3
IP-Adressen von Geräten im Router auslesen
Hallo in die Runde,
das ist nur eine Verständnisfrage meinerseits, weil ich zu häufig auf Leute getroffen bin, die bei sehr speziellen Themen selbstbewusst auftreten im sicheren Wissen, dass das Gegenüber kaum Ahnung hat.
Hintergrund:
Eine kleine IT-Abteilung in einem Außenstandort eines großen Konzerns bekommt die Aufgabe, die im Netzwerk vorhandenen Geräte aufzulisten für die zentrale IT-Abteilung.
Das Netzwerk selber (Switche, Router) ist zentral verwaltet, die kleine IT-Abteilung hat keinen Zugriff. Die Geräte im Netzwerk sind größtenteils auch zentral verwaltet, es gibt aber auch Bereiche, die voll und ganz in den Händen der kleinen IT-Abteilung liegen. Das sind ganze Netzwerksegmente mit allerlei Systemen, PCs, Notebooks und Industrieanlagen. Um diese Segmente geht es in der Liste.
Die Liste ist schon sehr lange fertig, an relevanten Punkte hier stehen Name des Systems ("Smarte Kaffeemaschine") und IP-Adresse, plus einer Menge anderer Infos.
Jetzt kommt die zentrale IT um die Ecke und sagt, sie kann nicht aus den Switchen über die IP-Adressen auf die Geräte schauen. Der Einfachheit halber sage ich mal, um zu sehen ob das Gerät da ist, oder nicht. Dafür soll die Liste um die MAC-Adressen erweitert werden, damit geht das.
Der böse Mensch in mir, ich frage natürlich nur für einen Freund, vermutet eher dass über das Wissen der MAC ein veraltetes Gerät einfach mal auf eine Blacklist gesetzt werden kann und nirgendwo mehr im Netz eingesetzt werden kann.
Meine Frage an die Profis: Ist es realistisch, dass der eigenhändig verwaltete Switch nicht über IPs Geräte "sehen" kann?
Falls das stimmt, werde ich natürlich dem Freund, für den ich frage, Asche auf das Haupt streuen...
Vielen Dank,
Adrian
das ist nur eine Verständnisfrage meinerseits, weil ich zu häufig auf Leute getroffen bin, die bei sehr speziellen Themen selbstbewusst auftreten im sicheren Wissen, dass das Gegenüber kaum Ahnung hat.
Hintergrund:
Eine kleine IT-Abteilung in einem Außenstandort eines großen Konzerns bekommt die Aufgabe, die im Netzwerk vorhandenen Geräte aufzulisten für die zentrale IT-Abteilung.
Das Netzwerk selber (Switche, Router) ist zentral verwaltet, die kleine IT-Abteilung hat keinen Zugriff. Die Geräte im Netzwerk sind größtenteils auch zentral verwaltet, es gibt aber auch Bereiche, die voll und ganz in den Händen der kleinen IT-Abteilung liegen. Das sind ganze Netzwerksegmente mit allerlei Systemen, PCs, Notebooks und Industrieanlagen. Um diese Segmente geht es in der Liste.
Die Liste ist schon sehr lange fertig, an relevanten Punkte hier stehen Name des Systems ("Smarte Kaffeemaschine") und IP-Adresse, plus einer Menge anderer Infos.
Jetzt kommt die zentrale IT um die Ecke und sagt, sie kann nicht aus den Switchen über die IP-Adressen auf die Geräte schauen. Der Einfachheit halber sage ich mal, um zu sehen ob das Gerät da ist, oder nicht. Dafür soll die Liste um die MAC-Adressen erweitert werden, damit geht das.
Der böse Mensch in mir, ich frage natürlich nur für einen Freund, vermutet eher dass über das Wissen der MAC ein veraltetes Gerät einfach mal auf eine Blacklist gesetzt werden kann und nirgendwo mehr im Netz eingesetzt werden kann.
Meine Frage an die Profis: Ist es realistisch, dass der eigenhändig verwaltete Switch nicht über IPs Geräte "sehen" kann?
Falls das stimmt, werde ich natürlich dem Freund, für den ich frage, Asche auf das Haupt streuen...
Vielen Dank,
Adrian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7815382591
Url: https://administrator.de/contentid/7815382591
Printed on: May 2, 2024 at 03:05 o'clock
3 Comments
Latest comment
Es kommt, wie immer, darauf an! Sprich es kommt auf den Switch an.
Ein reiner Layer 2 Switch "sieht" gar keine IP Adressen, denn der trifft seine Forwarding Entscheidung rein nur auf Basis der Mac Adressen (Mac Forwarding Table).
Es ist daher technisch völlig unmöglich aus einen Layer 2 Switch IP Adressen der an ihm angeschlossen Endgeräte auszulesen. Die Mac Adressen aber sehr wohl.
Aber auch hier gibt es einen Haken.
Gibt es keinen relevanten Traffic über ein Zeit Delta (cache time) dann timen diese Mac Adressen nach einer Zeit (oftmals 15 Minuten) in der Mac Forwarding Tabelle aus. Auch bei einem Link Loss am Port werden diese Mac Adressen augenblicklich gelöscht in der Forwarding Tabelle
Sprich schaltet einer die o.g. smarte Kaffeemaschine aus oder geht sie nach Feierabend in den Standby ist auch nach 20 Minuten deren Mac Adresse nicht mehr zu sehen. Warum sollte der Switch sie noch vorhalten wenn kein Traffic da ist und andernfalls müssten Switches ja dann unendlich große Speicher haben, was natürlich nicht der Fall ist. Bei billigen Switches sind die auf ein paar Tausend limitiert.
