虛擬機(jī)的網(wǎng)絡(luò).docx

配置虛擬機(jī)的網(wǎng)絡(luò) 光有虛擬機(jī)是不夠的，我們需要使用虛擬機(jī)和真實(shí)主機(jī)以及其他的虛擬機(jī)進(jìn)行通訊。通訊分兩個部分，一個是局域網(wǎng)內(nèi)的，另一個是連接到公網(wǎng)的。這一部分是重點(diǎn)，三種不同模式的用途就要揭曉。（1）橋接模式：拓?fù)洌?如果你的真實(shí)主機(jī)在一個以太網(wǎng)中，這種方法是將你的虛擬機(jī)接入網(wǎng)絡(luò)最簡單的方法。虛擬機(jī)就像一個新增加的、與真實(shí)主機(jī)有著同等物理地位的一臺電腦，橋接模式可以享受所有可用的服務(wù)；包括文件服務(wù)、打印服務(wù)等等，并且在此模式下你將獲得最簡易的從真實(shí)主機(jī)獲取資源的方法。 （2）host only模式：拓?fù)洌篐ost-only模式用來建立隔離的虛擬機(jī)環(huán)境，這這種模式下，虛擬機(jī)與真實(shí)主機(jī)通過虛擬私有網(wǎng)絡(luò)進(jìn)行連接，只有同為Host-only模式下的且在一個虛擬交換機(jī)的連接下才可以互相訪問，外界無法訪問。host only模式只能使用私有IP，IP,gateway,DNS都由VMnet 1來分配。（3）NAT模式：拓?fù)洌篘AT（network address translation）模式其實(shí)可以理解成為是方便地使虛擬機(jī)連接到公網(wǎng)，代價是橋接模式下的其他功能都不能享用。凡是選用NAT結(jié)構(gòu)的虛擬機(jī)，均由VMnet 8提供IP,gateway,DNS。下面講講具體操作。橋接模式：前面我已經(jīng)提到，橋接模式是最簡單的，使用橋接模式后虛擬機(jī)和真實(shí)主機(jī)的關(guān)系就好像兩臺接在一個hub上的電腦，想讓他們倆進(jìn)行通訊，你需要為雙方配置IP地址和子網(wǎng)掩碼，從圖中可以看出，如果你不配置虛擬機(jī)，虛擬機(jī)也沒有辦法得到DHCP分到的IP地址，所以只能使用169.254.這個段。曾經(jīng)有些朋友試圖改在真實(shí)主機(jī)中安裝VM后生成的VMnet1和VMnet8這兩塊網(wǎng)卡的IP，這種做法是錯誤的，作為連接底層硬件的驅(qū)動程序它們不需要、也不能作修改。21假設(shè)真實(shí)主機(jī)網(wǎng)卡上的IP地址被配置成192.168這個網(wǎng)段，則虛擬機(jī)的IP也要配成192.168這個網(wǎng)段，這樣虛擬機(jī)才能和真實(shí)主機(jī)進(jìn)行通訊。如果想在橋接模式下連入internet，方法也很簡單，你可以直接在虛擬機(jī)上安裝一個撥號端，如圖所視22撥號成功以后你就可以上internet了，別以為虛擬機(jī)是假的撥號就也是假的，這時候你就已經(jīng)在花網(wǎng)費(fèi)了！當(dāng)然如果你想通過ICS、NAT或者是代理上網(wǎng)也可以，做法和在普通電腦上做沒區(qū)別。Host only模式：Host only模式和橋接模式的差別并不大，host only模式下會由VMnet 1的DHCP server來提供IP,gateway,DNS。23如果你嘗試使用手動分配固定IP，你會發(fā)現(xiàn)即使你將IP地址配成和真實(shí)主機(jī)一個網(wǎng)段，你也無法和真實(shí)主機(jī)進(jìn)行聯(lián)系，這是VMnet 1對你的限制，所以使用VMnet 1給你提供的IP是唯一的選擇。24如果想在host only模式下接入internet你只能使用ICS和代理，因?yàn)橹挥羞@兩種方式可以在使用DHCP的情況下上網(wǎng)。NAT模式：首先大家要清楚VMware下的NAT和windows NT里routing and remote access的那個NAT一點(diǎn)關(guān)系都沒有，它們之間沒有任何影響。