Hvorfor er BGP-basen på TCP 1027 snarere end 179?

Hvorfor er BGP-udenlandske adresseport 1027?

Jeg bruger BGP til at forbinde Router1 og Router2, men når jeg viser TCP-fremskridt :

Router1>show tcp brief TCB Local Address Foreign Address (state) 4E976890 10.0.0.1.179 10.0.0.2.1027 ESTABLISHED 

Vi siger, at BGP er baseret på TCP-port 179. Hvorfor er Router2s BGP på port 1027?

Svar

Den ene side af forbindelsen har et vilkårligt portnummer, den anden er på 179.

Cisco Press “BGP Fundamentals” har en god forklaring ( link )

naboen med den højere IP-adresse administrerer forbindelsen. Routeren, der starter anmodningen, bruger en dynamisk kildeport, men destinationsporten er altid 179.

Eksempel 1-1 viser en etableret BGP-session ved hjælp af kommandoen show tcp brief for at få vist de aktive TCP-sessioner mellem routere. Bemærk, at TCP-kildeporten er 179, og destinationsporten er 59884 på R1, og portene er modsatte på R2.

Example 1-1: Established BGP session RP/0/0/CPU0:R1# show tcp brief | exc "LISTEN|CLOSED" PCB VRF-ID Recv-Q Send-Q Local Address Foreign Address State 0x088bcbb8 0x60000000 0 0 10.1.12.1:179 10.1.12.2:59884 ESTAB R2# show tcp brief TCB Local Address Foreign Address (state) EF153B88 10.1.12.2. 59884 10.1.12.1.179 ESTAB 

Dette er præcis det samme som enhver anden TCP-forbindelse: den passive åbne side sidder og venter på et velkendt portnummer; den aktive åbne side bruger en vilkårlig port. Dette gør det meget nemmere at administrere mange-til-mange TCP-links.

Kommentarer

  • Hvad ' er den rigtige måde at beskytte disse tilfældige porte i iptables på?
  • Spørgsmålet drejer sig om Cisco-routere, hvad vil du beskytte med iptables?
  • @bswinnerton – sandsynligvis filtrerer du kun efter forbindelsesinitierende trafik (--dport 179) og lader forbindelsessporingsmekanismen håndtere svarene (--state ESTABLISHED, for eksempel?)

Svar

TCP-kilde versus destinationsporte.

For at give et andet eksempel: HTTP-servere lytter på TCP-port 80. Så når du opretter forbindelse til en webserver, bruger du automatisk TCP / 80 som destinationsport. Kildeporten er dog tilfældig over 1024.

Den nøjagtige samme ting sker med BGP – klienten (routeren, der starter forbindelsen), opretter forbindelse til TCP-destinationsport 179. Men kildeporten til det forbindelsen vil være en tilfældig høj port.

Svar

Generelt er BGP brug TCP 179 port som BGP-tjeneste. klientens tilslutning af BGP-serviceport er der ingen grænse.

som SSH-serveren bruger 22 som sin port, er der ingen grænse for klientporten.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *