Как посмотреть mac адрес на порту cisco
Перейти к содержимому

Как посмотреть mac адрес на порту cisco

  • автор:

Как узнать MAC оборудования провайдера, подключенного к порту маршрутизатора Cisco?

Используется маршрутизатор Cisco C931-4P.
Канал связи сконфигурирован через порт GigabitEthernet5, адрес на порту 18.16.14.12 /30, шлюз 18.16.14.11 (ip взяты для примера). К порту подключен маршрутизатор от провайдера (Mikrotik, скорее всего работает как bridge, если это важно).
Как узнать MAC устройства провайдера, подключенного к порту GE5 маршрутизатора? Так как устройство не находится в подсети маршрутизатора, команды sh arp, sh mac-address-table, sh ip arp | i 18.16.14.11 результата не дают.
Важно понять конкретный порядок действий, т.к. подозреваю, что пропускаю ввод необходимой команды для получения данных.
Спасибо.

  • Вопрос задан более года назад
  • 479 просмотров

Комментировать
Решения вопроса 0
Ответы на вопрос 1

martin74ua

Руслан Федосеев @martin74ua Куратор тега Компьютерные сети
Linux administrator

show mac address-table interface gi 5

причем тут arp — не понятно.

Ответ написан более года назад

show mac address-table interface gi 5

на маршрутизаторах cisco нету таблици мак адресов, потому что это не свич. Единственное исключение это когда порт сконфиген как бридж, но у автора вопроса вроде на этом порту прописан ip, значит у него на циске нету бриджа.
Так что мак провайдерского роутера можно узнать только из арпа.
Что действительно мне не понятно это зачем узнавать мак микротика, который в бридже. что это вам даст? — Это вопрос автору вопроса 🙂
1. Если микротик работает в режиме моста, то он от себя ниче никуда не посылает, значит и мак адерсс его вы не узнаете да и не используется он нигде.
2. На устроствах, которые работает в режиме моста/свича часто включены протоколы: cdp/lldp, stp и еще фиг знает что. На многих роутерар есть packet capture, можно поймать траффик и если эти протоколы используются, то можно посмотреть мак бриджа/свича, но не самого порта.

P.S. Автору вопроса стоит уточнить чего он пытается добиться. мак адрес порта он никак не узнает пока порт у не будет прописан IP, ну или он сам будет лично от себя что-то посылать. бриджи такими делами не занимаются.

OVBorovikov @OVBorovikov Автор вопроса

Большое спасибо за раскрытие вопроса.
Да, действительно, show mac address-table interface gi 5 результата не даёт, хотя рекомендации по подобному способу в гугле встречаются)
Потребность следующая — спустили на меня админство сетей на множестве торговых точек, поэтому часто приходится взаимодействовать с провайдерами по поводу отсутствия канала связи (на маршрутизаторах сконфигурировано по два провайдера, поэтому доступ к цискам обычно сохраняется).
И, разумеется, регулярно получаю от провайдеров отписки «не видим ваше устройство, просьба проверить коммутацию», хотя порт в up и show cdp neighbors выдаёт, что устройство на порту есть. Очень бы помогло, если бы я мог увидеть MAC их устройства, тем самым 1) исключить проблему на своей стороне, 2) сообщить провайдеру о доступности их устройства, тем самым обязав отработать заявку.
В этом контексте, соглашусь с вами, необязательно выявить MAC именно бриджа, достаточно и иного устройства провайдера, находящегося за ним. Вот в этом и есть сложность.

P.S. Админю сеть на уровне залить циску — прописать туннели — присвоить адреса, задачи шаблонные, а базы в этой сфере нет(
Вопрос изначально кажется простым, поэтому коллегам даже задавать его неудобно(
Спасибо за отклик и вашу помощь.

Определяем IP-адреса за портом коммутатора Cisco

Получаем информацию об IP и MAC адресах устройства, подключенного к коммутатору Cisco.

Шаг 1.

