连80和443都分不清?还好意思说自己是网工!

前阵子排查一个“网站打不开”的故障,我问:“目标服务器80端口通吗?”新人答:“ping通了啊!”

我说:“ping的是ICMP,又不是HTTP!”他愣住。

很多人把“网络通”等同于“服务通”,根本没搞清IP和端口的关系

今天,我不讲RFC标准,直接甩出一张实战清单+排障逻辑,让你彻底搞懂端口号到底怎么用。

 

01 端口号的本质:进程的“通信入口”

  • 作用:在一台主机上,区分不同应用程序的网络连接
  • 范围:0 ~ 65535(16位无符号整数)
  • 分类
    • 0 ~ 1023:知名端口(Well-Known Ports),系统保留

      → 如 HTTP=80,HTTPS=443,SSH=22

    • 1024 ~ 49151:注册端口(Registered Ports)
      → 如 MySQL=3306,Redis=6379
    • 49152 ~ 65535:动态/私有端口(Ephemeral Ports)
      → 客户端临时使用(如浏览器随机选50000)

✅ 关键理解
IP地址定位主机,端口号定位主机上的具体服务

02 必须死记的20个高频端口

连80和443都分不清?还好意思说自己是网工!

⚠️ 注意

  • FTP还有数据端口(20或随机),防火墙需放行被动模式端口范围
  • DNS查询默认走UDP 53,但响应超512字节时自动切TCP

03 端口状态:LISTEN、ESTABLISHED、TIME_WAIT…

用 netstat 或 ss 查看:

# Linux
ss -tuln
# 或
netstat -ano
# Windows
netstat -ano

常见状态含义:

  • LISTEN:服务已启动,等待连接(正常)
  • ESTABLISHED:连接已建立(正常)
  • TIME_WAIT:主动关闭方等待确认(短暂存在,大量可能影响性能)
  • CLOSE_WAIT:被动关闭方未调用close() → 程序有Bug!

✅ 排障重点
服务“起不来”?先看是否 LISTEN;
连不上?看中间是否有防火墙拦了该端口。

04 端口测试:别再只用ping!

连80和443都分不清?还好意思说自己是网工!

致命错误
“ping通了=服务正常” → ping不测端口!

05 防火墙与ACL:端口是策略核心

  • 华为交换机ACL示例:

    acl number 3000
    rule permit tcp destination-port eq 80 rule permit tcp destination-port eq 443 rule deny ip

  • 防火墙策略必须明确:源/目的IP + 协议 + 端口

✅ 黄金法则
开通业务 = 开通特定IP + 特定端口 + 特定协议

06 常见故障场景

连80和443都分不清?还好意思说自己是网工!

07 结语

端口号不是数字游戏,而是网络服务的“命门”。

真正专业的网工,看到“连不上”,第一反应不是“重启”,而是:“目标端口通吗?服务在监听吗?中间策略放行了吗?

把这20个端口刻进DNA,把端口测试当成肌肉记忆,你才算跨过了网工的及格线。记住:不懂端口,等于不懂网络。

上一篇 【转载】HCIE R&S 备考笔记 VxLAN技术基本原理
下一篇 Linux 网络基础之网络IP层 IP 协议,网段划分,IP地址相关问题