地址、协议和端口

本章提供有关 IP 地址、协议和应用的快速参考。

IPv4 地址和子网掩码

本部分描述如何在 ASA 中使用 IPv4 地址。IPv4 地址是采用点分十进制记法的 32 位数字:从二进制转换为十进制数字的四个 8 位字段(八位组),字段之间用点分隔。IP 地址的第一个部分标识主机所在的网络,而第二个部分标识给定网络上的特定主机。网络号字段称为网络前缀。给定网络上的所有主机都共享同一网络前缀,但必须有唯一的主机号。对于有类 IP,地址类确定网络前缀与主机号之间的边界。

IP 主机地址划分为三个不同的地址类:A 类、B 类和 C 类。每个类在 32 位地址内的不同点固定网络前缀与主机号之间的边界。D 类地址保留用于组播 IP。

  • A 类地址(1.xxx.xxx.xxx 至 126.xxx.xxx.xxx)仅将第一个八位组用作网络前缀。

  • B 类地址(128.0.xxx.xxx 至 191.255.xxx.xxx)将前两个八位组用作网络前缀。

  • C 类地址(192.0.0.xxx 至 223.255.255.xxx)将前三个八位组用作网络前缀。

由于 A 类地址具有 16,777,214 个主机地址,B 类地址具有 65,534 个主机,因此您可以使用子网掩码将这些庞大的网络分为较小的子网。

专用网络

如果在网络上需要大量地址,但不需要在互联网上路由这些地址,则可以使用互联网编号分配机构 (IANA) 推荐的专用 IP 地址(请参阅 RFC 1918)。以下地址范围指定为不应通告的专用网络:

  • 10.0.0.0 到 10.255.255.255

  • 172.16.0.0 至 172.31.255.255

  • 192.168.0.0 到 192.168.255.255

子网掩码

通过子网掩码,您可以将单个 A 类、B 类或 C 类网络转换为多个网络。利用子网掩码,可以创建扩展网络前缀,从而将主机号中的位添加到网络前缀中。例如,C 类网络前缀始终包含 IP 地址的前三个八位组。但是,C 类扩展网络前缀还使用第四个八位组的一部分。

如果使用二进制表示法而不是点分十进制表示法,则有助于理解子网掩码。子网掩码中的位与互联网地址一一对应:

  • 如果 IP 地址中的对应位是扩展网络前缀的一部分,则该位会设置为 1。

  • 如果该位是主机号的一部分,则会设置为 0。

示例 1:如果您有 B 类地址 129.10.0.0,并要将第三个八位组全部用作扩展网络前缀而不是主机号的一部分,则必须将子网掩码指定为 11111111.11111111.11111111.00000000。该子网掩码将此 B 类地址转换为等效的 C 类地址,其中的主机号仅包含最后一个八位组。

示例 2:如果您只想将第三个八位组的一部分用于扩展网络前缀,则必须将子网掩码指定为类似 11111111.11111111.11111000.00000000 的形式,这种形式的子网掩码仅将第三个八位组中的 5 位用于扩展网络前缀。

您可以将子网掩码编写为点分十进制掩码或 /位数(“斜杠位数”)掩码。在示例 1 中,对于点分十进制掩码,您可以将每个二进制八位组转换为十进制数:255.255.255.0。对于 /位数掩码,可以添加数字 1s: /24。在示例 2 中,十进制数为 255.255.248.0,/位数为 /21。

您还可以将第三个八位组的一部分用于扩展网络前缀,从而将多个 C 类网络构建成一个更大的超网。例如,192.168.0.0/20。

确定子网掩码

请参阅下表以根据所需的主机数来确定子网掩码。



子网的第一个和最后一个数字已保留,但 /32 除外,该数字用于标识单个主机。


表 1. 主机数、位掩码和点分十进制掩码

主机数

/位掩码

点分十进制掩码

16,777,216

/8

255.0.0.0 A 类网络

65,536

/16

255.255.0.0 B 类网络

32,768

/17

255.255.128.0

16,384

/18

255.255.192.0

8192

/19

255.255.224.0

4096

/20

255.255.240.0

2048

/21

255.255.248.0

1024

/22

255.255.252.0

512

/23

255.255.254.0

256

/24

255.255.255.0 C 类网络

128

/25

255.255.255.128

64

/26

255.255.255.192

32

/27

255.255.255.224

16

/28

255.255.255.240

8

/29

255.255.255.248

4

/30

255.255.255.252

不使用

/31

255.255.255.254

1

/32

255.255.255.255 单个主机地址

确定要与子网掩码配合使用的地址

以下各节介绍如何确定要与 C 类规模和 B 类规模网络的子网掩码配合使用的网络地址。

C 类规模网络地址

对于主机数介于 2 和 254 之间的网络,第四个八位组是主机地址数量的倍数,从 0 开始。例如,下表显示 192.168.0.x 的 8 主机子网 (/29)。



子网的第一个和最后一个地址已保留。在第一个子网示例中,不能使用 192.168.0.0 或 192.168.0.7。


表 2. C 类规模网络地址

掩码为 /29 的子网 (255.255.255.248)

地址范围

192.168.0.0

192.168.0.0 到 192.168.0.7

192.168.0.8

192.168.0.8 到 192.168.0.15

192.168.0.16

192.168.0.16 到 192.168.0.31

-

192.168.0.248

192.168.0.248 到 192.168.0.255

B 类规模网络地址

要确定将与主机数在 254 和 65,534 之间的网络的子网掩码配合使用的网络地址,您需要确定每个可能的扩展网络前缀的第三个八位组的值。例如,您可能想要为类似于 10.1.x.0 的地址构建子网,在该地址中,前两个八位组是固定的,因为它们用于扩展网络前缀中,第四个八位组是 0,因为所有位都用于主机号。

要确定第三个八位组的值,请按照以下步骤操作:

  1. 通过用 65,536(使用第三个和第四个八位组的地址的总数)除以所需的主机地址数,计算出可从网络构建的子网数量。

    例如,65,536 除以 4096 个主机等于 16。因此,4096 个地址有 16 个子网,每个都位于 B 类规模网络上。

  2. 通过用 256(第三个八位组值的数量)除以子网数量,确定第三个八位组值的倍数:

    在本示例中,256/16 = 16。

    第三个八位组是 16 的倍数,从 0 开始。

下表显示网络 10.1 的 16 个子网。



子网的第一个和最后一个地址已保留。在第一个子网示例中,不能使用 10.1.0.0 或 10.1.15.255。


表 3. 网络的子网

掩码为 /20 的子网 (255.255.240.0)

地址范围

10.1.0.0

10.1.0.0 到 10.1.15.255

10.1.16.0

10.1.16.0 到 10.1.31.255

10.1.32.0

10.1.32.0 到 10.1.47.255

-

10.1.240.0

10.1.240.0 到 10.1.255.255

IPv6 地址

IPv6 是继 IPv4 之后的下一代互联网协议。它提供经过扩展的地址空间、简化的报头格式、经过改进的扩展和选项支持、流标签功能以及身份验证和隐私功能。有关 IPv6 的介绍,请参阅 RFC 2460。有关 IPv6 寻址架构的介绍,请参阅 RFC 3513。

本节介绍 IPv6 地址的格式和架构。

IPv6 地址格式

IPv6 地址以一系列八个 16 位十六进制字段表示,字段之间用冒号 (:) 分隔,格式为:x:x:x:x:x:x:x:x。下面是 IPv6 地址的两个示例:

  • 2001:0DB8:7654:3210:FEDC:BA98:7654:3210

  • 2001:0DB8:0000:0000:0008:0800:200C:417A



IPv6 地址中的十六进制字母不区分大小写。


不需要将前导零包含在地址的各个字段中,但每个字段必须至少包含一位数。因此,示例地址 2001:0DB8:0000:0000:0008:0800:200C:417A 可以通过删除从左侧数第三到第六个字段中的前导零来缩短为 2001:0DB8:0:0:8:800:200C:417A。其中的数字全部为零的字段(从左侧数起的第三和第四个字段)缩减为一个零。从左侧数起的第五个字段删除了三个前导零,仅留下了一个 8,从左侧数起的第六个字段删除了一个前导零,留下了 800。

对 IPv6 地址来说,包含几个连续的十六进制零字段很常见。可以使用两个冒号 (::) 压缩 IPv6 地址开头、中间或结尾位置的连续零字段(冒号表示连续的十六进制零字段)。下表显示若干不同类型的 IPv6 地址的地址压缩示例。

表 4. IPv6 地址压缩示例

地址类型

标准形式

压缩形式

单播

2001:0DB8:0:0:0:BA98:0:3210

2001:0DB8::BA98:0:3210

组播

FF01:0:0:0:0:0:0:101

FF01::101

环回

0:0:0:0:0:0:0:1

::1

未指定

0:0:0:0:0:0:0:0

::



