BGP 외부 주소 포트가 1027 인 이유는 무엇입니까?
BGP를 사용하여 Router1과 Router2를 연결하지만 TCP 진행률을 표시 할 때 :
Router1>show tcp brief TCB Local Address Foreign Address (state) 4E976890 10.0.0.1.179 10.0.0.2.1027 ESTABLISHED BGP가 TCP 포트 179를 기반으로한다고 말합니다. Router2의 BGP가 포트 1027에있는 이유는 무엇입니까?
Answer
연결의 한쪽은 임의의 포트 번호를 가지며 다른 쪽은 179에 있습니다.
Cisco Press “BGP Fundamentals” 좋은 설명이 있습니다 ( link ).
더 높은 IP 주소를 가진 이웃이 관리합니다. 요청을 시작하는 라우터는 동적 소스 포트를 사용하지만 대상 포트는 항상 179입니다.
예 1-1은
show tcp brief는 라우터 간의 활성 TCP 세션을 표시합니다. TCP 소스 포트는 179이고 대상 포트는 R1에서 59884이며 포트는 R2에서 반대입니다.
Example 1-1: Established BGP session RP/0/0/CPU0:R1# show tcp brief | exc "LISTEN|CLOSED" PCB VRF-ID Recv-Q Send-Q Local Address Foreign Address State 0x088bcbb8 0x60000000 0 0 10.1.12.1:179 10.1.12.2:59884 ESTAB R2# show tcp brief TCB Local Address Foreign Address (state) EF153B88 10.1.12.2. 59884 10.1.12.1.179 ESTAB 이것은 다른 TCP 연결과 동일합니다. 패시브 개방 측은 잘 알려진 포트 번호에 앉아 대기합니다. 활성 개방 측은 임의 포트를 사용합니다. 이렇게하면 다 대다 TCP 링크를 훨씬 쉽게 관리 할 수 있습니다.
설명
답변
TCP 소스 대 대상 포트.
다른 예를 들자면 HTTP 서버는 TCP 포트 80에서 수신 대기합니다. 따라서 웹 서버에 연결할 때 자동으로 TCP / 80을 대상 포트로 사용합니다. 그러나 소스 포트는 1024 이상의 임의의 포트입니다.
BGP에서도 똑같은 일이 발생합니다. 클라이언트 (연결을 시작하는 라우터)는 TCP 대상 포트 179에 연결됩니다. 그러나 소스 포트는 연결은 임의의 상위 포트입니다.
답변
일반적으로 BGP TCP 179 포트를 BGP 서비스로 사용합니다. 클라이언트 연결 BGP 서비스 포트에는 제한이 없습니다.
SSH 서버와 같이 22를 포트로 사용하면 클라이언트 포트에 대한 제한이 없습니다.
iptables로 무엇을 보호 하시겠습니까?--dport 179) 만 필터링하고 연결 추적 메커니즘이 응답을 처리하도록합니다 (--state ESTABLISHED, 예 :?)