查找某IP主机对应的交换机端口

知道IP地址,如何定位其对应的交换机及端口?

比如内网里有一台设备中了arp欺骗病毒,整个内网访问internet速度明显下降,用软件抓包知道了中毒主机的IP地址,就需要找到它在哪里了,以思科交换机为例,可以用以下的方法:

通过IP地址查端口
目标地址,例如192.168.3.48
1. ping 192.168.3.48 在主干交换机上
2. show arp | include 192.168.3.48 (在arp列表里查找到这个IP对应的mac地址)
显示出:
Internet 192.168.3.48 0 000d.874a.0c52 ARPA Vlan30
得到所连接交换机接口的mac地址:000d.874a.0c52
3. show mac-address-table dynamic address 000d.874a.0c52 (在mac地址列表里找出mac来源端口)
显示:
Unicast Entries
vlan mac address type protocols port
-------+---------------+--------+---------------------+--------------------
30 000d.874a.0c52 dynamic ip FastEthernet4/12
连接的是4/12端口, 但是不能保证目标就是接在这个端口 (如果你能确定就是这台交换机,就不用继续后面的操作了)
4. show cdp nei  (查看跟这台交换机相链接的网络设备)
看到:
switch9 Fas 4/12 123 S I WS-C2950-2Fas 0/24
这个端口连接的是交换机
5.s how cdp ent *  (查看跟这台交换机链接设备的详细信息)
得到该交换机的IP:192.168.3.214
telnet到192.168.3.214
重复上面动作,输入:
6.show mac-address-table dynamic address 000d.874a.0c52
显示:
Mac Address Table
------------------------------------------
 www.2cto.com  
Vlan Mac Address Type Ports
---- ----------- ---- -----
30 000d.874a.0c52 DYNAMIC Fa0/2
Total Mac Addresses for this criterion: 1
看到接口为Fa0/2,而且只有一个动态的mac地址,说明就是这个接口了
目标最后被确定接在一台2950的2口上
这样目标IP与交换机链接的位置就找到了,管理员可以采取相应的措施,比如关闭端口来隔绝病毒机