网络主机和交换机端口位置的定位方法

前段时间发生了这样一件事，早上来还没进屋,就听到办公室电话铃响个不停，都是用户投诉上不了网的故障电话。我马上Ping了网关路由器地址，发觉Ping包延时很大，还是通时断。这时候立即明白网络带宽拥塞。由于没有LAN网流量监测工具，无法知道在网上的流量类别和数据来源，只好在路由器10M的LAN口作流量分析，这需要通过设置交换机镜像口。我发现有N个不知名的IP源地址，从相同一个MAC向外发包。初步估计是这台机器中了病毒。我们单位网络中有上千台主机，都是网络管理员为入网用户分配和提供的IP地址但是，一旦中客户机中病毒，发包堵塞网络的情况发生的时候造成网络拥塞。很不好排查.通常情况下一些网络管理员通过sniffer软件可以检测到是哪个IP发的包，但是对于大型网络有几十台交换机就无法短时间确定故障机器插到那个交换机上。如果能找到就登陆到交换机上把那个端口关闭（shutdown）与网络隔离后在处理。从而保证其他正常的机器不受影响。下面我我们单位的实际网络为例，为大家介绍一种手工查找IP地址对应交换机端口的方法。

由于我们单位网络设备统一是cisco，CISCO 设备定期发送更新来使自身知道它的邻居，我就利用CDP（Cisco Discovery Protocol）协议特性，获得相邻运行CDP协议的交换机信息，下面我们看看具体操作。

网络拓扑结构示意图

具体操作如下：

首先我telnet到核心交换机上ping一下被到的IP如(10.32.2.18)

BJ-SW-419-1-4#ping 10.32.2.18
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.32.2.18, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

你看通了，表示盗用者正在使用机器。接着我们看看他机器网卡的MAC地址是多少。

BJ-SW-419-1-4#show arp | in 10.32.2.18
Internet  10.32.2.18              3   000d.5621.afd6  ARPA   Vlan20

因为我们单位的是多层交换的网络，下一步我们要知道他的机器是接到那个交换机器上的。

BJ-SW-419-1-4#show mac-address-table dynamic address 000d.5621.afd6
Unicast Entries
vlan   mac address     type        protocols               port
-------+---------------+--------+---------------------+--------------------
20    000d.5621.afd6   dynamic ip,ipx                 GigabitEthernet3/2

哦，是通过千兆的口连的。我们看看邻居（就是核心交换机器的下级交换机）

BJ-SW-419-1-4#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
BJ-SW-419-2-3    Gig 3/4            152          S I      WS-C3550-4Gig 0/2
BJ-SW-419-1-3    Gig 3/3            168          S I      WS-C3550-4Gig 0/2
BJ-SW-440-1-4    Gig 3/1            173          S I      WS-C3550-4Gig 0/2
BJ-SW-440-2-4    Gig 3/2            143          S I      WS-C3550-2Gig 0/2
cec-2-4          Gig 3/6            177          S I      WS-C3550-4Gig 0/1
cec-2-3          Gig 3/5            175          S I      WS-C3550-4Gig 0/2

找到了他在BJ-SW-440-2-4    Gig 3/2            143          S I      WS-C3550-2Gig 0/2 上

好，下面我们直接telnet到BJ-SW-440-2-4这台交换机，输入MAC查找。

BJ-SW-440-2-4#show mac-address-table dynamic address 000d.5621.afd6
              Mac Address Table
    -------------------------------------------

    Vlan    Mac Address       Type        Ports
    ----    -----------       --------    -----
      20    000d.5621.afd6    DYNAMIC     Fa0/23
    Total Mac Addresses for this criterion: 1

结论：

出来了，他的机器接在了BJ-SW-440-2-4交换机的23端口，然后  根据综合布线时候的跳线表就可以直接找到盗用地址的人了。通过以上方法，网管员找到了一条连到中毒机器，通过对应表我们知道用户属于哪个部门，接下来就是是进行杀毒处理了。

对大家的建议，我们在做网络管理时手里一定要有一份IP地址和硬件地址的严格对应表，不短完善网络管理功能,故障检测手段，提高网络故障的清查能力。