共享一个查找IP所在交换机端口的方法

云端轻躺 2011-11-15

在单位或者学校的局域网里,经常会遇见,知道IP却找不到它位置的事情

比如内网里有一台设备中了arp欺骗病毒,整个内网访问internet速度明显下降,用软件抓包知道了中毒主机的IP地址,就需要找到它在哪里了,可以用以下的方法(针对思科交换机)

通过IP地址查端口

目标地址,例如192.168.3.48

在主干交换机上ping192.168.3.48

确保能ping通

使用:

showarp|include192.168.3.48(在arp列表里查找到这个IP对应的mac地址)

显示出:

Internet192.168.3.480000d.874a.0c52ARPAVlan30

得到所连接交换机接口的mac地址:000d.874a.0c52

再用:

showmac-address-tabledynamicadd000d.874a.0c52(在mac地址列表里找出mac来源端口)

显示:

UnicastEntries

vlanmacaddresstypeprotocolsport

-------+---------------+--------+---------------------+--------------------

30000d.874a.0c52dynamicipFastEthernet4/12

连接的是4/12端口,但是不能保证目标就是接在这个端口

用:

showcdpnei(查看跟这台交换机相链接的网络设备)

看到:

switch9Fas4/12123SIWS-C2950-2Fas0/24

这个端口连接的是交换机

用:

showcdpent*(查看跟这台交换机链接设备的详细信息)

得到该交换机的IP:192.168.3.214

telnet到192.168.3.214

重复上面动作,输入:

showmac-address-tabledynamicadd000d.874a.0c52

显示:

MacAddressTable

------------------------------------------

VlanMacAddressTypePorts

------------------------

30000d.874a.0c52DYNAMICFa0/2

TotalMacAddressesforthiscriterion:1

看到接口为Fa0/2,而且只有一个动态的mac地址,说明就是这个接口了

目标最后被确定接在一台2950的2口上

这样目标IP与交换机链接的位置就找到了,管理员可以采取相应的措施,比如关闭端口来隔绝病毒机

--------------------------------------------------------------------------------------------------------------------------------------------------

相反的,如果你去机房看到了某个服务器,链接在交换机的某个端口上,但是设备标签上没有任何信息,想知道服务器的IP,应该怎样做呢?

看看下面的步骤:

先去机房确定机器连接在交换机的哪个端口上,例如0/2口

在那台交换机上用命令:

showmacadd

显示出它的MacAddressTable

从列表里找到0/2口对应有哪些mac地址

例如:

000d.874a.0c52DYNAMICFa0/2

0011.5be0.dd61DYNAMICFa0/2

0015.c510.12a3DYNAMICFa0/2

使用nmap软件

输入例如:

nmap-oXmaclist.xml-sP192.168.3.1/24

的命令

创建含有IP地址和mac地址的列表

在列表里搜索上面的三个mac地址就能找到相应的IP地址

查询结果:

000d.874a.0c52DYNAMICFa0/2192.168.3.48

0011.5be0.dd61DYNAMICFa0/2192.168.3.84/zhulei01.xxxx.com

0015.c510.12a3DYNAMICFa0/2192.168.3.49/zhounianou.xxxxcom

另外在交换机上使用:showiparpH.H.H

也可以看出内网IP,但是不总管用

以上方法不能查出外网IP,只使用于内网,所以在使用nmap这样的软件时,主机一定是要接在搜索网段里的,可以在交换机上用showvlan看到目标服务器所在端口是在哪个网段里

相关推荐