星级打分
平均分: 0 参与人数: 0 我的评分: 未评
有朋友留言,买了一部某品牌BE7200级别的路由器,发现设置里有个NAT类型,里面几个选项不知道怎么选。以前的入门级路由器简单设置拨号就行了,这种情况怎么办?别急,我来解释!
! I0 `4 G# c8 Q$ }3 e% y- M
j% p; h8 l. @8 U2 U
4 q/ R3 e0 {2 d5 R( @$ E" o( e9 q NAT是什么?
2 K( Z4 J# ?' o5 ?/ h: c8 j , S3 K8 n, v1 ~) x3 x4 |4 Y
1 _ r7 d( t9 O! e% \# C. H
这位朋友碰到的问题是固件和APP设置中出现了NAT类型的选项。而且里面“全锥形NAT”和“端口受限型NAT”还有警告语,警告前者可能有安全隐患,吓得他不敢去看前者。但是好像不开,玩网游似乎更容易登录失败和掉线了,所以来问小狮子是不是这个东西造成的。
2 z* U8 o' L E$ ~, g ' Y. H3 U2 h" H; A d
无独有偶,另外一个朋友的华硕AX92U路由器也出现了NAT类型设置,不过变成了“全锥形NAT”和“对称型NAT”(变成了英文)选项。
, a5 f2 r; {0 D7 C l% K! w
, d( a' C) _( i, _, p 这里先来解释下NAT。NAT是一种“网络地址转换”技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。
$ \; U8 S9 I f( @. Q
7 A: [/ a, d* t7 R0 ~( _% M/ P6 N 当私网用户访问公网的报文到达网关设备后,如果网关设备上部署了NAT功能,设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址,端口号转换为另一个端口号之后转发给公网。在这个过程中,设备可以用同一个公网地址来转换多个私网用户发过来的报文,并通过端口号来区分不同的私网用户,从而达到地址复用的目的。
+ j0 N1 U |7 I0 [7 ^8 L( C
' Y6 @# f9 z) |) }& Y7 B 实际上,现在的NAT已经转变为NAPT,也就是主要通过“Port”,也就是“端口”的映射,来来完成网络地址转换了。这样就实现多个私网用户共同使用一个公网IP地址上网。NAPT根据端口来区分不同用户,真正做到了地址复用。
1 g9 A! X+ T; y% L# j' T
3 j n0 }+ A8 m/ Y- {, {% ~4 w; {
简单来说,就是路由器的NAT,能让你的局域网上的每个设备,都变成一个在互联网上有“独立公网IP”的设备,从而让很多服务,比如网络游戏、视频和语音通话、IPTV等服务,能够更好更流程的变成某种意义的“点对点”转发工作,从而提高效率和连接成功率。
4 ^0 `5 p) S/ W. P( \- q9 }7 o
. z2 d; z# `* f5 o/ Z( a# g 四种NAT服务,越来越严格
9 |* T$ K! A4 t( W
# b$ N+ [5 s. U1 o& O 现在NAT服务在网络协议规范中,有四种工作模式。分别是完全锥形NAT、限制锥形NAT、端口受限NAT和对称NAT。其中,家用中高端路由器中,最常见是完全锥形NAT、端口受限NAT和对称NAT。该怎么选,你需要先了解它们的意义。
& y6 u6 w- @& }
. P4 M0 G% q3 h. }
Full Cone NAT(完全锥型NAT)
) j; F: F" j0 o3 f" I) v5 `/ J # P9 W. `& }0 D' z1 V2 x
所有从同一个私网IP地址和端口(IP1
ort1)发送过来的请求都会被映射成同一个公网IP地址和端口(IP
ort)。并且,任何外部主机通过向映射的公网IP地址和端口发送报文,都可以实现和内部主机进行通信。
5 A8 ~7 E0 L9 {" H) X # ^# ?- G1 H4 v' f1 Z
/ U$ ~" i3 M7 i) u- | 这是一种比较宽松的策略,只要建立了私网IP地址和端口与公网IP地址和端口的映射关系,所有的Internet上的主机都可以访问该NAT之后的主机。可以说是“局域网设备可以让路由器自由转换网络地址”。如果要使用内网穿透的工具和部分NAS软件,必须借助全锥形NAT的这个特性实现。
