Warum ist der BGP-Fremdadressenport 1027?
Ich verwende BGP, um Router1 und Router2 zu verbinden, aber wenn ich den TCP-Fortschritt zeige :
Router1>show tcp brief TCB Local Address Foreign Address (state) 4E976890 10.0.0.1.179 10.0.0.2.1027 ESTABLISHED
Wir sagen, dass der BGP auf dem TCP-Port 179 basiert. Warum befindet sich der BGP von Router2 auf Port 1027?
Antwort
Eine Seite der Verbindung hat eine beliebige Portnummer, die andere ist 179.
Cisco Press „BGP Fundamentals“ hat eine gute Erklärung ( Link )
verwaltet der Nachbar mit der höheren IP-Adresse Der Router, der die Anforderung initiiert, verwendet einen dynamischen Quellport, der Zielport ist jedoch immer 179.
Beispiel 1-1 zeigt eine eingerichtete BGP-Sitzung mit dem Befehl
show tcp brief
, um die aktiven TCP-Sitzungen zwischen Routern anzuzeigen. Beachten Sie, dass der TCP-Quellport 179 und der Zielport 59884 auf R1 ist und die Ports auf R2 gegenüberliegen.
Example 1-1: Established BGP session RP/0/0/CPU0:R1# show tcp brief | exc "LISTEN|CLOSED" PCB VRF-ID Recv-Q Send-Q Local Address Foreign Address State 0x088bcbb8 0x60000000 0 0 10.1.12.1:179 10.1.12.2:59884 ESTAB R2# show tcp brief TCB Local Address Foreign Address (state) EF153B88 10.1.12.2. 59884 10.1.12.1.179 ESTAB
Dies ist genau das gleiche wie bei jeder anderen TCP-Verbindung: Die passive offene Seite sitzt und wartet auf eine bekannte Portnummer; Die aktive offene Seite verwendet einen Arbitary Port. Dies erleichtert die Verwaltung von vielen zu vielen TCP-Links erheblich.
Kommentare
- Was ' ist der richtige Weg, um diese zufälligen Ports in iptables zu schützen?
- Die Frage betrifft Cisco-Router. Was möchten Sie mit
iptables
schützen? - @bswinnerton – Höchstwahrscheinlich filtern Sie nur nach verbindungsinitiierendem Datenverkehr (
--dport 179
) und lassen den Verbindungsverfolgungsmechanismus die Antworten verarbeiten (--state ESTABLISHED
zum Beispiel?)
Antwort
TCP-Quell- und Zielports.
Um ein anderes Beispiel zu nennen: HTTP-Server überwachen den TCP-Port 80. Wenn Sie also eine Verbindung zu einem Webserver herstellen, verwenden Sie automatisch TCP / 80 als Zielport. Der Quellport ist jedoch über 1024 zufällig.
Genau dasselbe passiert mit BGP – der Client (der Router, der die Verbindung initiiert) stellt eine Verbindung zum TCP-Zielport 179 her. Der Quellport dafür Die Verbindung ist ein zufälliger High-Port.
Antwort
Im Allgemeinen ist die BGP
Verwenden Sie den TCP-Port 179
als BGP-Dienst. Für den Client-Verbindungs-BGP-Service-Port gibt es keine Begrenzung.
Wenn der SSH-Server 22
als Port verwendet, gibt es keine Begrenzung für den Client-Port.