寻找丢失的设备

网络工程 思科 路由
2021-07-09 06:17:46

我有一个设备——我认为是一台旧打印机——它出现在我的流量中。它来自退役的子网 (100.100.100.0/24)。它正在通过我的一个网络点击并触发警报。水龙头位于我的主要用户交换机和提供服务器和互联网访问的交换机之间的链接上。交换机是 Cisco 3750X。

通常我只是运行 a sh arpandsh mac address-table来识别有问题的设备的端口,但我在这里没有看到任何条目。

我已经尝试将旧网关添加回默认 vlan - 它之前是如何配置的 - 并执行 ping 扫描。我还尝试将静态 IP 分配给测试 VM,并针对该 IP 执行端口扫描,遍历我们定义的各种 VLAN。

如何隔离此设备连接到的端口?我没主意了。

编辑:

我知道需要最近的流量来查看 arp 缓存是有用的,以及如何通过多个交换机跟踪它。我一直在考虑数据包捕获,但我没有现成的方法来实现。我没有备用的 10 gig 光纤接口和抽头,我不能让我的监控离线足够长的时间来重现它自己。

回到 arp 来定位问题。我遇到的最大问题是“从同一子网ping”的想法。这正是我想要做的。我有一个分配了 100.100.100.100 的虚拟机,带有ping -t 100.100.100.101. 我正在通过设备可能所在的各种 VLAN 移动它,并使用sh arp | include 100.100.100. 我从来没有看到一个完整的地址返回。

2个回答

show arp仅显示交换机最近与之进行 IP 通信的终端节点。通常这种情况只发生在管理流量或第 3 层交换机是默认网关时。在第 2 层上切换不会填充/更新交换机的 ARP 表。但是,它会更新 MAC 表。

只是ping来自同一子网(或来自交换机,如果你喜欢)的 IP 地址,然后查找本地 ARP 缓存。(对于远程子网,请检查网关路由器中的 ARP 缓存。)

记下 MAC,然后show mac address-table将显示节点连接到哪个端口。如果这是下行链路或上行链路端口show mac address-table,则在连接的交换机上运行 a ,直到有一个具有单个 MAC 的端口。

如果数据包被欺骗,数据包捕获可以揭示来源。包含数据包的帧将显示来自欺骗节点或其通过的网关的源 MAC 地址。重复上一段中的数据包捕获,直到找到源。

请注意,MAC 地址可以很容易地伪造,但交换机仍会在其表中包含该地址。

所以..我对此做了一些额外的挖掘。显然有很多型号的施乐打印机/扫描仪等(7855、C60、EX7750....)的默认 IP 为 100.100.100.101。

不幸的是,我的环境在大约 20 年前建立时使用了相同的子网。

即使分配了不同的静态 IP,在这些设备上实施网络堆栈也会导致 IP 仍然出现在捕获中

最后是因为我找到了它的日程安排。我会看到来自 100.100.100.101 的流量和相距 192.168.X.37 毫秒的真实 IP。从那里我在旧的论坛帖子和手册中找到了对该默认 IP 的引用。

其它你可能感兴趣的问题
上一篇Cisco IOS 静态 DHCP 池的客户端超时 下一篇为什么BGP协议可以跨路由器实现,而OSPF协议只能在直连路由器上实现?