juli 24, 2020
Articles
Geen reacties

Waarom is de BGP gebaseerd op TCP 1027 in plaats van 179?

Waarom is de BGP-poort voor buitenlandse adressen 1027?

Ik gebruik BGP om Router1 en Router2 te verbinden, maar als ik de TCP-voortgang laat zien : 

Router1>show tcp brief TCB Local Address Foreign Address (state) 4E976890 10.0.0.1.179 10.0.0.2.1027 ESTABLISHED

We zeggen dat de BGP is gebaseerd op TCP-poort 179. Waarom is de BGP van Router2 op poort 1027?

Answer

De ene kant van de verbinding heeft een willekeurig poortnummer, de andere kant 179.

Cisco Press “BGP Fundamentals” heeft een goede uitleg ( link )

de buurman met het hogere IP-adres beheert de verbinding. De router die het verzoek initieert, gebruikt een dynamische bronpoort, maar de bestemmingspoort is altijd 179.

Voorbeeld 1-1 toont een tot stand gebrachte BGP-sessie met de opdracht show tcp brief om de actieve TCP-sessies tussen routers weer te geven. Merk op dat de TCP-bronpoort 179 is en de doelpoort 59884 op R1, en de poorten tegenover R2. 

Example 1-1: Established BGP session RP/0/0/CPU0:R1# show tcp brief | exc "LISTEN|CLOSED" PCB VRF-ID Recv-Q Send-Q Local Address Foreign Address State 0x088bcbb8 0x60000000 0 0 10.1.12.1:179 10.1.12.2:59884 ESTAB R2# show tcp brief TCB Local Address Foreign Address (state) EF153B88 10.1.12.2. 59884 10.1.12.1.179 ESTAB

Dit is precies hetzelfde als elke andere TCP-verbinding: de passieve open zijde zit en wacht op een bekend poortnummer; de actieve open zijde gebruikt een willekeurige poort. Dit maakt het veel gemakkelijker om veel-op-veel TCP-links te beheren.

Opmerkingen

  • Wat ' is de juiste manier om deze willekeurige poorten in iptables te beschermen?
  • Vraag gaat over Cisco-routers, wat wil je beschermen met iptables?
  • @bswinnerton – hoogstwaarschijnlijk filter je alleen op verkeer dat een verbinding tot stand brengt (--dport 179) en laat je het mechanisme voor het volgen van verbindingen de reacties afhandelen (--state ESTABLISHED, bijvoorbeeld?)

Answer

TCP-bron vs. bestemmingspoorten.

Om een ander voorbeeld te geven: HTTP-servers luisteren op TCP-poort 80. Dus wanneer u verbinding maakt met een webserver, gebruikt u automatisch TCP / 80 als de bestemmingspoort. De bronpoort is echter een willekeurige poort boven 1024.

Precies hetzelfde gebeurt met BGP – de client (de router die de verbinding start) zal verbinding maken met de TCP-bestemmingspoort 179. Maar de bronpoort daarvoor verbinding zal een willekeurige hoge poort zijn.

Antwoord

In het algemeen is de BGP gebruik de TCP 179 -poort als de BGP-service. de client verbindt de BGP-servicepoort is er geen limiet.

zoals de SSH-server gebruikt 22 als zijn poort, er is geen limiet voor de clientpoort.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *