谈NAT 桥接 仅主机

，自己复述一遍，加深印象

https://www.cnblogs.com/linjiaxin/p/6476480.html

基本概念:

VMnet0 桥接

VMnet1 仅主机 -- 192.168.150.0 子网地址

VMnet8 NAT模式 -- 192.168.62.0 子网地址

同时在主机上会多出两块虚拟网卡

注意VMnet0 等是 虚拟交换机， Vmware nework Adapoer VMnet1 等为虚拟网卡

如果删除，还原 vmware的网络设置即可。

这里是没有仅主机的对应网卡的。原因后续阐述

网桥工作在物理层和数据链路层，作为一个物理层的设备，他接收信号，作为数据链路层的设备，网桥可以检查包含在帧中的MAC地址。

这也是网桥和集线器的不同所在。集线器广播所有数据，过滤工作交给主机。

网桥直接承担了过滤工作。依靠的是网桥表。

桥接模式就是将主机网卡与虚拟机得网卡，利用虚拟网桥进行通信。在桥接的作用下，可以想象成这样，类似把物理主机虚拟为一个交换机。所有桥接设置的虚拟机，包括物理机也都插在这个交换机中。

所有桥接下的网卡与网卡都是交换模式的。可以相互访问而不干扰。

桥接，就是和 物理机 同级。

如果需要联网，则虚拟机的网关， DNS 都需要与主机网卡保持一致。IP 需要与 物理机处于同一个网段。

虚拟机上的虚拟网卡，物理网卡，都连接在虚拟交换机Vmnet0上，物理机是台机器，虚拟机是台机器，两者平级，所以并不需要额外得虚拟网卡

NAT 涉及的内容较多，也是 内网穿透/打洞的 理论基础。然而这块我没有接触过，只粗略了解过，什么锥形NAT IP/端口限制型NAT, 各种NAT组成的 打洞 类型。以后接触到再详细研究吧。

NAT: network address translation

路由器的 NAT 功能开了，则 内网的 主机 有一套私有地址，对外转发的时候，用公网地址。路由器自己维护了一张 NAT 表，来过滤包。

内部主机

IP: A

PORT:B

从路由器出去

IP : C

PORT : D

PORT 可相同，也可以不同。(依据NAT类型不同而定，以后遇到，再详细学习)

路由器内部产生一个新的表项。

现网中，可能是不断的套娃，你家的路由器挂在小区里的某个路由器下的NAT中，这个路由器又挂在整个区域的某个NAT中。

VM的NAT模式借助虚拟NAT设备和虚拟DHCP服务器，使得虚拟机可以联网。

物理机得设备中:

VMnet8 NAT模式 -- 192.168.62.0 子网地址

此时物理机可以被当作 开启了 NAT 功能得路由器。虚拟机 是 物理机下挂得一台机器。

注意理解上述红字内容。

在NAT模式中，主机网卡直接与虚拟NAT设备相连，然后虚拟NAT 和 虚拟 DHCP 接在了 交换机 VMnet8上。这样就实现了 虚拟机联网。

而虚拟网卡VMware Network Adapoer VMnet8 （192.168.62.1）则是为了让主机 和 其他 虚拟机通信而准备得。

上网则是 通过 主机得网卡+虚拟NAT设备 搞定得。

测试：

VMnet1 仅主机 -- 192.168.150.0 子网地址

host only 模式去除NAT，主机使用 VMware NetWork Adapter VMnet1 网卡与 其他虚拟机通信。

相当虚拟机把一条网线直接插到物理机上，Host-Only 模式 将虚拟机与外网隔开。使得虚拟机是一个独立得系统。只与主机相互通讯。

Host-Only 如果不另外设置，是不能上网得。

Host-Only 想上网，则需要将 物理机得 网卡 共享个 Vmware NetWork Adaptor VMNet 网卡。(右键网卡属性，设置即可)

会重新分配adaptor地址。重新设置dhcp。

设置 虚拟机

由此可以看出，将VMWare NetWork Adapter VMnet 的地址，当成了默认网关了！

我觉得主要原因就是设置方便。

物理机当作了 NAT 得 Router， 物理机能上网，虚拟机就能上网，且不用重新设置 虚拟即得IP. 物理机不能上网，虚拟机当然也不能上网。

物理机 家 公司 来回切换，不用修改 虚拟机得地址。不受 物理机接入网络得影响。

桥接得话 虚拟机要保持与 物理机得IP地址一致。从家 到 公司，还要切换虚拟机得地址，很烦。

NAT不仅能解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

1、宽带分享：这是 NAT 主机的最大功能。

2、安全防护：NAT 之内的 PC 联机到 Internet 上面时，他所显示的 IP 是 NAT 主机的公共 IP，所以 Client 端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描） 的时候，就侦测不到源Client 端的 PC 。

NAT的弊端：

在一个具有NAT功能的路由器下的主机并没有建立真正的端对端连接，并且不能参与一些因特网协议。

一些需要初始化从外部网络建立的TCP连接，和使用无状态协议（比如UDP）的服务将被中断。除非NAT路由器作一些具体的努力，否则送来的数据包将不能到达正确的目的地址。（一些协议有时可以在应用层网关的辅助下，在参与NAT的主机之间容纳一个NAT的实例，比如FTP。）NAT也会使安全协议变的复杂。

---