IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置:首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 攻克陌生網(wǎng)絡(luò)

攻克陌生網(wǎng)絡(luò)

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

  作為一名網(wǎng)絡(luò)管理員,工作中接觸的網(wǎng)絡(luò)無非就兩種,一種是"熟網(wǎng)",所謂"熟網(wǎng)"就是這個網(wǎng)絡(luò)是自己從無到有一步一步建立起來的,網(wǎng)線上面的每個網(wǎng)頭,交換機端口上的每一個標簽都是自己親手做的,這樣的網(wǎng)絡(luò)肯定特別熟悉,即使出了問題也可以很快的找到故障點并加以解決,另一種是"生網(wǎng)",什么是"生網(wǎng)"呢?

  也無外乎這么幾種情況:一是由于隨著工作中業(yè)務(wù)能力的增強,單位領(lǐng)導(dǎo)給安排的新任務(wù),二是由于原來管理這個網(wǎng)絡(luò)的人由于某種原因離職了,丟下了這個燙手的山芋,還有可能是由于工作中的新任務(wù),去開通一個新網(wǎng)絡(luò),甚至是幫朋友的忙?傊ぷ髦惺裁辞闆r都可能發(fā)生,遇到"生網(wǎng)",我們首先要做的事就是摸清網(wǎng)絡(luò)結(jié)構(gòu),下面我以一個具體的例子來說明如何迅速的搞清一臺以CISCO3550交換機為核心交換機組網(wǎng)的網(wǎng)絡(luò)環(huán)境中的拓撲結(jié)構(gòu)。

  在一個陌生的網(wǎng)絡(luò)環(huán)境中,我們要盡可能多的了解一些消息,比如網(wǎng)絡(luò)中的IP地址分配表、網(wǎng)絡(luò)拓撲圖等。那么在這個案例中,我們可以得到的信息有哪些呢:一份IP地址分配表(里面有交換機上的端口與IP及具體設(shè)備的對應(yīng)關(guān)系,但是里面有些內(nèi)容肯定不準確的了),我們在機房中實際觀察所大概了解到的網(wǎng)絡(luò)連接情況(肯定是不完整的了),我們還可以利用內(nèi)網(wǎng)的一臺電腦TELNET到這臺CISCO3550交換機上,這臺電腦安裝有wordexcel等軟件及可以連接到一個sql server2000的數(shù)據(jù)庫上。

  那么對我們的操作有什么要求及限制呢:那就是不允許動網(wǎng)絡(luò)的任何物理部分,因為這是一個正在運行的網(wǎng)絡(luò),任何一點對網(wǎng)絡(luò)的觸動都有可能造成網(wǎng)絡(luò)的中斷,從而影響網(wǎng)絡(luò)上運行的業(yè)務(wù),這是絕對不允許的。雖然被捆住了手腳,但是我們?nèi)匀豢梢源蟾梢环⑶易罱K還漂亮的完成了任務(wù),畫出了網(wǎng)絡(luò)拓撲圖,理清了交換機端口上所連接的網(wǎng)絡(luò)設(shè)備,具體的操作分三步進行。

  (一)排除不在用的端口

  由于這是一個正常運行的網(wǎng)絡(luò),所以我們只需要搞清楚所有在用的端口連接設(shè)備的情況就行了,也就是說交換機其它所有未插網(wǎng)線的端口和雖然插了網(wǎng)線,但是端口指示燈不亮的端口都不在此次的統(tǒng)計范圍內(nèi)。雖然我們可以通過肉眼實際看到交換機的端口,但是大家也都知道,在狹窄的機柜里要搞清楚所有的端口狀態(tài)是很困難的,其實我們不用這么費事,在CISCO3550里執(zhí)行一條命令就可以了,命令如下所示:

  3550#show inter

  這個命令會列出所有的VLAN及端口的"開"、"關(guān)"信息,如果一個端口是在用的,則會顯示下面的信息:

  FastEthernet0/1 is up, line protocol is up (connected)

