星级打分
平均分:0 参与人数:0 我的评分:未评
有朋友留言,买了一部某品牌BE7200级别的路由器,发现设置里有个NAT类型,里面几个选项不知道怎么选。以前的入门级路由器简单设置拨号就行了,这种情况怎么办?别急,我来解释!
: s9 u F$ o/ P, W+ s( r* L! {8 V: x
# h! ?, u" k+ A
NAT是什么?
/ f6 ]0 M2 a1 v- }+ k- Y( X3 M3 c
$ p1 {2 F* p- M4 z% _' v7 X ?$ O- O X# s9 o% I8 D5 X
这位朋友碰到的问题是固件和APP设置中出现了NAT类型的选项。而且里面“全锥形NAT”和“端口受限型NAT”还有警告语,警告前者可能有安全隐患,吓得他不敢去看前者。但是好像不开,玩网游似乎更容易登录失败和掉线了,所以来问小狮子是不是这个东西造成的。
4 ]3 m0 g/ M7 G" R
2 l% R9 e" A8 @# g4 `; L. a无独有偶,另外一个朋友的华硕AX92U路由器也出现了NAT类型设置,不过变成了“全锥形NAT”和“对称型NAT”(变成了英文)选项。
) H) g! E1 Z" b% b! B* v
) ~3 _) \/ o+ ]1 A
这里先来解释下NAT。NAT是一种“网络地址转换”技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。
1 ~1 I5 v$ F- P' p* o- B8 y
2 U. Q3 t& I2 q# v8 d& k当私网用户访问公网的报文到达网关设备后,如果网关设备上部署了NAT功能,设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址,端口号转换为另一个端口号之后转发给公网。在这个过程中,设备可以用同一个公网地址来转换多个私网用户发过来的报文,并通过端口号来区分不同的私网用户,从而达到地址复用的目的。
2 Z0 {, z! B# j9 ~# R# S7 g
5 G# V; }4 t) f" u% Q实际上,现在的NAT已经转变为NAPT,也就是主要通过“Port”,也就是“端口”的映射,来来完成网络地址转换了。这样就实现多个私网用户共同使用一个公网IP地址上网。NAPT根据端口来区分不同用户,真正做到了地址复用。
8 c3 Y8 `& L* w; L8 n
5 i. R' l N& ~( m t, u% p, g简单来说,就是路由器的NAT,能让你的局域网上的每个设备,都变成一个在互联网上有“独立公网IP”的设备,从而让很多服务,比如网络游戏、视频和语音通话、IPTV等服务,能够更好更流程的变成某种意义的“点对点”转发工作,从而提高效率和连接成功率。
: k# M4 X4 n1 W. f2 q* k1 M, @! h7 k1 B5 F' C* X2 x- R- @
四种NAT服务,越来越严格
0 L+ y# I9 j9 [0 Z ]
5 t& r% e0 b2 o6 m( G: m( D8 E现在NAT服务在网络协议规范中,有四种工作模式。分别是完全锥形NAT、限制锥形NAT、端口受限NAT和对称NAT。其中,家用中高端路由器中,最常见是完全锥形NAT、端口受限NAT和对称NAT。该怎么选,你需要先了解它们的意义。
6 W* p2 c4 h" R S* B% J# B
: d3 @" a& f3 B& qFull Cone NAT(完全锥型NAT)
: v" O4 P$ \4 x' ^" F5 C
" N* o i* {8 l! b2 A7 ]所有从同一个私网IP地址和端口(IP1
ort1)发送过来的请求都会被映射成同一个公网IP地址和端口(IP
ort)。并且,任何外部主机通过向映射的公网IP地址和端口发送报文,都可以实现和内部主机进行通信。
0 C2 m! q! y, e2 E; T% L
; r, q7 ]2 d7 w9 D; \3 T6 I, n" ~2 R# `
这是一种比较宽松的策略,只要建立了私网IP地址和端口与公网IP地址和端口的映射关系,所有的Internet上的主机都可以访问该NAT之后的主机。可以说是“局域网设备可以让路由器自由转换网络地址”。如果要使用内网穿透的工具和部分NAS软件,必须借助全锥形NAT的这个特性实现。
1 n# ?; g/ {0 v% a+ F* l' }3 S+ |6 P8 N) i5 g" f
Restricted Cone NAT(限制锥型NAT)
. ^$ K4 J3 p, F& O2 Q- Z. s
0 F: C4 a: t8 _( w o8 U所有从同一个私网IP地址和端口(IP1
ort1)发送过来的请求都会被映射成同一个公网IP和端口号(IP
ort)。
7 r/ e2 t8 O1 [! d; W/ m. k) t! _9 H# p7 J e9 b/ V
与全锥形NAT不同,只有在内部主机之前向IP地址X发送过数据包时,外部主机(具有IP地址X)才能向内部主机发送数据包,因此对新的UDP协议的程序(如部分网游和聊天程序),并不友好。
5 b8 `" A/ B5 b7 j) k# V/ `
, f. R7 s/ V f( O* N, u/ @# ]
Port Restricted Cone NAT(端口限制锥型NAT)
2 [0 P( F( D0 e) S6 V0 M
1 ^- L! Y3 H( ?. y
与限制锥型NAT很相似,只不过它包括端口号。也就是说,一台公网主机(IP2
ort2)想给私网主机发送报文,必须是这台私网主机先前已经给这个IP地址和端口发送过报文。相对限制锥形NAT,要求更严格了。部分网游使用这个模式的话,更难连接成功。
4 p& ^+ K1 X" R' }+ f' b# ?