Смотрим MAC-адреса порта:

c4948#sh mac address-table interface gigabitEthernet 1/41
Unicast Entries
vlan mac address type protocols port
——-+—————+———+———————+———————
2003 5254.0028.6a01 dynamic ip GigabitEthernet1/41
2003 5254.0046.7761 dynamic ip GigabitEthernet1/41
2003 5254.007b.59cd dynamic ip,other GigabitEthernet1/41
2003 5254.0088.5ab1 dynamic ip,other GigabitEthernet1/41
2003 5254.00c8.959f dynamic ip GigabitEthernet1/41
2003 5254.00e8.823c dynamic ip,other GigabitEthernet1/41
2003 5254.00e8.88c3 dynamic ip GigabitEthernet1/41
2003 d8d3.8562.26f0 dynamic ip,other GigabitEthernet1/41

Multicast Entries
vlan mac address type ports
——-+—————+——-+———————————————
2003 ffff.ffff.ffff system Gi1/4,Gi1/17,Gi1/25,Gi1/27,Gi1/30,Gi1/41
Gi1/45,Po1

На данном этапе мы получим список MAC-адресов, которые используются на указанном порту.

Шаг 2.

Теперь, используя полученную на предыдущем шаге информацию, узнаем IP-адрес по каждому MAC-адресу. Для этого на основном коммутаторе сети (в моем случае им выступает Nexus 7000), смотрим ARP базу:

Nexus7k# sh ip arp | i 5254.0028.6a01
188.64.XXX.XXX 00:06:31 5254.0028.6a01 Vlan2003

Настройка Cisco Port-Security

img

Привет! Сегодня мы оговорим немного о базовой сетевой безопасности, а именно о Port-Security и о том, как его настроить на коммутаторах Cisco.

Для начала разберемся, что же вообще такое Port-Security. Port-Security – это функция коммутатора, при помощи которой мы можем указать каким устройствам можно пропускать трафик через определенные порты. Устройство определяется по его MAC-адресу.

Эта функция предназначена для защиты от несанкционированного подключения к сети и атак, направленных на переполнение таблицы MAC-адресов. При помощи нее мы можем указывать конкретные адреса, с которых разрешен доступ или указывать максимальное количество MAC-адресов, которые могут передавать трафик через порт.

Типы Port-Security

Существует несколько способов настройки port-security:

  • Статические MAC-адреса – MAC-адреса, которые вручную настроены на порту, из режима конфигурации порта при помощи команды switchport port-security mac-address [MAC-адрес] . MAC-адреса, сконфигурированные таким образом, сохраняются в таблице адресов и добавляются в текущую конфигурацию коммутатора.
  • Динамические MAC-адреса — MAC-адреса, которые динамически изучаются и хранятся только в таблице адресов. MAC-адреса, сконфигурированные таким образом, удаляются при перезапуске коммутатора.
  • Sticky MAC-адреса — MAC-адреса, которые могут быть изучены динамически или сконфигурированы вручную, затем сохранены в таблице адресов и добавлены в текущую конфигурацию.
Sticky MAC-адреса

Если необходимо настроить port-security со sticky MAC-адресами, которые преобразуются с из динамически изученных адресов и добавляются в текущую конфигурацию, то необходимо настроить так называемое sticky изучение. Для того чтобы его включить необходимо на интерфейсе коммутатора выполнить команду switchport port-security mac-address sticky из режима конфигурации интерфейса.

Когда эта команда введена, коммутатор преобразует все динамически изученные MAC-адреса (включая те, которые были динамически изучены до того, как было включено sticky обучение) к sticky MAC-адресам. Все sticky MAC-адреса добавляются в таблицу адресов и в текущую конфигурацию.

Также sticky адреса можно указать вручную. Когда sticky MAC-адреса настроены при помощи команды switchport port-security mac-address sticky [MAC-адрес], все указанные адреса добавляются в таблицу адресов и текущую конфигурацию.

Если sticky MAC-адреса сохранены в файле конфигурации, то при перезапуске коммутатора или отключении интерфейса интерфейс не должен будет переучивать адреса. Если же sticky адреса не будут сохранены, то они будут потеряны.

Если sticky обучение отключено при помощи команды no switchport port-security mac-address sticky , то эти адреса будут оставаться в таблице адресов, но удалятся из текущей конфигурации.

