实例解读：用MAC地址定位目标主机

【51CTO.com 独家特稿】单位网络结构图如图1所示。为了确保重要设备的稳定性和冗余性，核心层交换机使用两台Cisco 4507，通过Trunk线连接。在两台核心交换机上连接有单位重要的服务器，如视频服务器、FTP、WEB和邮件服务器等。每台服务器都有两根网线分别连接到4507A和4507B上，以保证服务器和核心交换机之间传输数据的稳定性。单位IP地址的部署，使用的是C类私有192网段的地址。所有的服务器都位于VLAN 11至VLAN 20中，对应的网络号是192.168.11.0~192.168.20.0，如视频服务器的IP地址为192.168.11.8，子网掩码为255.255.255.0，默认网关为192.168.11.254。服务器的IP地址、默认网关和DNS都是静态配置的。

因为服务器上数据的重要性，需要对数据进行存储、备份，所以每台服务器都使用HBA卡，再通过光纤连接到SAN网络中的光纤交换机上，再通过光纤交换机连接到EMC的存储、备份设备上。

图1 网络结构图

一、服务器应用系统升级引起的问题

因为业务扩充和应用系统升级的要求，需对视频服务器上的操作系统，及应用软件进行重新安装。但在对视频服务器上的系统进行备份和规整时发现，服务器上有两块网卡都在使用。如下所示，在视频服务器的操作系统Win2003中的"命令行"中执行ipconfig /all命令，此命令能够显示当前系统的TCP/IP配置的设置值，并能用来检验人工配置的TCP/IP设置是否正确。执行命令后显示的结果如下所示：

C:\ >ipconfig  /all  
Ethernet adapter 本地连接 1:  
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection  
   Physical Address. . . . . . . . . : 00-13-72-42-24-50  
   IP Address. . . . . . . . . . . . : 10.1.1.12  
   Subnet Mask . . . . . . . . . . . : 255.255.255.0  
Ethernet adapter 本地连接 2:  
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2  
   Physical Address. . . . . . . . . : 00-13-72-33-21-6F  
   IP Address. . . . . . . . . . . . : 192.168.11.8  
   Subnet Mask . . . . . . . . . . . : 255.255.255.0  
   Default Gateway . . . . . . . . . : 192.168.11.254  
 

上面的输出结果中，其中192.168.11.8的IP地址，是视频服务器连接到单位办公网中所使用的地址。因为办公网中所有的PC、服务器，以及网络交换、路由设备都使用的是192网段的地址。

但是上面的显示中，还有另外一个10.1.1.12的IP地址，这个地址不是单位办公网中所使用的地址。但这个地址却是个活动地址，也就是在正常使用，通过视频服务器上的流量监控软件，能够看到10.1.1.12的网卡上有数据流量通过。那它是哪儿的地址？它是连接到什么设备上的？它是连接到什么网络中的？因为在机房视频服务器的日常工作记录本上，也没有和IP地址10.1.1.12相关的记录。但是要对视频服务器的应用系统进行升级，还必须弄明白服务器上所有IP地址的功能和用途。所以只能通过其它的方法查询10.1.1.12的功用了。#p#

二、解决问题的步骤

1、既然知道视频服务器上，有两个活动的IP地址192.168.11.8和10.1.1.12，那在服务器的ARP表中，也肯定有192.168.11.0/24，和10.1.1.0/24这两个网段中的IP地址和MAC地址的对应项。所以在服务器的"命令行"中，执行"arp -a"命令。此命令是通过询问协议数据，显示当前的ARP表项。如果指定了特定的IP地址，则只显示指定计算机IP地址和物理地址的对应项。如果不止一个网络接口使用ARP，则显示每个ARP 表项。显示的结果如下所示：

C:\ >arp -a  
Interface: 10.1.1.12 --- 0x10003  
  Internet Address      Physical Address      Type  
  10.1.1.2        00-60-16-0a-b5-a3     dynamic  
Interface: 192.168.11.8 --- 0x10004  
  Internet Address      Physical Address      Type  
  192.168.11.4          04-1a-72-6a-4e-f2     dynamic  
192.168.11.254        01-80-0c-b7-a1-45     dynamic  
 

由上面显示结果可以看出，192.168.11.0网段中的IP地址和MAC地址的对应项都是正常的，这些地址都是单位的办公网中正在使用的地址。

但是显示结果中的"10.1.1.2  00-60-16-0a-b5-a3  dynamic"项，是在单位办公网中没有使用的地址。不过配置10.1.1.2地址的设备，肯定是和视频服务器的10.1.1.12/24的网卡相连接的。

为了证实10.1.1.2的IP地址是活动的，就在视频服务器的"命令行"中执行了ping 10.1.1.2的命令，得到如下的显示：

C:\Users\Administrator>ping  10.1.1.2  
正在 Ping 10.1.1.2 具有 32 字节的数据:  
来自 10.1.1.2 的回复: 字节=32 时间=1ms TTL=255 
来自 10.1.1.2 的回复: 字节=32 时间=1ms TTL=255 
来自 10.1.1.2 的回复: 字节=32 时间=1ms TTL=255 
来自 10.1.1.2 的回复: 字节=32 时间=1ms TTL=255 
10.1.1.2 的 Ping 统计信息:  
数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，  
往返行程的估计时间(以毫秒为单位):  
最短 = 1ms，最长 = 1ms，平均 = 1ms  
 

从上面的显示可以看出，10.1.1.2的IP地址也是处于活动状态的。

2、现在已经知道和视频服务器IP地址为10.1.1.12的网卡相连的设备的IP地址和MAC地址。因为从10.1.1.12网卡连接出来的网线是通过机房的地下布线的。也就是说沿着视频服务器网卡后面的网线找各个连接点是非常困难的，因为所有的网线都在地板下，而地板上还放着服务器的机柜。

所以现在已经知道了10.1.1.2的IP地址和MAC地址，那能否在办公网中找到和这两个地址相关的信息，也就是在4507交换机的ARP表和CAM表中进行查找。

因为在三层交换机中都保存有这两张表，可以通过show arp命令查找连接到三层设备的客户端或服务器的IP地址和其MAC地址的对照表。通过show mac address-table查找连接到二层设备的客户端或服务器的MAC地址和其连接到二层设备接口的对照表。也就说只要知道其中的某一个就可以知道另一个的值。也可以说三层设备维护的是ARP表，二层设备维护的是CAM表。因为三层交换机同时具备三层、二层功能，所以这两张表它都进行维护。

但是在4507中执行"Cisco4507#show arp | include 10.1.1.2"和"Cisco4507#sh mac address-table dynamic | include 0060.160a.b5a3"两条命令后，并没有任何结果显示，如下所示：

Cisco4507#sh arp | include 10.1.1.2   
Cisco4507#   
Cisco4507#sh mac address-table dynamic | include 0060.160a.b5a3  
Cisco4507#  
 

从上面的输出中可以看出，在4507的ARP表和CAM表中并没有包含"10.1.1.2"和"0060.1601.b5a3"的表项。若是在这两个表中包含某一参数的话，一般会得到和下面格式一致的输出结果：

Cisco4507#sh arp | include 192.168.2.1  
    Protocol  Address      Age (min)  Hardware Addr   Type   Interface  
    Internet  192.168.2.14     0     131d.920d.1a32   ARPA    Vlan2  
    Internet  192.168.2.1      0     1613.7868.4a9d   ARPA    Vlan2  
Cisco4507#sh mac address-table dynamic | include 1223.8916.1227  
   vlan   mac address     type       protocols           port  
    200  1223.8916.1227  dynamic        ip       GigabitEthernet3/1   

同时在4507上执行命令"Cisco4507#ping 10.1.1.2"，得到如下输出结果：

C:\Users\Administrator>ping 10.1.1.2  
 
正在 Ping 10.1.1.2 具有 32 字节的数据:  
请求超时。  
请求超时。  
请求超时。  
请求超时。  
 
10.1.1.2 的 Ping 统计信息:  
 
    数据包: 已发送 = 4，已接收 = 0，丢失 = 4 (100% 丢失)  
 

从上面的输出结果可以看出，在单位的办公网中，并没有IP地址是10.1.1.2的这个设备。#p#

3、因为MAC地址具有唯一性，并和物理设备绑定在一起，而IP地址并不具备这两个特性，所以，现在只能通过MAC地址进行查找IP地址10.1.1.2具体是什么设备，并确定它的物理位置。

MAC地址是识别局域网节点的标识，是烧录在网卡(Network Interface Card，NIC)里，共48比特长，由12个十六进制的数字组成，其中0至23位为组织唯一标识符，24至47位是由厂家自己分配。网卡的物理地址通常是由网卡生产厂家烧入网卡的可擦写可编程只读存储器中，它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。MAC地址的前6个十六进制的数字是由IEEE进行分配的。通过IEEE的网站，就能查询到MAC地址前6个十六进制的数字和其使用公司名称的对应关系。

因为现在知道了IP地址10.1.1.2，和其对应的MAC地址00-60-16-0a-b5-a3。所以在一台能访问互联网的电脑的浏览器地址栏中输入，通过MAC地址查询网卡生产厂商的IEEE的网址"http://standards.ieee.org/develop/regauth/oui/public.html"，打开后，在页面中输入地址"00-60-16-0a-b5-a3"的前六位，然后点击按钮"Search！"，如图2所示。

