轉載:
http://www.360doc.com/content/11/0516/15/706976_117200446.shtml
由于最近導師在教有關網絡攻防的課程,讓我幫他搭建幾個典型的虛拟實驗環境,故又開始琢磨起VMware來。在我們日常使用中,如果隻能擷取1個IP位址(比如ADSL撥号),可将虛拟機的虛拟網卡設定為NAT方式。此時隻要主控端可以正常連網,虛拟機即可正常上網。由于實驗環境較為複雜,是以還需進一步了解VMware虛拟網絡的三種工作方式。
該實驗環境的拓撲結構如下圖所示:
在VMware安裝完畢後,會自動建立3個虛拟網卡:VMnet0,VMnet1,VMnet8,分别對應三種工作模式:Bridge(橋接模式),NAT(網絡位址轉換),Host Only(僅主機)。
Bridged模式
在這種模式下,VMware會生成一個虛拟的網橋VMnet0,将虛拟機橋接在實體網卡上。采用Bridge模式的虛拟機就像是區域網路中的一台獨立主機,可以通路網内的任何一台機器。在橋接模式下,你需要手工為虛拟系統配置IP位址、子網路遮罩,而且還要和主控端器處于同一網段,這樣虛拟系統才能和主控端器進行通信。同時,由于這個虛拟系統是區域網路中的一個獨立的主機系統,那麼就可以手工配置它的TCP/IP配置資訊,以實作通過區域網路的網關或路由器通路網際網路。
使用橋接模式的虛拟系統和主控端器的關系,就像連接配接在同一個Hub上的兩台電腦。想讓它們互相通訊,你就需要為虛拟系統配置IP位址和子網路遮罩,否則就無法通信。
如果你想利用VMWare在區域網路内建立一個虛拟伺服器,為區域網路使用者提供網絡服務,就應該選擇橋接模式。
這種方式最簡單,直接将虛拟網卡橋接到一個實體網卡上面,和linux下一個網卡 綁定兩個不同位址類似,實際上是将網卡設定為混雜模式,進而達到偵聽多個IP的能力。
在此種模式下,虛拟機内部的網卡(例如linux下的eth0)直接連到了實體網卡所在的網絡上,可以想象為虛拟機和host機處于對等的地位,在網絡關系上是平等的,沒有誰在誰後面的問題。
使用這種方式很簡單,前提是你可以得到1個以上的位址。對于想進行種種網絡實驗的朋友 不太适合,因為你無法對虛拟機的網絡進行控制,它直接出去了。
使用橋接方式,A,A1,A2,B可互訪。
NAT模式
使用NAT模式,就是讓虛拟系統借助NAT(網絡位址轉換)功能,通過主控端器所在的網絡來通路公網。也就是說,使用NAT模式可以實作在虛拟系統裡通路網際網路。NAT模式下的虛拟系統的TCP/IP配置資訊是由VMnet8(NAT)虛拟網絡的DHCP伺服器提供的,無法進行手工修改,是以虛拟系統也就無法和本區域網路中的其他真實主機進行通訊。采用NAT模式最大的優勢是虛拟系統接入網際網路非常簡單,你不需要進行任何其他的配置,隻需要主控端器能通路網際網路即可。
這種方式也可以實作Host OS與Guest OS的雙向通路。但網絡内其他機器不能通路Guest OS,Guest OS可通過Host OS用NAT協定通路網絡内其他機器。NAT方式的IP位址配置方法是由VMware的虛拟DHCP伺服器中配置設定一個IP ,在這個IP位址中已經設定好路由,就是指向192.168.138.1的。
如果你想利用VMWare安裝一個新的虛拟系統,在虛拟系統中不用進行任何手工配置就能直接通路網際網路,建議你采用NAT模式。
這種方式下host内部出現了一個虛拟的網卡vmnet8(預設情況下),如果你有過 做nat伺服器的經驗,這裡的vmnet8就相當于連接配接到内網的網卡,而虛拟機本身則相當于運 行在内網上的機器,虛拟機内的網卡(eth0)則獨立于vmnet8。
你會發現在這種方式下,vmware自帶的dhcp會預設地加載到vmnet8界面上,這樣虛拟機就可以使用dhcp服務。更為重要的是,vmware自帶了nat服務,提供了從vmnet8到外網的位址轉 換,是以這種情況是一個實實在在的nat伺服器在運作,隻不過是供虛拟機用的。很顯然,如果你隻有一個外網位址,此種方式很合适。
使用Vmnet8虛拟交換機,此時虛拟機可以通過主機單向網絡上的其他工作站,其他工作站不能通路虛拟機。
