Определить IP хоста за портом L2 коммутатора?

Question

[Alexander]

Есть удаленная точка, cхема подключения: router->switch->host's
На свитче:
поднят DHCP сервер,
включен DHCP snooping,
IP хостов привязаны или если заданы статикой добавлены в exclude.

Добавляется еще один хост(Win), на нем все задано статикой, причем IP задан из тех что уже выдан или привязан, т.е. происходит конфликт IP адресов. Известен порт и МАС. Как определить какой IP на нем задан?

P.S. Задача не столь проста как кажется. Хост можно грузить, но посмотреть на нем IP нельзя. В ip dhcp conflict он светится не будет, так как DHCP discover при включении хоста нет(IP задан статикой)

Answer 1

[Alexander]

Короче решение родилось)).
В ARP таблице маршрутизатора будет только одно соответсвие MAC/IP, так как хост при включении шлет ARP на 0.0.0.0 и обнаруживает, что IP который назначен ему уже есть в сети, далее он назначает себе IP сети 169.254.0.0/16. И никакого соответствия МАС и IP для этого хоста я в ARP не обнаружу.
Что я сделал: Поднял L3 на роутере из диапазона 169.254.0.0/16, комп отдает мне arp:
Protocol Address Age (min) Hardware Addr Type Interface
Internet 169.254.0.1 - 0006.52bd.XXXX ARPA Vlan1000
Internet 169.254.248.116 1 001f.c68b.XXXX ARPA Vlan1000

Я натю на этот интерфейс outside и анонсирую маршрут 169.254.248.116/32 с роутера себе.
И по RDP проваливаюсь на этот хост и соотвественно меняю/смотрю искомый IP

Answer 2

[arkitekt]

Как вариант - пингуем диапазон сети (сканирование диапазона). потом "arp -a >arp_table.txt" и оттуда грепаем ip mac. Так же можно посмотреть кому еще принадлежит этот ИП

Comments

[Alexander]

Доступа на этот хост, как и на другие нет. Доступ есть только на Роутер и свитч

[arkitekt]

а я и не говорил про хост. управляемый свич имеет команды для отображения arp-таблиц

[Alexander]

Делал так уже, должно быть две записи типа
IP MAC
192.168.1.10 XXXX.XXXX.XXXX
192.168.1.10 XXXX.XXXX.YYYY
Но в таблице нет записей с одиаковым IP

[arkitekt]

сам mac-адрес искомый фигурирует в таблице?

[Андрей]

На свиче есть только сопоставление порт-MAC. Про IP он ничего не знает, их видит только роутер.

[arkitekt]

прикольно. сейчас создал искусственно конфликт - ping -a [ip] разрешалось в имя новой, а mac - старый.

[Alexander]

Короче решение родилось)).
В ARP таблице маршрутизатора будет только одно соответсвие MAC/IP, так как хост при включении шлет ARP на 0.0.0.0 и обнаруживает, что IP который назначен ему уже есть в сети, далее он назначает себе IP сети 169.254.0.0/16. И никакого соответствия МАС и IP для этого хоста я в ARP не обнаружу.
Что я сделал: Поднял L3 на роутере из диапазона 169.254.0.0/16, комп отдает мне arp:
Protocol Address Age (min) Hardware Addr Type Interface
Internet 169.254.0.1 - 0006.52bd.XXXX ARPA Vlan1000
Internet 169.254.248.116 1 001f.c68b.XXXX ARPA Vlan1000

Я натю на этот интерфейс outside и анонсирую маршрут 169.254.248.116/32 с роутера себе.
И по RDP проваливаюсь на этот хост и соотвественно меняю/смотрю искомый IP

[arkitekt]

Alexander: если что, можете не повторять, мы оба видим обе ветки :). Тогда раскройте и интригу, что за железка?

[Alexander]

Задублировал комментарий к ответу, чтоб в уведомлениях отразилось.
Ничего сверхъестественного:
router - cisco 2811
switch - 2960 lan base
host - PC win 7

[arkitekt]

так у мя тоже 2960, только sh arp он показывает соотв мака и ип адреса.

[arkitekt]

если что я еду в машине, через пол часа смогу нормально отвечать

[arkitekt]

роутер 2851

[Alexander]

Вы внимательно условия задачи прочтите. Появляется host в сети с IP(задан статически), который уже назначен другому хосту в этой сети. Так как такой IP уже есть, ОС назначит ему IP из пула 169.254.0.0/16, выше я все описал. Поэтому сразу говорил, что задача не так проста как кажется

[arkitekt]

Ну да. Называется оба заняты. Узнаем ИП, который занят статическим через соответствие мака, ИП ставим в исключения и наша DHCP-железяка получает ИП из разрешенного неконфликтного пула. Не?

[Alexander]

Через какое соответсвие мака??? Повторяю, если у хоста(Win) задан IP статически он отправляет ARP на 0.0.0.0. Видит, что такой IP занят и ОС назначет ему IP из диапазона 169.254.0.0/16. Никакого соответствия МАС хоста и заданного ему IP в ARP таблице не будет

[arkitekt]

Ок. Сейчас обязательные танцы закончу и попробую смоделировать ситуацию на реальных железках. В офисе как раз никого нет, даже если сломаю, то завтра утром поправлю. :)

[arkitekt]

Похоже я только что потерял физ.машину, главное завтра раньше всех в офис появиться. Но основную мысль понял/задачу прочувствовал :) что назвается "на своей шкуре". Ну или попробую Ваш метод, что называется "проверю практикой". Но исходя из бытовой логики - направление скорее всего верное. Кстати, вот никогда не думал, что "статика" так заморочена в DHCP-сетях. Как-то не приходилось....

Answer 3

[Андрей]

Если известен MAC, смотрите на роутере ARP (show arp table) непосредственно после скана всего диапазона DHCP

Comments

[Alexander]

Делал так уже, должно быть две записи типа
IP MAC
192.168.1.10 XXXX.XXXX.XXXX
192.168.1.10 XXXX.XXXX.YYYY
Но в таблице нет записей с одиаковым IP

[Андрей]

Но Вы же сказали, что MAC известен - отфильтруйте вывод по нему

[Alexander]

Короче решение родилось)).
В ARP таблице маршрутизатора будет только одно соответсвие MAC/IP, так как хост при включении шлет ARP на 0.0.0.0 и обнаруживает, что IP который назначен ему уже есть в сети, далее он назначает себе IP сети 169.254.0.0/16. И никакого соответствия МАС и IP для этого хоста я в ARP не обнаружу.
Что я сделал: Поднял L3 на роутере из диапазона 169.254.0.0/16, комп отдает мне arp:
Protocol Address Age (min) Hardware Addr Type Interface
Internet 169.254.0.1 - 0006.52bd.XXXX ARPA Vlan1000
Internet 169.254.248.116 1 001f.c68b.XXXX ARPA Vlan1000

Я натю на этот интерфейс outside и анонсирую маршрут 169.254.248.116/32 с роутера себе.
И по RDP проваливаюсь на этот хост и соотвественно меняю/смотрю искомый IP