IP 역추적 네트워크 단말기로 역추적 하기

- 네트워크 IP로 단말기 역추적하는 방법

 

네트워크를 운영하시다 보면 Cisco 장비(스위치, 라우터)의 포트에 어떤 장비가 연결되어 있는지 확인하실 때, 보통 Show cdp명령어를 이용하여 확인하거나

description에 적혀 있는 내용을 바탕으로 단말 장비가 어느 포트에 연결되어 있는지 확인을 하고는 합니다.

 

위의 사진같이 가벼운 네트워크 구성에서 예시를 보여드리도록 하겠습니다.

 

EX) 사진에서 L3 스위치에 연결되어 있는 L2 스위치 확인

L3 스위치에서 enable 모드에서 show cdp neighbors 명령어 입력

 

 

 

L3 스위치 enable 모드에서 show run 입력 시 description 

 

 

CDP neighbors 명령어가 활성화되어 있거나 description 이 명확할 때는 문제가 되지 않지만

 

 

위의 그림과 같이 보안상의 이유로 cdb neighbors 명령어에 대하여 disable을 설정하거나 description이 정확하지 않을 때 연결된 장비를 찾기 어려움을

느끼실 수 있습니다.

 

이런 경우 IP로 단말기를 역추적하는 방법에 대해 설명을 드리고자 합니다.

먼저 L3 장비에서 확인하고자 합니다.

우선 위의 사진에서 L2 스위치의 IP 주소를 알고 있습니다.

 

SW1의 IP 주소 10.10.10.1

SW2의 IP 주소 10.10.10.2

SW3의 IP 주소 10.10.10.3

 

SW1 스위치가 어디에 연결 되어있는지 알아보도록 하겠습니다.

 

스위치에서 enable 모드 접속 후 show mac address-table 와 show arp를 입력합니다

 

 

찾고자 하는 장비(SW1)의 IP(10.10.10.1)를 검색하면

 

 

 

해당 IP에 MAC 주소를 확인하실 수 있습니다.

SW1 스위치의 IP 10.10.10.1의 MAC 주소는 00E0.F9BC.B590 가 되겠네요

 

다음은 show Mac Address-Table을 이용해서 00E0.F9BC.B590 값을 검색하게 되면, L3에서 어느 포트에 연결되어 있는지 확인할 수 있습니다.

 

 

 

IP 역추적은 스위치 간 뿐 아니라 L2 스위치에 연결되어 있는 다른 단말기를 찾는데도 사용 될 수 있습니다.

위의 구성도에서 SW1 에는 프린터 1대, PC 2대, 서버 1대를 임의로 연결해 보았습니다.

 

L3 스위치와 마찬가지로 장비의 IP를 알고 있다면, 어느 포트에 어떤 장비가 연결되어 있는지 확인이 가능합니다.

 

프린트기를 예시로 보자면 프린트기의 IP 주소는 10.10.10.10로 설정했습니다.

마찬가지로 L3 스위치에서 Show arp명령어를 이용해 IP에 맞는 MAC 주소를 확인한 후

 

 

Show mac-address-table 명령어를 이용해 프린트가 어떤 장비에 연결 되어있는지 확인할 수 있습니다.

현재 L3스위치에서 Fa0/1 포트에 연결 되어있는 걸 확인할 수 있고, Fa0/1 스위치는 SW1 스위치 인 것을 알 수 있습니다.

 

다시 SW1 스위치로 접속해 보겠습니다. 현재 MAC 주소는 알고있고 마찬가지로 SW1 스위치에서 show mac-address-table 명령어를 통해 SW1 스위치의

어떤 포트에 연결 되어있는지 순차적으로 확인할 수 있습니다.

 

 

 

단, Show mac-address-table에 mac주소가 저장되려면 장비 간 통신이 있어야 테이블에 나타납니다.

IP 주소로 단말기 역추적하여 단말을 찾는 방법은 인터페이스의 트래픽 상태를 확인할 때, 어느 장비에서 발생하는지에 확인하는데 자주 사용되기도 합니다.