新路由器不知道这个选项意义？我来解释！

龙飞电脑工作室

星级打分

• 1
• 2
• 3
• 4
• 5

平均分:0  参与人数:0  我的评分:未评

有朋友留言，买了一部某品牌BE7200级别的路由器，发现设置里有个NAT类型，里面几个选项不知道怎么选。以前的入门级路由器简单设置拨号就行了，这种情况怎么办？别急，我来解释！
2 H( V: F/ [5 r" w* k0 {4 J
: t' Q: B- g* r: F* ?
NAT是什么？
2 j. M5 M% q) W( b! y2 D

这位朋友碰到的问题是固件和APP设置中出现了NAT类型的选项。而且里面“全锥形NAT”和“端口受限型NAT”还有警告语，警告前者可能有安全隐患，吓得他不敢去看前者。但是好像不开，玩网游似乎更容易登录失败和掉线了，所以来问小狮子是不是这个东西造成的。
. N- T4 k1 d2 b
$ J: a7 W! N/ L( x2 s无独有偶，另外一个朋友的华硕AX92U路由器也出现了NAT类型设置，不过变成了“全锥形NAT”和“对称型NAT”（变成了英文）选项。
4 z; U3 f% _/ s- l
: U7 r# J  {8 U5 _3 Y& W这里先来解释下NAT。NAT是一种“网络地址转换”技术，它可以将IP数据报文头中的IP地址转换为另一个IP地址，并通过转换端口号达到地址重用的目的。

) B( ?, }) n- [- f1 S8 _当私网用户访问公网的报文到达网关设备后，如果网关设备上部署了NAT功能，设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址，端口号转换为另一个端口号之后转发给公网。在这个过程中，设备可以用同一个公网地址来转换多个私网用户发过来的报文，并通过端口号来区分不同的私网用户，从而达到地址复用的目的。

实际上，现在的NAT已经转变为NAPT，也就是主要通过“Port”，也就是“端口”的映射，来来完成网络地址转换了。这样就实现多个私网用户共同使用一个公网IP地址上网。NAPT根据端口来区分不同用户，真正做到了地址复用。
' c, S! j; i9 f8 G7 H- |/ U
8 \* {/ E5 f. k0 W/ L简单来说，就是路由器的NAT，能让你的局域网上的每个设备，都变成一个在互联网上有“独立公网IP”的设备，从而让很多服务，比如网络游戏、视频和语音通话、IPTV等服务，能够更好更流程的变成某种意义的“点对点”转发工作，从而提高效率和连接成功率。
: b) W9 ~1 C( c. t0 o3 v; o: x+ _; q
% i& z3 o  h# V9 F$ G' h四种NAT服务，越来越严格
3 C# s$ B) E8 O0 C9 k3 G5 J+ V
/ X8 N! b+ ?0 ]现在NAT服务在网络协议规范中，有四种工作模式。分别是完全锥形NAT、限制锥形NAT、端口受限NAT和对称NAT。其中，家用中高端路由器中，最常见是完全锥形NAT、端口受限NAT和对称NAT。该怎么选，你需要先了解它们的意义。

7 b- s& u' y/ \( w( F* p8 M; O5 lFull Cone NAT（完全锥型NAT）
  N9 `( }4 F& `
' `; _, A8 ]% d所有从同一个私网IP地址和端口（IP1ort1）发送过来的请求都会被映射成同一个公网IP地址和端口（IPort）。并且，任何外部主机通过向映射的公网IP地址和端口发送报文，都可以实现和内部主机进行通信。

/ D2 W: B- A7 C. `* Z
这是一种比较宽松的策略，只要建立了私网IP地址和端口与公网IP地址和端口的映射关系，所有的Internet上的主机都可以访问该NAT之后的主机。可以说是“局域网设备可以让路由器自由转换网络地址”。如果要使用内网穿透的工具和部分NAS软件，必须借助全锥形NAT的这个特性实现。
# B4 K8 o1 Q0 k$ F2 s3 Y
! X; ?0 j3 Q) G! F8 M$ {Restricted Cone NAT（限制锥型NAT）

2 O" O  E: M: x, G所有从同一个私网IP地址和端口（IP1ort1）发送过来的请求都会被映射成同一个公网IP和端口号（IPort）。

与全锥形NAT不同，只有在内部主机之前向IP地址X发送过数据包时，外部主机（具有IP地址X）才能向内部主机发送数据包，因此对新的UDP协议的程序（如部分网游和聊天程序），并不友好。

Port Restricted Cone NAT（端口限制锥型NAT）

与限制锥型NAT很相似，只不过它包括端口号。也就是说，一台公网主机（IP2ort2）想给私网主机发送报文，必须是这台私网主机先前已经给这个IP地址和端口发送过报文。相对限制锥形NAT，要求更严格了。部分网游使用这个模式的话，更难连接成功。

7 P2 m4 g+ ?* ~0 M/ v1 j. VSymmetric NAT（对称NAT）

所有从同一个私网IP地址和端口发送到一个特定的目的IP地址和端口的请求，都会被映射到同一个IP地址和端口。如果同一台主机使用相同的源地址和端口号发送报文，但是发往不同的目的地，NAT将会使用不同的映射。此外，只有收到数据的公网主机才可以反过来向私网主机发送报文。


" s  @7 }  F. c& `9 j这和端口限制锥型NAT不同，端口限制锥型NAT是所有请求映射到相同的公网IP地址和端口，而对称NAT是不同的请求有不同的映射。换句话说，对称NAT允许内部主机之间直接通信，而不必通过外部服务器中转。
) x+ J  t1 i. C
* y$ `+ S! W1 D( A0 A8 t, H华硕大部分中高端家用路由器，默认设置都是“对称NAT”。
! N' V9 q$ N! F" {8 i2 @# F: I
四种NAT怎么设置？

1 H) ?3 J* m1 r' W( kIPv4的NAT，相当于半个防火墙。
1 D8 }( b8 u) n3 v4 [- y3 i

, W. J1 P% Q, t" W因为路由器不会主动对外提供服务，所以，外网黑客无法通过直接和路由器建立连接来和内网机器主动通讯。全锥NAT或者各种受限NAT情况下开uPnP进行较少限制的端口映射，就容易给黑客这样的机会（前提是你感染了相关病毒、木马进行了端口映射或者系统被注入攻击打开了端口映射）。
3 u/ o* P; |: r$ L0 ?% Q6 s  }8 u
. [1 J1 r2 e  g" h5 T  P那么，如何设置NAT呢？

- d5 x& f. S6 f4 L一般来说，如果上网设备仅用于娱乐和一般上网，没有涉密数据情况下，建议打开全锥形NAT，特别是网游和电竞联网游戏玩家，但建议关闭uPnP，防止部分软件比如在线影音程序把本机映射出去当CDN节点做持续上传服务。
9 H8 a( N5 ^' H" g$ J1 [
7 Z! i5 R7 k  }: [: S3 y1 |( E3 C宽带网络本身没有公网IP的，可以考虑直接设置为受限锥形NAT或者端口受限NAT，但是打开路由器的uPnP或者DMZ功能，保证连接兼容性。

内网交换较多，有安全需求的，建议平时主要使用对称NAT设置，同时在网游、NAS软件或者在线影音程序使用不正常时候，暂时改为全锥形NAT，使用完毕后再恢复为对称NAT。

, o6 ~& F# ]  I: I3 {