De ce este baza BGP pe TCP 1027 mai degrabă decât 179?

De ce este portul de adresă străină BGP 1027?

Folosesc BGP pentru a conecta Router1 și Router2, dar când arăt progresul TCP :

Router1>show tcp brief TCB Local Address Foreign Address (state) 4E976890 10.0.0.1.179 10.0.0.2.1027 ESTABLISHED 

Spunem că BGP se bazează pe portul TCP 179. De ce este BGP-ul Router2 pe portul 1027?

Răspuns

O parte a conexiunii va avea un număr de port arbitrar, cealaltă va fi pe 179.

Cisco Press „BGP Fundamentals” are o explicație bună ( link )

gestionează vecinul cu adresa IP superioară conexiunea. Ruterul care inițiază solicitarea folosește un port sursă dinamic, dar portul de destinație este întotdeauna 179.

Exemplul 1-1 arată o sesiune BGP stabilită utilizând comanda show tcp brief pentru a afișa sesiunile TCP active între rute. Observați că portul sursă TCP este 179 și portul destinație este 59884 pe R1, iar porturile sunt opuse pe R2.

Example 1-1: Established BGP session RP/0/0/CPU0:R1# show tcp brief | exc "LISTEN|CLOSED" PCB VRF-ID Recv-Q Send-Q Local Address Foreign Address State 0x088bcbb8 0x60000000 0 0 10.1.12.1:179 10.1.12.2:59884 ESTAB R2# show tcp brief TCB Local Address Foreign Address (state) EF153B88 10.1.12.2. 59884 10.1.12.1.179 ESTAB 

Acest lucru este la fel ca orice altă conexiune TCP: partea deschisă pasivă stă și așteaptă pe un număr de port bine cunoscut; partea deschisă activă folosește un port arbitrar. Acest lucru face mult mai ușoară gestionarea mai multor linkuri TCP.

Comentarii

  • Ce ' este modul corect de a proteja aceste porturi aleatorii în iptables?
  • Întrebarea este despre routerele Cisco, ce doriți să protejați cu iptables?
  • @bswinnerton – cel mai probabil veți filtra numai traficul care inițiază conexiunea (--dport 179) și lăsați mecanismul de urmărire a conexiunii să gestioneze răspunsurile (--state ESTABLISHED, de exemplu?)

Răspuns

Sursă TCP vs. porturi de destinație.

Pentru a da un alt exemplu: serverele HTTP ascultă pe portul TCP 80. Deci, atunci când vă conectați la un server web, veți utiliza automat TCP / 80 ca port de destinație. Cu toate acestea, portul sursă este unul aleator peste 1024.

Exact același lucru se întâmplă cu BGP – clientul (routerul care inițiază conexiunea) se va conecta la portul de destinație TCP 179. Dar portul sursă pentru acest lucru conexiunea va fi un port mare aleatoriu.

Răspuns

În general, BGP utilizați portul TCP 179 ca serviciu BGP. clientul conectează portul de servicii BGP nu există nicio limită.

cum ar fi serverul SSH utilizează 22 ca port, nu există nicio limită pentru portul client.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *