Cisco netwerk in kaart brengen

Het is me meerdere keren overkomen dat een netwerk in kaart gebracht moest worden omdat er geen documentatie was. Dit is op drie lagen belangrijk, fysiek (laag 1) en vlan- en routeringstechnisch (laag 2 en 3). En als er acl's tussen subnetten zitten dan is laag 4 dus ook belangrijk.
Wanneer een netwerk unmanaged is, of veel unmanaged switches bevat is dat alleen te vinden door het volgen van draadjes. Bij een hybride omgeving kun je op een managed switch zien dat er meer mac adressen op een poort zitten en er dus een switch achter moet zitten.
Bij een cisco netwerk is er gelukkig heel veel, zo niet alles, uit te werken als we toegang hebben tot de management interfaces. Hoe ga je dit doen?

Meestal is er wel een IP adres van een switch bekend en anders log je in via de consolekabel op een switch. Daarna is de eerste stap om te zien welke vlans erop leven, "sh vlan brief" en welk ip adres de switch heeft. Via "show vtp status" weten we of vtp aktief is en of de switch een vtp server is, client of vtp transparant. Bij een vtp server of client weten we dat de vlans die er leven alle vlans zijn in dit vtp domein. Bij vtp transparant (veiliger) heeft elke switch alleen die vlans die erop nodig zijn.
Met "show cdp neighbors" kun je zien welke andere switches er aan deze gekoppeld zijn en met "show cdp neighbors detail" kun je zien wat voor types dat zijn en wat hun ip adressen zijn. Dit kan ook met lldp, een non-cisco protocol hiervoor.

Verder willen we van elke switch waar we opzitten weten of deze routeert (L3 switch) met "sh ip route", als deze routeert dan willen we daarna weten welke vlan interfaces erop zitten en welke routed interfaces zodat we alle aangesloten subnetten in kaart kunnen brengen. Via de default route, 0.0.0.0, weten we wat de next hop is. Dit kan de firewall naar internet zijn of de opgang naar een volgend netwerk. Als we de hele routetabel bekijken kunnen we ook zien of er nog andere routers in beeld zijn en welke subnetten daar dan achter leven, daarna is het van belang te kijken of deze ook echt nog bestaan of dat het oud spul is.
Met "sh ip arp" zien we welke ip adressen er allemaal aktief zijn op alle direct aangesloten subnetten
Het is steeds zaak twee tekeningen te maken, een van alle fysieke dozen en de koppelingen incl de levende vlans en een tekening van elke router met alle dirctly connected subnets en alle remote subnets en routers.
Als we zo elke gevonden switch in kaart brengen kunnen we het hele netwerk uittekenen.

Als het grote plaatje duidelijk is kunnen we een stap verder gaan door ACL's uit te pluizen of er subnets beperkt zijn in het verkeer wat er vanaf mag of naar toe mag.
En we kunnen per switchpoort nog beschrijven in welk vlan die zit dus wat voor soort device we erop verwachten. En als er veel macadressen op een poort zitten maar we zien geen neighbor dan moet er een unmanaged switch tussen zitten of een access-point.
Wat we ook nog kunnen vinden zijn de servers voor logging, ntp, snmp voor het geval dat niet in beeld is.





Geef hieronder uw commentaar, mening of aanvullingen op deze pagina en lees de eventuele meldingen van andere lezers.

naam:
email:
spamcheck: 1999+1=...
opmerking:
   

Website door Wouter Barendsen, 2005-2021