Sticky port-security

Обратите внимание, что port-security не будут работать до тех пор, пока не будет введена команда, включающая его — switchport port-security

Нарушение безопасности

Нарушением безопасности являются следующие ситуации:

  • Максимальное количество MAC-адресов было добавлено в таблицу адресов для интерфейса, а устройство, MAC-адрес которого отсутствует в таблице адресов, пытается получить доступ к интерфейсу.
  • Адрес, полученный или сконфигурированный на одном интерфейсе, отображается на другом интерфейсе в той же VLAN.

На интерфейсе может быть настроен один из трех режимов реагирования при нарушении:

  • Protect — когда количество MAC-адресов достигает предела, разрешенного для порта, пакеты с неизвестными исходными адресами отбрасываются до тех пор, пока не будет удалено достаточное количество MAC-адресов или количество максимально допустимых адресов для порта не будет увеличено. Уведомление о нарушении безопасности отсутствует в этом случае.
  • Restrict – то же самое, что и в случае Protect, однако в этом случае появляется уведомление о нарушении безопасности. Счетчик ошибок увеличивается
  • Shutdown – стандартный режим, в котором нарушения заставляют интерфейс немедленно отключиться и отключить светодиод порта. Он также увеличивает счетчик нарушений. Когда порт находится в этом состоянии (error-disabled), его можно вывести из него введя команды shutdown и no shutdown в режиме конфигурации интерфейса.

Чтобы изменить режим нарушения на порту коммутатора, используется команда port-security violation в режиме конфигурации интерфейса.

Режим реагирования Передача траффика Отправка сообщения syslog Отображение сообщения об ошибке Увеличение счетчика нарушений Выключение порта
Protect Нет Нет Нет Нет Нет
Restrict Нет Да Нет Да Нет
Shutdown Нет Нет Нет Да Да
Настройка

Рассмотрим пример настройки:

Switch#interface fa0/1 – заходим в режим конфигурации порта Switch(config-ig)#switchport mode access – делаем порт access Switch(config-ig)#switchport port-security – включаем port-security Switch(config-ig)#switchport port-security maximum 50 – задаем максимальное количество адресов на порту Switch(config-ig)#switchport port-security mac-address sticky – включаем sticky изучение

Если мы не будем ничего уточнять и просто включим port-security командой switchport port-security в режиме конфигурации интерфейса, то максимальное количество адресов на порту будет один, sticky изучение будет выключено, а режим нарушения безопасности будет shutdown.

Проверка порта

Чтобы отобразить параметры port-security используется команда show port-security [номер_интерфейса] .

Чтобы отобразить все защищенные MAC-адреса используется команда show port-security address.

Как посмотреть ARP и MAC адреса на Cisco

Просмотр таблицы mac адресов находящихся в указанном VLAN:

show mac address-table vlan 100

Поиск mac адреса в таблице:

show mac-address-table address 20cf.30bd.d1fe

Просмотр дубликатов mac-адресов:

sh mac-address-table duplicate only

Посмотреть диапазон mac адресов самих модулей в устройстве:

show module

Если понадобится удалить MAC или IP из таблиц, то:

clear ip arp 192.168.1.5 clear mac-address-table dynamic address 6872.5104.aaaa clear arp-cache
  • Нажмите, чтобы открыть на Facebook (Открывается в новом окне)
  • Нажмите, чтобы поделиться на Twitter (Открывается в новом окне)
  • Нажмите, чтобы поделиться записями на Pinterest (Открывается в новом окне)
  • Нажмите, чтобы поделиться на LinkedIn (Открывается в новом окне)
  • Нажмите, чтобы поделиться записями на Tumblr (Открывается в новом окне)
  • Нажмите, чтобы поделиться в Telegram (Открывается в новом окне)
  • Ещё
  • Нажмите, чтобы поделиться записями на Pocket (Открывается в новом окне)
  • Нажмите, чтобы поделиться на Reddit (Открывается в новом окне)
  • Нажмите, чтобы поделиться в WhatsApp (Открывается в новом окне)
  • Нажмите для печати (Открывается в новом окне)
Похожие публикации:
  1. Где находится диспетчер загрузки на самсунге
  2. Где находится лицензионный ключ office на macbook
  3. Как войти с сервисный режим мерседес 2021
  4. Как установить ми фит на хонор 9а

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *