网络主机和交换机端口位置的有效定位方法
2008-04-04 10:01
671 查看
[align=center]网络主机和交换机端口位置的有效定位方法[/b][/align]
[align=center] [/align]
[align=center]《快速查找交换机端口》2007-7月A 刊登与《网管员世界》杂志 ISSN 1671-2919 维普咨询VIP收录[/align]
[align=center] [/b][/align]
[align=left]前段时间发生了这样一件事,早上来还没进屋,就听到办公室电话铃响个不停,都是用户投诉上不了网的故障电话。我马上Ping了网关路由器地址,发觉Ping包延时很大,还是通时断。这时候立即明白网络带宽拥塞。由于没有LAN网流量监测工具,无法知道在网上的流量类别和数据来源,只好在路由器10M的LAN口作流量分析,这需要通过设置交换机镜像口。我发现有N个不知名的IP源地址,从相同一个MAC向外发包。初步估计是这台机器中了病毒。我们单位网络中有上千台主机,都是网络管理员为入网用户分配和提供的IP地址但是,一旦中客户机中病毒,发包堵塞网络的情况发生的时候造成网络拥塞。很不好排查.通常情况下一些网络管理员通过sniffer软件可以检测到是哪个IP发的包,但是对于大型网络有几十台交换机就无法短时间确定故障机器插到那个交换机上。如果能找到就登陆到交换机上把那个端口关闭(shutdown)与网络隔离后在处理。从而保证其他正常的机器不受影响。下面我我们单位的实际网络为例,为大家介绍一种手工查找IP地址对应交换机端口的方法。[/align]
[align=left]由于我们单位网络设备统一是cisco,CISCO 设备定期发送更新来使自身知道它的邻居,我就利用CDP(Cisco Discovery Protocol)协议特性,获得相邻运行CDP协议的交换机信息,下面我们看看具体操作。 [/align]
[align=center][/align]
[align=center]网络拓扑结构示意图[/align]
[align=left]具体操作如下:[/b][/align]
[align=left]首先我telnet到核心交换机上ping一下被盗的IP如(10.32.2.18)[/align]
[align=left]BJ-SW-419-1-4#ping 10.32.2.18[/b][/align]
[align=left]Type escape sequence to abort.[/b][/align]
[align=left]Sending 5, 100-byte ICMP Echos to 10.32.2.18, timeout is 2 seconds:[/b][/align]
[align=left]!!!!![/b][/align]
[align=left]Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms[/b][/align]
[align=left]你看通了,表示盗用者正在使用机器。接着我们看看他机器网卡的MAC地址是多少。[/align]
[align=left]BJ-SW-419-1-4#show arp | in 10.32.2.18[/b][/align]
[align=left]Internet 10.32.2.18 3 000d.5621.afd6 ARPA Vlan20[/b][/align]
[align=left]因为我们单位的是多层交换的网络,下一步我们要知道他的机器是接到那个交换机器上的。[/align]
[align=left]BJ-SW-419-1-4#show mac-address-table dynamic address 000d.5621.afd6[/b][/align]
[align=left]Unicast Entries[/b][/align]
[align=left] vlan mac address type protocols port[/b][/align]
[align=left]-------+---------------+--------+---------------------+--------------------[/b][/align]
[align=left] 20 000d.5621.afd6 dynamic ip,ipx GigabitEthernet3/2[/b][/align]
[align=left] [/align]
[align=left]哦,是通过千兆的口连的。我们看看邻居(就是核心交换机器的下级交换机)[/align]
[align=left]BJ-SW-419-1-4#sh cdp neighbors[/b][/align]
[align=left]Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge[/b][/align]
[align=left] S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone[/b][/align]
[align=left]Device ID Local Intrfce Holdtme Capability Platform Port ID[/b][/align]
[align=left]BJ-SW-419-2-3 Gig 3/4 152 S I WS-C3550-4Gig 0/2[/b][/align]
[align=left]BJ-SW-419-1-3 Gig 3/3 168 S I WS-C3550-4Gig 0/2[/b][/align]
[align=left]BJ-SW-440-1-4 Gig 3/1 173 S I WS-C3550-4Gig 0/2[/b][/align]
[align=left]BJ-SW-440-2-4 Gig 3/2 143 S I WS-C3550-2Gig 0/2[/b][/align]
[align=left]cec-2-4 Gig 3/6 177 S I WS-C3550-4Gig 0/1[/b][/align]
[align=left]cec-2-3 Gig 3/5 175 S I WS-C3550-4Gig 0/2[/b][/align]
[align=left] [/align]