Soviel zum Thema L2 Switches....
Bei L3 Switches oder Router die IP Frames routen sieht das natürlich anders aus.
Das Mac Adress Handling ist identisch zu oben. Zusätzlich kommt dazu das die an ihnen angeschlossenen Endgeräte, sofern sie eine IP haben und über ihn routen, mit der IP im ARP Cache des Switches bzw. Routers stehen und da wie auch die Macs natürlich ausgelesen werden können.
L3 Switches bzw. Router zeigen also beides. Aaaaber... Auch hier gilt wieder die Timeout Regel! Kein IP Traffic bzw. kein ARP Cache über einen bestimmten Zeitraum dann werden diese Informationen nach einem Zeitfenster gelöscht.
Den ganzen Rest kannst der böse Mensch in dir sich ja jetzt selbst zusammenreimen, oder?! 😉
Ein reiner Layer 2 Switch "sieht" gar keine IP Adressen, denn der trifft seine Forwarding Entscheidung rein nur auf Basis der Mac Adressen (Mac Forwarding Table).
Es ist daher technisch völlig unmöglich aus einen Layer 2 Switch IP Adressen der an ihm angeschlossen Endgeräte auszulesen. Die Mac Adressen aber sehr wohl.
Aber auch hier gibt es einen Haken.
Gibt es keinen relevanten Traffic über ein Zeit Delta (cache time) dann timen diese Mac Adressen nach einer Zeit (oftmals 15 Minuten) in der Mac Forwarding Tabelle aus. Auch bei einem Link Loss am Port werden diese Mac Adressen augenblicklich gelöscht in der Forwarding Tabelle
Sprich schaltet einer die o.g. smarte Kaffeemaschine aus oder geht sie nach Feierabend in den Standby ist auch nach 20 Minuten deren Mac Adresse nicht mehr zu sehen. Warum sollte der Switch sie noch vorhalten wenn kein Traffic da ist und andernfalls müssten Switches ja dann unendlich große Speicher haben, was natürlich nicht der Fall ist. Bei billigen Switches sind die auf ein paar Tausend limitiert.
Soviel zum Thema L2 Switches....
Bei L3 Switches oder Router die IP Frames routen sieht das natürlich anders aus.
Das Mac Adress Handling ist identisch zu oben. Zusätzlich kommt dazu das die an ihnen angeschlossenen Endgeräte, sofern sie eine IP haben und über ihn routen, mit der IP im ARP Cache des Switches bzw. Routers stehen und da wie auch die Macs natürlich ausgelesen werden können.
L3 Switches bzw. Router zeigen also beides. Aaaaber... Auch hier gilt wieder die Timeout Regel! Kein IP Traffic bzw. kein ARP Cache über einen bestimmten Zeitraum dann werden diese Informationen nach einem Zeitfenster gelöscht.
Den ganzen Rest kannst der böse Mensch in dir sich ja jetzt selbst zusammenreimen, oder?! 😉
1
Hallo aqui,
vielen Dank, sehr hilfreich! Es handelt sich tatsächlich um Layer 2 Switche, dann ist die Anfrage wohl gerechtfertigt.
Gruß
Adrian
vielen Dank, sehr hilfreich! Es handelt sich tatsächlich um Layer 2 Switche, dann ist die Anfrage wohl gerechtfertigt.
Gruß
Adrian
Moin,
die Kollegen der zentralen IT könnten - um die von @aqui beschriebene Timeout-Problematik zu umgehen - auch einfach aktiv die Geräte im gleichen Netzwerksegment ansprechen und direkt im Anschluss die MAC-Adresse erfassen. Als Einzeiler auf der Win-Kommandozeile könnte es in etwa so aussehen:
Das klappt natürlich nur, wenn das Gerät nicht ausgestellt ist.
Das ist natürlich die eher negative Interpretation. Eine positive wäre, dass die zentrale IT "NAC" (Network Access Control) einsetzt oder einsetzen möchte und nun alle legitimen Geräte inkl. der Kaffeemaschine erfassen möchte, um dann die wirklichen "bösen Buben" aussperren zu können. Aber das kannst du anhand eures Betriebsklimas bestimmt besser beurteilen.
Grüße
TA
die Kollegen der zentralen IT könnten - um die von @aqui beschriebene Timeout-Problematik zu umgehen - auch einfach aktiv die Geräte im gleichen Netzwerksegment ansprechen und direkt im Anschluss die MAC-Adresse erfassen. Als Einzeiler auf der Win-Kommandozeile könnte es in etwa so aussehen:
PING -n 1 192.168.1.123 > NUL && ARP -a | FINDSTR 192.168.1.123Der böse Mensch in mir, ich frage natürlich nur für einen Freund, vermutet eher dass über das Wissen der MAC ein veraltetes Gerät einfach mal auf eine Blacklist gesetzt werden kann und nirgendwo mehr im Netz eingesetzt werden kann.
Das ist natürlich die eher negative Interpretation. Eine positive wäre, dass die zentrale IT "NAC" (Network Access Control) einsetzt oder einsetzen möchte und nun alle legitimen Geräte inkl. der Kaffeemaschine erfassen möchte, um dann die wirklichen "bösen Buben" aussperren zu können. Aber das kannst du anhand eures Betriebsklimas bestimmt besser beurteilen.
Grüße
TA
1
