星级打分
平均分:0 参与人数:0 我的评分:未评
有朋友留言,买了一部某品牌BE7200级别的路由器,发现设置里有个NAT类型,里面几个选项不知道怎么选。以前的入门级路由器简单设置拨号就行了,这种情况怎么办?别急,我来解释!
* Q& V( o( D* z2 k( M% ^6 f4 w3 f$ z6 L0 p, y' L( \& @
2 k3 e. o6 x1 T8 p6 D
NAT是什么?
0 ~/ }- K0 z, e$ r+ M, B8 m# i
M& b6 Y; N6 v
7 ]& W4 D8 h5 R3 t4 F" x5 k x这位朋友碰到的问题是固件和APP设置中出现了NAT类型的选项。而且里面“全锥形NAT”和“端口受限型NAT”还有警告语,警告前者可能有安全隐患,吓得他不敢去看前者。但是好像不开,玩网游似乎更容易登录失败和掉线了,所以来问小狮子是不是这个东西造成的。
9 O( U W* r6 F- N4 @8 ]
6 u# J( A z1 i2 @无独有偶,另外一个朋友的华硕AX92U路由器也出现了NAT类型设置,不过变成了“全锥形NAT”和“对称型NAT”(变成了英文)选项。
/ v# X/ B! w( Q- U7 x% J
* T7 X" Z) f0 S* K& L9 M6 t4 M这里先来解释下NAT。NAT是一种“网络地址转换”技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。
; F0 E! A5 S6 r e8 V" k
1 T4 N- X+ D! Q0 c! N
当私网用户访问公网的报文到达网关设备后,如果网关设备上部署了NAT功能,设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址,端口号转换为另一个端口号之后转发给公网。在这个过程中,设备可以用同一个公网地址来转换多个私网用户发过来的报文,并通过端口号来区分不同的私网用户,从而达到地址复用的目的。
2 @( c0 Q* @' Q# o5 @3 [
2 C6 p. X; e; S6 o& F7 I/ Q
实际上,现在的NAT已经转变为NAPT,也就是主要通过“Port”,也就是“端口”的映射,来来完成网络地址转换了。这样就实现多个私网用户共同使用一个公网IP地址上网。NAPT根据端口来区分不同用户,真正做到了地址复用。
: s* a7 n7 N& u! N
. w' g9 ~8 \- A% u2 V简单来说,就是路由器的NAT,能让你的局域网上的每个设备,都变成一个在互联网上有“独立公网IP”的设备,从而让很多服务,比如网络游戏、视频和语音通话、IPTV等服务,能够更好更流程的变成某种意义的“点对点”转发工作,从而提高效率和连接成功率。
7 L$ [) u3 q* q% P0 ?/ v9 A" U, ?: V
$ y6 r4 g. X. a$ o; P; s* R四种NAT服务,越来越严格
, q" h' Y6 Y/ ^. x) e1 ?3 C3 N9 ]
; W; A7 S. l& [) Y [0 l: h! [现在NAT服务在网络协议规范中,有四种工作模式。分别是完全锥形NAT、限制锥形NAT、端口受限NAT和对称NAT。其中,家用中高端路由器中,最常见是完全锥形NAT、端口受限NAT和对称NAT。该怎么选,你需要先了解它们的意义。
) M2 U5 [7 A& Z% O- _
! q" l3 L9 q# J! m' g
Full Cone NAT(完全锥型NAT)
, P6 S4 x' D9 g1 x5 e7 h; D$ x+ D2 H# d" u
所有从同一个私网IP地址和端口(IP1
ort1)发送过来的请求都会被映射成同一个公网IP地址和端口(IP
ort)。并且,任何外部主机通过向映射的公网IP地址和端口发送报文,都可以实现和内部主机进行通信。
& E b, \9 v) s o7 a4 b
: J% i: R3 I; [ d" V( v! o
8 N; J0 g' a! B* @3 F# _这是一种比较宽松的策略,只要建立了私网IP地址和端口与公网IP地址和端口的映射关系,所有的Internet上的主机都可以访问该NAT之后的主机。可以说是“局域网设备可以让路由器自由转换网络地址”。如果要使用内网穿透的工具和部分NAS软件,必须借助全锥形NAT的这个特性实现。
, K5 I; [4 r% W% Z# e/ F2 y5 ?