[align=left]找到了他在BJ-SW-440-2-4 Gig 3/2 143 S I WS-C3550-2Gig 0/2 上[/align]
[align=left]好,下面我们直接telnet到BJ-SW-440-2-4这台交换机,输入MAC查找。[/align]
[align=left]BJ-SW-440-2-4#show mac-address-table dynamic address 000d.5621.afd6[/b][/align]
[align=left] Mac Address Table[/b][/align]
[align=left]-------------------------------------------[/b][/align]
[align=left] [/b][/align]
[align=left]Vlan Mac Address Type Ports[/b][/align]
[align=left]---- ----------- -------- -----[/b][/align]
[align=left] 20 000d.5621.afd6 DYNAMIC Fa0/23[/b][/align]
[align=left]Total Mac Addresses for this criterion: 1[/b][/align]
[align=left]结论:[/b][/align]
[align=left]出来了,他的机器接在了BJ-SW-440-2-4交换机的23端口,然后 根据综合布线时候的跳线表就可以直接找到盗用地址的人了。通过以上方法,网管员找到了一条连到中毒机器,通过对应表我们知道用户属于哪个部门,接下来就是是进行杀毒处理了。[/align]
[align=left] [/align]
[align=left] [/align]
[align=center]此表为我们单位部分对应表[/align]
[align=left]对大家的建议,我们在做网络管理时手里一定要有一份IP地址和硬件地址的严格对应表,不短完善网络管理功能,故障检测手段,提高网络故障的清查能力。[/align]
本文出自 “李晨光原创技术博客” 博客,转载请与作者联系!
[align=center] [/align]
[align=center]《快速查找交换机端口》2007-7月A 刊登与《网管员世界》杂志 ISSN 1671-2919 维普咨询VIP收录[/align]
[align=center] [/b][/align]
[align=left]前段时间发生了这样一件事,早上来还没进屋,就听到办公室电话铃响个不停,都是用户投诉上不了网的故障电话。我马上Ping了网关路由器地址,发觉Ping包延时很大,还是通时断。这时候立即明白网络带宽拥塞。由于没有LAN网流量监测工具,无法知道在网上的流量类别和数据来源,只好在路由器10M的LAN口作流量分析,这需要通过设置交换机镜像口。我发现有N个不知名的IP源地址,从相同一个MAC向外发包。初步估计是这台机器中了病毒。我们单位网络中有上千台主机,都是网络管理员为入网用户分配和提供的IP地址但是,一旦中客户机中病毒,发包堵塞网络的情况发生的时候造成网络拥塞。很不好排查.通常情况下一些网络管理员通过sniffer软件可以检测到是哪个IP发的包,但是对于大型网络有几十台交换机就无法短时间确定故障机器插到那个交换机上。如果能找到就登陆到交换机上把那个端口关闭(shutdown)与网络隔离后在处理。从而保证其他正常的机器不受影响。下面我我们单位的实际网络为例,为大家介绍一种手工查找IP地址对应交换机端口的方法。[/align]
[align=left]由于我们单位网络设备统一是cisco,CISCO 设备定期发送更新来使自身知道它的邻居,我就利用CDP(Cisco Discovery Protocol)协议特性,获得相邻运行CDP协议的交换机信息,下面我们看看具体操作。 [/align]
[align=center][/align]
[align=center]网络拓扑结构示意图[/align]
[align=left]具体操作如下:[/b][/align]
[align=left]首先我telnet到核心交换机上ping一下被盗的IP如(10.32.2.18)[/align]
[align=left]BJ-SW-419-1-4#ping 10.32.2.18[/b][/align]
[align=left]Type escape sequence to abort.[/b][/align]
[align=left]Sending 5, 100-byte ICMP Echos to 10.32.2.18, timeout is 2 seconds:[/b][/align]
[align=left]!!!!![/b][/align]
[align=left]Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms[/b][/align]
[align=left]你看通了,表示盗用者正在使用机器。接着我们看看他机器网卡的MAC地址是多少。[/align]
[align=left]BJ-SW-419-1-4#show arp | in 10.32.2.18[/b][/align]
[align=left]Internet 10.32.2.18 3 000d.5621.afd6 ARPA Vlan20[/b][/align]
[align=left]因为我们单位的是多层交换的网络,下一步我们要知道他的机器是接到那个交换机器上的。[/align]
[align=left]BJ-SW-419-1-4#show mac-address-table dynamic address 000d.5621.afd6[/b][/align]
[align=left]Unicast Entries[/b][/align]
[align=left] vlan mac address type protocols port[/b][/align]
[align=left]-------+---------------+--------+---------------------+--------------------[/b][/align]
[align=left] 20 000d.5621.afd6 dynamic ip,ipx GigabitEthernet3/2[/b][/align]
[align=left] [/align]
