公網、內網是兩種Internet的接入方式。
內網接入方式:上網的計算機得到的IP地址是Inetnet上的保留地址,保留地址有如下3種形式:
10.x.x.x
172.16.x.x至172.31.x.x
192.168.x.x
內網的計算機以NAT(網絡地址轉換)協議,通過一個公共的網關訪問Internet。內網的計算機可向Internet上的其他計算機發送連接請求,但Internet上其他的計算機無法向內網的計算機發送連接請求。
公網接入方式:上網的計算機得到的IP地址是Inetnet上的非保留地址。公網的計算機和Internet上的其他計算機可隨意互相訪問。
NAT(Network Address Translator)是網絡地址轉換,它實現內網的IP地址與公網的地址之間的相互轉換,將大量的內網IP地址轉換爲一個或少量的公網IP地址,減少對公網IP地址的佔用。NAT的最典型應用是:在一個局域網內,只需要一臺計算機連接上Internet,就可以利用NAT共享Internet連接,使局域網內其他計算機也可以上網。使用NAT協議,局域網內的計算機可以訪問Internet上的計算機,但Internet上的計算機無法訪問局域網內的計算機。
Windows操作系統的Internet連接共享、sygate、winroute、unix/linux的natd等軟件,都是使用NAT協議來共享Internet連接。
所有ISP(Internet服務提供商)提供的內網Internet接入方式,幾乎都是基於NAT協議的。
隨着Internet的迅速發展,連接Internet的主機數量飛速增長,IP地址短缺與Internet發展的矛盾日益嚴重。那麼,如何有效解決目前IP地址短缺的問題呢?人們提出了許多解決的方案,NAT(Network Address Translation 網絡地址轉換)技術提供了一種完全將內部網絡和Internet網隔離的方法,讓內部網絡中的計算機通過少數幾個甚至一個IP(已申請的一個公網IP)訪問Internet資源,從而節省了IP地址,並得到廣泛的應用。
NAT簡介及發展的需要 搜一搜so.bitsCN.com
NAT的功能就是指在一個網絡內部根據需要,不需要經過申請而可以自定義的合法的IP地址。在網絡內部,各計算機間通過內部的IP地址進行通訊,而當內部的計算機要與外部Internet網絡進行通訊時,具有NAT功能的設備負責將其內部的IP地址轉換爲合法的IP(經過申請的IP)地址進行通信。
由於最初設計Internet的時候只考慮到政府、軍事、教育等方面的應用而沒有考慮到如今互聯網會商業化和民用化等大型規模發展,因而Internet使用的Ipv4協議中IP地址的長度選擇了32位。中國互聯網絡信息中心(CNNIC)最新報告顯示,現在通用的IPv4只能提供43億個地址,根據全球互聯網的發展速度,有限的IPv4地址將在2010年前後消耗殆盡。然而即將出現的IPv6被視作爲解決Internet不斷髮展的長期解決方案。
但是IPv6產業的發展和應用需要經歷確定技術標準、試驗、探討應用模式、大規模部署、試用、普及應用等六個階段,而目前全球IPv6網絡僅處於試驗階段。爲了解決全球互聯網地址枯竭的這種潛在危機,NAT在這期間可以作爲一個比較完善的臨時過度和補充,可以說是IPv4地址短缺的“福音”。
從理論上來講,藉助NAT技術可以實現利用一個合法的IP地址連接幾百臺、甚至幾百萬臺內部網絡地址主機。可以有效的減少IP地址的使用,節省大量的IP地址資源,緩解IPv4地址的不足問題,有利IPv6的發展。 搜一搜so.bitsCN.com
NAT技術的應用
bitsCN.Com網管聯盟
NAT包括有靜態NAT、動態地址NAT和端口多路複用地址轉換三種技術類型。靜態NAT是把內部網絡中的每個主機地址永久映射成外部網絡中的某個合法地址;動態地址NAT是採用把外部網絡中的一系列合法地址使用動態分配的方法映射到內部網絡;端口多路複用地址轉換是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要,選擇相應的NAT技術類型。 Play.bitsCN.com小遊戲
