我继承了一个文档很少的数据中心。网络被分成多个 VLAN(以及与 VLAN 不匹配的子网)。我有很多物理设备,其中一些带有标签,但标签无法解析为 DNS 名称/地址。
如果我至少能获得一个 IP 地址,那这将是一个开始 - 但理想情况下,我希望看到提供/消费了哪些服务。
原则上,我认为应该可以配置一台具有 2 个接口的计算机(Linux?)作为桥接器,快速交换 RJ-45 并窃听通过它的流量,但我不知道如何从数据包跟踪中解析流量的方向。假设我能找到一台带有 2 个以太网端口的笔记本电脑。
我怀疑开关可能有桥接端口,但它们被埋在一堆意大利面条下面。
有什么建议么?
答案1
链路层的发现
如果您有多个 VLAN,那么您必须有一个已创建这些 VLAN 并将其映射到端口的交换机。
a) 如果您可以管理交换机(这是非常受欢迎的),那么您就可以确定哪些端口位于哪个 VLAN 中,并且很可能使用交换机的功能将每个 VLAN 接入镜像端口。如果您在此端口上放置 wireshark** 捕获设备,那么网络上发生的所有事情都会变得一目了然。流向对于编目网络并不是很重要,但源地址和目标地址在 wireshark 中清晰可见。
如果您无法使用交换机接入网络,那么至少您会知道哪些端口位于哪个 VLAN 中,并且可以依次将捕获设备放入每个 VLAN。如果您只捕获 ARP,那么您很快就会知道 VLAN 上每个设备的 MAC 地址和 IP。这应该非常有用,并且还会指向路由设备(必须存在)。
请记住,MAC 地址为设备供应商和类型提供了重要线索。
b) 如果您确实无法访问交换机,则需要将捕获设备依次放入每个端口,并运行 ARP 捕获几分钟。由于 ARP 不会路由出 VLAN,因此您将能够推断出哪些端口组位于同一 VLAN 中,这应该会很有帮助。
存货
一旦你了解了每个 VLAN 中的子网以及哪些子网可以相互路由,那么你就可以进行清单审计。我发现香料厂在 Windows 上,它可以出色地识别和指纹识别各种设备,而无需凭证。不过,您需要为其提供可以访问的子网列表,如果某些子网没有路由到一起,您可能需要在 VLAN 之间移动 Spiceworks 服务器。
** Wireshark 捕获设备
您可以构建一台带有一个接口的简单 Linux 笔记本电脑并安装 wireshark。了解如何创建捕获过滤器以仅选择您想要的流量。仅捕获前 70 个字节左右。有许多教程,例如生命线。