  如果一個端口沒插網(wǎng)線,或是雖然插了網(wǎng)線,但是下面的網(wǎng)絡(luò)設(shè)備處于關(guān)閉狀態(tài),則會顯示下面的信息:

  FastEthernet0/5 is down, line protocol is down (notconnect)

  這樣做的目的,在于去掉干擾信息,便于我們搞清楚真正的網(wǎng)絡(luò)結(jié)構(gòu),本例中我們發(fā)現(xiàn)11、19、21這三個端口是處于關(guān)閉狀態(tài),在新的網(wǎng)絡(luò)拓撲圖中就不需要標注了。

  (二)找出需要特別關(guān)注的點

  我們通過show inter命令得到哪些端口是"up"的,哪些是"down"的,我們手頭還有一份IP地址分配表,將實際的情況與表中的描述相對照,就會發(fā)現(xiàn)一些表中記錄著連接某臺網(wǎng)絡(luò)的端口實際卻是"down"的,而有些端口在表中沒有描述連接網(wǎng)絡(luò)設(shè)備,在實際中卻是處于"up"狀態(tài),對于這些端口我們要特別注意,因為這些端口往往是最近改動過的,查網(wǎng)絡(luò)故障往往要從這此"活躍"的端口查起。

  (三)從MAC地址入手,在交換機上取得端口號、MAC地址、IP地址等相關(guān)信息。

  在文章開頭,我們說到,雖然我們掌握了一些信息,但是這些信息都不能保證其百分之百的準確性,在這種情況下我們?nèi)绾伍_展工作呢?其實,在網(wǎng)絡(luò)環(huán)境中,有一個值是唯一確定的,那就是網(wǎng)絡(luò)設(shè)備的MAC地址,通過MAC地址,我們可以在交換機上查找是那個端口的,再看這個端口上有哪些ip地址,從而確實交換機上某個端口上連接的網(wǎng)絡(luò)設(shè)備。要實現(xiàn)以上的操作,還有幾個非常實用的小技巧。

  1、利用超級終端記錄交換機上的顯示信息

  一般來說,如果只是在交換機上進行一些簡單的操作,我們使用telnet命令直接登錄到交換機上也就可以了,但是由于我們需要從交換機上將所顯示的信息取出來,就需要使用一款具有記錄屏幕顯示信息的軟件,條件所限,我們就使用WINDOWS自帶的超級終端吧。依次點擊"開始"-"程序"-"附件"-"通訊"-"超級終端",新建立一個。

  定義所要連接交換機的主機地址,一定要注意,在連接時使用"TCP/IP(Winsock)",如圖1所示:

攻克陌生網(wǎng)絡(luò)

  要想將交換機上顯示的信息記錄下,需要進行"捕獲文字"的設(shè)置。

  點擊"啟動"就可以對屏幕中顯示的信息進行記錄了。

  2、show mac-add和show ip arp命令

  我們在交換機執(zhí)行show mac-add命令可以得MAC地址與端口的對應(yīng)關(guān)系,如下所示:

      3550#show mac-add
  Mac Address Table
  -------------------------------------------
  Vlan Mac Address Type Ports
  ---- ----------- -------- -----
  1 0001.7a48.733b DYNAMIC Fa0/14
  1 0001.7a48.9707 DYNAMIC Fa0/10
  1 0001.7a4a.7015 DYNAMIC Fa0/8
  1 0001.965a.b4d0 DYNAMIC Fa0/2
  1 000b.5fb2.7197 DYNAMIC Fa0/19
  1 000f.e207.f2e0 DYNAMIC Fa0/17
  2 0002.b3b0.7982 DYNAMIC Fa0/20
  2 0001.965a.b4c0 DYNAMIC Fa0/2
  2 0001.965a.b4d0 DYNAMIC Fa0/2
  2 0050.ba08.7e55 DYNAMIC Fa0/2
  2 00c0.9f32.66e1 DYNAMIC Fa0/2
  2 1223.3212.3212 DYNAMIC Fa0/2
  3 000b.5fb2.7197 DYNAMIC Fa0/19
  3 0800.20c4.0460 DYNAMIC Fa0/4
  4 0001.965a.b4d0 DYNAMIC Fa0/2
  4 0002.8a36.1194 DYNAMIC Fa0/8
  4 0003.0d2b.ebb0 DYNAMIC Fa0/8
  4 0003.0ffb.6850 DYNAMIC Fa0/8