由1994年NAT技術問世以來,NAT技術很快在企業LAN領域得到廣泛應用。目前,NAT技術主要用於連接和安全方面。目前企業內部網絡用戶數量大,而能申請的合法的全球唯一IP地址有限。NAT能夠有效的解決企業IP地址短缺問題,利用NAT技術能夠實現多個用戶共同使用一個合法的IP地址連接互聯網。而另一種需要出於安全方面來考慮,在一定程度上防範網絡攻擊的發生。企業期望隱藏LAN內部網絡結構,NAT可以將內部LAN與外部Internet隔離,使外部網絡用戶無法瞭解通過NAT設置的內部IP地址。
NAT技術在企業中都採取兩種技術類型結合應用,比較好的還是和端口複用地址轉換。結合起來的技術如:端口複用地址轉換、TCP/UDP端口NAT映射、靜態地址轉換+端口複用地址轉換、動態地址轉換+端口複用地址轉換。
bitsCN.Com網管聯盟
如果ISP提供的合法IP地址數量較多,當然可以採用靜態地址轉換+端口複用動態地址轉換技術得以完美實現。然而,如果只獲得1個合法IP地址,雖然可以採用端口複用地址轉換技術,實現整個網絡的Internet接入。但是,由於服務器也採用動態端口,Internet中的計算機將無法訪問到網絡內部的服務器。有沒有好的解決問題的方案呢?當然,這就是TCP/UDP端口NAT映射。既然只有一個可用的合法IP地址,當然採用端口複用方式來實現NAT。不過,由於同時有要求網絡內部的服務器要被Internet訪問到,因此必須採用PAT創建TCP/UDP端口的NAT映射。
我們知道,不同應用程序使用TCP/UDP端口是不同的,例如,WEB服務器使用80、 FTP服務使用21、SMTP服務使用25、POP3服務使用110等。由於每種應用服務器都有自己默認的端口,所以這種NAT方式下,網絡內部每種應用服務器成爲Internet中的主機,例如,只能有一臺WEB服務器、一臺E-mail服務、一臺FTP服務器。儘管可以採用改變默認端口的方式創建多臺應用服務器,但這種服務器在訪問時比較困難,要求用戶必須先了解某種服務採用的新TCP端口。因此,可以將不同的TCP端口綁定至不同的內部IP地址,從而只使用一個IP地址,即可在允許內部所有服務器被Internet訪問的同時,實現內部所有主機對Internet的訪問。
根據企業的網絡環境利用TCP/UDP端口映射的應用,如企業網絡採用1000Mbps光纖接入Internet。路由器選用擁有2個10/100/1000Mbps自適應端口的Cisco2821。內部網絡使用的IP地址段爲192.168.1.1~192.168.1.254(根據內部網絡規模而定),局域網端口Ethernet 0 的IP地址爲192.168.1.1,子網掩碼爲255.255.255.0。網絡分配的合法IP地址範圍爲202.99.16.128~202.99.160.135,子網掩碼爲255.255.255.248,連接ISP的端口Ethernet 1的IP地址爲211.82.220.129,子網掩碼爲255.255.255.252,可用於轉換IP地址爲211.82.220.130。可以配置相同類型的多個服務器,如多個WEB服務器,多個E-mail服務器等。
具體配置文件如下:
Interface fastethernet 0/0
Ip address 192.168.100.1 255.255.255.0
!—-定義本地端口IP地址
Ip nat inside
!—-定義爲本地端口
Interface fastethernet 0/1
Ip address 202.99.160.129 255.255.255.252
!—-定義廣域網端口IP地址
Ip nat outside
!—-定義爲廣域網端口
Access-list 1 permit 192.168.100.0 0.0.0.255
!—-定義本地訪問列表
Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248
!—-定義multiip地址池的IP範圍
Ip nat inside source list 1 mullitip overload
Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80
Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80
Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80
!—-將80端口映射爲192.168.1.11~13的80端口(WEB1-3)
Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21
Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21 DL.bitsCN.com網管軟件下載
!—-將21端口映射爲192.168.1.14~15的21端口(FTP1-2)
Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25
Ip nat inside source static tcp 192.168.1.16 110 202.99.16.133 110
Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25
Ip nat inside source static tcp 192.168.1.17 110 202.99.16.134 110
!—-將25和110端口映射爲192.168.1.16~17的25和110端口(mail1-2)
在企業中因根據具體的網絡環境與條件選擇相應的組合方式。在許多FTP網站考慮到服務器性能和Internet連接帶寬的佔用問題,都限制同一IP地址的多個進程訪問。該選擇動態地址轉換+端口複用地址轉換。在很多時候,服務器即爲企業內部客戶提供網絡服務,同時又要爲Internet中的用戶提供訪問服務,選擇靜態地址轉換+端口複用地址轉換是一種比較好的方案。當ISP只提供一個合法IP地址,網絡又沒有特殊需要,使用端口複用地址轉換技術,既能節省了IP地址的同時,又可有效的保護網絡內部計算機。 DL.bitsCN.com網管軟件下載
除了在連接和隱藏方面的應用,NAT設備能實現負載平衡。DNS系列服務器羣中多個IP地址公用一個域名,由於IP客戶端會緩衝DNS/IP地址解析,從而使其後續申請延遲達到同一個IP地址,在一定程度上減弱了DNS系列服務器的作用。而基於NAT的負載平衡方案,可以有效的避免這類問題。NAT設備是把需要負載的平衡的多個IP地址翻譯成一個公用的IP地址,每個TCP連接被NAT送到一個IP地址,使後續的TCP連接被NAT送到下一個IP地址來實現真正的負載平衡。除此之外,NAT技術能夠在用戶更改ISP時避免了對內部網絡進行重新編址,同時減少用戶網絡接入的費用等問題。
BBS.bitsCN.com國內最早的網管論壇
NAT技術潛在的管理和安全的威脅
在NAT應用中,從外網表面上看來是直接與NAT設備通信。當內部網絡的數據包被髮送到NAT設備的IP地址上,NAT設備將目的數據包頭地址由自己的一個合法IP地址變成真正的目的主機的內部網絡地址。理論上實現起來沒有問題,但是實際中存在一些缺陷。然而NAT對多個專用網絡的合併和組合時,NAT系統不支持多層嵌套,從網絡管理方面加大了難度。 bitsCN.Com網管聯盟
許多Internet協議和應用依賴於真正的端到端網絡,數據包要求在沒有修改情況下從源地址發往目的地址。像IP安全架構不能跨NAT設備使用,由於IP源地址發出的數據包採用了數字簽名,如果改變源地址數字簽名就會失效。在數據加密和數字簽名上存在着安全隱患。NAT技術能夠隱藏內部網絡,但是攻擊者獲得對NAT設備的控制,並認爲是內部連接的請求而被允許,它可以任意授權身份對網絡進行訪問,這時候網絡將變得非常脆弱。 搜一搜so.bitsCN.com