两个冒号 (::) 在 IPv6 地址中只能使用一次,用以表示连续的零字段。


在处理同时包含 IPv4 和 IPv6 地址的环境时,通常使用 IPv6 的替代格式。此替代格式为 x:x:x:x:x:x:y.y.y.y,其中,x 表示 IPv6 地址六个高位部分的十六进制值,y 表示该地址 32 位 IPv4 部分的十进制值(该部分代替 IPv6 地址的剩余两个 16 位部分)。例如,IPv4 地址 192.168.1.1 可表示为 IPv6 地址 0:0:0:0:0:0:FFFF:192.168.1.1 或 ::FFFF:192.168.1.1。

IPv6 地址类型

以下是 IPv6 地址的三种主要类型:

  • Unicast - 单播地址是单个接口的标识符。发送到单播地址的数据包将会传输到通过该地址标识的接口。一个接口可能分配有多个单播地址。

  • Multicast - 组播地址是一组接口的标识符。发送到某个组播地址的数据包将会传输到通过该地址标识的所有地址。

  • Anycast - 任播地址是一组接口的标识符。与组播地址不同的是,发送到任播地址的数据包仅传输到“最近”的接口(以路由协议的距离为测量标准)。



IPv6 中没有广播地址。组播地址提供广播功能。


单播地址

本节介绍 IPv6 单播地址。单播地址用于标识网络节点上的接口。

全局地址

IPv6 全局单播地址的通用格式是全局路由前缀后跟子网 ID,然后是接口 ID。全局路由前缀可以是未被其他 IPv6 地址类型保留的任何前缀。

所有全局单播地址(以二进制 000 开头的除外)都具有改良 EUI-64 格式的 64 位接口 ID。

以二进制 000 作为开头的全局单播地址在地址的接口 ID 部分的大小或结构上没有任何限制。例如,具有嵌入式 IPv4 地址的 IPv6 地址即是此类型的地址。

站点本地地址

站点本地地址用于在站点内寻址。此类地址可在不使用全局唯一前缀的情况下用于对整个站点进行寻址。站点本地地址具有前缀 FEC0::/10,后跟 54 位子网 ID,并以改良 EUI-64 格式的 64 位接口 ID 结尾。

站点本地路由器不将具有源或目标站点本地地址的任何数据包转发到站点外。因此,可将站点本地地址视为专用地址。

本地链路地址

所有接口都需要有至少一个链路本地地址。您可以为每个接口配置多个 IPv6 地址,但只能配置一个链路本地地址。

链路本地地址是一个 IPv6 单播地址,通过使用链路本地前缀 FE80::/10 和改良 EUI-64 格式接口标识符,可在任意接口上自动配置此类地址。链路本地地址用于邻居发现协议和无状态自动配置过程。使用链路本地地址的节点可进行通信;它们不需要站点本地地址或全局唯一地址即可进行通信。

路由器不会转发具有源或目标链路本地地址的任何数据包。因此,可将链路本地地址视为专用地址。

兼容 IPv4 的 IPv6 地址

有两种类型的 IPv6 地址可包含 IPv4 地址。

第一种类型是与 IPv4 兼容的 IPv6 地址。IPv6 过渡机制包括主机和路由器通过 IPv4 路由基础设施用隧道动态传输 IPv6 数据包的技术。使用此技术的 IPv6 节点分配有特殊的 IPv6 单播地址,从而可传送低位 32 位的全局 IPv4 地址。此类地址称为与 IPv4 兼容的 IPv6 地址,其格式为 ::y.y.y.y,其中,y.y.y.y 是 IPv4 单播地址。



在与 IPv4 兼容的 IPv6 地址中使用的 IPv4 地址必须为全局唯一的 IPv4 单播地址。


第二种类型的 IPv6 地址具有嵌入式 IPv4 地址,称为 IPv4 映射 IPv6 地址。此类地址用于将 IPv4 节点的地址表示为 IPv6 地址。此类地址的格式为 ::FFFF:y.y.y.y,其中,y.y.y.y 是 IPv4 单播地址。

不特定地址

未指定地址 0:0:0:0:0:0:0:0 表示没有 IPv6 地址。例如,IPv6 网络上新初始化的节点可能将未指定地址用作其数据包的源地址,直至它接收到 IPv6 地址。



不能将未指定 IPv6 地址分配给接口。未指定 IPv6 地址不得用作 IPv6 数据包或 IPv6 路由报头中的目标地址。


环回地址

环回地址 0:0:0:0:0:0:0:1 可由节点用于向其自身发送 IPv6 数据包。IPv6 中的环回地址与 IPv4 (127.0.0.1) 中的环回地址功能相同。



不能将 IPv6 环回地址分配给物理接口。将 IPv6 环回地址用作其源地址或目标地址的数据包必须保留在创建该数据包的节点内。IPv6 路由器不转发将 IPv6 环回地址用作其源地址或目标地址的数据包。


接口标识符

IPv6 单播地址中的接口标识符用于标识链路上的接口。接口标识符在子网前缀内必须是唯一的。在许多情况下,接口标识符派生自接口链路层地址。同一接口标识符可用于一个节点的多个接口上,只要这些接口连接到不同子网即可。

对于所有单播地址,除了以二进制 000 开头的之外,接口标识符的长度需要是 64 位,且以改良 EUI-64 格式构造。改良 EUI-64 格式以 48 位 MAC 地址为基础,通过颠倒 MAC 地址中的通用/本地位并在 MAC 地址的上三个字节与下三个字节之间插入十六进制数 FFFE 创建而成。

例如,具有 MAC 地址 00E0.b601.3B7A 的接口将会有一个 64 位接口 ID 02E0:B6FF:FE01:3B7A。

组播地址

IPv6 组播地址是一组通常位于不同节点的接口的标识符。发送到某个组播地址的数据包将会传输到通过该组播地址标识的所有接口。一个接口可属于任意数量的组播组。

IPv6 组播地址具有前缀 FF00::/8 (1111 1111)。紧跟前缀的八位组定义组播地址的类型和范围。永久分配(公认)的组播地址具有一个等于 0 的标志参数;临时(瞬时)组播地址具有一个等于 1 的标志参数。有节点范围、链路范围、站点范围、组织范围或全局范围的组播地址分别具有范围参数 1、2、5、8 或 E。例如,前缀为 FF02::/16 的组播地址是具有链路范围的永久组播地址。下图显示 IPv6 组播地址的格式。

图 1. IPv6 组播地址格式

IPv6 节点(主机和路由器)需要加入以下组播组:

  • 全节点组播地址:

    • FF01::(接口本地)

    • FF02::(链路本地)

  • 节点上每个 IPv6 单播地址和任播地址的请求节点地址:FF02:0:0:0:0:1:FFXX:XXXX/104,其中,XX:XXXX 是单播地址或任播地址的低位 24 位。



    请求节点地址用于邻居请求消息中。


IPv6 路由器需要加入以下组播组:

  • FF01::2(接口本地)

  • FF02::2(链路本地)

  • FF05::2(站点本地)

组播地址不应用作 IPv6 数据包中的源地址。



IPv6 中没有广播地址。系统使用 IPv6 组播地址而非广播地址。


任播地址

IPv6 任播地址是分配给多个接口的单播地址(通常属于不同的节点)。路由至一个任播地址的数据包会路由至具有该地址的最近接口,接近度由所用的路由协议确定。

任播地址从单播地址空间中进行分配。任播地址是分配给多个接口的单播地址,这些接口必须配置为将该地址标识为任播地址。

以下限制适用于任播地址:

  • 任播地址不能用作 IPv6 数据包的源地址。

  • 任播地址不能分配给 IPv6 主机,而只能分配给 IPv6 路由器。



ASA 上不支持任播地址。


必需地址

IPv6 主机必须至少配置有以下地址(自动或手动):

  • 每个接口的链路本地地址

  • 环回地址

  • 全节点组播地址

  • 每个单播或任播地址的请求节点组播地址

IPv6 路由器必须至少配置有以下地址(自动或手动):

  • 必需主机地址

  • 用于配置为用作路由器的所有接口的子网路由器任播地址

  • 全路由器组播地址

IPv6 地址前缀

IPv6 地址前缀(格式为 ipv6 前缀/前缀长度)可用于表示整个地址空间的连续比特块。IPv6 前缀必须采用 RFC 2373 规定的格式,其中地址以十六进制的 16 位值指定,各个值之间用冒号分隔。前缀长度是十进制值,表示组成前缀(地址的网络部分)的地址高位连续位的数量。例如,2001:0DB8:8086:6502::/32 是有效的 IPv6 前缀。

IPv6 前缀标识 IPv6 地址的类型。下表显示每个 IPv6 地址类型的前缀。

表 5. IPv6 地址类型前缀

地址类型

二进制前缀

IPv6 表示法

未指定

000...0(128 位)

::/128

环回

000...1(128 位)

::1/128

组播

11.111.111

FF00::/8

链路本地(单播)

1.111.111.010

FE80::/10

站点本地(单播)

1.111.111.111

FEC0::/10

全局(单播)

所有其他地址。

任播

取自单播地址空间。

协议和应用

下表列出了协议文字值和端口号;两者均可使用 ASA 命令输入。

表 6. 协议文字值

文字

说明

ah

51

IPv6 的身份验证报头,RFC 1826。

eigrp

88

增强型内部网关路由协议。

esp

50

IPv6 的封装安全负载,RFC 1827。

gre

47

通用路由封装。

icmp

1

互联网控制消息协议,RFC 792。

icmp6

58

IPv6 的互联网控制消息协议,RFC 2463。

igmp

2

互联网组管理协议,RFC 1112。

igrp

9

内部网关路由协议。

ip

0

互联网协议。

ipinip

4

IP 嵌套封装。

ipsec

50

IP 安全。输入 ipsec 协议文字相当于输入 esp 协议文字。

nos

94

网络操作系统(Novell 的 NetWare)。

ospf

89

开放式最短路径优先路由协议,RFC 1247。

pcp

108

负载压缩协议。

pim

103

协议无关组播。

pptp

47

点对点隧道协议。输入 ppp 协议文字相当于输入 gre 协议文字。

snp

109

Sitara 网络协议。

tcp

6

传输控制协议,RFC 793。

udp

17

用户数据报协议,RFC 768。

您可以在 IANA 网站上在线查看协议号:

http://www.iana.org/assignments/protocol-numbers

TCP 和 UDP 端口

下表列出了文字值和端口号;两者均可在 ASA 命令中输入。请参阅以下说明:

  • ASA 将端口 1521 用于 SQL*Net。这是 Oracle for SQL*Net 所用的默认端口。但是,此值与 IANA 端口分配不一致。

  • ASA 在端口 1645 和 1646 上侦听 RADIUS。如果 RADIUS 服务器使用标准端口 1812 和 1813,则您可以将 ASA 配置为使用 authentication-portaccounting-port 命令来侦听这些端口。

  • 要分配用于 DNS 访问的端口,请使用 domain 文字值而不是 dns。如果使用 dns,则 ASA 会假定您是要使用 dnsix 文字值。

您可以在 IANA 网站上在线查看端口号:

http://www.iana.org/assignments/port-numbers

表 7. 端口文字值

文字

TCP 或 UDP?

说明

aol

TCP

5190

美国在线

bgp

TCP

179

边界网关协议,RFC 1163

biff

UDP

512

供邮件系统用于通知用户收到新邮件

bootpc

UDP

68

Bootstrap 协议客户端

bootps

UDP

67

Bootstrap 协议服务器

chargen

TCP

19

字符生成器

cifs

TCP、UDP

3020

通用互联网文件系统

citrix-ica

TCP

1494

Citrix 独立计算架构 (ICA) 协议

cmd

TCP

514

与 exec 类似,但 cmd 还具有自动身份验证功能

ctiqbe

TCP

2748

计算机电话接口快速缓冲区编码

daytime

TCP

13

日间,RFC 867

discard

TCP、UDP

9

丢弃

dnsix

UDP

195

DNSIX 会话管理模块审核重定向器

domain

TCP、UDP

53

DNS

echo

TCP、UDP

7

回应

EXEC

TCP

512

远程进程执行

finger

TCP

79

Finger

ftp

TCP

21

文件传输协议(控制端口)

ftp-data

TCP

20

文件传输协议(数据端口)

gopher

TCP

70

Gopher

h323

TCP

1720

H.323 呼叫信令

hostname

TCP

101

NIC 主机名服务器

http

TCP、UDP

80

万维网 HTTP

https

TCP

443

HTTP over SSL

ident

TCP

113

身份验证服务

imap4

TCP

143

互联网消息访问协议,版本 4

irc

TCP

194

互联网中继聊天协议

isakmp

UDP

500

互联网安全关联和密钥管理协议

klogin

TCP

543

KLOGIN

kshell

TCP

544

Korn Shell

ldap

TCP

389

轻量级目录访问协议

ldaps

TCP

636

轻量级目录访问协议 (SSL)

login

TCP

513

远程登录

lotusnotes

TCP

1352

IBM Lotus Notes

lpd

TCP

515

行式打印机后台守护程序 - 打印后台处理程序

mobile-ip

UDP

434

移动 IP 代理

nameserver

UDP

42

主机名服务器

netbios-dgm

UDP

138

NetBIOS 数据报服务

netbios-ns

UDP

137

NetBIOS 名称服务

netbios-ssn

TCP

139

NetBIOS 会话服务

nfs

TCP、UDP

2049

网络文件系统 - Sun Microsystems

nntp

TCP

119

网络新闻传输协议

ntp

UDP

123

网络时间协议

pcanywhere-data

TCP

5631

pcAnywhere data

pcanywhere-status

UDP

5632

pcAnywhere status

pim-auto-rp

TCP、UDP

496

协议无关组播,反向路径泛洪,密集模式

pop2

TCP

109

邮局协议 - 版本 2

pop3

TCP

110

邮局协议 - 版本 3

pptp

TCP

1723

点对点隧道协议

radius

UDP

1645

远程身份验证拨入用户服务

radius-acct

UDP

1646

远程身份验证拨入用户服务(记帐)

rip

UDP

520

路由信息协议

rsh

TCP

514

远程外壳

rtsp

TCP

554

实时流协议

secureid-udp

UDP

5510

SecureID over UDP

SIP

TCP、UDP

5060

会话发起协议

smtp

TCP

25

简单邮件传输协议

snmp

UDP

161

简单网络管理协议

snmptrap

UDP

162

简单网络管理协议 - 陷阱

sqlnet

TCP

1521

结构化查询语言网络

ssh

TCP

22

安全外壳

sunrpc

TCP、UDP

111

Sun 远程过程调用

syslog

UDP

514

系统日志

tacacs

TCP、UDP

49

增强型终端访问控制器访问控制系统

talk

TCP、UDP

517

通话

telnet

TCP

23

RFC 854 Telnet

tftp

UDP

69

简单文件传输协议

time

UDP

37

时间

uucp

TCP

540

UNIX 对 UNIX 复制程序

vxlan

UDP

4789

虚拟可扩展局域网 (VXLAN)

who

UDP

513

身份

whois

TCP

43

主体

www

TCP、UDP

80

万维网

xdmcp

UDP

177

X 显示管理器控制协议

本地端口和协议

下表列出 ASA 可能会为处理流向 ASA 的流量而打开的协议、TCP 端口和 UDP 端口。除非您已启用此表中列出的功能和服务,否则 ASA 不会打开任何本地协议或任何 TCP 或 UDP 端口。您必须为 ASA 配置功能或服务,才能打开默认侦听协议或端口。在许多情况下,启用功能或服务后,可以配置除默认端口以外的端口。

表 8. 根据功能和服务打开的协议与端口

功能或服务

协议

端口号

备注

DHCP

UDP

67、68

-

故障转移控制

105

不适用

HTTP

TCP

80

HTTPS

TCP

443

-

ICMP

1

不适用

IGMP

2

不适用

仅在目标 IP 地址 224.0.0.1 上开放协议

ISAKMP/IKE

UDP

500

可配置。

IPsec (ESP)

50

不适用

IPsec over UDP (NAT-T)

UDP

4500

-

IPsec over TCP (CTCP)

TCP

-

未使用默认端口。配置 IPsec over TCP 时,必须指定端口号。

NTP

UDP

123

OSPF

89

不适用

仅在目标 IP 地址 224.0.0.5 和 224.0.0.6 上开放协议

PIM

103

不适用

仅在目标 IP 地址 224.0.0.13 上开放协议

RIP

UDP

520

-

RIPv2

UDP

520

仅在目标 IP 地址 224.0.0.9 上开放端口

SNMP

UDP

161

可配置。

SSH

TCP

22

-

状态更新

8(非安全)9(安全)

不适用

Telnet

TCP

23

-

VPN 负载均衡

UDP

9023

可配置。

VPN 个人用户身份验证代理

UDP

1645、1646

只能通过 VPN 隧道访问端口。

ICMP 类型

下表列出了可在 ASA 命令中输入的 ICMP 类型编号和名称。

表 9. ICMP 类型

ICMP 编号

ICMP 名称

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

mask-request

18

mask-reply

30

traceroute

31

conversion-error

32

mobile-redirect