PDA

Bekijk Volledige Versie : SNMP, traffic uitlezen op MAC basis?



Wynand
26/04/10, 18:54
Kort/simpel vraagje, is het mogelijk om via SNMP traffic stats te pullen van verbonden clients op basis van hun MAC adres?
Zoja, waarmee?
OpUtils liet weten dat dit voor hun op de planning stond, maar de sales desk was niet al te strooizaam met informatie over hoe en wanneer.

The-BosS
27/04/10, 16:20
Geen idee of dit een oplossing is voor je, maar ik heb in het verleden ooit eens een tool gemaakt om SNMP van hosts te pollen die hun ip uit dhcp kregen. Hiervoor deed ik gewoon een arp lookup van hun mac adress om zo hun ip te achterhalen en daarvan een snmpget te doen.

Wynand
27/04/10, 16:52
Een SNMP get van een random host die verbonden is?
Even verder toelichten, het gaat over een omgeving waar de meeste computers niet onder eigen beheer vallen, maar we willen achterhalen wie er wanneer hoeveel bandbreedte verstookt. Proxy is een optie, maar een vervelende, daarom dat ik me afvroeg of dit via SNMP mogelijk is.

pierce
27/04/10, 16:56
je kan ook eens kijken naar bijvb NTOP, je moet dan wel port mirroring op je switch doen of promiscuous mode aanzetten. (ik zou voor de eerste optie kiezen...)

maxnet
27/04/10, 17:43
Een SNMP get van een random host die verbonden is?
Even verder toelichten, het gaat over een omgeving waar de meeste computers niet onder eigen beheer vallen, maar we willen achterhalen wie er wanneer hoeveel bandbreedte verstookt. Proxy is een optie, maar een vervelende, daarom dat ik me afvroeg of dit via SNMP mogelijk is.

Wellicht handig om er bij te vertellen welke apparatuur je hebt?


Het bij een switch opvragen van ingaande en uitgaande bytes per poortnummer is meestal niet zo'n probleem:



max@lynx:~$ snmpwalk -v2c -c NAAMVANCOMMUNITY IP ifInOctets
IF-MIB::ifInOctets.1 = Counter32: 87753917
IF-MIB::ifInOctets.2 = Counter32: 2147483647
[...]

max@lynx:~$ snmpwalk -v2c -c NAAMVANCOMMUNITY IP ifOutOctets
IF-MIB::ifOutOctets.1 = Counter32: 1308338102
IF-MIB::ifOutOctets.2 = Counter32: 141907060
[...]



Maar op basis van MAC-adres wordt het al wat lastiger.
Er is een SNMP MIB voor, maar het werkt niet altijd even goed.

Bijvoorbeeld bij goedkoop HP spul:



max@lynx:~$ snmpwalk -v2c -c NAAMVANCOMMUNITY IP -m ./Q-BRIDGE-MIB.txt dot1dTpFdbTable
BRIDGE-MIB::dot1dTpFdbAddress.'.....)'.145 = STRING: 0:1:0:c:29:91
[..]
BRIDGE-MIB::dot1dTpFdbPort.'.....)'.145 = INTEGER: 12


Volgens SNMP zou MAC adres 0:1:0:c:29:91 gesignaleerd moeten zijn op poort 12.
Het lijkt er wel een beetje op, maar het echte MAC adres is 0:c:29:91:cf:e7. Laatste 2 cijfers zijn dus spoorloos verdwenen.