路由器的端口映射与 NAT 功能是什么意思

在现代网络架构中，路由器的端口映射与 NAT（Network Address Translation，网络地址转换）功能对于实现内网与外网的通信起着关键作用。端口映射是 NAT 功能的一种具体应用形式，它们紧密关联又各自具备独特功能。
NAT 功能主要解决了公网 IP 地址短缺的问题。随着互联网的迅猛发展，IPv4 地址资源日益紧张，大多数家庭和企业网络中的设备数量远超所拥有的公网 IP 地址数量。NAT 技术允许内网中的多台设备共享一个或少量公网 IP 地址与外网进行通信。其工作原理是，当内网设备发送数据包到外网时，路由器会将数据包中的源 IP 地址（内网 IP）替换为路由器的公网 IP 地址，并记录下这个映射关系。当外网设备返回响应数据包时，路由器再根据之前记录的映射关系，将目标 IP 地址（公网 IP）还原为对应的内网设备 IP 地址，从而实现内网与外网的正常通信。例如，家庭网络中有多台电脑、手机等设备，通过路由器连接到互联网，这些设备通常使用 192.168.x.x 等内网 IP 地址段，路由器通过 NAT 功能将这些内网 IP 地址转换为公网 IP 地址，使内网设备能够访问外网资源。
端口映射则是在 NAT 基础上，进一步实现了将公网 IP 地址的特定端口与内网设备的 IP 地址及端口进行关联。其主要目的是让外网设备能够主动访问内网中特定设备提供的服务。比如，企业内部有一台 Web 服务器，运行在 80 端口，内网 IP 为 192.168.1.100，而企业路由器拥有一个公网 IP 地址。为了让外部用户能够访问到这台 Web 服务器，就需要在路由器上进行端口映射配置，将公网 IP 的 80 端口映射到内网 Web 服务器的 192.168.1.100:80。这样，当外部用户在浏览器中输入公网 IP 地址时，请求会被路由器转发到内网的 Web 服务器上，Web 服务器处理请求后，将响应结果再通过路由器返回给外部用户。
端口映射主要分为动态端口映射和静态端口映射。动态端口映射常用于内网设备主动访问外网的场景。当内网中的一台电脑访问外网网站时，它会向 NAT 网关（通常是路由器）发送数据包，数据包的报头中包含对方网站的 IP、端口以及本机的 IP、端口。NAT 网关会将本机的 IP 和端口替换成自己的公网 IP 和一个未使用的端口，并记录下这个映射关系，以便后续转发数据包。例如，内网电脑 192.168.1.101:1000 向网站 10.10.10.10:80 发起请求，NAT 网关可能将其转换为公网 IP 202.100.100.100:5000，然后将数据发送给网站。网站响应后，数据发送到 NAT 网关的 5000 端口，网关再根据记录的映射关系将数据转发给内网的 192.168.1.101:1000，实现内网与公网的通讯。当连接关闭时，NAT 网关会释放分配给这条连接的端口，以供后续连接使用。
静态端口映射则是在 NAT 网关上开放一个固定的端口，并设定此端口收到的数据要转发给内网特定的 IP 和端口，无论是否有连接，这个映射关系都会一直存在。比如，企业希望外部用户能够主动访问内网中的一台文件服务器，就可以在路由器上设置静态端口映射，将公网 IP 的 21 端口（FTP 服务端口）映射到内网文件服务器的 192.168.1.102:21，这样外部用户就可以通过公网 IP 的 21 端口访问到内网的文件服务器。
以常见的 TP-Link 路由器为例，进行端口映射的步骤如下：首先，登录路由器管理界面，在浏览器地址栏中输入路由器的默认 IP 地址（一般在路由器说明书中可找到，常见为 192.168.1.1 或 192.168.0.1），然后输入用户名和密码登录（默认用户名和密码通常为 admin）。进入管理界面后，找到 “转发规则” 或 “虚拟服务器” 选项，不同型号路由器位置可能略有不同。点击 “添加新条目”，在设置页面中，填写服务端口号（如要映射 Web 服务，填写 80；FTP 服务填写 21 等）、协议类型（TCP 或 UDP，根据服务类型选择，Web 服务一般为 TCP，游戏服务器可能涉及 UDP）、内部服务器 IP 地址（即内网中要提供服务的设备 IP 地址）、内部端口号（与服务端口号对应，如 Web 服务内部端口也为 80），最后点击 “保存”。

拓展阅读：

1、 端口映射与端口转发区别：端口映射可实现外网到内网和内网到外网双向通信；端口转发只能实现外网到内网单向通信，且端口转发更侧重于将外网端口通信转发到内网特定地址端口。
2、 NAT 的不同类型及应用场景：除了常见的基本 NAT，还有 NAPT（Network Address Port Translation，网络地址端口转换），适用于大量内网设备共享少量公网 IP 的场景；NAT-PT（Network Address Translation - Protocol Translation，网络地址转换 - 协议转换）用于 IPv4 与 IPv6 网络过渡。
3、 路由器端口映射的安全风险及防范：端口映射增加了内网设备暴露风险，应遵循最小化原则，仅映射必要端口；同时结合防火墙规则，限制外部访问源 IP，定期更新路由器固件，提升安全性。