  執(zhí)行show ip arp命令可以得到IP地址與MAC地址的對應(yīng)關(guān)系,如下所示

      3550#show ip arp
  Protocol Address Age (min) Hardware Addr Type Interface
  Internet 10.13.0.7 4 001b.b95c.6879 ARPA Vlan113
  Internet 10.60.0.54 7 1000.0210.2020 ARPA Vlan60
  Internet 10.15.0.5 9 00a1.b013.bd07 ARPA Vlan115
  Internet 192.168.1.104 0 Incomplete ARPA
  Internet 10.13.0.6 0 0015.c567.3f51 ARPA Vlan113
  Internet 10.63.0.52 0 001a.4d73.010d ARPA Vlan63
  Internet 10.62.0.53 2 00e0.4c10.83f5 ARPA Vlan62
  Internet 10.15.0.4 3 00d0.f801.8bbf ARPA Vlan115
  Internet 10.60.0.55 6 1000.0332.5404 ARPA Vlan60
  Internet 10.7.0.12 73 0014.2a17.c918 ARPA Vlan107
  Internet 10.14.0.6 0 00c9.0002.c065 ARPA Vlan114
  Internet 192.168.1.107 0 Incomplete ARPA
  Internet 10.9.0.1 - 000d.bc04.1b00 ARPA Vlan109
  Internet 10.15.6.1 5 0016.e645.8929 ARPA Vlan115
  Internet 192.168.5.111 47 001d.7d77.fb35 ARPA Vlan4
  Internet 10.66.6.253 0 0001.7a53.2aab ARPA Vlan2

  根據(jù)這兩組對應(yīng)關(guān)系,我們就可以得到IP地址與端口的對應(yīng)關(guān)系

  比如本例中我們要確認IP地址為10.66.6.253的這臺網(wǎng)絡(luò)設(shè)備是接在交換機的哪個端口上,就可以先查看10.66.6.253對應(yīng)的MAC地址為0001.7a53.2aab,而0001.7a53.2aab這個MAC地址對應(yīng)的端口為fa0/20

      Internet 10.66.6.253 0 0001.7a53.2aab ARPA Vlan2
  2 0001.7a53.2aab DYNAMIC Fa0/20

  這樣就得到了IP地址與端口的對應(yīng)關(guān)系,即10.66.6.253這臺網(wǎng)絡(luò)設(shè)備是連接到交換機的第20端口上。

  3、得到全網(wǎng)的ARP信息

  在交換機上通過show mac-add和show ip arp得到的消息,不一定是當前最完整的信息,其實我們只要在全網(wǎng)執(zhí)行一遍PING命令就可以解決這個問題,基于不能使用外部程序的限制,我們就在內(nèi)網(wǎng)的一臺微機上通過PING命令來實現(xiàn)。其實使用PING命令也有兩個小技巧:

  1)n次ping批處理操作

  這個n次ping的名字是我自己起的,其實只要在批處理命令中加一個start參數(shù),就可以同時執(zhí)行多個程序,這個nping.bat的內(nèi)容如下:

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認IP、帳號、密各品牌的ADSL與路由器出廠默認IP、帳號、密Nslookup命令詳解-域名DNS診斷Nslookup命令詳解-域名DNS診斷站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼路由器地址大全-各品牌路由設(shè)置地址騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程ADSL雙線負載均衡設(shè)置詳細圖文教程路由表說明(詳解route print)網(wǎng)管員實際工作的一天用此方法讓2M帶寬下載速度達到250K/S左右網(wǎng)管必會!了解交換機控制端口流量