我正在使用DISA标准继续locking我的networking设备。 在拒绝访问未知子网的多层交换机上实施ACL后,系统日志服务器开始每隔7分钟logging两次阻塞的IP地址。 IP地址在169.254.0.0 / 16networking中。 这似乎表明机器使用链接本地地址,可能是因为它们没有设置IP地址(在此隔离networking上没有DHCP)。 没有物理接触每台机器有没有办法找出哪些端口(s)这些数据包进来? 多层交换机是一堆思科3750G,交叉堆叠以太网信道到4个思科2960G。
通常,您的入侵检测日志中的恶意IP地址将列出MAC,但由于没有,您可以尝试以下操作。
login到您的思科设备。 平安stream氓IP。 当然,如果你的ACL阻止访问,这可能是有问题的。
ping 169.254.XX 这将希望获得设备的MAC地址到思科的ARP表中。
show arp | include 169.254.XX
这将列出MAC地址以及与之关联的IP。 它看起来像这样:
Internet 169.254.XX 0 2222.aaaa.bbbb ...
其中2222.aaaa.bbbb是MAC地址。
最后运行:
show mac-address-table dynamic | include 2222.aaaa.bbbb
显示端口。 其中2222.aaaa.bbbb是mac地址。
show mac-address-table dynamic
这将显示您的MAC到端口映射。