NAT設備的放置位置也是影響內部網絡安全的一個問題。由於NAT會改變信源和信宿地址,如NAT設備和防火牆的位置,放在防火牆保護的一側,防火牆將不得不負責NAT設備的安全規則,同時對內部的信源或信宿地址也不能確定。如果放在防火牆的另一側,外部網絡攻擊者有可能僞裝成內部的合法授權用戶對網絡的訪問或攻擊。在使用IP安全協議的虛擬專用網中對NAT設備的放置位置也是一個考驗,如果放在虛擬專用網的保護一側,NAT需要改動IP報頭的地址,然而IP安全協議中的報頭源地址是不能改變的,改變了將不能確定源報頭的出處,失去了IP安全協議中的安全機制。NAT技術的管理與網絡的安全是密切相關的,由於NAT設備小的疏忽而造成網絡安全威脅。 BBS.bitsCN.com國內最早的網管論壇
NAT技術無可否認是在IPv4地址資源的短缺時候起到了緩解作用;在減少用戶申請ISP服務的花費和提供比較完善的負載平衡功能等方面帶來了不少好處。但是在IPv4地址在以後幾年將會枯竭,NAT技術不能改變IP地址空間不足的本質。然而在安全機制上也潛在着威脅,在配置和管理上也是一個挑戰。如果要從根本上解決IP地址資源的問題,IPv6纔是最根本之路。在IPv4轉換到IPv6的過程中,NAT技術確實是一個不錯的選擇,相對其他的方案優勢也非常明顯。
我們知道,利用VMwareWorkstation,主機和虛擬機可以組建“橋接”網絡、“僅主機”網絡,在這兩種類型的網絡中,要配置虛擬機上Internet非常麻煩,有沒有更爲簡單的方法呢?答案是肯定的,那就是使用NAT網絡。本篇的目的,就是在筆者的電腦上組建一個三機NAT本地網絡,讓網絡中的虛擬機非常方便地訪問Internet。
三機網絡的功能:筆者配置的這個三機NAT本地網絡,虛擬機和主機之間,虛擬機和虛擬機之間可以互相共享資源。主機通過ADSL連接到Internet,虛擬機能以主機公網的IP地址訪問Internet。
主機配置:筆者的電腦上安裝Realtek 8139以太網卡,通過外置ADSL把主機連接到Internet。Intel(R) Celeron(TM) 1.00GHz處理器,192M內存。Windows XP操作系統,計算機名爲H-WINXP,屬ABC工作組,安裝有VMware Workstation 5.0.0 buil-13124漢化版。
虛擬機配置:本例中使用兩臺虛擬機,分別是:
Virtual PC(虛擬機名稱):安裝Windows 98操作系統,計算機名爲G-WIN98,屬ABC工作組;
Virtual PC(2)(虛擬機名稱):安裝Windows 98操作系統,計算機名爲G-WIN98(2),也屬ABC工作組。
下面,我們先來連通這個三機本地網絡,也就是說,我們先讓這三臺計算機能夠互相共享資源。
在正式組網之前,我先介紹一下組建NAT網絡需要使用的網絡設備。
1. 主機的以太網適配器。以太網適配器也就是我們平常所說的“網卡”,在主機上,我已配置了一塊以太網適配器,不過該適配器已和Internet連接,要和虛擬機組成一個本地網絡,還需另外的一塊以太網適配器。VMware Workstation安裝後,就在主機爲我們虛擬了這樣一塊適配器,打開主機的設備管理器,如圖1所示,“VMware Network Adapter VMnet8”就是一塊和虛擬機通訊的虛擬以太網適配器,在這裏,爲了和其他適配器區別,我把它叫做NAT適配器(至於爲什麼把它叫做NAT適配器,在下文中,我還會對它作較爲詳細地介紹)。
我們知道,利用VMwareWorkstation,主機和虛擬機可以組建“橋接”網絡、“僅主機”網絡,在這兩種類型的網絡中,要配置虛擬機上Internet非常麻煩,有沒有更爲簡單的方法呢?答案是肯定的,那就是使用NAT網絡。本篇的目的,就是在筆者的電腦上組建一個三機NAT本地網絡,讓網絡中的虛擬機非常方便地訪問Internet。
三機網絡的功能:筆者配置的這個三機NAT本地網絡,虛擬機和主機之間,虛擬機和虛擬機之間可以互相共享資源。主機通過ADSL連接到Internet,虛擬機能以主機公網的IP地址訪問Internet。
主機配置:筆者的電腦上安裝Realtek 8139以太網卡,通過外置ADSL把主機連接到Internet。Intel(R) Celeron(TM) 1.00GHz處理器,192M內存。Windows XP操作系統,計算機名爲H-WINXP,屬ABC工作組,安裝有VMware Workstation 5.0.0 buil-13124漢化版。
