 绑定到交换机端口,并从那里跟踪它?如果是这样,怎么做? networking ip arp trace ethernet 6 个回答 Voted Best Answer Murali Suriar 2009-05-21T14:24:53+08:002009-05-21T14:24:53+08:00 给定一个 IP 地址,您应该能够找到相应主机的 MAC 地址。 arp -a 在 Windows 和 Linux 上都会显示该主机的 arp 缓存,将 IP 映射到 MAC 地址。(请注意,这需要在与您要查找的机器位于同一 IP 子网的机器上运行)。 获得 MAC 地址后,登录您怀疑恶意主机连接的交换机,并在 MAC 地址表中搜索该地址。(MAC 地址表也称为桥接表,或 CAM 表)。 例如,在基于 Cisco IOS 的交换机上,以下命令: show mac-address-table address <MAC address> 将向您显示最后一次看到给定 MAC 地址的端口。如果生成的端口是到另一个交换机的链接,请登录到该交换机并再次运行该命令。重复直到你最终得到一个主机端口,你应该有你的罪魁祸首。 请注意,此方法仅在您拥有允许查询其 MAC 地址表的托管交换机时才有效。否则,将是手动消除的情况;找到每个您知道不是流氓机器的端口,直到您留下一个您无法解释的端口。祝你好运。 Dave K 2009-05-21T14:25:54+08:002009-05-21T14:25:54+08:00 正如其他人所提到的,没有直接的方法可以确定连接到某个交换机端口的 IP。原因是以太网交换机在 OSI 模型的 L2 工作,通常不检查更高级别的层(第 3 层 -> IP 地址)。(较新的硬件有一些例外) 一个重要的注意事项是,要使用 ping / ARP 技巧,您需要使用与您正在搜索的设备位于同一 VLAN 或子网的设备。否则,您将只能在 ARP 表中看到默认网关的 MAC 地址。 如果可能的话,这是我推荐的程序。 同一 VLAN 上的源和目标 向您尝试定位的设备发出 ping 指令。 成功返回后,在 ARP 表中查找该设备的 MAC 地址。 登录到交换机本身并在 MAC 地址表中查找在步骤 2 中找到的地址。(MAC 地址表也可以称为 CAM 表)。MAC 地址表提供 MAC 地址到交换机端口的映射。 不同 VLAN 上的源和目标 从核心路由器或可疑的默认网关发出 ping。显然,如果所有路由都在同一个设备上完成,这将最有效。 如果有多个 L3 接口,您可能需要“遍历”从 L3 接口到 L3 接口的网络,执行 ping / ARP 检查,直到找到用作您正在搜索的设备的默认网关的那个。 找到后,您可以登录交换机并搜索 MAC 地址表以找到端口。 l0c0b0x 2009-05-21T14:04:51+08:002009-05-21T14:04:51+08:00 检查交换机上的 ARP 缓存以查找与该设备 IP 关联的 MAC 和交换机端口。这篇文章应该可以帮助您: http://www.petri.co.il/csc_arp_cache.htm http://ccnpsecurity.blogspot.com/2011/11/using-mac-address-table-and-arp-cache.html jedberg 2009-05-21T14:08:00+08:002009-05-21T14:08:00+08:00 您没有指定网络上有哪些操作系统可供您使用,但其中大多数都有 arp 命令。您可以使用 arp 命令找出具有给定主机名的主机的 MAC 地址是什么(假设您与主机位于同一网络上)。 然后,您必须检查交换机的 ARP 缓存以查找 MAC 地址所在的端口。 Dave Cheney 2009-05-21T14:09:57+08:002009-05-21T14:09:57+08:00 物理接口和 IP 地址之间没有 1:1 的映射关系。交换机上的一个端口可以处理多台机器的流量(如果另一台交换机是菊花链式的),一个交换机端口可以转发多个 IP 的流量(如果机器是多宿主的)。 如果你有一个足够先进的交换机,你可以查看交换机的管理屏幕,看看它是否列出了它在特定端口上听到的 MAC 地址。 或者,假设您希望找到的计算机不是太远(逻辑上),您可以尝试向它发送大量流量,例如ping -f,这应该允许您通过查看活动灯来跟踪机器所在的端口. tomoe 2009-06-03T06:34:30+08:002009-06-03T06:34:30+08:00 如果交换机支持snmp,则可以远程获取mac表信息,其中应该有物理端口和端口连接的mac地址的映射关系。
给定一个 IP 地址,您应该能够找到相应主机的 MAC 地址。
在 Windows 和 Linux 上都会显示该主机的 arp 缓存,将 IP 映射到 MAC 地址。(请注意,这需要在与您要查找的机器位于同一 IP 子网的机器上运行)。
获得 MAC 地址后,登录您怀疑恶意主机连接的交换机,并在 MAC 地址表中搜索该地址。(MAC 地址表也称为桥接表,或 CAM 表)。
例如,在基于 Cisco IOS 的交换机上,以下命令:
将向您显示最后一次看到给定 MAC 地址的端口。如果生成的端口是到另一个交换机的链接,请登录到该交换机并再次运行该命令。重复直到你最终得到一个主机端口,你应该有你的罪魁祸首。
请注意,此方法仅在您拥有允许查询其 MAC 地址表的托管交换机时才有效。否则,将是手动消除的情况;找到每个您知道不是流氓机器的端口,直到您留下一个您无法解释的端口。祝你好运。
正如其他人所提到的,没有直接的方法可以确定连接到某个交换机端口的 IP。原因是以太网交换机在 OSI 模型的 L2 工作,通常不检查更高级别的层(第 3 层 -> IP 地址)。(较新的硬件有一些例外)
一个重要的注意事项是,要使用 ping / ARP 技巧,您需要使用与您正在搜索的设备位于同一 VLAN 或子网的设备。否则,您将只能在 ARP 表中看到默认网关的 MAC 地址。
如果可能的话,这是我推荐的程序。
同一 VLAN 上的源和目标
不同 VLAN 上的源和目标
检查交换机上的 ARP 缓存以查找与该设备 IP 关联的 MAC 和交换机端口。这篇文章应该可以帮助您:
您没有指定网络上有哪些操作系统可供您使用,但其中大多数都有 arp 命令。您可以使用 arp 命令找出具有给定主机名的主机的 MAC 地址是什么(假设您与主机位于同一网络上)。
然后,您必须检查交换机的 ARP 缓存以查找 MAC 地址所在的端口。
物理接口和 IP 地址之间没有 1:1 的映射关系。交换机上的一个端口可以处理多台机器的流量(如果另一台交换机是菊花链式的),一个交换机端口可以转发多个 IP 的流量(如果机器是多宿主的)。
如果你有一个足够先进的交换机,你可以查看交换机的管理屏幕,看看它是否列出了它在特定端口上听到的 MAC 地址。
或者,假设您希望找到的计算机不是太远(逻辑上),您可以尝试向它发送大量流量,例如
ping -f,这应该允许您通过查看活动灯来跟踪机器所在的端口.如果交换机支持snmp,则可以远程获取mac表信息,其中应该有物理端口和端口连接的mac地址的映射关系。