使用NAT方式,A1,A2可以通路B,但B不可以通路A1,A2。但A,A1,A2可以互訪。
Host-Only模式
在某些特殊的網絡調試環境中,要求将真實環境和虛拟環境隔離開,這時你就可采用host-only模式。在host-only模式中,所有的虛拟系統是可以互相通信的,但虛拟系統和真實的網絡是被隔離開的。
提示:在host-only模式下,虛拟系統和主控端器系統是可以互相通信的,相當于這兩台機器通過雙絞線互連。
在host-only模式下,虛拟系統的TCP/IP配置資訊(如IP位址、網關位址、DNS伺服器等),都是由VMnet1(host-only)虛拟網絡的DHCP伺服器來動态配置設定的。
如果你想利用VMWare建立一個與網内其他機器相隔離的虛拟系統,進行某些特殊的網絡調試工作,可以選擇host-only模式。
這應該是最為靈活的方式,有興趣的話可以進行各種網絡實驗。和nat唯一的不同的是,此 種方式下,沒有位址轉換服務,是以,模認情況下,虛拟機隻能到主機通路,這也是hostonly的名字的意義。
預設情況下,也會有一個dhcp服務加載到vmnet1上。這樣連接配接到vmnet1上的虛拟機仍然可以設定成dhcp,友善系統的配置。
是不是這種方式就沒有辦法連接配接到外網呢,當然不是,事實上,這種方式更為靈活,你可以使用自己的方式,進而達到最理想的配置,例如:
1.使用自己dhcp服務:首先停掉vmware自帶的dhcp服務,使dhcp服務更為統一。
2.使用自己的nat,友善加入防火牆。windows host可以做nat的方法很多,簡單的如windows xp的internet共享,複雜的如windows server裡的nat服務。
3.使用自己的防火牆。因為你可以完全控制vmnet1,你可以加入(或試驗)防火牆在vmnet1和外網的網卡間。
從以上可以看出,hostonly這種模式和普通的nat server帶整個内網上網的情形類似,是以你可以友善的進行與之有關的實驗,比如防火強的設定等。在這種工作方式下,Guest由DHCP伺服器配置設定IP位址。并且可以在192.168.222.X之間保持通信。但是在Guest機器上并不能Ping通Host的172.16.1.210這個位址。因為通信被限制在主機(是以叫做Host Only)。這種方式看起來是很像NAT方式,但是在這種方式下Guest隻能和Host之間通信,而不能同在區域網路的計算機進行通信,除非在HOST上做轉發或路由。
使用Vmnet1虛拟交換機,此時虛拟機隻能與虛拟機、主機互訪。也就是不能上Internet。
使用Host方式,A,A1,A2可以互訪,但A1,A2不能通路B,也不能被B通路。
提示:以上所提到的NAT模式下的VMnet8虛拟網絡,host-only模式下的VMnet1虛拟網絡,以及bridged模式下的VMnet0虛拟網絡,都是由VMWare虛拟機自動配置而生成的,不需要使用者自行設定。VMnet8和Mnet1提供DHCP服務,VMnet0虛拟網絡則不提供。
現在再傳回來看要搭建的實驗環境,可以對VMware的虛拟網絡做如下配置:
- 将VMnet1設定成HostOnly模式,并将子網IP設定為192.168.200.128/25,即子網路遮罩為255.255.255.128(實際連入VMnet1子網的虛拟機要設定成與VMnet8相同網段的IP,即192.168.200.0/25網段)。
- 将VMnet8設定成NAT模式,并将子網IP設定為192.168.200.0/25,即子網路遮罩為255.255.255.128。同時,開啟VMnet8的DHCP服務,将虛拟的網關設定為192.168.200.1,DHCP位址池為192.168.200.2-192.168.200.120,後面的位址供靶機使用。
那麼問題來了,VMnet構成的子網與VMnet8構成的子網如何互相通路呢?從圖中可以看出,我們在兩個子網間架設了一個蜜網網關,然後在蜜網網關中另外添加兩個虛拟網卡,即可構成一個透明網橋連接配接兩個子網。至此該簡單的實驗環境已經配置完畢了。