前阵子排查一个“网站打不开”的故障,我问:“目标服务器80端口通吗?”新人答:“ping通了啊!”
我说:“ping的是ICMP,又不是HTTP!”他愣住。
很多人把“网络通”等同于“服务通”,根本没搞清IP和端口的关系。
今天,我不讲RFC标准,直接甩出一张实战清单+排障逻辑,让你彻底搞懂端口号到底怎么用。
01 端口号的本质:进程的“通信入口”
- 作用:在一台主机上,区分不同应用程序的网络连接
- 范围:0 ~ 65535(16位无符号整数)
- 分类:
- 0 ~ 1023:知名端口(Well-Known Ports),系统保留
→ 如 HTTP=80,HTTPS=443,SSH=22
- 1024 ~ 49151:注册端口(Registered Ports)
→ 如 MySQL=3306,Redis=6379 - 49152 ~ 65535:动态/私有端口(Ephemeral Ports)
→ 客户端临时使用(如浏览器随机选50000)
- 0 ~ 1023:知名端口(Well-Known Ports),系统保留
✅ 关键理解:
IP地址定位主机,端口号定位主机上的具体服务。
02 必须死记的20个高频端口

⚠️ 注意:
- FTP还有数据端口(20或随机),防火墙需放行被动模式端口范围
- DNS查询默认走UDP 53,但响应超512字节时自动切TCP
03 端口状态:LISTEN、ESTABLISHED、TIME_WAIT…
用 netstat 或 ss 查看:
# Linux
ss -tuln
# 或
netstat -ano
# Windows
netstat -ano
常见状态含义:
- LISTEN:服务已启动,等待连接(正常)
- ESTABLISHED:连接已建立(正常)
- TIME_WAIT:主动关闭方等待确认(短暂存在,大量可能影响性能)
- CLOSE_WAIT:被动关闭方未调用close() → 程序有Bug!
✅ 排障重点:
服务“起不来”?先看是否 LISTEN;
连不上?看中间是否有防火墙拦了该端口。
04 端口测试:别再只用ping!

致命错误:
“ping通了=服务正常” → ping不测端口!
05 防火墙与ACL:端口是策略核心
- 华为交换机ACL示例:
acl number 3000
rule permit tcp destination-port eq 80 rule permit tcp destination-port eq 443 rule deny ip - 防火墙策略必须明确:源/目的IP + 协议 + 端口
✅ 黄金法则:
开通业务 = 开通特定IP + 特定端口 + 特定协议
06 常见故障场景

07 结语
端口号不是数字游戏,而是网络服务的“命门”。
真正专业的网工,看到“连不上”,第一反应不是“重启”,而是:“目标端口通吗?服务在监听吗?中间策略放行了吗?”
把这20个端口刻进DNA,把端口测试当成肌肉记忆,你才算跨过了网工的及格线。记住:不懂端口,等于不懂网络。