虛擬機配置:本例中使用兩臺虛擬機,分別是:
Virtual PC(虛擬機名稱):安裝Windows 98操作系統,計算機名爲G-WIN98,屬ABC工作組;
Virtual PC(2)(虛擬機名稱):安裝Windows 98操作系統,計算機名爲G-WIN98(2),也屬ABC工作組。
下面,我們先來連通這個三機本地網絡,也就是說,我們先讓這三臺計算機能夠互相共享資源。
在正式組網之前,我先介紹一下組建NAT網絡需要使用的網絡設備。
1. 主機的以太網適配器。以太網適配器也就是我們平常所說的“網卡”,在主機上,我已配置了一塊以太網適配器,不過該適配器已和Internet連接,要和虛擬機組成一個本地網絡,還需另外的一塊以太網適配器。VMware Workstation安裝後,就在主機爲我們虛擬了這樣一塊適配器,打開主機的設備管理器,如圖1所示,“VMware Network Adapter VMnet8”就是一塊和虛擬機通訊的虛擬以太網適配器,在這裏,爲了和其他適配器區別,我把它叫做NAT適配器(至於爲什麼把它叫做NAT適配器,在下文中,我還會對它作較爲詳細地介紹)。
虛擬機配置:本例中使用兩臺虛擬機,分別是:
Virtual PC(虛擬機名稱):安裝Windows 98操作系統,計算機名爲G-WIN98,屬ABC工作組;
Virtual PC(2)(虛擬機名稱):安裝Windows 98操作系統,計算機名爲G-WIN98(2),也屬ABC工作組。
下面,我們先來連通這個三機本地網絡,也就是說,我們先讓這三臺計算機能夠互相共享資源。
在正式組網之前,我先介紹一下組建NAT網絡需要使用的網絡設備。
1. 主機的以太網適配器。以太網適配器也就是我們平常所說的“網卡”,在主機上,我已配置了一塊以太網適配器,不過該適配器已和Internet連接,要和虛擬機組成一個本地網絡,還需另外的一塊以太網適配器。VMware Workstation安裝後,就在主機爲我們虛擬了這樣一塊適配器,打開主機的設備管理器,如圖1所示,“VMware Network Adapter VMnet8”就是一塊和虛擬機通訊的虛擬以太網適配器,在這裏,爲了和其他適配器區別,我把它叫做NAT適配器(至於爲什麼把它叫做NAT適配器,在下文中,我還會對它作較爲詳細地介紹)。
2. 交換機VMnet8。要做網絡,交換機就是必不可少得了,利用它,我們可以把多臺虛擬機和主機連接到一塊。VMware Workstation安裝後,也爲我們虛擬了這樣一臺交換機,如圖2所示,VMware Workstation共虛擬了10臺交換機,其中VMnet8專用組織NAT網絡,在默認設置下,它已與主機的NAT適配器相連接。
3. 虛擬機的以太網適配器。前面我們只講了主機上的以太網適配器,要把主機和虛擬機連接到一塊,除了主機的NAT適配器、連接各計算機要使用的交換機外,虛擬機也需要一塊以太網適配器。利用“新建虛擬機嚮導”創建一臺虛擬機時,不論你使用何種網絡類型,哪種操作系統,VMware Workstation都會爲你創建的虛擬機安裝一塊以太網適配器,打開虛擬機的設備管理器,如圖3所示,“AMD PCNET PCI”就是我們準備用來做NAT網絡的以太網適配器。
介紹完了組織NAT網絡需要使用的網絡設備外,下面我們開始正式組網。
在VMware Workstation的“摘要視圖”中,單擊“編輯虛擬機設置”打開虛擬機Virtual PC的“虛擬機設置”對話框,如圖4所示,在“硬件”選項卡中,單擊“以太網”,在右側選擇“NAT,用來共享主機的IP地址”單選框,最後單擊“確定”,這樣,我們的Virtual PC虛擬機就通過交換機VMnet8連接到主機的NAT適配器了。好了,主機和虛擬機Virtual PC的“物理”連接我已完成了,接下來的工作,就是啓動虛擬機,爲它安裝必要的網絡組件和分配本地網IP地址。
