Hypervisorer är verktyg som används för att skapa virtuella maskiner (VM) för värdtjänster, testning och mjukvaruutveckling i en säker miljö. Tyvärr är den här säkerhetsnivån endast möjlig genom att helt sandboxa den virtuella maskinen från den fysiska världen, vilket är ett problem om projektet behöver något nätverk.
Av denna anledning erbjuder hypervisorer olika nätverkslägen för att tillhandahålla nätverksmöjligheter till en virtuell dator samtidigt som en viss säkerhetsnivå bibehålls. Dessa nätverkslägen inkluderar NAT-nätverk, överbryggade och värdbaserade nätverk.
Så, exakt vad är NAT, bryggade och värdbaserade nätverkslägen? Hur fungerar de och vilka ska du använda?
Vad är NAT?
Network Address Translation (NAT) är ett nätverksläge där värdarna översätter den virtuella datorns IP-adress till routern så att den virtuella datorn kan ansluta till internet.
I grund och botten, när du ansluter till internet, maskeras den virtuella datorns IP-adress av värdens IP-adress. Det här läget tillåter inte sammankoppling mellan virtuella datorer, och inte heller tillåter det en virtuell dator att kommunicera med andra fysiska maskiner förutom värden.
VM: n ges en IP-adress genom en virtuell DHCP-server kopplad till fysiska värdens nätverksmodem, inte DHCP-servern från den fysiska routern. En virtuell DHCP-server skapas automatiskt när en virtuell maskin skapas. Detta innebär att IP-adressen för en virtuell dator som använder en NAT-adapter kan ha samma IP-adress som en annan virtuell dator utan att orsaka några problem. Detta innebär dock också att varje virtuell dator som är värd för den fysiska värddatorn inte kan interagera med varandra eftersom de delar samma IP.
I de fall där virtuella datorer kräver fungerande NAT och en nätverksanslutning med varandra, tillhandahåller vissa hypervisorer som VirtualBox alternativ för "NAT-nätverksläge".
Vad är ett värdnätverk?
Ett värdnätverk ger den högsta nivån av nätverkssäkerhet i utbyte mot mycket begränsade nätverksmöjligheter. Till exempel tillåter ett värdnätverk alla virtuella datorer och värddatorn att nätverka med varandra samtidigt som de är avstängda från det fysiska nätverket. Och eftersom värddatorn inte översätter adressen för de virtuella datorerna, kan routern inte ge dem någon internetåtkomst.
Ett värdnätverk använder en virtuell DHCP-server från värddatorn för att ge en unik IP-adress till varje virtuell dator. MAC-adresser ställs in automatiskt, men du kan ändra MAC-adressen och IP-adressen om du vill.
Vad är ett överbryggat nätverk?
Ett bryggat nätverk är det mest tillåtande av alla nätverksanslutningstyper.
Det tillåter en virtuell dator att nätverka med andra virtuella datorer och alla fysiska maskiner på det fysiska nätverket. Även om ett bryggat nätverk förser virtuella datorer med alla nätverksfunktioner, är det också avsevärt minskar dess säkerhet eftersom virtuella datorer också är mottagliga för nätverkssårbarheter, liknande en öppen fysiskt nätverk.
En bryggadapter ger varje virtuell dator en unik IP-adress inom det fysiska nätverkets subnät. Virtuella datorer får sin IP-adress inte från en virtuell DHCP-server utan från den fysiska routern i ditt nätverk. För att använda ett bryggat nätverk måste en användare manuellt välja det bryggade adapterläget på hypervisorn och ställa in unika MAC-adresser till varje virtuell dator.
Jämför NAT-, bryggkopplade och värdbaserade nätverk
NAT, bryggade och värdbaserade nätverk är tre av de vanligaste nätverkslägena som virtuella maskiner använder för anslutning. Beroende på anslutningsläget kommer din virtuella maskin att ha olika grader av nätverkskapacitet. Även om det kan verka bekvämt och användbart att ha en IP öppen för alla anslutningar, är risken en helt öppen anslutning inte värt bekvämligheten. Dessutom är det enkelt att ställa in rätt nätverksläge och kan göras på några sekunder.
Det viktiga är att du måste förstå vilket nätverksläge som bäst passar dina behov. För att göra det enklare för dig att förstå, här är en tabell över vad varje specifikt nätverksläge ger åtkomst till:
Nätverksläge |
Tillgång till andra virtuella datorer |
Tillgång till värd |
Tillgång till fysiska maskiner |
Internetåtkomst |
|---|---|---|---|---|
NAT |
Nej |
Ja (en väg) |
Nej |
Ja |
Överbryggad |
Ja |
Ja |
Ja |
Ja |
Endast värd |
Ja |
Ja |
Nej |
Nej |
NAT vs. Överbryggat läge vs. Endast värd: Vilket nätverksläge ska jag använda?
Det finns många praktiska tillämpningar för att använda en virtuell maskin. Många av dessa applikationer är vanligtvis i form av testning, utbildning, utveckling och värdtjänster.
Baserat på tabellen är NAT begränsad från att ansluta till andra virtuella datorer och maskinerna i det fysiska nätverket. virtuella datorer som är konfigurerade för att använda NAT är osynliga för fysiska datorer och andra virtuella datorer som värddatorn är värd för. Och eftersom en virtuell dator i en NAT-konfiguration inte kan ses av andra maskiner, elimineras risken för eventuella portskanningsattacker.
Detta gör NAT till en lämplig nätverksanslutning för testprojekt där den virtuella datorn behöver isoleras men också behöver internetåtkomst. Dessutom kan NAT också användas av anläggningar som använder virtuella datorer som klienter för att surfa på internet och utföra olika företagsuppgifter.
Å andra sidan tillåter en bryggnätverkskonfiguration anslutning till liknande inställda virtuella datorer, värddatorn, fysiska maskiner på servern och internet. Detta läge ger full nätverksanslutning på bekostnad av minsta möjliga säkerhet. Till exempel är ett överbryggat nätverk nödvändigt om en virtuell maskin är värd för en webbserver, filserver eller e-postserver.
I motsats till det överbryggade nätverket ger ett värdnätverk den bästa nätverkssäkerheten på bekostnad av låg anslutning. Ett bryggat nätverk tillåter endast anslutning till värden och andra virtuella datorer. Även om det är mycket isolerat, enbart en värd anslutning används bäst när du skapar ett privat virtuellt nätverk för att testa och lära dig mer om Cybersäkerhet.
Du kan blanda och matcha olika nätverkslägen för virtuella maskiner
Testning, utveckling och värdtjänster är ganska breda områden för virtuella datorer. Men för mer specialiserade uppgifter kan du stöta på situationer där NAT-, brygg- eller värdnätverkslägen inte passar den typ av anslutning du behöver.
För att skräddarsy ditt nätverksläge kan du blanda och matcha anslutningslägen. Detta är möjligt eftersom hypervisorer ofta ger virtuella datorer fyra till åtta nätverkskort. Så du kan använda flera nätverkslägen när det behövs. Till exempel behöver du ett nätverk som har en internet- och VM-till-VM-anslutning samtidigt som det är osynligt för det fysiska nätverket. Du skulle kombinera NAT och värdbaserade nätverkslägen för att skapa en sådan anslutning.
Och det är i princip allt du behöver veta om VM-nätverkslägen. Förhoppningsvis kan du nu använda och anpassa dina VM-nätverk.