FAQ：AR110-S是否支持完全圆锥型NAT

某企业用户使用AR110-S作为出口网关，咨询是否支持Full Cone NAT（完全圆锥型）？

设备版本：V200R007C00SPCb00

AR110-S支持fullclone nat 网络类型，需要配置下面两个命令：

nat mapping-mode endpoint-independent

nat filter-mode endpoint-independent

背景知识：

一、对于AR设备：

nat filter-mode命令用来配置NAT过滤方式。

缺省情况下，NAT过滤方式为endpoint-and-port-dependent。

实现NAT过滤方式可以满足使用STUN、TURN等NAT穿越技术的终端软件能够穿越NAT。

外网访问内网时设备做目的NAT：

如果配置与外部地址和端口无关的NAT过滤方式，则只以“目的IP+目的端口+协议号”为Key查询反向映射表，如果查询到相应的匹配条目，则生成反向流表，流表的目的地址和端口替换为相应内网的IP和端口号。

如果配置与外部地址相关、端口无关的NAT过滤方式，则以“源IP+目的IP+目的端口+协议号”为Key查询反向映射表，如果查询到相应的匹配条目，则生成反向流表，流表替换动作按照映射表中的条目进行替换。

如果配置与外部地址和端口都相关的NAT过滤方式，则以“源IP+源端口＋目的IP+目的端口+协议号”为key查询反向映射表，如果查询到相应的匹配条目，则生成反向流表，流表替换动作按照映射表中的条目进行替换。

只有当前没有NAT业务流量时才可以修改NAT过滤方式。

二、NAT类型

NAPT(Network Address/Port Translators)：NAPT将内部连接映射到外部网络中的一个单独IP地址上，同时在该地址上加上一个由NAT设备选定的端口号。根据映射方式不同，NAPT可以分为圆锥型NAT和对称性NAT，其中圆锥型NAT包括完全圆锥型NAT、地址限制圆锥型NAT和端口限制圆锥型NAT。

1.1完全圆锥型NAT( Full Cone NAT )

完全圆锥型NAT，将从一个内部IP地址和端口来的所有请求，都映射到相同的外部IP地址和端口。并且，任何外部主机通过向映射的外部地址发送报文，都可以实现和内部主机进行通信。这是一种比较宽松的策略，只要建立了内部网络的IP地址和端口与公网IP地址和端口的映射关系，所有的Internet上的主机都可以访问该NAT之后的主机。

1.2地址限制圆锥型NAT( Address Restricted Cone NAT )

地址限制圆锥型NAT也是将从相同的内部IP地址和端口来的所有请求映射到相同的公网IP地址和端口。但是与完全圆锥型NAT不同，当且仅当内部主机之前已经向公网主机发送过报文，此时公网主机才能向内网主机发送报文。

1.3端口限制圆锥型NAT( Port Restricted Cone NAT )

类似与地址限制圆锥型NAT，但是更严格。端口受限圆锥型NAT增加了端口号的限制，当前仅当内网主机之前已经向公网主机发送了报文，公网主机才能和此内网主机通信。

1.4对称型NAT( Symmetric NAT)

对称型NAT把从同一内网地址和端口到相同目的地址和端口的所有请求，都映射到同一个公网地址和端口。如果同一个内网主机，用相同的内网地址和端口向另外一个目的地址发送报文，则会用不同的映射。这和端口限制型NAT不同，端口限制型NAT是所有请求映射到相同的公网IP地址和端口，而对称型NAT是不同的请求有不同的映射。