有朋友留言，買了一部某品牌BE7200級別的路由器，發現設置裏有個NAT類型，裏面幾個選項不知道怎麽選。以前的入門級路由器簡單設置撥號就行了，這種情況怎麽辦？別急，我來解釋！

1、NAT是什麽？

這位朋友碰到的問題是固件和APP設置中出現了NAT類型的選項。而且裏面“全錐形NAT”和“端口受限型NAT”還有警告語，警告前者可能有安全隱患，嚇得他不敢去看前者。但是好像不開，玩網遊似乎更容易登錄失敗和掉線了，所以來問小獅子是不是這個東西造成的。

無獨有偶，另外一個朋友的華碩AX92U路由器也出現了NAT類型設置，不過變成了“全錐形NAT”和“對稱型NAT”（變成了英文）選項。

這裏先來解釋下NAT。NAT是一種“網絡地址轉換”技術，它可以將IP數據報文頭中的IP地址轉換爲另一個IP地址，並通過轉換端口號達到地址重用的目的。

當私網用戶訪問公網的報文到達網關設備後，如果網關設備上部署了NAT功能，設備會將收到的IP數據報文頭中的IP地址轉換爲另一個IP地址，端口號轉換爲另一個端口號之後轉發給公網。在這個過程中，設備可以用同一個公網地址來轉換多個私網用戶發過來的報文，並通過端口號來區分不同的私網用戶，從而達到地址複用的目的。

實際上，現在的NAT已經轉變爲NAPT，也就是主要通過“Port”，也就是“端口”的映射，來來完成網絡地址轉換了。這樣就實現多個私網用戶共同使用一個公網IP地址上網。NAPT根據端口來區分不同用戶，真正做到了地址複用。

簡單來說，就是路由器的NAT，能讓你的局域網上的每個設備，都變成一個在互聯網上有“獨立公網IP”的設備，從而讓很多服務，比如網絡遊戲、視頻和語音通話、IPTV等服務，能夠更好更流程的變成某種意義的“點對點”轉發工作，從而提高效率和連接成功率。

2、四種NAT服務，越來越嚴格

現在NAT服務在網絡協議規範中，有四種工作模式。分別是完全錐形NAT、限制錐形NAT、端口受限NAT和對稱NAT。其中，家用中高端路由器中，最常見是完全錐形NAT、端口受限NAT和對稱NAT。該怎麽選，你需要先了解它們的意義。

Full Cone NAT（完全錐型NAT）

所有從同一個私網IP地址和端口（IP1:Port1）發送過來的請求都會被映射成同一個公網IP地址和端口（IP:Port）。並且，任何外部主機通過向映射的公網IP地址和端口發送報文，都可以實現和內部主機進行通信。

這是一種比較寬松的策略，只要建立了私網IP地址和端口與公網IP地址和端口的映射關系，所有的Internet上的主機都可以訪問該NAT之後的主機。可以說是“局域網設備可以讓路由器自由轉換網絡地址”。如果要使用內網穿透的工具和部分NAS軟件，必須借助全錐形NAT的這個特性實現。

Restricted Cone NAT（限制錐型NAT）

所有從同一個私網IP地址和端口（IP1:Port1）發送過來的請求都會被映射成同一個公網IP和端口號（IP:Port）。

與全錐形NAT不同，只有在內部主機之前向IP地址X發送過數據包時，外部主機（具有IP地址X）才能向內部主機發送數據包，因此對新的UDP協議的程序（如部分網遊和聊天程序），並不友好。

Port Restricted Cone NAT（端口限制錐型NAT）

與限制錐型NAT很相似，只不過它包括端口號。也就是說，一台公網主機（IP2:Port2）想給私網主機發送報文，必須是這台私網主機先前已經給這個IP地址和端口發送過報文。相對限制錐形NAT，要求更嚴格了。部分網遊使用這個模式的話，更難連接成功。

Symmetric NAT（對稱NAT）

所有從同一個私網IP地址和端口發送到一個特定的目的IP地址和端口的請求，都會被映射到同一個IP地址和端口。如果同一台主機使用相同的源地址和端口號發送報文，但是發往不同的目的地，NAT將會使用不同的映射。此外，只有收到數據的公網主機才可以反過來向私網主機發送報文。

這和端口限制錐型NAT不同，端口限制錐型NAT是所有請求映射到相同的公網IP地址和端口，而對稱NAT是不同的請求有不同的映射。換句話說，對稱NAT允許內部主機之間直接通信，而不必通過外部服務器中轉。

華碩大部分中高端家用路由器，默認設置都是“對稱NAT”。

3、四種NAT怎麽設置？

IPv4的NAT，相當于半個防火牆。

因爲路由器不會主動對外提供服務，所以，外網黑客無法通過直接和路由器建立連接來和內網機器主動通訊。全錐NAT或者各種受限NAT情況下開uPnP進行較少限制的端口映射，就容易給黑客這樣的機會（前提是你感染了相關病毒、木馬進行了端口映射或者系統被注入攻擊打開了端口映射）。

那麽，如何設置NAT呢？

一般來說，如果上網設備僅用于娛樂和一般上網，沒有涉密數據情況下，建議打開全錐形NAT，特別是網遊和電競聯網遊戲玩家，但建議關閉uPnP，防止部分軟件比如在線影音程序把本機映射出去當CDN節點做持續上傳服務。

寬帶網絡本身沒有公網IP的，可以考慮直接設置爲受限錐形NAT或者端口受限NAT，但是打開路由器的uPnP或者DMZ功能，保證連接兼容性。

內網交換較多，有安全需求的，建議平時主要使用對稱NAT設置，同時在網遊、NAS軟件或者在線影音程序使用不正常時候，暫時改爲全錐形NAT，使用完畢後再恢複爲對稱NAT。