Jak znaleźć listę urządzeń podłączonych do mojej sieci (adresy IP i MAC)

9

Próbuję uzyskać listę urządzeń podłączonych do mojego przełącznika Cisco (Catalyst 2960). Najlepiej przez SNMP. Oto co już zrobiłem:

Udało mi się pobrać tabelę ARP z przełącznika (poprzez idący OID SNMP 1.3.6.1.2.1.4.22.1.2na przełączniku). Nie odzwierciedla to jednak „aktywnego” zestawu adresów IP, ponieważ ARP nie aktualizuje się, gdy urządzenia przechodzą w tryb offline. Innymi słowy, kiedy ponownie uruchamiam urządzenie i uzyskuje nowy adres IP (dynamiczny), kończę na starym adresie IP również wymienionym w mojej tabeli ARP, mimo że ten adres IP nie jest obecnie w sieci.

Czy jest jakiś sposób na znalezienie tej listy „na żywo” za pomocą przełącznika, najlepiej unikając tabeli ARP?

PS Nie mogę ciągle pingować urządzeń w celu ustalenia ich statusu, pracuję w warunkach bardzo niskiej przepustowości.

AJ J.
źródło
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

6

Czy transmisja ping do podsieci z SVI na przełączniku (która ma niską przepustowość) i jest show mac address-table dynamicwykluczona?

some-switch#show mac address-table dynamic
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    000f.257b.ba3b    DYNAMIC     Gi1/0/49
   1    0011.254f.a5be    DYNAMIC     Gi1/0/49
  56    0000.0c57.aa00    DYNAMIC     Gi1/0/49
  56    0004.0ff4.8cf4    DYNAMIC     Gi1/0/49
  56    0004.0af4.c8fb    DYNAMIC     Gi1/0/5

W tym momencie użyj tabeli ARP do mapowania z adresu mac na adres IP.

Wykonanie tego za pomocą SNMP jest możliwe, ale nieco bolesne, jeśli musisz wiedzieć, na jakim porcie znajduje się każdy adres mac ... użyj dot1dTpFdbAddress, aby przechwycić adresy mac, dot1dBasePortIfIndex, aby odwzorować na interfejs, ifIndexa następnie ifNameodwzorować ifIndexna nazwę, którą „ rozpoznam.

Mike Pennington
źródło
Czy możesz rozwinąć więcej w pierwszym rozwiązaniu? Jak mogę to zrobić? ... Ponadto dot1dTpFdbAddress i dot1dBasePortIfIndex nic nie zwracają: /
AJ J.
1
Zakładam, że wiesz, jak pokazać tablicę adresów MAC z CLI ... odnośnie ping, jeśli twoja podsieć jest 172.16.1.0/24pingiem rozgłoszeniowym dla tej podsieci ping 172.16.1.255... odnośnie snmp, powiedziałem, że to bolesne :-). .. jesteś pewien, że masz ankietę snmpbulkwalk -v 2c -m BRIDGE-MIB -c <snmp-community>@<vlan> <host-address> dot1dTpFdbAddress? Innymi słowy, jeśli twoja społeczność jest „PUBLICZNA” i odpytujesz Vlan 501, odpytaj BRIDGE-MIB ze społecznością „PUBLIC @ 501”
Mike Pennington,
Uwaga: każde zdalnie zabezpieczone urządzenie nie odbierze pingu.
Ricky Beam
@RickyBeam, dlatego powiedziałem, że musi to zrobić z przełącznika z podłączonym SVI ... Zdaję sobie również sprawę, że Windows domyślnie nie odbiera pingów ... więc jest to lepsze niż nic, ale nie jest to 100% rozwiązanie ... mamy do czynienia z pewnymi nieoptymalnymi ograniczeniami w tym problemie
Mike Pennington
1
@AJJ. Tabela adresów mac ma domyślnie pięciominutowy czas pamięci podręcznej, czy te urządzenia zostały odłączone krócej niż pięć minut? Jeśli potrzebujesz informacji w czasie rzeczywistym, musisz to sprawdzić ifOperStatus, co oznacza zawiłe ćwiczenie mapowania wartości MIB, o którym wspomniałem w mojej odpowiedzi. Jeśli są to wszystkie maszyny korzystające z DHCP, możesz rozważyć szpiegowanie DHCP, zgodnie z sugestią GeneralNetworkError poniżej
Mike Pennington,
4

DHCP Snooping zarówno dla adresów L3 IP, jak i L2 MAC, jeśli chcesz tylko zidentyfikować klientów za pomocą adresów dynamicznych. Służy to bezpieczeństwu do blokowania nieuczciwych serwerów DHCP i pozwala na odbieranie pakietów tylko w portach przełączników z prawidłowymi adresami DHCP, które były oferowane i żądane (tj. Faktycznie używane).

Włącz globalne szpiegowanie dhcp dla sieci VLAN, które chcesz oglądać

ip dhcp snooping vlan 10,20,30,40,50
brak opcji podglądania IP dhcp
bez ip dhcp snooping sprawdź adres mac
ip dhcp snooping

Należy zidentyfikować zaufane interfejsy, które mają za sobą serwery DHCP, używając:

interfejs xy / z
 ip dhcp snooping trust

Przykładowa tabela powiązań adresów IP-MAC:

s-oc2-3h-s1 # sh ip dhcp snooping binding
MacAddress IpAddress Lease (sec) Typ Interfejs VLAN
------------------ --------------- ---------- ------- ------ ---- --------------------
B4: B5: 2F: DB: 85: C6 172.17.3.29 254427 dhcp-snooping 30 FastEthernet1 / 0/30
3C: 07: 54: 3F: 91: CB 172.17.3.26 224542 dhcp-snooping 30 FastEthernet2 / 0/42
6C: 62: 6D: 77: 95: 1A 172.17.3.37 256986 dhcp-snooping 30 FastEthernet1 / 0/17
B4: B5: 2F: 2D: 27: 37 172.17.3.22 149352 dhcp-snooping 30 FastEthernet2 / 0/30
B4: B5: 2F: DB: 85: C2 172.17.3.18 207629 dhcp-snooping 30 FastEthernet1 / 0/16
...

Zobacz ciscoDhcpSnoopingMIB, aby uzyskać dostęp SNMP do tych obiektów. OID 1.3.6.1.4.1.9.9.380

generalnetworkerror
źródło
1

Jeśli adresy IP są dynamiczne, powinieneś mieć dzienniki dhcp, aby uzyskać pary mac-ip. dzięki SNMP możesz spróbować zrozumieć, jakie masz urządzenia. ale pamiętaj, że musisz skonfigurować snmp i zezwolić na to ze swojej stacji. Jeśli mówisz o maszynach z systemem Windows, łatwiej jest użyć programu PowerShell do pobierania informacji o stacjach roboczych. Możesz także spróbować użyć nmap do przeskanowania całej podsieci i uzyskania dodatkowych informacji o jej mieszkańcach.

Rzymian Fomicevs
źródło
Jak mogę pobrać dzienniki DHCP?
AJ J.
zależy to od dostawcy serwera dhcp ...
Rzymian Fomicevs,
0

Prawdopodobnie spowoduje to przekroczenie twoich wymagań dotyczących przepustowości, ale możesz użyć swmp odkrycia snmp jak „gość”. Musisz odpowiednio ustawić społecznościowe i prywatne vlany, aby ruch SNMP mógł wrócić do serwera. Jeśli jesteś zainteresowany tym rozwiązaniem, mógłbym podać więcej informacji na temat wymaganych sieci vlans i sw.

Max
źródło
Myślę, że „koleś” właśnie naprawił kilka literówek w swoim poście: -) ... To się często zdarza, kiedy piszę z mojego HTC ... czy korzystałeś z telefonu komórkowego?
Mike Pennington,