0 }) X! s! m: G' K. n% cRestricted Cone NAT(限制锥型NAT)
0 O! z) _0 }3 F& A) D
% t4 j- G% A& h! ^% r3 b9 a, d* N5 p所有从同一个私网IP地址和端口(IP1
ort1)发送过来的请求都会被映射成同一个公网IP和端口号(IP
ort)。
" w# Z- P7 x3 N# N
4 ~; C3 r- @# ^. t' p0 W5 N1 [
与全锥形NAT不同,只有在内部主机之前向IP地址X发送过数据包时,外部主机(具有IP地址X)才能向内部主机发送数据包,因此对新的UDP协议的程序(如部分网游和聊天程序),并不友好。
8 E! o+ I7 b9 q* s5 ]/ l0 M) E
4 t% I$ \& e9 O8 G1 OPort Restricted Cone NAT(端口限制锥型NAT)
. H+ p8 Y3 p' S" ~: z) y# i+ _
' p' F1 J! C0 w. h; N与限制锥型NAT很相似,只不过它包括端口号。也就是说,一台公网主机(IP2
ort2)想给私网主机发送报文,必须是这台私网主机先前已经给这个IP地址和端口发送过报文。相对限制锥形NAT,要求更严格了。部分网游使用这个模式的话,更难连接成功。
7 V! k8 X, B; K: }9 v1 U) I- ^8 E
* n% z1 ]* z9 L" t1 r
Symmetric NAT(对称NAT)
4 `* h- |5 R# I/ c# W! s
0 g( T" o v$ r! z' v: V: z1 L$ O所有从同一个私网IP地址和端口发送到一个特定的目的IP地址和端口的请求,都会被映射到同一个IP地址和端口。如果同一台主机使用相同的源地址和端口号发送报文,但是发往不同的目的地,NAT将会使用不同的映射。此外,只有收到数据的公网主机才可以反过来向私网主机发送报文。
( E4 {' n2 X1 n2 R, Y
& c' {# Q9 G6 P, M' _8 {; d& ?' ^$ K( | f6 t+ l+ a' G. ^2 A
这和端口限制锥型NAT不同,端口限制锥型NAT是所有请求映射到相同的公网IP地址和端口,而对称NAT是不同的请求有不同的映射。换句话说,对称NAT允许内部主机之间直接通信,而不必通过外部服务器中转。
% ?' Y' ^$ q% ^, o
# n" ^$ _' W4 s华硕大部分中高端家用路由器,默认设置都是“对称NAT”。
7 g3 u" |3 h5 ?- M) m- M
* T' u q. Z% T2 w4 @四种NAT怎么设置?
0 ~! d# T7 c$ H' d0 c v" \" r
& Q+ v; m( G" }( v+ U0 SIPv4的NAT,相当于半个防火墙。
h: }. V! A" b. i$ C1 I
0 q4 c5 a1 O4 `* O/ o, [
. b/ O/ S, z ~+ [3 V2 T因为路由器不会主动对外提供服务,所以,外网黑客无法通过直接和路由器建立连接来和内网机器主动通讯。全锥NAT或者各种受限NAT情况下开uPnP进行较少限制的端口映射,就容易给黑客这样的机会(前提是你感染了相关病毒、木马进行了端口映射或者系统被注入攻击打开了端口映射)。
2 J8 ~/ Y9 S0 F" N$ d2 h; T: \% ?0 K! y
& c$ j' ^; ]. N: U8 ^
那么,如何设置NAT呢?
! i4 P" e/ u7 C) b
/ z2 K& O" z# u+ T! W0 ?一般来说,如果上网设备仅用于娱乐和一般上网,没有涉密数据情况下,建议打开全锥形NAT,特别是网游和电竞联网游戏玩家,但建议关闭uPnP,防止部分软件比如在线影音程序把本机映射出去当CDN节点做持续上传服务。
7 V2 J2 O. ~: C
2 l0 j& T9 z+ j3 s6 z% l9 K宽带网络本身没有公网IP的,可以考虑直接设置为受限锥形NAT或者端口受限NAT,但是打开路由器的uPnP或者DMZ功能,保证连接兼容性。
/ v4 z2 K9 O% X' m7 D
! ~4 z2 G# K# j6 Q4 S" h. }内网交换较多,有安全需求的,建议平时主要使用对称NAT设置,同时在网游、NAS软件或者在线影音程序使用不正常时候,暂时改为全锥形NAT,使用完毕后再恢复为对称NAT。
1 R/ a' A7 ~: q3 \ C1 B
. n; G' ]5 b& b6 w& f 
发表于 2024-2-9 10:04:59