[align=left]哦,是通过千兆的口连的。我们看看邻居(就是核心交换机器的下级交换机)[/align]
[align=left]BJ-SW-419-1-4#sh cdp neighbors[/b][/align]
[align=left]Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge[/b][/align]
[align=left] S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone[/b][/align]
[align=left]Device ID Local Intrfce Holdtme Capability Platform Port ID[/b][/align]
[align=left]BJ-SW-419-2-3 Gig 3/4 152 S I WS-C3550-4Gig 0/2[/b][/align]
[align=left]BJ-SW-419-1-3 Gig 3/3 168 S I WS-C3550-4Gig 0/2[/b][/align]
[align=left]BJ-SW-440-1-4 Gig 3/1 173 S I WS-C3550-4Gig 0/2[/b][/align]
[align=left]BJ-SW-440-2-4 Gig 3/2 143 S I WS-C3550-2Gig 0/2[/b][/align]
[align=left]cec-2-4 Gig 3/6 177 S I WS-C3550-4Gig 0/1[/b][/align]
[align=left]cec-2-3 Gig 3/5 175 S I WS-C3550-4Gig 0/2[/b][/align]
[align=left] [/align]
[align=left]找到了他在BJ-SW-440-2-4 Gig 3/2 143 S I WS-C3550-2Gig 0/2 上[/align]
[align=left]好,下面我们直接telnet到BJ-SW-440-2-4这台交换机,输入MAC查找。[/align]
[align=left]BJ-SW-440-2-4#show mac-address-table dynamic address 000d.5621.afd6[/b][/align]
[align=left] Mac Address Table[/b][/align]
[align=left]-------------------------------------------[/b][/align]
[align=left] [/b][/align]
[align=left]Vlan Mac Address Type Ports[/b][/align]
[align=left]---- ----------- -------- -----[/b][/align]
[align=left] 20 000d.5621.afd6 DYNAMIC Fa0/23[/b][/align]
[align=left]Total Mac Addresses for this criterion: 1[/b][/align]
[align=left]结论:[/b][/align]
[align=left]出来了,他的机器接在了BJ-SW-440-2-4交换机的23端口,然后 根据综合布线时候的跳线表就可以直接找到盗用地址的人了。通过以上方法,网管员找到了一条连到中毒机器,通过对应表我们知道用户属于哪个部门,接下来就是是进行杀毒处理了。[/align]
[align=left] [/align]
[align=left] [/align]
| [align=left]配线架端口[/align] | [align=left]500-1[/align] | [align=left]500-2[/align] | [align=left]500-3[/align] | [align=left]500-4[/align] | [align=left]500-5[/align] |
| [align=left]脚换机端口[/align] | [align=left]1[/align] | [align=left]2[/align] | [align=left]3[/align] | [align=left]4[/align] | [align=left]5[/align] |
[align=left]对大家的建议,我们在做网络管理时手里一定要有一份IP地址和硬件地址的严格对应表,不短完善网络管理功能,故障检测手段,提高网络故障的清查能力。[/align]
本文出自 “李晨光原创技术博客” 博客,转载请与作者联系!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 网络主机和交换机端口位置的有效定位方法
- 网络主机和交换机端口位置的有效定位方法
- 使用IP地址快速定位交换机端口和目标主机
- 网络监控软件Nagios, Nagios是一款开源的免费网络监视工具,能有效监控Windows、Linux和Unix的主机状态,交换机路由器等网络设备,打印机等。在系统或服务状态异常时发出邮件或短信报
- 【水桥月tips】——定位问题的几种方法与几个网络问题
- 开发板-PC机(宿主机)-虚拟机(VM)之间网络通信设置方法及须要注意的问题
- 主机网络切换后,docker toolbox里的容器网络不通了,解决方法
- 各个网络端口的入侵方法
- 深度讲解子网中网络号与主机号的计算方法(计算子网掩码及主机号、网络号、广播号方法之三)
- 网络判断网络连接有多种办法,通过C#程序也可以判断与远程主机的连接状态。具体实现方法
- H3C各种型号交换机端口镜像配置方法总结
- Docker容器访问宿主机网络的方法
- linux中某个端口拒绝远程主机连接原因及解决方法
- 各型号交换机端口镜像配置方法和命令
- linux下nginx实现虚拟主机(3种方法:基于域名、基于端口、基于ip地址)
- 最简单配置方法!无线网络联网状态下 VirtualBox实现Window主机与虚拟机互相访问
- 确切定位c++代码中异常抛出位置的两个方法 (以VS2010调试为例)
- 一种定位android HAL代码位置的方法
- H3C各种型号交换机端口镜像配置方法总结
- Docker 网络之端口绑定的方法