图2 通过MAC地址查询公司名称图示

点击查询后，会得到如下的显示结果：

Here are the results of your search through the public section of the IEEE Standards OUI database report for 00-60-16:   
--------------------------------------------------------------------------------  
00-60-16   (hex)     CLARIION  
006016    (base 16)  CLARIION  
    COSLIN DRIVE  
    Mail Stop C25  
    SOUTHBORO MA 01772  
    UNITED STATES  
 

由上面的输出结果，可以看出IP地址是10.1.1.2的设备类型是"CLARIION"，它是EMC存储产品中的一个系列产品，属于中端存储产品，所以，现在就能确定10.1.1.12和10.1.1.2两个IP地址都是应用在存储设备上，也就能确定10.1.1.2的具体位置在EMC的存储设备上。

4、确定IP地址的具体位置。打开EMC的机柜后，发现在其中有一个五端口的交换机，它是EMC厂家自带的，五端口交换机上的接口全是电口，上面都接有网线。如图3所示，是视频服务器连接EMC自带交换机的示意图。

图3 视频服务器连接EMC自带交换机图示

为了确认视频服务器，10.1.1.12网卡上的网线是不是接到EMC机柜中的五端口交换机上，我们把10.1.1.12网卡上的网线拔掉，结果五端口交换机上一个端口的指示灯就灭了，把网线插上后，交换机上那个端口的指示灯又亮了。

所以，现在就能确定视频服务器上IP地址是10.1.1.12的网卡，是通过EMC的五端口交换机连接到EMC的存储设备上，10.1.1.2就是EMC存储设备上电口的IP地址。10网段中的地址都是用来在视频服务器上，对EMC的存储设备进行远程操作控制所使用的。

明白了IP地址所使用的具体位置和其功能后，就可以放心的对视频服务器进行重装系统和应用软件的升级了。如图4所示，是EMC机柜图。

图4  EMC机柜图示

三、总结

1、由以上解决问题的步骤，可以看出，在视频服务器上共连接有三根网络数据线。第一根是双绞线，通过IP地址是192.168.11.8的网卡连接到核心交换机4507上。这根网线的主要作用是让单位办公网络中的客户端能通过4507核心交换机访问到视频服务器上的资源；第二根是光纤，通过视频服务器的HBA卡，连接到存储区域网络（Storage Area Network， SAN）中的光纤交换机上，再通过光纤交换机连接到EMC的存储设备上。这根光纤的主要作用是对视频服务器上数据库中的数据进行存储、备份，通过光纤传输数据也能够大大提高数据传输的速率。第三根也是双绞线，通过IP地址是10.1.1.12的网卡连接到EMC自带的五端口交换机上，这根网线的主要作用是，在视频服务器上通过WEB管理控制界面对EMC存储设备进行管理和配置。

2、MAC地址具有全球唯一性，利用这种特性往往能给排查网络故障，带来很大的便利性。因为MAC地址和设备是绑定在一起的，只要做好了MAC地址和具体设备对应关系的维护登记工作，那只要知道了MAC地址，就能找到MAC地址对应的设备在那里。

而IP地址并不具有这种特性，IP地址更多的是一种逻辑上的地址，通常情况下IP地址和具体的设备并不是一一对应的，尤其是使用了DHCP和NAT技术后，IP地址和设备之间并没有什么关系。使用DHCP技术后，客户端和服务器获取到的IP地址都是动态和变化的，今天使用的是A地址，明天可能就使用的是B地址。而NAT技术的变化更大，如局域网中的用户使用NAT技术和互联网上的用户进行通信，互联网上的用户看到局域网中用户使用的IP地址，实际上并不是他的实际IP地址，所以这时要把IP地址与具体的设备或用户联系起来，是非常困难的。

使用IP地址的这种不确定性，在随着以后IPv6使用范围的不断推广，就会有很大的改观。因为IPv6地址数量的庞大，按保守方法估算，ＩＰｖ6实际可分配的地址，在整个地球每平方米面积上可分配1000多个地址，号称能让"每颗沙子都拥有一个ＩＰ地址"。既然IPv6有这么多的地址，能保证每一个Internet上的终端使用的都是全球唯一IP地址，所以当IPv6地址在全球普及的时候，也就保证了每一个IPv6地址能与具体的设备和用户对应起来，这对网络安全和网络维护工作将带来很大便利。

3、其实这次网络问题的排查，若是以前在维护和配置视频服务器时能够按照规定，对操作规程进行严格的登记和记录，这样在解决上面的问题时，只要看下记录本，所有的东西都一目了然了。也就大大节省了网络维护人员的时间和精力，提高了工作效率。看来注重点滴和基础工作，对网络维护、管理工作也是必不可少的。

【51CTO.com独家特稿，非经授权谢绝转载！合作媒体转载请注明原文出处及出处！】