Localizando o IP de um endereço MAC

9

Existe uma maneira de derivar o IP de um dispositivo do endereço MAC em um dispositivo Cisco?

Suponha que você não esteja em um segmento local onde a varredura de ping / arp seja possível; em vez disso, você é remoto e há muitos roteadores entre você e o terminal.

Além disso, a tabela arp no dispositivo Cisco em questão ainda não inclui esse endereço MAC.

AL
fonte

Respostas:

7

Há um par de opções.

Se você estiver fazendo uma espionagem de DHCP, poderá encontrar o endereço IP no banco de dados de ligação com o seguinte comando:

show ip dhcp snooping binding 00:00:00:00:00:00

Se você não tem espionagem DHCP, o dispositivo Cisco está na mesma sub-rede (ou oferece suporte a SVIs multiponto para adicionar uma interface à sub-rede), você está em um IOS mais recente (12.2ish ou superior) com acesso ao TCL, e o dispositivo responderá a um ping, você poderá usar um script TCL. Você pode encontrar muitos exemplos na internet, um dos quais pode ser encontrado aqui . Quando conseguir executar o ping no dispositivo (na mesma sub-rede), ele deverá estar na tabela ARP do dispositivo Cisco.

Geralmente, seria mais rápido / fácil verificar no dispositivo L3 a entrada ARP ou o servidor DHCP e a segunda opção.

Resposta antiga (antes da alteração da pergunta): Respondendo estritamente à sua pergunta, não há como derivar um endereço IP de um dispositivo a partir da entrada da tabela de endereços MAC.

A tabela de endereços MAC está falando estritamente de um conjunto de informações L2, vinculando dispositivos a uma interface. Em L2, não há conhecimento de um endereço IP (como as informações L3 e acima são irrelevantes para L2 e podem ser facilmente outro protocolo).

Você precisaria acessar o dispositivo L3 para o segmento de rede remota, onde poderia procurar a entrada na tabela ARP.

YLearn
fonte
Talvez levado um pouco literalmente demais :), editei-o para refletir o verdadeiro ponto da pergunta: podemos encontrar o IP de um endereço MAC remotamente?
AL
user1353: não, os endereços MAC são usados ​​apenas no domínio da camada 2 (LAN) e são invisíveis fora dele.
Sander Steffann
Ei, YLearn, obrigado por esclarecer sua resposta após a minha edição! Resposta muito completa e muito apreciada!
AL
3

TL; DR - Você terá que encontrar o MAC na tabela ARP de alguém - por exemplo. o roteador do gateway.

Como o YLearn disse originalmente, você está procurando um endereço L3, dado apenas um endereço L2. Você precisará encontrar algo em um domínio L3 apropriado para encontrá-lo. Se o switch não tiver uma interface L3 na mesma rede, a tabela arp não mostrará nada. Se o dispositivo não estiver usando DHCP (e / ou o dhcp snooping não estiver sendo executado no comutador), ele não será exibido na tabela de espionagem. Eu presumo que exista um roteador em algum lugar que seja o gateway para o dispositivo de destino; sua tabela arp deve mostrar o link ip-mac.

Na pior das hipóteses, o mac fixaria o dispositivo na porta. Você precisará observar o tráfego nessa porta para encontrar qualquer endereço IP.

Ricky Beam
fonte
Sim - estender a porta e executar o wireshark ou o tcpdump geralmente ajuda a revelar qual é o endereço IP do dispositivo conectado a essa porta. Normalmente, quando o dispositivo é ligado ou conectado, ele começa arping e, finalmente, dá afastado o segredo
knotseh
Problema ao estender a porta é OP está falando de um local remoto e deseja fazer isso a partir do dispositivo Cisco, para onde estender a porta? Se o OP tiver outra estação, pode ser tão fácil quanto fazer uma varredura de ping e isso deve aumentar o MAC no ARP.
YLearn
Você pode despejar pacotes sem usar um SPAN. ( debug ip packetmas use com cuidado!) Bottomline, deve haver um roteador em algum lugar para esse domínio L3 em algum lugar, supondo que ele esteja falando com qualquer outra coisa.
Ricky feixe