Sự khác nhau giữa mạng cầu nối và NAT

Tôi không hiểu đầy đủ về sự khác biệt giữa NAT và kết nối bắc cầu qua máy ảo. Theo như tôi đã tìm thấy, các máy nằm trên cùng một mạng với máy chủ của chúng tôi có thể truy cập vào máy ảo của chúng tôi nếu chúng tôi thực hiện kết nối bắc cầu.

Vâng, trên internet, mọi người viết rằng cả máy ảo NAT và cầu nối có thể có địa chỉ IP giống như máy chủ nhưng nếu là NAT, các máy trên cùng một mạng KHÔNG thể truy cập vào vm của chúng tôi nhưng nếu nó được bắc cầu thì chúng có thể .

Nếu cả kết nối NAT và cầu nối có thể có địa chỉ IP khác nhau, vậy tại sao tôi không thể truy cập địa chỉ NAT trong khi tôi có thể truy cập địa chỉ cầu nối?

Lưu ý: nói rằng các kết nối NAT được bảo vệ là không đủ; Tôi muốn biết làm thế nào là nó.

Cách NAT hoạt động một cách ngắn gọn

Một địa chỉ bên ngoài, thường có thể định tuyến, là "bên ngoài" của NAT. Các máy phía sau NAT có địa chỉ "bên trong" thường không thể định tuyến . Khi một kết nối được tạo giữa một địa chỉ bên trong và một địa chỉ bên ngoài, hệ thống NAT ở giữa sẽ tạo ra một mục nhập bảng chuyển tiếp bao gồm (bên ngoài_ip, bên ngoài_port, nat_host_ip, nat_host_port, Inside_ip, Inside_port). Bất kỳ gói nào khớp với bốn phần đầu tiên đều được ghi lại đích đến hai phần cuối.

Nếu một gói được nhận không khớp với mục trong bảng NAT, thì không có cách nào để hộp NAT biết nơi chuyển tiếp nó trừ khi quy tắc chuyển tiếp được xác định thủ công. Đó là lý do tại sao, theo mặc định, một máy phía sau thiết bị NAT được "bảo vệ".

Cầu nối

Chế độ cầu nối hoạt động giống như giao diện mà bạn đang kết nối bây giờ là một công tắc và VM được cắm vào một cổng trên nó. Mọi thứ hoạt động giống như là một máy thông thường khác được gắn vào mạng đó.

Với NAT, IP của các máy ảo và mạng mà máy chủ của bạn đang kết nối được tách ra. Có nghĩa là máy ảo của bạn nằm trên một mạng con khác. Bạn có thể truy cập mạng vì máy chủ của bạn đang thực hiện Dịch địa chỉ mạng (nếu bạn không biết đó là gì nghiêm ngặt, vừa phải và mở NAT? ). IP được gán bởi DHCP chạy trên máy chủ

Với giao diện bắc cầu, các máy ảo của bạn được kết nối trực tiếp với mạng, giao diện mạng mà chúng đang sử dụng được kết nối với. Điều này có nghĩa là trong trường hợp của bạn, chúng sẽ được kết nối trực tiếp với mạng mà máy chủ của bạn kết nối tới, nhận địa chỉ IP từ máy chủ DHCP đang chạy trên mạng (có thể cũng cung cấp cho máy chủ IP của bạn).

Bây giờ tại sao bạn không thể truy cập các máy này:

Bởi vì bạn sẽ cần kích hoạt tính năng chuyển hướng trên phân khúc NAT. NAT dịch IP máy ảo của bạn thành một IP duy nhất. Các kết nối không liên quan phải được định tuyến bằng cách chuyển tiếp vì máy chủ không thể biết máy ảo có nghĩa là gì.

Mặc dù NAT có thể cung cấp một số bảo vệ nhưng nó không phải là tường lửa, vì lý do tương tự như trên (khi sử dụng NAT, các máy chủ trong nước không thể kết nối trừ khi bật tính năng portforwarding). Tuy nhiên NAT KHÔNG BẢO MẬT ( http://blog.ioshints.info/2011/12/is-nat-security-feature.html ).

NAT có một số tác dụng phụ giống với các cơ chế bảo mật thường được sử dụng ở rìa mạng. Điều đó KHÔNG làm cho nó trở thành một tính năng bảo mật, hơn nữa vì có rất nhiều biến thể của NAT.

Các kết nối được kết nối chỉ là như vậy, về cơ bản, một bộ chuyển đổi ảo được kết nối giữa VM và kết nối mạng vật lý của bạn.

Các kết nối của NAT cũng chỉ như vậy, thay vì chuyển đổi, bộ định tuyến NAT nằm giữa VM và kết nối mạng vật lý của bạn.

Với kết nối NAT, máy tính chủ (máy chính, máy vật lý của bạn) hoạt động như một bộ định tuyến / tường lửa. Các cõng VM ra khỏi giao diện mạng của máy chủ lưu trữ và tất cả các gói đến / từ VM được chuyển qua nó. Vì máy tính chủ thực sự nhìn thấy các gói IP và TCP datagram, nó có thể lọc hoặc ảnh hưởng đến lưu lượng.

Khi VM đang sử dụng chế độ bắc cầu, nó sẽ kết nối với mạng thông qua máy chủ ở mức thấp hơn (Lớp 2 của mô hình OSI). Máy chủ vẫn nhìn thấy lưu lượng, nhưng chỉ ở mức khung Ethernet. Vì vậy, không thể thấy lưu lượng đến từ đâu / đến hoặc loại dữ liệu nào được chứa trong lưu lượng đó.