AW: Wurde ein Rechner verschoben?
 

Mir scheint, da wird mal wieder versucht, ein Fehler in der Arbeitsorganisation durch Software abzufangen. Meiner Meinung nach funktioniert sowas nicht. Wenn jemand einen Rechner an einen anderen Platz stellt, muss er das dokumentieren. Und wenn er das nicht tut, muss man ihm auf die Finger klopfen, wenn es auffällt.

AW: Wurde ein Rechner verschoben?
 

@Nersgatt: Da stimme ich dir zu. Im Zweifelsfall würde ich das durch ein "Kensington-Loopback" unterbinden (Ich hoffe jemand weiß das Wortspiel zu schätzen :-D )

Ansonsten, rein aus technischem Interesse: Auf der untersten logischen Ebene gibt es bei einer Netzwerkverbindung zwei Peeringpartner: Das NIC im PC und das NIC im nächsten Switch. Beide haben i.d.R. eine einzigartige MAC-Adresse. Pingt man jetzt einen beliebigen Host im Netz an, dann wandert das ICMP-Paket vom PC über einen oder mehrere Switches zum Zielhost. Dort reagiert der IP-Stack und schickt ein ICMP-Paket zurück. Der Ziel-PC empfängt das Paket von "seinem" Switch. Entsprechend müßte auf der niedrigsten logischen Ebene beim empfangenen ICMP-Paket die MAC-Adresse des nächstgelegenen "Hops" vermerkt sein. Allerdings nur unter der Einschränkung einer Stern-Topologie (10Base-T, 100Base-TX, 1000Base-TX usw.)

Eventuell müßte man sich das mal im Wireshark anschauen.

AW: Wurde ein Rechner verschoben?
 

Natürlich ist das ein Fehler in der Arbeitsorganisation und ein 'Kensington LoopBack' wäre keine schlechte Idee. Aber wie soll ich das meinem Kunden verklickern? Oder soll ich ich es tatsächlich versuchen, meinem Kunden zu verklickern, wenn er mich doch dafür bezahlen würde, wenn ihm meine Software seine Fehler in der Arbeitsorganistation zeigt? Aber das ist schon beinahe philosophisch.

Die Erklärung von Codehunter klingt ziemlich logisch. Wenn mir jetzt noch jemand einen Typ geben könnte, wie man ein solches ICMP erzeugt, resp. ausliest, wäre ich Euch dankbar. So auf die Schnelle habe ich wenigstens bei Indy nichts gefunden. Und von Whireshark weiss ich nur gerade soviel, dass es sich dabei um ein Netzwerk-Analyse-Tool handelt.

AW: Wurde ein Rechner verschoben?
 

Bei Indy heißt die entsprechende Komponente TIdICMPClient. Eine kleine Anleitung gibt es hier.

Allerdings ist das Auslesen der Peer-MAC gar nicht so einfach. Das ist Low-Level-Networking. Daher mein Hinweis auf Wireshark, um sich erstmal schlau zu machen ob man bei Windows überhaupt die MAC-Adresse vom Switchport bekommt. Allerdings habe ich sowas auch noch nicht gemacht, alles nur graue Theorie.

AW: Wurde ein Rechner verschoben?
 

.. soweit ich das weiß, ist im IP Packet welches der Rechner bekommt die Mac-Adresse des letzten Gateways(Routers) enthalten und nicht die Mac-Adresse des letzten Layer-2 Switches.

Grüße
Klaus

AW: Wurde ein Rechner verschoben?
 

Stimmt! Hab grad mal ein bisschen nachgelesen. Layer 2 Switches haben keine eigenen MAC-Adressen an den einzelnen Ports. Layer 3 Switches haben eventuell welche, aber auch nicht unbedingt. Also scheints nix zu werden mit einer Software. Es sei denn, man würde jeden Netzwerkport über einen Router schicken. Lohnt sich der Aufwand???

Man könnte aber auf ein analoges Programm zurückgreifen: Nur noch Managed-Switches verwenden und die PC-MAC-Adressen fest einstellen. Wenn dann beim Admin das Telefon klingelt weiß man dass ein "Rechner verschoben" wurde :-D

AW: Wurde ein Rechner verschoben?
 

Wie macht es denn Windows selber?

Ich habe ja oben schonmal aufgezeigt, dass Windows selber auch Layer-2-Switches in der Netzwerkstruktur anzeigen kann. Wobei da unklar ist, wieviel Informationen es hat (also nur die Existenz der Switches und ihre Struktur, oder auch eindeutige Daten, die zur Identifizierung ausreichen).

AW: Wurde ein Rechner verschoben?
 

Ich konnte die besagte Funktion auf zwei Rechnern nicht nachvollziehen. Der eine hängt per WLAN am Netz und sagt schlicht, es wäre keine Gesamtübersicht verfügbar. Der andere Rechner hängt in der Domäne und sagt, die Netzwerkübersicht ist in Domänennetzwerken standardmäßig deaktiviert.

Ich würde sagen, das was da angezeigt würde ist UPnP in Verbindung mit NetBIOS oder SMB. Daraus läßt sich aber noch lange keine reale Struktur ableiten und welcher PC an welchem Switchport hängt.

AW: Wurde ein Rechner verschoben?
 

Wie schön dass Du das sagen würdest, obwohl Du nicht hier bist :)
Ich dagegen habe einen Blick darauf und würde das in Maßen durchaus sagen. Auf den drei Rechnern, auf die ich jetzt geschaut habe, passt das Bild.

Ich hänge mal einen Screenshot an... es sind bei weitem nicht alle Rechner im Netz, und nur Windows-Workstations - aber die beiden Gruppierungen von Geräten am gleichen Switch stimmen und auch der einzelne stimmt. Bei den anderen bin ich mir zumindest recht sicher, dass die Tiefe (Entfernung zum Gateway) stimmen sollte.

Übrigens: die nächsten zwei Switche Richtung Gateway sind bei mir LevelOne GSW-0506 und Zyxel GS-108B. Nicht mit UPnP, NetBIOS oder SMB-Support auf so Billiggeräten...

Ich behaupte auch nicht, dass damit eine vollständige Netzwerkkarte möglich ist. Aber wer hinter dem gleichen Switch hängt und scheinbar auch wie weit ein Switch hier etwa vom Gateway entfernt ist, lässt sich daraus ablesen, weswegen ich durchaus vermute, dass die Switches irgendwie eindeutig erkannt werden.

Hmm.... Wireshark auf ein Refresh der Karte wäre vermutlich interessant, wenn diese Infos nicht gecacht sind :)

AW: Wurde ein Rechner verschoben?
 

Router und Switches beherrschen das Protokoll SNMP.
Damit kann man z.B. alle Ports eines Switches abfragen (Link state, MAC Adr. des Partners,...) und weiss damit welche PCs wo dranhängen (wenn man die MAC-Adresse jedes PC vorher erfasst).

Man braucht eine entsprechende Software (z.B. Nagios) und Systemadmins, die Zeit und Lust haben sich in das Thema einzuarbeiten.