Gerät identifizieren, welches die MAC-Adresse 000000-000000 benutzt
In unserem Netzwerk haben wir einige Probleme, die ich derzeit beseitigen möchte und eines ist, dass immer wieder
Meldungen in den Switch-Protokollen angezeigt werden, dass Frames von der MAC-Adresse 000000-000000 gesendet werden.
Die Meldungen kommen nicht regelmäßig und nur auf Ports, auf denen Uplinks zu anderen Switchen konfiguriert sind.
Es handelt sich um ein Netzwerk mit HP Procurve Switchen. In dem Netzwerk befinden sich 2 Core-Switche des Typs 5412,
die das Routing übernehmen und ca. 70 Edge-Switche der Typen 2520, 2530 und 2920. Insgesamt gibt es ca. 30 Verteilerräume,
die durch LWL miteinander verbunden sind.
20 VLANs werden aktiv auf den Switchen genutzt und MSTP ist eingerichtet.
Über die Switche und auch über Wireshark und IP-Scans mit MAC-Adressen Erkennung habe ich bisher nicht herausfinden können,
welches Device diese MAC nutzt.
Habt ihr eine Idee, wie ich das herausfinden kann?
Vielen Dank im Voraus!!
Meldungen in den Switch-Protokollen angezeigt werden, dass Frames von der MAC-Adresse 000000-000000 gesendet werden.
Die Meldungen kommen nicht regelmäßig und nur auf Ports, auf denen Uplinks zu anderen Switchen konfiguriert sind.
Es handelt sich um ein Netzwerk mit HP Procurve Switchen. In dem Netzwerk befinden sich 2 Core-Switche des Typs 5412,
die das Routing übernehmen und ca. 70 Edge-Switche der Typen 2520, 2530 und 2920. Insgesamt gibt es ca. 30 Verteilerräume,
die durch LWL miteinander verbunden sind.
20 VLANs werden aktiv auf den Switchen genutzt und MSTP ist eingerichtet.
Über die Switche und auch über Wireshark und IP-Scans mit MAC-Adressen Erkennung habe ich bisher nicht herausfinden können,
welches Device diese MAC nutzt.
Habt ihr eine Idee, wie ich das herausfinden kann?
Vielen Dank im Voraus!!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258008
Url: https://administrator.de/forum/geraet-identifizieren-welches-die-mac-adresse-000000-000000-benutzt-258008.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
17 Kommentare
Neuester Kommentar
Hi,
hier kannst du den Hersteller finden...
http://standards.ieee.org/develop/regauth/oui/public.html
000000 ist Xerox.
Gruß
hier kannst du den Hersteller finden...
http://standards.ieee.org/develop/regauth/oui/public.html
000000 ist Xerox.
Gruß
Moin,
wenn auf Deinen Core-Switchen der Port angezeigt wird, bekommst Du darüber ja den Edge-Switch heraus. Dort kannst Du in der CLI den MAC-Speicher auslesen und den Port bestimmen. ( show mac-address )
Allerdings bin ich mir nicht sicher, ob die Switche auch ungültige MACs in den Speicher schreiben
Gruß
Bernhard
wenn auf Deinen Core-Switchen der Port angezeigt wird, bekommst Du darüber ja den Edge-Switch heraus. Dort kannst Du in der CLI den MAC-Speicher auslesen und den Port bestimmen. ( show mac-address )
Allerdings bin ich mir nicht sicher, ob die Switche auch ungültige MACs in den Speicher schreiben
Gruß
Bernhard
Diese Information gibt es nicht mit show mac-adress.
Das ist normalerwiese Unsinn. Sorry, aber wenn du einen managebaren Switch hast, dann gibt dieses Kommando in der regel die L2 Forwarding Database aus. Es mag aber sien das das Kommando bei deiner Switch HW anders lautet. Dann siehst du halt im Handbuch nach wie die korrekte Syntax dazu ist um die Forwarding Database (FDB) anzuzeigen.Dort steht immer zu welchem Port welche Mac Adresse korrespondiert.
Syntaktisch ist diese Mac sicher nicht falsch aber nicht normal. Das sieht irgendwie so aus als ob dort ein Enfgerät seine BIA (Burned in Address) vergessen hat oder einer hat am Treiber rumgespielt um sich eine Mac zu Faken und hat einen Fehler gemacht.
Fazit: Stichpunkt ist die Forwarding Database auszulesen.
Übrigens kannst du das auch über SNMP machen sofern dein Switch SNMP fähig ist !! Net-SNMP ist dein Freund dafür :http://www.net-snmp.org
Es gibt aber keinen Eintrag mit der 000000-000000
Dann gibt es diese Mac Adressen auch nicht in deinem Netzwerk, was aber sicher nicht der Fall ist denn sonst würde solche Meldung nicht im Syslog auftauchen ! Oder.... für den Switch ist das keine gültige Mac Adresse die er damit nicht in seine Forwarding Database übernimmt.Bedeutet dann auch das das Endgerät mit der 00.00.00.00.00.00 isoliert ist und nicht kommunizieren kann über den Switch oder der Switch sie einfach flutet also wie einen Hub behandelt.
Möglich aber auch das der Switch sie nur blockt und eine Error Meldung im Syslog generiert.
Wenn er sie nicht in die Forwarding Database übernimmt hast du natürlich Pech....denn dann hilft nur sukzessive Abziehen der Endgeräte und Suchen.
Wenn die Error Meldung nur an bestimmten Switches auftaucht kann man davon ausgehen das der Switch diese Mac NICHT forwardet und man isoliert nur an diesem Switch suchen muss.
Würde er sie forwarden würde die Fehlermeldung in jedem Switch im Netz synchron auftauchen. Leider sagst du dazu nichts ob das vereinzelte Systeme sind oder alle, deshalb kann man jetzt mal nur raten....
Vielleicht hast Du Glück und es ist im ARP cache, dann würde er dir die zugehörige IP Adresse anzeigen. Folgendes rennt z.B. auf OSX oder auch auf Linux:
Frank-5:~ axel$ sudo arp -a
Password:
? (192.168.99.1) at e0:cb:4e:9d:6f:f6 on en1 ifscope [ethernet]
? (192.168.99.84) at 68:a8:6d:53:cd:9e on en1 ifscope permanent [ethernet]
? (192.168.99.255) at ff:ff:ff:ff:ff:ff on en1 ifscope [ethernet]
Frank-5:~ axel$
Frank-5:~ axel$ sudo arp -a
Password:
? (192.168.99.1) at e0:cb:4e:9d:6f:f6 on en1 ifscope [ethernet]
? (192.168.99.84) at 68:a8:6d:53:cd:9e on en1 ifscope permanent [ethernet]
? (192.168.99.255) at ff:ff:ff:ff:ff:ff on en1 ifscope [ethernet]
Frank-5:~ axel$
Vielleicht hast Du Glück und es ist im ARP cache
Wohl eher nicht, denn dort ist es ja logischerweise NUR wenn dieses Endgerät irgendwie geroutet wird. Wei reinem Switching ist kein ARP involviert wie jeder Netzwerker weiss.Wenn der Switch es also schon auf L2 Ebene in der FDB blockiert mit einer Error Meldung kann es niemals zum ARP und damit zur Ausnahme in den ARP Cache kommen.
Die Chancen sind also vermutlich nur sehr sehr minimal !