Waarom is de BGP-poort voor buitenlandse adressen 1027?
Ik gebruik BGP om Router1 en Router2 te verbinden, maar als ik de TCP-voortgang laat zien :
Router1>show tcp brief TCB Local Address Foreign Address (state) 4E976890 10.0.0.1.179 10.0.0.2.1027 ESTABLISHED
We zeggen dat de BGP is gebaseerd op TCP-poort 179. Waarom is de BGP van Router2 op poort 1027?
Answer
De ene kant van de verbinding heeft een willekeurig poortnummer, de andere kant 179.
Cisco Press “BGP Fundamentals” heeft een goede uitleg ( link )
de buurman met het hogere IP-adres beheert de verbinding. De router die het verzoek initieert, gebruikt een dynamische bronpoort, maar de bestemmingspoort is altijd 179.
Voorbeeld 1-1 toont een tot stand gebrachte BGP-sessie met de opdracht
show tcp brief
om de actieve TCP-sessies tussen routers weer te geven. Merk op dat de TCP-bronpoort 179 is en de doelpoort 59884 op R1, en de poorten tegenover R2.
Example 1-1: Established BGP session RP/0/0/CPU0:R1# show tcp brief | exc "LISTEN|CLOSED" PCB VRF-ID Recv-Q Send-Q Local Address Foreign Address State 0x088bcbb8 0x60000000 0 0 10.1.12.1:179 10.1.12.2:59884 ESTAB R2# show tcp brief TCB Local Address Foreign Address (state) EF153B88 10.1.12.2. 59884 10.1.12.1.179 ESTAB
Dit is precies hetzelfde als elke andere TCP-verbinding: de passieve open zijde zit en wacht op een bekend poortnummer; de actieve open zijde gebruikt een willekeurige poort. Dit maakt het veel gemakkelijker om veel-op-veel TCP-links te beheren.
Opmerkingen
Answer
TCP-bron vs. bestemmingspoorten.
Om een ander voorbeeld te geven: HTTP-servers luisteren op TCP-poort 80. Dus wanneer u verbinding maakt met een webserver, gebruikt u automatisch TCP / 80 als de bestemmingspoort. De bronpoort is echter een willekeurige poort boven 1024.
Precies hetzelfde gebeurt met BGP – de client (de router die de verbinding start) zal verbinding maken met de TCP-bestemmingspoort 179. Maar de bronpoort daarvoor verbinding zal een willekeurige hoge poort zijn.
Antwoord
In het algemeen is de BGP
gebruik de TCP 179
-poort als de BGP-service. de client verbindt de BGP-servicepoort is er geen limiet.
zoals de SSH-server gebruikt 22
als zijn poort, er is geen limiet voor de clientpoort.
iptables
?--dport 179
) en laat je het mechanisme voor het volgen van verbindingen de reacties afhandelen (--state ESTABLISHED
, bijvoorbeeld?)