安裝設定MacTrack模組 用Cacti管理MAC位址

表1 目前支援的設備

MAC Address取得的部分，支援的廠牌及類別非常多，幾乎包含市面上的各大廠牌。此外，如果是比較不知名的廠牌或者不在列表中的廠牌，也可以使用generic_dot1q或generic_switch進行測試。實際以Zyxel的Switch做過測試，使用generic_switch就可以抓到MAC Address的資訊。

IP Address Scanning Function的部分可以看出目前取得ARP的方式，如表2所示。一般來說，使用standard即可。

表2 目前取得ARP的方式

執行到這裡，新增設備的部分就已經完成了。接著把MacTrack執行時所需的相關功能一併開啟。

Vendor Macs更新

Vendor MAC是用來辨別設備（網路卡）製造廠商的資訊，在MacTrack的目錄中，有對應的SQL檔可以匯入資料庫，也可以從網頁上取得最新資訊，在此示範如何透過網頁更新。

先點選Console畫面裡面的Tracking Utilities，再點選右邊的Refresh IEEE Vendor MAC/OUI Database，如圖11所示。由於檔案很大，更新時間會很久，請耐心等候。

▲圖11 更新OUI MAC Database。

執行完成之後，就會有回報的訊息，如圖12所示。此時，再點選圖4中的Vendor Macs，就可以看到OUI/MAC的資料。

▲圖12 OUI Database成功匯入。

更新掃描週期

先點選Console裡面的Settings，再按一下上方的Device Tracking，在Scanning Frequency欄位內，可以更改其掃描的週期，預設是不掃描，為了增加測試的效率，本例將其改成【Every 10 Minutes】，如圖13所示，最後記得要點選Save存檔。

▲圖13 更改掃描週期。

必須注意的是，這個動作如果不執行的話，將無法取得MAC Address的資訊。

執行手動掃描

預設的描掃週期都在10分鐘以上，在佈建時無法馬上得知其成效。如果不耐久候，可以使用下列幾個指令，強迫MacTrack馬上進行掃描：

如果選擇讓MacTrack自動掃描，但MacTrack的頁籤卻一直都沒有更新的資料時，就可以使用上述指令來查看問題點何在。

使用Interfaces功能

在第一次的掃描結束後，開始介紹MactTack的功能。首先，點選〔mactrack〕頁籤，再點選上方選單的〔Interfaces〕子頁籤，可以查看各個Interface目前的狀態、流量以及有沒有誤碼等資訊。這是非常好用的功能，可以一目了然地知道目前介面的狀態。

後面的Bandwidth欄位，則可簡單地以介面的使用率做排序及篩選。當出現廣播風暴或異常流量時，就能夠迅速得知是從哪個介面流出來的。也可以依照InBound及OutBound做排序，迅速找到流量最大的介面，如圖14所示。

▲圖14 檢視Interfaces相關資訊。

接著看一下MAC Address的部分，同樣可以查到MAC Address的相關資訊，如圖15所示。但要記得，Site的部分要點選剛剛建立的My Test Site，否則會看不到資訊。

▲圖15 查看MAC Address相關資訊。

從中可以檢視到其MAC Address、Vendor Name、Port Number等相關資訊，此外也提供VLAN ID、VLAN Name、Last Scan Date等資料。在左邊的篩選頁面，也能夠針對IP Address、Mac Address、Port Name使用Matches、Contains、Begin With、Does Not Contain、Does Not Begin With等功能來進行篩選。至於IP和Interface的部分，還可以使用Is Null、Is Not Null來增加其篩選功能。

若將MAC Address的資訊與圖1作比對，可以發現Vendor Name的資訊是與該架構圖相符的，這代表MacTrack能真實地呈現網路拓樸的現況。

結語

MacTrack的功能相當強大，本文先做基本功能的介紹。之後的IP Address管理、MAC Address移動偵測、MAC Address的Authorize和Revoke功能，以及告警機制等，預計在下次的文章進行介紹。

＜本文作者：丁光立，在ISP工作多年。對於Cisco設備較熟悉，除此之外也研究Linux，這幾年慢慢把觸角伸到資安的領域，並會在自己的blog（http://tiserle.blogspot.com/）分享一些實務上的經驗和測試心得。＞