У нас только что был третий случай дублирования MAC-адреса на предоставленном оборудовании за 2 года. Я знаю, что можно отменить MAC-адрес в программном обеспечении, но его обнаружение во время устранения неполадок может занять много времени в большой сети.
Как в Linux я могу отслеживать повторяющиеся MAC-адреса во всей сети, чтобы отправлять их в нашу систему уведомлений для более быстрого исправления?
У вас есть управляемые переключатели? Я подозреваю, что мой подход может заключаться в том, чтобы периодически извлекать таблицы Mac (таблицу cam) со всех ваших коммутаторов / сетевых устройств, а затем сохранять их в какой-то базе данных или в чем-то еще, где вы можете отслеживать, какие MAC-адреса используются на каком коммутаторе / портах. Существует множество инструментов, которые можно использовать для подключения к различным коммутаторам и получения данных. Из системы Linux, возможно, вы могли бы собирать данные с помощью snmp, netmiko или, может быть, доступного playbook, который периодически собирает и хранит данные.
В зависимости от сетевого оборудования может быть какой-то способ записать в журнал изученный MAC-адрес для назначения портов на сервере системного журнала, если вы включите правильные параметры ведения журнала. Это почти наверняка будет хорошим вариантом, и включение сервера системного журнала в Linux для получения журналов должно быть очень простым.
В зависимости от аппаратного и программного обеспечения вашего коммутатора в коммутаторах более высокого уровня есть функции безопасности, позволяющие предотвратить подделку MAC-адресов или слишком быстрое перемещение между портами. Найдите время, чтобы посмотреть на свои переключатели и посмотреть, что они могут сделать для решения этой проблемы.
Если вы хотите сделать все возможное и у вас есть сетевое оборудование более высокого уровня, есть способы потребовать от систем аутентификации самих себя с помощью сертификата или других средств. Компьютеры можно настроить так, чтобы они не присоединялись к работе, или были переведены в виртуальную ленту песочницы или что-то еще, если они не прошли аутентификацию.