我继续使用 DISA 标准锁定我的网络设备。在多层交换机上实施拒绝访问未知子网的 ACL 后,系统日志服务器开始每 7 分钟记录两个被阻止的 IP 地址。IP 地址位于 169.254.0.0 /16 网络中。这似乎表明这些机器使用了链接本地地址,可能是因为它们没有设置 IP 地址(此隔离网络上没有 DHCP)。如果不实际接触每台机器,有没有办法找出这些数据包来自哪个端口?多层交换机是 Cisco 3750G 的堆栈,具有跨堆栈以太网通道到 4 个 Cisco 2960G。
答案1
通常,恶意 IP 地址的入侵检测日志会列出 MAC,但由于没有列出,您可以尝试以下操作。
登录到您的 Cisco 设备。对恶意 IP 执行 ping 操作。当然,如果您的 ACL 阻止访问,这可能会有问题。
ping 169.254.X.X
这有望将设备的 MAC 地址放入思科的 ARP 表中。
show arp | include 169.254.X.X
这将列出 MAC 地址以及与其关联的 IP。它看起来像:
Internet 169.254.X.X 0 2222.aaaa.bbbb ...
其中 2222.aaaa.bbbb 是 MAC 地址。
最后运行:
show mac-address-table dynamic | include 2222.aaaa.bbbb
显示端口。其中 2222.aaaa.bbbb 是 mac 地址。
答案2
show mac-address-table dynamic
这将向您显示 MAC 到端口的映射。