在VMware下使用NAT模式主要的好處是可以隱藏虛擬機(jī)的拓?fù)浜蜕蟟nternet時極為方便。NAT模式由VMnet 8的DHCP server提供IP,gateway,DNS。25和在host only模式下一樣，如果你試圖使用手動分配固定IP，由于VMnet 8的限制，你仍然無法和真實(shí)主機(jī)進(jìn)行通訊。不過在NAT模式下接入internet就非常簡單了，你不需要做任何配置，只需要真實(shí)主機(jī)連接到internet后虛擬機(jī)就也可以接入internet了。26VMware的NAT功能還不止這些，它竟然還能做端口映射和TCP、UDP阻斷！不覺得還缺點(diǎn)兒什么嗎？對，有一個重要功能還沒有說，之所以留到最后是因?yàn)檫@部分是最復(fù)雜的，那就是27虛擬網(wǎng)絡(luò)設(shè)置這部分的功能我覺得一般的用戶已經(jīng)用不到了，因?yàn)樗淖饔檬鞘褂肰M的高度可擴(kuò)展網(wǎng)絡(luò)模型組建非常復(fù)雜的局域網(wǎng)，我相信這才是新的VMware的精華所在。28這是VMware的一個復(fù)雜拓?fù)涞膶?shí)例，它自定義了VMnet 2和VMnet 3這些都要用到定義每個VMnet的DHCP和NAT，總之是非常復(fù)雜了，而且這樣做只有在虛擬機(jī)群非常龐大的時候才用得到。一、VMware三種網(wǎng)絡(luò)連接方式的概念BRIDGED:就是“橋”的意思，說起橋接，就不能不說局域網(wǎng)。比如我們有兩個局域網(wǎng)絡(luò)，他們的ip段都處于 192.168.0.*，同時，我們希望把這兩個網(wǎng)絡(luò)鏈接起來，這中情況下，我們就可以采用橋接。這個時候，“橋”就是一個主機(jī)，這個機(jī)器擁有兩塊網(wǎng)卡， 分別處于兩個局域網(wǎng)中，同時在“橋”上，運(yùn)行著程序，讓局域網(wǎng)A中的所有數(shù)據(jù)包原封不動的流入B，反之亦然。這樣，局域網(wǎng)A和B就無縫的在鏈路層連接起來 了（當(dāng)然要保證兩個局域網(wǎng)沒有沖突的 IP）。這就是橋的作用，在鏈路層無縫的溝通兩個局域網(wǎng)。而VMWare的橋也是同樣的道理，只不過，本來作為硬件的一塊網(wǎng)卡，現(xiàn)在由VMWare軟件虛擬而來罷了！當(dāng) 采用橋接時，VMWare會虛擬一塊網(wǎng)卡和真正的物理網(wǎng)卡進(jìn)行橋接，這樣，發(fā)到物理網(wǎng)卡的所有數(shù)據(jù)包就到了VMWare虛擬機(jī)，而由VMWare發(fā)出的數(shù) 據(jù)包也會通過橋從物理網(wǎng)卡的那端發(fā)出，這樣，如果物理網(wǎng)卡可以上網(wǎng)，那么橋接的軟網(wǎng)卡也沒有問題了，這就是橋接上網(wǎng)的原理了。在橋接時，VMWare網(wǎng)卡和物理網(wǎng)卡應(yīng)該處于同一個ip網(wǎng)段，所以在虛擬機(jī)中ping物理 網(wǎng)卡ip，或者在主機(jī)中ping虛擬機(jī)網(wǎng)卡ip，都可以ping通。NAT：也就是network address translate的簡稱。網(wǎng)絡(luò)地址轉(zhuǎn)換，這個技術(shù)是為了讓象192.168.*.*這樣的私有ip段能夠訪問internet而開發(fā)的。私有ip段，可 以由任何公司和個人使用，所以世界上有無數(shù)電腦使用了192.168.0.111這樣的地址，而這個地址絕對不能出現(xiàn)在internet上，因?yàn)檫@肯定會 造成路由的失敗。但是，ip地址的稀缺讓我們必須采用這種共享ip的方案，同時還要允許這些機(jī)器訪問internet。這樣的前提下，NAT就應(yīng)運(yùn)而生 了。