! B4 M$ t# c% t! I! ^1 [% c9 fSymmetric NAT(对称NAT)
" E. T& Y9 J' r. N
" ?4 x! ~! b @! s' j8 }( h所有从同一个私网IP地址和端口发送到一个特定的目的IP地址和端口的请求,都会被映射到同一个IP地址和端口。如果同一台主机使用相同的源地址和端口号发送报文,但是发往不同的目的地,NAT将会使用不同的映射。此外,只有收到数据的公网主机才可以反过来向私网主机发送报文。
5 c! @# r" Q1 F' j) Z; m/ C7 b; J! ^! w
- N6 k F# t+ J& _+ T% C0 {
这和端口限制锥型NAT不同,端口限制锥型NAT是所有请求映射到相同的公网IP地址和端口,而对称NAT是不同的请求有不同的映射。换句话说,对称NAT允许内部主机之间直接通信,而不必通过外部服务器中转。
2 J2 j+ g+ S7 V$ z+ y+ P( x
- j! e% o3 N+ r1 i华硕大部分中高端家用路由器,默认设置都是“对称NAT”。
+ z7 |9 \% a; f/ @
M3 @# @. L7 [+ e& c# O四种NAT怎么设置?
3 j) I* O1 S3 j2 c+ ~2 C5 F% {' O' x4 d4 c4 P# O
IPv4的NAT,相当于半个防火墙。
Y; W, C* h2 h. S4 N+ U& f3 L5 p" w$ X: e9 a. L, l" G& a
7 k$ T4 Y9 w6 J+ |7 i# X9 {
因为路由器不会主动对外提供服务,所以,外网黑客无法通过直接和路由器建立连接来和内网机器主动通讯。全锥NAT或者各种受限NAT情况下开uPnP进行较少限制的端口映射,就容易给黑客这样的机会(前提是你感染了相关病毒、木马进行了端口映射或者系统被注入攻击打开了端口映射)。
9 b) S" c/ x! o2 ]9 q1 U4 q, f
2 {8 Z) m' c$ p* z. W7 S/ A `& V6 @
那么,如何设置NAT呢?
3 R( T" A: u& P8 }6 p% g0 ]* w' }3 \( B
一般来说,如果上网设备仅用于娱乐和一般上网,没有涉密数据情况下,建议打开全锥形NAT,特别是网游和电竞联网游戏玩家,但建议关闭uPnP,防止部分软件比如在线影音程序把本机映射出去当CDN节点做持续上传服务。
% w. ~- G9 o6 R( b
* R# i+ ?9 U6 R0 |/ B
宽带网络本身没有公网IP的,可以考虑直接设置为受限锥形NAT或者端口受限NAT,但是打开路由器的uPnP或者DMZ功能,保证连接兼容性。
/ L7 e. }& ^! R$ F; ~* h* ~
" q, T, |1 I2 z* z' `8 J8 q# Q内网交换较多,有安全需求的,建议平时主要使用对称NAT设置,同时在网游、NAS软件或者在线影音程序使用不正常时候,暂时改为全锥形NAT,使用完毕后再恢复为对称NAT。
5 H9 K) n; y+ b7 C' J( ]5 E, E) A" ?$ B8 C
发表于 2024-2-9 10:04:59