ARP与NAT案例分析

2013年12月6日 作者： 来源：

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。
【说明】
网络解决方案如图C1-4-1所示。该网络原先使用的是国外品牌的交换机，随着网络规模的扩大，增添了部分国产品牌的交换机，交换机1至交换机5均是国产10M/100M自适应交换机，交换机6和交换机7是第三层交换机。
 
图C1-4-1
该网络在运营过程中曾出现了下列故障：
故障1
使用“网络故障一点通”测试新建密集小区用户和三层交换机6之间的最大吞吐量，发现这些用户带宽都不超过10Mb/s。使用“在线型网络万用表”串联在三层交换机6和交换机4之间，测试数秒钟后，发现它们之间的传输速率也是10Mb/s。
故障2
故障现象：VIP小区用户不能上网，但能ping通路由器地址。
分析：由于VIP小区用户配置的是静态IP地址，而且处于同一网段，共用路由器上的一个地址作为网关地址。用户能ping通路由器，说明从用户到路由器间的路径是通的，因此需重点检查路由器。
操作过程如下：
首先，在路由器上，观察接口状态，未见异常。然后，用show ip route观察 （1） 表，未见异常。最后，再用show arp观察 （2） 表，发现路由器的MAC地址与工作人员以前保存在该表中的MAC地址不同，而是VIP小区中某个用户的MAC地址。
【问题1】（3分）
造成故障1的原因是什么？如何解决？
试题解析： 由于目前几乎所有的网络设备在出厂的时候网络端口的缺省设置都是10M/100M自适应。网络设备之间按照协议进行自适应，但是某些不同品牌的交换机可能由于硬件设计和制造的细微差别从而导致在连接后不能够相互地自适应，就好像本题中三层交换机6和交换机4，它们不能够相互地自适应，导致它们之间的用户带宽都不超过10Mb/s。出现这种情况后，解决方法是通过强制手段进行，强制将两交换机的LAN端口设置成为非自协商、100M的全双工模式。
答案：目前几乎所有的网络设备在出厂时网络端口的缺省设置都是10M/100M自适应。网络设备之间按照协议进行自适应，有些不同品牌的交换机在连接后不能相互地自适应（硬件设计和制造的细微差别都可能造成这种现象）。所以最终的结果是三层交换机6和交换机4没能适应，两个交换机之间的连接速度是10M半双工。
解决方法：将两交换机的LAN端口强制设置为非自协商、100M全双工模式。
【问题2】（4分）
将故障2中（1）和（2）两处合适的答案填入答题纸相应的解答栏内。（2分）
故障2如何解决？（2分）
试题解析：根据题意对故障2的分析，可以得知故障极有可能发生在路由器上。show ip route这个命令是显示IP路由表中的信息，所以第一个空应填“路由”。show arp这个命令是用来显示路由器的ARP表，包括IP地址和MAC地址的映射，而ARP是“Address Resolution Protocol”的缩写，即“地址解析协议”，所以第二个空填“地址解析协议”或ARP。 根据题意，对路由器进行检查后，发现路由器的MAC地址与工作人员以前保存在该表中的MAC地址不同，是VIP小区中某个用户的MAC地址。此时需要更新路由器的MAC地址表，具体做法是进入路由器端口配置模式，将该端口关闭后重新激活，路由器新的ARP表更新了到路由器的端口MAC地址，随后用户接入Internet恢复正常，故障排除。
答案：1、（1）路由（1分）  （2）地址解析协议（1分）  2、进入到路由器子接口配置模式，将该接口关闭后重新激活，路由器新的ARP表更新了到路由器子接口MAC地址表，随后用户接入Internet恢复正常，故障排除（2分）
【问题3】（8分）
路由器2上采用NAT技术。NAT中的动态地址翻译和IP地址伪装有什么区别？（3分）
图C1-4-2是路由器2上的地址伪装表，将图C1-4-2中（1）~（5）处空缺的信息填写在答题纸的相应位置。（5分）
 
图C1-4-2
试题解析： NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它允许一个整体机构以一个公用IP地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。这种技术主要解决IP地址的短缺问题。
动态地址翻译只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，可应用于拨号，对于频繁的远程联接也可以采用动态地址翻译。当远程用户联接上之后，动态地址翻译就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。动态地址翻译在子网外部使用少量的全局地址，通过路由器进行内部和外部的地址转换。它的好处是节约全局使用的IP地址，而且不需要改变于内部的任何配置，只需要在边界路由器中设置一个动态地址变换表就可以。动态地址翻译映射可以表示为M：N(M>N)。
IP伪装机制实际上就是一种M：1的动态网络地址翻译，它能够将多个内部网中的IP地址映射到一个与Internet相连接的外部网IP地址上，这样这些无法直接与Internet上的机器通讯的具有内部网IP地址的机器就可以通过这台映射机器与外界进行通讯。这种技术可以作为一种安全手段使用，借以限制外部对内部主机的访问。另外还可以利用这种技术实现虚拟主机和虚拟路由，以达到负载均衡和提高可靠性的目的。
根据NAT路由器伪装NAT表可以看到内部IP/端口号为90.0.0.5：1234对应的本地NAT端口号为65533，所以（1）处填65533，同理（4）填65534。
NAT不会更改接收方的IP地址和端口号，因此（2）填202.117.112.115，（5）填53.12.198.15。
IP伪装机制只使用一个外部网IP地址，因此可知（3）填192.168.12.161。
答案： 3、NAT技术主要解决IP地址短缺问题，动态地址翻译在子网外部使用少量的全局地址，通过路由器进行内部和外部地址的转换，好处是节约全局适用的IP地址，而且不需要改变子网内部的任何配置，只需在边界路由器中设置一个动态地址变换表就可以工作。
伪装用一个路由器的IP地址把子网中所有主机的IP地址都隐藏起来。伪装技术可以作为一种安全手段使用，借以限制外部对内部主机的访问。另外还可以用这种技术实现虚拟主机和虚拟路由，以便达到负载均衡和提高可靠性的目的。（3分）
4、 （1）65533  （2）202.117.112.115  （3）192.168.12.161
       （4）65534  （5）53.12.198.15  （每小题1分）