443/1701

说明：

1.tcp 443：

443

https

安全超文本传输协议（HTTP）

443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息，其他人抓包获取到的是加密数据，保证了交易的安全性。网页的地址以https://开始，而不是常见的http://。

（443端口，属于网页浏览端口，应用于HTTPS服务，将网站数据包加密保证安全性）

2.udp 1701：

1701

l2tp [l2f]

第2层隧道服务（LT2P） / 第2层转发（L2F）

虚拟专用网络（Virtual Private Network，VPN）在VPN客户机与VPN网关之间创建一个加密的、虚拟的点对点连接，保障数据在经过互联网时的安全。

构建VPN，网络隧道（Tunnelling）技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。

幻云需要在交换机配置中开启UDP 1701端口来实现，第2层隧道协议（L2TP）协议允许对IP、IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP、X.25、帧中继或ATM。

对于PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配、加密或压缩等参数。(幻云与节点之间交换机防火墙配置需开通UDP 1701端口)

幻云IP端	à	节点IP端
幻云IP端	ß	节点IP端

 

3.tcp测试：

telnet IP + 端口

4.udp测试

4.1方法1：（事实上这个测试方法是错误的）

linux：

windows：

在文件目录的地址栏输入cmd

在弹出的对话框中输入想测试的服务器和端口

4.2方法2： （nmap -sU）

 

4.3 Nmap所识别的6个端口状态：

 

open(开放的)

应用程序正在该端口接收TCP 连接或者UDP报文。发现这一点常常是端口扫描 的主要目标。安全意识强的人们知道每个开放的端口 都是攻击的入口。攻击者或者入侵测试者想要发现开放的端口。 而管理员则试图关闭它们或者用防火墙保护它们以免妨碍了合法用户。 非安全扫描可能对开放的端口也感兴趣，因为它们显示了网络上那些服务可供使用。

closed(关闭的)

关闭的端口对于Nmap也是可访问的(它接受Nmap的探测报文并作出响应)， 但没有应用程序在其上监听。 它们可以显示该IP地址上(主机发现，或者ping扫描)的主机正在运行up 也对部分操作系统探测有所帮助。 因为关闭的关口是可访问的，也许过会儿值得再扫描一下，可能一些又开放了。 系统管理员可能会考虑用防火墙封锁这样的端口。 那样他们就会被显示为被过滤的状态，下面讨论。

filtered(被过滤的)

由于包过滤阻止探测报文到达端口， Nmap无法确定该端口是否开放。过滤可能来自专业的防火墙设备，路由器规则 或者主机上的软件防火墙。这样的端口让攻击者感觉很挫折，因为它们几乎不提供 任何信息。有时候它们响应ICMP错误消息如类型3代码13 (无法到达目标: 通信被管理员禁止)，但更普遍的是过滤器只是丢弃探测帧， 不做任何响应。 这迫使Nmap重试若干次以访万一探测包是由于网络阻塞丢弃的。 这使得扫描速度明显变慢。

unfiltered(未被过滤的)

未被过滤状态意味着端口可访问，但Nmap不能确定它是开放还是关闭。 只有用于映射防火墙规则集的ACK扫描才会把端口分类到这种状态。 用其它类型的扫描如窗口扫描，SYN扫描，或者FIN扫描来扫描未被过滤的端口可以帮助确定 端口是否开放。

open|filtered(开放或者被过滤的)

当无法确定端口是开放还是被过滤的，Nmap就把该端口划分成这种状态。开放的端口不响应就是一个例子。没有响应也可能意味着报文过滤器丢弃 了探测报文或者它引发的任何响应。因此Nmap无法确定该端口是开放的还是被过滤的。 UDP，IP协议， FIN，Null，和Xmas扫描可能把端口归入此类。

closed|filtered(关闭或者被过滤的)

该状态用于Nmap不能确定端口是关闭的还是被过滤的。 它只可能出现在IPID Idle扫描中。

 

 

5.结论：

所以最好还是在（客户）交换机策略上开通这两个端口服务，并确认两端都开通了

例1：

例2：

 

 

 

 

 

 

 

 

 

 

 

 

 

6.附件：

使用nc（netcat）测试udp协议与端口连通性

netcat 命令一览

[v1.10]
connect to somewhere: netcat [-options] hostname port[s] [ports] …
listen for inbound: netcat -l -p port [-options] [hostname] [port]
options:
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, …
-h this cruft
-i secs delay interval for lines sent, ports scanned
-l listen mode, for inbound connects
-n numeric-only IP addresses, no DNS
-o file hex dump of traffic
-p port local port number
-r randomize local and remote ports
-s addr local source address
-t answer TELNET negotiation
-u UDP mode
-v verbose [use twice to be more verbose]
-w secs timeout for connects and final net reads
-z zero-I/O mode [used for scanning]
port numbers can be individual or ranges: lo-hi [inclusive]

基本格式：nc [-options] hostname port[s] [ports] …

nc -l -p port [options] [hostname] [port]

-d 后台模式

-e prog 程序重定向，一旦连接，就执行 [危险!!]

-g gateway source-routing hop point[s], up to 8

-G num source-routing pointer: 4, 8, 12, …

-h 帮助信息

-i secs 延时的间隔

-l 监听模式，用于入站连接

-L 连接关闭后,仍然继续监听

-n 指定数字的IP地址，不能用hostname

-o file 记录16进制的传输

-p port 本地端口号

-r 随机本地及远程端口

-s addr 本地源地址

-t 使用TELNET交互方式

-u UDP模式

-v 详细输出–用两个-v可得到更详细的内容

-w secs timeout的时间

-z 将输入输出关掉–用于扫描时

端口的表示方法可写为M-N的范围格式。

 

测试udp连接方法

a机器上运行：

nc -ul 1080

或：netcat -ul -p 1080

#使用udp模式监听1080 端口

b机器上运行：

nc -u x.x.x.x 1080

或：netcat -u x.x.x.x 1080

#使用udp模式向该ip的1080端口发送信息。

效果如图，在任意一边输入内容，另一边则会收到相应内容，以此就可以测试该端口的udp连接是否通常。