計算機要通訊,除了在硬件上要做到互連互通外,在軟件上還需要獲得相應的支持。我們知道,大多數的網絡軟件都是客戶/服務器的結構,在一個局域網中,兩臺計算機要共享資源,也需要這樣結構的軟件,在Windows系列的操作系統中,Microsoft已爲我們做好了這樣的軟件,這就是 “Microsoft網絡客戶”和“Microsoft網絡上的文件與打印機共享”服務。另外,要使兩臺互不相同的計算機相互通訊或對話,還需要在兩臺計算機之間有一組通訊規則或者說是翻譯,這就是我們經常所說的“協議”。TCP/IP是目前十分流行的一組通訊協議,幾乎所有的操作系統都對它提供支持,它可提供任意互連的計算機和網絡間的通訊,是目前Internet的基礎。
下面,我們就來爲虛擬機Virtual PC安裝上述的“客戶”、“服務”和“協議”等網絡組件。
Virtual PC虛擬機安裝的是Windows 98操作系統,在虛擬機的桌面上右擊網上鄰居圖標,在彈出的快捷菜單上選擇“屬性”打開“網絡”對話框,如圖5所示,單擊“添加”就可爲虛擬機安裝上文所述的網絡組件。
安裝了TCP/IP通訊協議,我們就可爲虛擬機分配IP地址了。IP地址可以手動分配,在圖5上,單擊“屬性”打開和虛擬機以太網適配器綁定的TCP/IP協議的“TCP/IP設置”對話框,如圖6所示,選擇“指定IP地址”單選框,在IP地址一欄中輸入“192.168.133.3”,子網掩碼一欄中輸入“255.255.255.0”,最後單擊“確定”,這樣,這臺虛擬機在本地網絡上的IP地址就被我們固定爲 “192.168.133.3”了。
~05~06
VMware Workstation安裝後,它爲主機安裝了一個DHCP服務,利用該服務,我們可以非常方便地爲虛擬機自動分配一個動態的IP地址,本篇中,我們採用 DHCP服務爲虛擬機自動分配動態IP的方法:在圖6上,選擇“自動獲取IP地址”單選框,單擊“確定”後重新啓動虛擬機,該虛擬機就會獲得一個自動分配的動態IP地址。
提示:在這裏需要特別注意,如果你手動分配IP地址,IP地址不要亂使用。VMwareWorkstation安裝後,它會爲使用VMnet8交換機組織的網絡指定一個子網,在VMwareWorkstation的菜單欄上選擇“編輯→虛擬網絡設置”命令打開“虛擬網絡編輯器”對話框,切換到“DHCP”選項卡,如圖7所示,這就是本例中VMnet8使用的子網,這也就是說,不論是手動分配,還是由DHCP服務自動動態分配IP地址,對於在網絡中所有使用VMnet8交換機連接的計算機,都要使用該子網。另外,爲了防止把同一IP地址分配給兩個或多個虛擬機,對於手動分配和自動分配的IP地址,VMwareWorkstation也有規定。在圖7上選擇VMnet8,單擊屬性,如圖8所示,DHCP服務能夠自動分配的IP地址只有“開始IP地址”到“結束IP地址”的這一部分,而對於“192.168.133.3”-“192.168.133.127”的這些IP地址,我們就可以自己支配固定分配給虛擬機了。此外,地址“192.168.133.1”已有VMwareWorkstation保留給了NAT適配器,“192.168.133.2”是網關地址,“192.168.133.255”是默認的廣播地址,若你要手動分配IP地址,這些地址都不能再分配給任何虛擬機使用。
按照同樣的方法,我們把虛擬機Virtual PC(2)也連接到主機的NAT適配器併爲它安裝必需的網絡組件,至於該虛擬機的IP地址,你可以不作任何設置,這是因爲在默認設置下,網絡中計算機的 IP地址總是自動獲取的,所以,只要DHCP服務處於“已啓動”狀態,虛擬機就會自動獲得一個動態的IP地址。
好了,經過上面的幾步,我們已爲這三臺機器完成了“物理”連接,配置了操作系統支持,接下來的工作,就是要測試一下它們是否暢通。
同時啓動兩臺虛擬機,在虛擬機Virtual PC的桌面上打開網上鄰居窗口,如果在該窗口中你能找到網絡中的其它計算機,那麼祝賀你,你組網成功了。如圖9所示,這是我組網成功後網上鄰居的窗口,在這個窗口中,如果在主機和虛擬機中設置了共享,那麼,虛擬機和虛擬機,虛擬機和主機就可以互相交換資源了。
三機組建的NAT網絡我們已經連通了,下面,我們來把這兩臺虛擬機連接到Internet。
實際上,在NAT網絡中,當我們做通本地網絡後,如果你的主機連接上了Internet,那麼虛擬機就已經能訪問因特網了。不信,在IE瀏覽器的地址欄中輸入幾個網址你試試。
也許你很驚奇,爲什麼會這樣呢?