NAT技術(shù)應(yīng)用在internet網(wǎng)關(guān)和路由器上，比如192.168.0.111這個地址 要訪問internet，它的數(shù)據(jù)包就要通過一個網(wǎng)關(guān)或者路由器，而網(wǎng)關(guān)或者路由器擁有一個能訪問internet的ip地址，這樣的網(wǎng)關(guān)和路由器就要在 收發(fā)數(shù)據(jù)包時，對數(shù)據(jù)包的IP協(xié)議層數(shù)據(jù)進(jìn)行更改（即 NAT），以使私有網(wǎng)段的主機(jī)能夠順利訪問internet。我想到的一個最典型的例子，就要算我的大學(xué)宿舍了。宿舍內(nèi)部網(wǎng)段192.168.1. ，通過路由器進(jìn)入校園局域網(wǎng)10.10.110.，然后通過學(xué)校網(wǎng)關(guān)，進(jìn)入internet。這個過程中，宿舍的路由器做了一次NAT，而學(xué)校的網(wǎng)關(guān)又 做了一次NAT。VMWare的NAT上網(wǎng)采用的技術(shù)是一樣的，它在主機(jī)和虛擬機(jī)之間用軟件偽造出一塊網(wǎng)卡，這塊網(wǎng)卡和虛擬機(jī)的ip處于一個地址段。同時，在這塊網(wǎng)卡和主 機(jī)的網(wǎng)絡(luò)接口之間進(jìn)行NAT。虛擬機(jī)發(fā)出的每一塊數(shù)據(jù)包都會經(jīng)過虛擬網(wǎng)卡，然后nat，然后由主機(jī)的接口發(fā)出。在這種條件下，由于虛擬機(jī)和主機(jī)不在同一個ip段，但是主機(jī)相當(dāng)于虛擬機(jī)的網(wǎng)關(guān)，所以虛擬機(jī)能ping到主 機(jī)的ip，但是主機(jī)ping不到虛擬機(jī)的ip。 Host-only:顧名思義，這種技術(shù)提供的是主機(jī)和虛擬機(jī)之間的網(wǎng)絡(luò)互訪，而 不是虛擬機(jī)訪問internet的技術(shù)。如果你只想讓虛擬機(jī)和主機(jī)之間有數(shù)據(jù)交換，而不需要讓虛擬機(jī)訪問internet，就采用這個設(shè)置，但并不是說虛 擬機(jī)不能實(shí)現(xiàn)上。Host-only的條件下，VMWare在真正的Windows系統(tǒng)中，建立一塊軟網(wǎng)卡。這塊網(wǎng)卡可以在網(wǎng)絡(luò)連接中看到，這塊網(wǎng)卡的作用就是使windows看到虛擬機(jī)的IP。由于，這種技術(shù)就是將主機(jī)和虛擬機(jī)通過一個ip段的網(wǎng)卡聯(lián)系起來，所以雙都可以ping到對方。二、實(shí)際問題想明白了以上問題后，再去觀察實(shí)際中出現(xiàn)的問題，就很好理解了。在學(xué)校時 候，我采用bridge技 術(shù)使虛擬機(jī)訪問internet，而到家之后，采用了adsl上網(wǎng)，卻行不通了。問題就在于，bridge是通過橋接虛擬機(jī)的網(wǎng)卡和物理網(wǎng)卡來實(shí)現(xiàn)虛擬機(jī)訪問 internet的，這要求實(shí)際的物理網(wǎng)卡必須能訪問internet。學(xué)校采用的是局域網(wǎng)，這一點(diǎn)可以滿足，但是家里采用的adsl。adsl上網(wǎng)，采 用的pppoe技術(shù)，就是在網(wǎng)卡之上建立起一個ppp連接。這種條件下，所有數(shù)據(jù)包是通過ppp封裝之后發(fā)出的，雖然也是從網(wǎng)卡發(fā)出，但是包的形式就和普 通的internet數(shù)據(jù)包不一樣了。也就是說，實(shí)際的物理網(wǎng)卡已經(jīng)沒有直接訪問internet的能力了。而必須通過ppp接口封裝的數(shù)據(jù)包，才能訪問 internet。