NAT是网络地址转换的缩写，它允许整个组织以公共互联网协议(IP)地址的形式出现在互联网上。顾名思义，它是一种将内部私有网络地址(IP地址)转换为合法网络IP地址的技术。

为什么要这么做？IP数据段包含一定的字节数，因此资源有限。为每台设备分配IP地址会占用IP资源。因此，NAT仅用于向外界公开一个IP地址。

当在因特网上使用NAT时，多台计算机可以共享因特网连接。这样，申请一个合法的IP地址，整个局域网内的计算机就可以通过NAT访问Internet。NAT对内部网络进行掩码。所有内网计算机对公网是不可见的，内网计算机用户通常不知道NAT的存在。内部地址是指分配给内部网络节点的私有IP地址。该地址只能在内部网络中使用，不能路由(一种允许通过不同路由转发的网络技术)。

路线：

以太网交换机工作在二层(数据链路层)，用于在同一网络内转发以太网帧。但是，当源IP地址和目的IP地址不在同一网络时，必须向路由器发送以太网帧。路由器负责在不同网络之间传输数据包，使用路由表确定最佳转发路径。当主机向不同的IP地址发送报文时，由于主机无法与本地网络外的设备通信，报文将被转发到默认网关。默认网关是数据流从本地网络路由到远端设备的目的地。通常用于连接本地网络和公共网络。

IP地址中有三个区域保留为私有地址。地址范围如下：

10.0.0.0/8:10 0.0.0 ~ 10.255.255.25172.16.0.0 /2.16.0.0 ~ 172.31.255.255192.168.0.0 /表示更好

NAT将这些不能在Internet上使用的保留IP地址转换为可以在Internet上使用的合法IP地址。全球地址是指合法的IP地址，由NIC(网络信息中心)或ISP(网络服务提供商，如中国移动、中国电信)分配，对外代表一个或多个内部本地地址，是全球统一可寻址的地址。

:

NAT模式概述

NAT模式图示

NAT有三种类型：静态NAT、NAT池和NAPT (Port-Level NAT)。

静态NAT是最简单、最容易设置的。内部网络中的每台主机都被永久地映射到外部网络中的合法地址。动态地址NAT是指在外部网络中定义一系列合法的地址，并通过动态分配映射到内部网络中。Napts将内部地址映射到外部网络IP地址的不同端口。三种NAT方案根据不同的需求各有优缺点。

动态NAT只转换IP地址。为每个内部IP地址分配一个临时的外部IP地址。主要用于拨号。当远程用户连接时，动态地址NAT为其分配一个IP地址，该IP地址在用户断开连接时释放，以供以后使用。

网络地址端口转换(NAPT)是一种常见的转换模式。napt通常用于接入设备，将小型或中型网络隐藏在合法的IP地址后面。与动态地址NAT不同，NAPT将内部连接映射到外部网络的单个IP地址，并在该地址上添加一个由NAT设备选择的TCP端口号。

当在因特网上使用NAPT时，所有不同的信息流似乎都来自同一个IP地址。这种优势在小型办公室中非常有用，其中多个连接通过来自ISP的单个IP地址通过NAPT连接到Internet。实际上，很多SOHO远程接入设备都支持基于PPP的动态IP地址。这样ISP甚至不需要支持NAPT，使多个内部IP地址可以在Internet上共享一个外部IP地址，虽然这样会导致一定程度的信道拥塞，但考虑到ISP节省的上网成本和易于管理的特点，NAPT还是值得的。

众所周知，家用路由器通常工作在NAT模式下。缺省情况下，内网用户在192.168.1。X网段，路由器作为默认网关。所有从内网发出的报文都要经过路由器，路由器在公网上有唯一的IP地址。外部端口是随机映射的。当该响应返回给路由器时，路由器会根据之前的映射关系将该请求的目的IP地址和端口修改为发送请求的内网用户的IP地址和端口。这样内网用户就感知不到路由器的存在，所有用户都可以共享路由器的外网IP地址访问Internet。当然，由于所有人都在同一网段(路由器是基于DHCP分配的)，内网用户之间的通信没有问题。

DHCP:

DHCP(动态主机配置协议)是一种用于局域网的网络协议。IP地址范围由服务器控制。客户端可以在登录服务器时自动获取服务器分配的IP地址和子网掩码。

当NAT应用于虚拟机域时，原理与此类似。但是一台PC上有多个虚拟机作为内网用户，主机PC作为路由器。虚拟机在PC上虚拟化一个网络环境：每个虚拟机都通过一根看不见的网线连接到一个看不见的路由器，仅此而已。每个虚拟机实例通过PC上的虚拟路由器获取DHCP分配的局域网IP。但是，这只是本地计算机的虚拟局域网，而不是物理局域网。此时，虚拟机需要访问Internet时，只需将默认网关设置为PC上的虚拟路由器即可。然后，当报文经过虚拟路由器时，源IP地址被修改为PC的物理网卡所在物理局域网的IP地址，报文被发送到物理路由器。以下内容如前所述。

上面的虚拟路由器实际上是主机上的一个虚拟网卡，虚拟机将默认网关指向这个网卡，这就为IP篡改提供了机会。

如果你理解了上面这段话，我们可以得出这样的结论：

0

使用网桥模式的虚拟系统与主机相关，就像连接在同一个Hub上的两台计算机。为了让它们相互通信，您需要为虚拟系统配置IP地址和子网掩码，否则它们将无法通信。

NAT技术类型

图2

图中br0为虚拟交换机。物理网卡eth0和虚拟机网卡vnet0通过虚拟网线连接到br0。实现eth0和vnet0之间的数据交换。

我们称之为br0网桥，其实它也是主机上的一个虚拟网卡，充当虚拟交换机的角色，而传统交换机本身会根据目标mac地址将数据转发到正确的网线出口，而不会做任何事情。

为虚拟机配置网桥模式并指定br0后，数据从虚拟机网卡vnet0发送到br0, br0将数据转发到另一端的eth0。源mac为虚拟机的随机mac地址，源IP地址为虚拟机的IP地址。中间不修改桥接，数据直接通过eth0发送到链路。Eth0只是作为一个发送物理介质。

0

更简单地说，br0是一个交换机，eth0是连接到br0交换机插槽上的另一个特殊交换机(它以杂乱模式工作，侦听来自物理交换机的数据包)，vnet0是连接到br0交换机的普通服务器。

根据上面的描述，可以知道：

虚拟机和物理机处于同一网段，并且指向同一个默认网关(物理路由器)。虚拟机通过网桥向物理路由器申请dhcp以获取局域网IP地址。挂载在网桥上的虚拟机可以被其他局域网用户直接访问，因为“eth0混合模式+网桥”可以转发给虚拟机。杂乱的NIC是一种物理介质。它侦听所有报文，只保留它所关心的报文(例如，目的mac地址为eth0h或vnet0的报文)。它也可以发送任何数据包，而不管数据包的源mac地址是否是物理网卡自己的mac地址(vnet0的假mac地址)。桥接更适合虚拟机对外提供服务，因为它可以对外访问，与普通的局域网用户没有区别。

许多网络结构图喜欢将LAN的用户连接到一条线上，反映出每个人都在同一链路上的感觉。事实上，这是非常具有误导性的。真实的局域网用户连接到交换机上，交换机知道每个槽位上的mac地址。但是对于我们所说的，网桥可能是多个的，此外，它还可能连接到另一个交换机上，也就是说，这个交换机可以级联，仍然是一个局域网

NAT模式总结

主机模式，也称为主机模式。在一些特殊的网络调试环境中，需要将真实环境和虚拟环境分开。此时可以使用“host-only”模式，所有虚拟系统之间都可以正常通信。但是，虚拟系统与真实网络是分离的。可以使用Windows XP中的Internet连接共享(实际上是一种简单的路由NAT)，使虚拟机能够通过主机的真实网卡(如IP地址网关地址DNS服务器等)访问虚拟系统的TCP/IP配置信息。VMnet1(Host-only)虚拟网络的DHCP服务器由DHCP服务器动态分配。

“

桥接模式

桥接模式简单说明

HOST-ONLY”模式实际上是去除了虚拟NAT设备，使用VMware Network Adapter VMnet1虚拟网卡连接VMnet1虚拟交换机与VMS通信的NAT模式。主机专用(Host-Only)模式是指虚拟机与Internet隔离，虚拟机作为一个独立的系统运行，只与主机通信。