9 y; B- Y9 e3 `- d! C7 z ]. w
1 W8 j! \, W- k Restricted Cone NAT(限制锥型NAT)
; H" y. D; z4 R9 @* Q
$ P8 f( X. D* U6 |5 I* H7 ~
所有从同一个私网IP地址和端口(IP1
ort1)发送过来的请求都会被映射成同一个公网IP和端口号(IP
ort)。
! K9 P1 Z# G" M/ p2 H9 m
9 t p- |9 {4 W9 P0 [" a$ |; Q 与全锥形NAT不同,只有在内部主机之前向IP地址X发送过数据包时,外部主机(具有IP地址X)才能向内部主机发送数据包,因此对新的UDP协议的程序(如部分网游和聊天程序),并不友好。
5 C( A: p$ D. D
3 r; o; r1 U g
Port Restricted Cone NAT(端口限制锥型NAT)
9 w4 a n% D# z# b; m$ L0 e # _8 U4 f9 F* z: v
与限制锥型NAT很相似,只不过它包括端口号。也就是说,一台公网主机(IP2
ort2)想给私网主机发送报文,必须是这台私网主机先前已经给这个IP地址和端口发送过报文。相对限制锥形NAT,要求更严格了。部分网游使用这个模式的话,更难连接成功。
4 u j/ l3 m# c% a
$ y; ~/ U/ y7 [ Symmetric NAT(对称NAT)
6 E: N' n4 a# @8 ^% } . i9 \ E8 z* A/ q( ?8 y& z
所有从同一个私网IP地址和端口发送到一个特定的目的IP地址和端口的请求,都会被映射到同一个IP地址和端口。如果同一台主机使用相同的源地址和端口号发送报文,但是发往不同的目的地,NAT将会使用不同的映射。此外,只有收到数据的公网主机才可以反过来向私网主机发送报文。
0 y2 N( U4 f# S, h8 V
% d9 u( d, |- R* f e9 M
0 S' {! V7 Y0 h# p2 R. |# y3 r 这和端口限制锥型NAT不同,端口限制锥型NAT是所有请求映射到相同的公网IP地址和端口,而对称NAT是不同的请求有不同的映射。换句话说,对称NAT允许内部主机之间直接通信,而不必通过外部服务器中转。
9 T2 M! O0 \$ A+ K$ W- t2 F
' }. @5 p8 R5 ]' v7 y* B. c 华硕大部分中高端家用路由器,默认设置都是“对称NAT”。
, e5 s! j) j& T* [0 h
0 J8 k, `3 f/ ]2 A% e4 [ 四种NAT怎么设置?
" B! p( D8 m% B r% j
5 l ] g& v# M: O$ `& b/ E4 q IPv4的NAT,相当于半个防火墙。
3 g& P: i( ]7 [; g) O
: d( r) H' y! D9 W0 a
0 s8 t$ _- @8 s 因为路由器不会主动对外提供服务,所以,外网黑客无法通过直接和路由器建立连接来和内网机器主动通讯。全锥NAT或者各种受限NAT情况下开uPnP进行较少限制的端口映射,就容易给黑客这样的机会(前提是你感染了相关病毒、木马进行了端口映射或者系统被注入攻击打开了端口映射)。
/ d) g# A) s7 B6 D
9 T0 {8 }2 `0 }& w8 V/ ^ 那么,如何设置NAT呢?
; X7 R* W. Y. d8 l3 k% h
! X( H- F1 e2 i ]9 V* x
一般来说,如果上网设备仅用于娱乐和一般上网,没有涉密数据情况下,建议打开全锥形NAT,特别是网游和电竞联网游戏玩家,但建议关闭uPnP,防止部分软件比如在线影音程序把本机映射出去当CDN节点做持续上传服务。
; ~- M8 F4 ]' G6 z ; ?8 {: O# }$ g; d1 K. D H' J* a; K
宽带网络本身没有公网IP的,可以考虑直接设置为受限锥形NAT或者端口受限NAT,但是打开路由器的uPnP或者DMZ功能,保证连接兼容性。
5 E/ Q* f, ?. {6 U2 |8 T
* w+ L- M, q) i' \5 T" H/ Q
内网交换较多,有安全需求的,建议平时主要使用对称NAT设置,同时在网游、NAS软件或者在线影音程序使用不正常时候,暂时改为全锥形NAT,使用完毕后再恢复为对称NAT。
$ |* g. W9 f: e3 e4 c5 U
4 W9 j) k$ d( `% P( p