為了使虛擬機(jī)能夠訪問internet，我們必須使虛擬機(jī)的數(shù)據(jù)包從ppp接口發(fā)出去，也就是從adsl的連接發(fā)出去。這個時候，NAT技術(shù)就可以派上用 場了。只要采用NAT，讓虛擬機(jī)的數(shù)據(jù)包經(jīng)由adsl連接來收發(fā)，就可以解決上網(wǎng)問題了。理 論如此，實(shí)際操作如下：如上圖，選擇一塊虛擬網(wǎng)卡，作為NAT使用的網(wǎng)卡。并且，設(shè)置好虛擬網(wǎng)段（要和虛擬機(jī)里系統(tǒng)的ip處于一個網(wǎng)段）。如上圖，將設(shè)置好的用于NAT的網(wǎng)卡和虛擬機(jī)的虛擬網(wǎng)卡綁定。然后，進(jìn)入虛擬機(jī)，設(shè)置IP，就可以上網(wǎng)了。 其實(shí)，無論在什么條件下，只要主機(jī)能上網(wǎng)，用NAT技術(shù)，都可以使虛擬機(jī)訪問internet；只有在 主機(jī)網(wǎng)卡處在一個可以訪問internet的局域網(wǎng)中的時候，虛擬機(jī)才能通過bridge訪問internet；Host-only技術(shù) 只用于主機(jī)和虛擬機(jī)互訪，于是否訪問internet無關(guān)。三、知識點(diǎn)補(bǔ)充NAT工作原理 NAT的基本工作原理是，當(dāng)私有網(wǎng)主機(jī)和公共網(wǎng)主機(jī)通 信的IP包經(jīng)過NAT網(wǎng)關(guān)時，將IP包中的源IP或目的IP在私 有IP和NAT的公共IP之間進(jìn)行轉(zhuǎn)換。如圖1所示，NAT網(wǎng)關(guān)有2個網(wǎng)絡(luò)端口，其中公共網(wǎng)絡(luò)端口的IP地址是統(tǒng)一分配的公共 IP，為202.204.65.2；私有網(wǎng)絡(luò)端口的IP地址是保留地址，為192.168.1.1。私有網(wǎng)中的主機(jī)192.168.1.2向公共網(wǎng)中的主 機(jī)166.111.80.200發(fā)送了1個IP包（Des=166.111.80.200,Src=192.168.1.2）。當(dāng)IP包經(jīng)過NAT網(wǎng)關(guān) 時，NAT會將IP包的源IP轉(zhuǎn)換為NAT的公共IP并轉(zhuǎn)發(fā)到公共網(wǎng)，此時IP包（Des=166.111.80.200，Src= 202.204.65.2）中已經(jīng)不含任何私有網(wǎng)IP的信息。由于IP包的源IP已經(jīng)被轉(zhuǎn)換成NAT的公共IP，響應(yīng)的IP包（Des= 202.204.65.2,Src=166.111.80.200）將被發(fā)送到NAT。這時，NAT會將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中主機(jī)的IP，然后 將IP包（Des=192.168.1.2，Src=166.111.80.200）轉(zhuǎn)發(fā)到私有網(wǎng)。對于通信雙方而言，這種地址的轉(zhuǎn)換過程是完全透明的。圖 1 NAT工作原理圖1. NAT的實(shí)現(xiàn)方法 NAT 功能通常被集成到路由器、防火墻、ISDN路由器 或者單獨(dú)的NAT設(shè)備中。比如Cisco路由器中已經(jīng)加入這一功能，網(wǎng)絡(luò)管理員只需在路由器的IOS中設(shè) 置NAT功能，就可以實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的屏蔽。，其他如Linux中的IP偽裝（IP Masquerade），F(xiàn)reeBSD中的NATD或Windows98的Sygate軟件和Windows 2