作為網(wǎng)絡(luò)管理員，在單位或者學(xué)校的局域網(wǎng)里，經(jīng)常會(huì)遇見，知道IP卻找不到它位置的事情

比如內(nèi)網(wǎng)里有一臺(tái)設(shè)備中了arp欺騙病毒，整個(gè)內(nèi)網(wǎng)訪問internet速度明顯下降，用軟件抓包知道了中毒主機(jī)的IP地址，就需要找到它在哪里了，可以用以下的方法（針對(duì)思科交換機(jī)）

通過IP地址查端口

目標(biāo)地址，例如192.168.3.48

在主干交換機(jī)上ping 192.168.3.48

確保能ping通

使用：

show arp | include 192.168.3.48 （在arp列表里查找到這個(gè)IP對(duì)應(yīng)的mac地址）

顯示出：

Internet 192.168.3.48 0 000d.874a.0c52 ARPA Vlan30

得到所連接交換機(jī)接口的mac地址：000d.874a.0c52

再用：

show mac-address-table dynamic add 000d.874a.0c52 （在mac地址列表里找出mac來源端口）

顯示：

Unicast Entries

vlan mac address type protocols port

-------+---------------+--------+---------------------+--------------------

30 000d.874a.0c52 dynamic ip FastEthernet4/12

連接的是4/12端口，但是不能保證目標(biāo)就是接在這個(gè)端口

用：

show cdp nei （查看跟這臺(tái)交換機(jī)相鏈接的網(wǎng)絡(luò)設(shè)備）

看到：

switch9 Fas 4/12 123 S I WS-C2950-2Fas 0/24

這個(gè)端口連接的是交換機(jī)

用：

show cdp ent * （查看跟這臺(tái)交換機(jī)鏈接設(shè)備的詳細(xì)信息）

得到該交換機(jī)的IP：192.168.3.214

telnet到192.168.3.214

重復(fù)上面動(dòng)作，輸入：

show mac-address-table dynamic add 000d.874a.0c52

顯示：

Mac Address Table

------------------------------------------

Vlan Mac Address Type Ports

---- ----------- ---- -----

30 000d.874a.0c52 DYNAMIC Fa0/2

Total Mac Addresses for this criterion: 1

看到接口為Fa0/2，而且只有一個(gè)動(dòng)態(tài)的mac地址，說明就是這個(gè)接口了

目標(biāo)最后被確定接在一臺(tái)2950的2口上

這樣目標(biāo)IP與交換機(jī)鏈接的位置就找到了，管理員可以采取相應(yīng)的措施，比如關(guān)閉端口來隔絕病毒機(jī)

--------------------------------------------------------------------------------------------------------------------------------------------------

相反的，如果你去機(jī)房看到了某個(gè)服務(wù)器，鏈接在交換機(jī)的某個(gè)端口上，但是設(shè)備標(biāo)簽上沒有任何信息，想知道服務(wù)器的IP，應(yīng)該怎樣做呢？

看看下面的步驟：

先去機(jī)房確定機(jī)器連接在交換機(jī)的哪個(gè)端口上，例如0/2口

在那臺(tái)交換機(jī)上用命令：

show mac add

顯示出它的Mac Address Table

從列表里找到0/2口對(duì)應(yīng)有哪些mac地址

例如：

000d.874a.0c52 DYNAMIC Fa0/2

0011.5be0.dd61 DYNAMIC Fa0/2

0015.c510.12a3 DYNAMIC Fa0/2

使用nmap軟件

輸入例如：

nmap -oX maclist.xml -sP 192.168.3.1/24

的命令

創(chuàng)建含有IP地址和mac地址的列表

在列表里搜索上面的三個(gè)mac地址就能找到相應(yīng)的IP地址

查詢結(jié)果：

000d.874a.0c52 DYNAMIC Fa0/2 192.168.3.48

0011.5be0.dd61 DYNAMIC Fa0/2 192.168.3.84 / zhulei01.xxxx.com

0015.c510.12a3 DYNAMIC Fa0/2 192.168.3.49 / zhounianou.xxxxcom

另外在交換機(jī)上使用：show ip arp H.H.H

也可以看出內(nèi)網(wǎng)IP，但是不總管用

以上方法不能查出外網(wǎng)IP，只使用于內(nèi)網(wǎng)，所以在使用nmap這樣的軟件時(shí)，主機(jī)一定是要接在搜索網(wǎng)段里的，可以在交換機(jī)上用show vlan 看到目標(biāo)服務(wù)器所在端口是在哪個(gè)網(wǎng)段里