[linux] OT - zistenie IP adresy na porte switchu

Jan Ostrochovsky ostrochovsky na rec.uniba.sk
Neděle Srpen 6 14:40:05 CEST 2006 

Zdravim,

On So, 2006-08-05 at 19:29 +0200, Marek Podmaka wrote:
> Cau,
> 
> pokial je to len switch (bez nejakych routovacich funkcii) tak on o IP adresach
> nevie nic.

Presne tak...

> Ako si povedal, vie ti vypisat svoju ARP tabulku, teda to na ktorom
> porte "videl" ktoru MAC adresy (podla toho vlastne aj vie kam ma dany frame
> poslat - ak nevie, posle na vsetky porty rovnako ako hub).

... avsak v takom pripade takyto switch nema ARP ale CAM tabulku (podla
popisu funkcionality si to mal na mysli, len si sa pomylil v nazve - ARP
tabulka totiz obsahuje aj IP adresy, co by riesilo tento problem).

> 
> Takze IP z MAC musis zistit inac... Bud ako si povedal, ze budes posielat
> requesty alebo sa prihlas na gateway (pripadne iny stroj o ktorom vies ze by s
> nim ten "neznamy" mohol komunikovat) a nechaj si zobrazit jeho arp cache... Tam
> Ti ukaze MAC aj IP, takze ak budes mat stastie, bude tam aj ta ta tvoja hladana
> MAC...

Ja na to pouzivam Arpwatch - resp. jeho naslednika Arpwatch NG
http://freequaos.host.sk/arpwatch/

Na kazdom sledovanom VLAN interface musi bezat osobitna instancia
arpwatchu s osobitnym dat-suborom, do ktoreho uklada timestampovane
priradenia IP/MAC. Parsovanim tohto suboru mozno zistit pozadovane
priradenia, a navyse arpwatch posiela aj e-mailove notifikacie a robi
tiez zaznamy do syslogu.

Pokracovanie:

> Citát Miroslav Jany <mj na svsbb.sk>:
> 
> > Ahojte,
> >
> > troska off-topic, ale mozno ma niekto bude vediet nakopnut. Na cisco
> > (viem, toto je Linux konfera:) switchi je na port X pripojeny nejaky
> > interface a ja by som chcel zistit jeho IP adresu.

Predpokladam, ze hladas linuxove riesenie, takze je to OK ;).

>  To cisco ma featurku,
> > ktora mi umoznuje pozerat MAC adresy na danom porte, a ja by som
> > potreboval nieco take ako vyresolvovanie tychto MAC adries - mozem si na
> > to napisat v shelli skript, ktory mi sparsuje zoznam tych MAC adries,
> > co mi vratilo cisco

Len pozor na jednu vec: niektore Cisca (minimalne Catalyst 2950, ale
tipujem, ze aj vsetky ostatne), zobrazuju na jeden snmpwalk len MAC
adresy z CAM tabulky jednej VLAN (default VLAN = 1). Pokial sa na danom
switchi pouzivaju aj ine VLANy, treba pre kazdu urobit osobitny
snmpwalk, pricom community string v takom pripade je:
povodny_community na vlan_id.

>  a potom broadcastovat vsetko na sieti a zistovat
> > ktora MAC adresa ktorej IP prinalezi, to mi ale prijde dost neprakticke.

Pri vyssie popisanom arpwatch rieseni netreba nic broadcastovat.

> > Druha vec je, ze mozem fyzicky prist do serverovne a pozriet sa kam ten
> > kabel na porte X vedie a mam to.

To, kam kabel vedie, je vo vseobecnosti nezavisle od toho, aku IP ma
nastavenu prislusna MAC, takze toto Tebou opisany problem neriesi.

>  Ide mi ale o to, ci nevie niekto (a ci
> > je to vobec mozne a ci spravne uvazujem) ako robit na VLANe nejaku obdobu
> > RARP nejakym inym sposobom ako som spomenul.

Arpwatch... z Tvojho mailu som vsak vytusil, ze nejde len o prevod
IP<->MAC, ale hladas nieco komplexnejsie, nieco, co hlada aj kopec inych
adminov. Myslim, ze je to nieco, co mam do velkej miery vyriesene: mnou
vyvinuty system zvany LANmgmt robi napr. tieto veci:

1. prevod IP <-> MAC cez Arpwatch

2. overenie suladu IP/MAC s databazou (typicky DHCP)

3. lokalizacia MAC alebo IP adresy v celej sieti, ktora moze byt zlozena
z vacsieho poctu (aj stohovatelnych) switchov - pricom podla databazy
naplnenej adminom zisti presne budovu/blok, miestnost, oznacenie zasuvky

4. aktivacia pripojok (portov) v zmysle nastavenia IP ACL na
lokalizovanom porte... netreba pritom vediet ani port ani MAC - staci
vediet IP adresu (napr. zistenim z webovskej aplikacie pouzivatela siete
aktivujuceho si zasuvku) - ostatne sa detekne a nastavi automaticky

5. deaktivacia zasuvky v zmysle reverzneho procesu k aktivacii

6. ine hromadne nastavenia (rovnake, alebo pre kazdy switch/stoh
specificke podla databazy switchov/stohov) alebo prikazy (napr.
automaticke zalohovanie konfiguracii na TFTP server)

7. generovanie konfiguracie DHCP, iptables a pod. podla databazy

8. IP accounting

...

System je urobeny v Perl+PostgreSQL, vyuziva na komunikaciu s inymi
subsystemami SNMP,telnet,ssh,SOAP (SOAP sa vyuziva na integraciu s
frontendovymi aplikaciami, ktore mozu byt nezavisle od LANmgmt - typicky
webovskymi... ostatne rozhrania sluzia na ovladanie ostatnych
komponentov - switche,routre,firewally,servery - o ktorych frontend
nemusi nic vediet, to je vyhodou LANmgmt).

Ak je zaujem, som ochotny nasadit a kustomizovat aj inde. V piatok a v
nedelu budem v blizkosti BB, takze mozeme hodit rec, ak by bol zaujem.

ostry
http://www.zrsr.sk/zr_vypis.aspx?ID=00004167847cde8a96e8bb429e48068f27119a81760347c35a8615539fe2b2f0b0b0734ac5&V=A

Další informace o konferenci linux