關鍵還在於主機上的那個NAT適配器。對於這個適配器,你不能把它看做一般意義上的以太網適配器,該適配器除了爲虛擬機和主機提供了一個數據通訊的接口,具有一般以太網適配器的功能外,還具有NAT的功能。那什麼又叫NAT呢?
NAT,“Network Address Translation”的縮寫,翻譯爲中文就是“網絡地址翻譯”,VMware Workstation安裝後,它在主機上虛擬了一塊名叫“VMware Network Adapter VMnet8”的適配器,該適配器除了具有一般網卡的功能外,還具有NAT的功能,這就是在文本中,我爲什麼總是把它叫做NAT適配器的原因。
本地網連通以後,NAT適配器等待來自虛擬機的數據包,當虛擬機通過NAT適配器訪問公網時,NAT適配器就會把虛擬機的本地IP地址轉換爲主機的公網IP地址,讓虛擬機以主機公網的IP去訪問Internet;當本地網絡中虛擬機請求的來自外部網絡的數據包到達時,NAT適配器接收數據,並使用虛擬機的地址替換網絡地址,然後轉發數據包到虛擬網絡上的虛擬機。這就是在NAT網絡中,爲什麼本地網絡一做通,虛擬機就能訪問 Internet的真正原因。
下面,我們來做個試驗,看看在NAT網絡中,當虛擬機訪問Internet時,是不是以主機的公網IP去訪問Internet的。
在做個試驗時,需要查看主機和虛擬機的IP地址,你可以使用操作系統自帶的命令或工具,也可以藉助其它軟件,在這裏,我使用軟件IP2。
單擊主機的Internet連接把主機連接到Internet,接下來,啓動兩臺虛擬機,保證三機組成的本地網絡暢通且兩臺虛擬機都能訪問Internet,現在,我們分別在兩臺虛擬機上啓動IP2,用IP2查看它們的公網IP地址和本地IP地址。下面是在我的電腦上抓取的圖像: 
圖10是在主機上使用操作系統自帶的命令“ipconfig”在CMD命令提示符窗口中抓取的圖像,如圖所示, “222.57.88.224”是由ISP分配的主機訪問公網的IP地址,192.168.133.1是VMware Workstation保留給NAT適配器的IP地址;
圖11是在虛擬機Virtual PC上使用軟件IP2抓取的圖像,如圖所示,“222.57.88.224”是虛擬機Virtual PC訪問公網的IP地址,“192.168.133.128”是DHCP服務爲虛擬機Virtual PC自動動態分配的本地網IP地址;
圖12是在虛擬機Virtual PC(2)上使用軟件IP2抓取的圖像,如圖所示,“222.57.88.224”是虛擬機Virtual PC(2)訪問公網的IP地址,“192.168.133.129”是DHCP服務爲虛擬機Virtual PC(2)自動動態分配的本地網IP地址。
從上面的三張圖片可以看出,我們的兩臺虛擬機確實獲得了和主機一樣的IP地址,從本質上來說,ISP不可能同時爲我們的三臺機器同時分配同一個IP地址,之所以是這樣,都是NAT適配器網絡地址轉換的結果,當然了,這種地址轉換是一個非常複雜的過程,但不論有多麼複雜,從上面介紹的過程我們可以看出,NAT網絡確實是虛擬機訪問Internet最簡單的方法,所以,如果你不希望做過多的設置就能讓你的虛擬機訪問Internet,那麼 NAT網絡一定會幫你實現這一目的。
