Miksi BGP-tukikohta on TCP 1027: ssä eikä 179: ssä?

Miksi BGP: n ulkomaan osoiteportti on 1027?

Käytän BGP: tä yhteyden reitittimiin 1 ja reitittimiin 2, mutta kun näytän TCP: n edistymistä :

Router1>show tcp brief TCB Local Address Foreign Address (state) 4E976890 10.0.0.1.179 10.0.0.2.1027 ESTABLISHED 

Sanomme, että BGP perustuu TCP-porttiin 179. Miksi Router2: n BGP on portissa 1027?

Vastaa

Yhteyden yhdellä puolella on mielivaltainen porttinumero, toinen on 179.

Cisco Press ”BGP Fundamentals” on hyvä selitys ( linkki )

naapuri, jolla on korkeampi IP-osoite, hallinnoi Pyynnön aloittava reititin käyttää dynaamista lähdeporttia, mutta kohdeportti on aina 179.

Esimerkki 1-1 näyttää vakiintuneen BGP-istunnon komennolla show tcp brief aktiivisten TCP-istuntojen näyttämiseksi reitittimien välillä. Huomaa, että TCP-lähdeportti on 179 ja kohdeportti on 59884 R1: llä ja portit ovat vastakkain R2: lla.

Example 1-1: Established BGP session RP/0/0/CPU0:R1# show tcp brief | exc "LISTEN|CLOSED" PCB VRF-ID Recv-Q Send-Q Local Address Foreign Address State 0x088bcbb8 0x60000000 0 0 10.1.12.1:179 10.1.12.2:59884 ESTAB R2# show tcp brief TCB Local Address Foreign Address (state) EF153B88 10.1.12.2. 59884 10.1.12.1.179 ESTAB 

Tämä on täsmälleen sama kuin mikä tahansa muu TCP-yhteys: passiivinen avoin puoli istuu ja odottaa tunnettua porttinumeroa; aktiivinen avoin puoli käyttää väliporttia. Tämä tekee monista moniin-TCP-linkkien hallinnan paljon helpommaksi.

Kommentit

  • Mitä ' Onko oikea tapa suojata nämä satunnaiset portit iptablesissa?
  • Kysymys koskee Cisco-reitittimiä. Mitä haluat suojata iptables -tekniikalla?
  • @bswinnerton – todennäköisesti suodatat vain yhteyden muodostavan liikenteen (--dport 179) ja annat yhteyden seurantamekanismin hoitaa vastaukset (--state ESTABLISHED, esimerkiksi?)

Vastaa

TCP-lähde vs. kohdeportit.

Eräs esimerkki: HTTP-palvelimet kuuntelevat TCP-porttia 80. Joten kun muodostat yhteyden verkkopalvelimeen, käytät automaattisesti TCP / 80: tä kohdeporttina. Lähdeportti on kuitenkin satunnaisportti, joka on yli 1024.

Aivan sama tapahtuu BGP: n kanssa – asiakas (yhteyden aloittava reititin) muodostaa yhteyden TCP-kohdeporttiin 179. Mutta sen lähdeportti yhteys on satunnainen korkea portti.

Vastaa

Yleensä BGP käytä TCP 179 -porttia BGP-palveluna. asiakasliitännän BGP-palveluporttia ei ole rajoitettu.

Esimerkiksi SSH-palvelin käyttää porttinaan 22, asiakasportille ei ole rajoitusta.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *