为什么Windows/Linux 的端口数量最大限制为65535?

最新推荐文章于 2025-04-04 09:31:14 发布
最新推荐文章于 2025-04-04 09:31:14 发布
阅读量7.8k 收藏 11
点赞数 2
CC 4.0 BY-SA版权
文章标签: linux windows 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37247026/article/details/129983067
文章解释了TCP连接数量为何不超过65535,因为端口号限制。然而,服务器能处理更多并发通过TCP四元组(源IP,目标IP,源端口,目标端口)区分不同连接,允许多个连接复用同一端口。此外,客户端也可以通过端口复用来创建多个并发连接,而实际并发量受限于系统内存和最大文件打开数限制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

端口0:一般是用来表示所有端口,即1–65535。另外其他答主也提到1–1024是知名端口号,但那是很久以前数据,是该更新了。举几个大于1024的知名端口号:1614/1615:思科ISE用于AAA的端口号1812/1813:Radius服务器使用的端口号3306:数据库mysql使用的端口号3389:微软Windows远程桌面使用的端口号8080:一般的应用服务器使用的端口号,例如tomcat因此,还觉得知名端口号,范围是1–1024吗?在实际使用中,对于tcp,客户端使用的临时端口号,一般都是大于10000的。对于udp,客户端使用的临时端口号,可以从大于10000中选,也可以使用跟服务器一样的端口号。

TCP 连接数量最大不能超过 65535。这是因为 TCP 协议头中的端口号是 16 位的,因此最大只能表示 65535 个端口号。
在理解如何处理大量并发连接之前,我们需要了解为什么 TCP 连接数量最大不能超过 65535。在 TCP 协议中,每个连接都需要一个唯一的端口号和 IP 地址来标识。由于 TCP 协议头中的端口号只有 16 位,因此本地端口个数最大只有65536,端口0有特殊含义,不能使用,因此最多只能表示 65535 个端口号。因此,TCP 连接数量也被限制在 65535 个。

需要注意的是,这个限制是针对每个 IP 地址的。也就是说,每个 IP 地址最多只能有 65535 个 TCP 连接。如果有多个 IP 地址,则可以建立更多的连接。这也是为什么现代服务器通常都会有多个网卡和 IP 地址的原因之一。
65535是指可用的端口总数,并不代表服务器同时只能接受65535个并发连接。
举个例子:

我们做了一个网站,绑定的是TCP的80端口,结果是所有访问这个网站的用户都是通过服务器的80端口访问,而不是其他端口。可见端口是可以复用的。
即使Linux服务器只在80端口侦听服务, 也允许有10万、100万个用户连接服务器。Linux系统不会限制连接数至于服务器能不能承受住这么多的连接,取决于服务器的硬件配置、软件架构及优化。

端口最多只有65535个,为什么服务器能承受百万并发

一个进程绑定一个端口号”,这是显而易见的原则

当客户端要向服务器建立TCP连接时,会随机选择一个空闲端口,我们现在假设所有TCP都是长连接,那么当空闲端口被占用完后,自然无法创建更多的TCP连接,此时会报Cannot assign requested address的错误。我们都知道,端口号的取值范围是0~65535,既然端口号这么有限,服务器又是如何承受百万级甚至更高的并发量的?队列?缓存?多路复用?其实都没说到点子上

想象一下,一个nginx服务只占用一个80端口,难道它同时只能支撑一条TCP连接吗,显然不是的。那它又是如何区分到达同一端口的不同请求的呢?
TCP四元组
TCP四元组,简单来说,就是

<源IP地址,目标IP地址,源端口号,目标端口号>

在linux源码中,使用结构体sock_common表示

include/net/sock.h

struct sock_common {
    /* skc_daddr and skc_rcv_saddr must be grouped on a 8 bytes aligned
     * address on 64bit arches : cf INET_MATCH()
     */
    union {
        __addrpair        skc_addrpair;
        struct {
            __be32        skc_daddr;                // 外部/目的IPV4地址
            __be32        skc_rcv_saddr;        // 本地绑定IPV4地址
        };
    };
    // ...
    /* skc_dport && skc_num must be grouped as well */
    union {
        __portpair        skc_portpair;        //
        struct {
            __be16        skc_dport;            // inet_dport占位符
            __u16        skc_num;            // inet_num占位符
        };
    };
    // ...
}

真实的sock_common比上面展示的要复杂的多,但要理解四元组,看这些部分就足够了

网络连接

在连接建立之初,服务器会根据四元组信息为每条不同的TCP连接建立socket,并保存在内存中。当客户端向服务端发送数据包时,会将四元组信息携带在ip头信息当中,服务端收到数据包之后,解析四元组信息,在内存中查找对应的socket。服务器使用不同的socket和不同的客户端进行通信,也就是说,只要四元组中有任意元素不相同,服务器就能判断出这是一个不同的连接,会使用不同的socket与其通信,而socket和端口并不是一一绑定的关系,只要资源充足,一个服务器进程可以创建出几百万条socket连接。
在这里插入图片描述

客户端端口复用

我们现在知道,服务器可以复用同一端口创建多条TCP连接,那另一方面,是否意味着客户端一条连接就需要占用一个端口呢?

对于客户端来说,源IP地址一定是确定的,那么如果要请求特定目标IP的特定端口,为了保证四元组中至少有一个元素不同,那么确实需要绑定多个端口才能并发创建多个连接。但这并不意味着一个客户端端口只能承载一个连接,只要目标IP和目标端口任意一个发生变化,就可以在同一端口下继续创建多条连接。同一台客户端机器有多个IP的话,也可以复用同一个端口;包括TCP和UDP也可以复用同一个端口。

理论承载量

假设有一台服务器,上面运行着Nginx服务,占用了80端口,那么它理论上的最大并发承载量是多少呢,根据四元组规则, 他的理论承载能力为:

2^32 * 2^16
其中232表示IPV4理论个数,216表示端口最大数量

当然没有哪台服务器可以承受几百万亿的并发量,究其原因,是因为每创建一个socket连接,都需要占用一定的内存。而且对于linux来说,创建连接实际上就是打开一个新文件,而为了防止打开过多文件导致系统崩溃,linux在系统层面和用户层面均设置了最大文件打开数。 作者:子非鱼nofish https://www.bilibili.com/read/cv17459503 出处:bilibili

molecule_jp
关注
使用Rsync备份WindowsLinux服务器的文件
weixin_44174857的博客
08-29 2619
用来备份公司内部的jumpserver数据库、wiki数据、禅道数据,防止出现数据丢失的情况要求保留n天之内的数据,所以。
WindowsLinux系统加固
钟言的博客
07-22 3998
本篇为windowsLinux的系统加固,详细内容包含了:Windows加固 1、配置简介 2、账户配置 3、本地配置 4、安全设置 、Linux加固 1、配置简介 2、网络配置 3、日志和审计配置 4、访问认证和授权配置 5、系统运维配置等内容。
为什么端口数量最大限制65535
anbengsi6572的博客
06-02 7943
在TCP、UDP协议的开头,会分别有16位来存储源端口号和目标端口号,所以端口个数是 2^16-1=65535个。 总结 tcp客户端连接服务端的时候,需要获取本地的临时端口,传输层协议限制了最多只有65535端口 转载于:https://www.cnblogs.com/JaminXie/p/10962579.html...
linux运维(一)之网络端口
nalanxiaoxiao2011的博客
09-07 1472
ECS设置,开放端口
计算机网络(传输层)
最新发布
m0_74234518的博客
04-04 956
本文是传输层学习的复习笔记
为什么端口数量65535个?底层原理是什么?
长风破浪会有时的博客
07-12 1万+
端口分类:根据端口号的分类,0到1023的端口号被称为众所周知端口(Well-known Ports),用于一些特定的服务或应用程序。端口号的数量65535个是因为在计算机网络中,端口号是用16位二进制表示的,所以可以有2的16次方(2^16)个不同的端口号,即65536个。综上所述,端口号的数量65535是因为16位二进制可以表示2的16次方个不同的数值,且0被保留为无效端口。通过将端口号的范围限定在65535个,可以减少端口冲突的可能性,并提供足够的端口号供应用程序选择。
端口个数为什么65535个?
热门推荐
ldqsmile的专栏
03-03 1万+
在TCP、UDP协议的开头,会分别有16位来存储源端口号和目标端口号,所以端口个数是2^16-1=65535个。
网络编程——为什么端口号有65535个?
weixin_42924812的博客
11-23 5064
为什么端口号有65535个? 在TCP、UDP协议的开头,会分别有16位来存储源端口号和目标端口号,所以端口个数是 2^16-1=65535个。 如下,是TCP协议的消息头,分别由16位来存储源端口号和目标端口号,所以端口的个数是6535个。 ...
端口为什么最多有65535个?
m0_50968181的博客
02-26 3522
端口为什么最多有65535个? 在TCP、UDP协议的开头,规定了源端口和目标端口都是16位。端口号的取值范围就是0-65535
linux端口数量上限65535原因;linux服务端最大连接数量可以超过65535
奔跑的菜鸡
06-19 5130
linux端口数量上限65535原因;linux服务端最大连接数量可以超过65535
Windows完成端口Linuxepoll技术简介.docx
07-09
1. 为什么select落后 - select和poll在文件描述符数量增加时,性能显著下降,因为它们需要扫描整个文件描述符集。 - 文件描述符的监视数量限制,一般为1024。 2. epoll的优点 - 高效:epoll使用“事件触发”...
JS正则表达式验证端口范围(0-65535)
10-15
主要介绍了JS正则表达式验证端口范围(0-65535),文中给大家提到了Js正则表达式验证IP+端口号的代码,需要的朋友可以参考下
Linux中不同进程同一个端口,linux系统实现多个进程监听同一个端口
weixin_32371243的博客
05-10 1469
通过 fork 创建子进程的方式可以实现父子进程监听相同的端口。方法:在绑定端口号(bind函数)之后,监听端口号之前(listen函数),用fork()函数生成子进程,这样子进程就可以克隆父进程,达到监听同一个端口的目的。# 代码示例:一主一子import socketimport selectimport sysimport structimport osimport timeif __nam...
windows11安装Linux子系统配置大数据hadoop和python环境
mnwl12_0的博客
12-08 3118
在Hive中,数据定义语言(DDL)是一种用于定义数据结构的语言,如表、分区和桶。创建表是使用DDL中最常见的任务之一。use test;id INT,创建一个名为employeesidnamesalary, 和department。这些字段分别被定义为整型(INT)、字符串(STRING)、浮点型(FLOAT)和字符串类型(STRING)。此表使用逗号作为字段分隔符,并以文本格式存储。表创建后,可能会出现需要修改表结构的情况。例如,要向employees表中添加一个新字段age。
tcp连接 本地端口_最大65535TCP连接是怎么回事
weixin_39898380的博客
12-10 1403
问题一个端口最多接受一个客户端的65535个TCP连接?原理系统通过一个四元组来标识一条TCP连接,结构如:{本地IP,本地端口,远程IP,远程端口}在IPv4上, 本地IP和远程IP是32位,本地端口和远程端口为16位,即IP可以是2^32=4294967296,端口可以是2^16=65536。因此可以有TCP连接2^(32+16+32+16)=7922816251426433759354395...
反向代理连接数上限为什么65535
吴就业
09-22 1600
无论是Nginx还是百度开源的BFE,或是其它四层/七层流量代理,都会存在Socket连接数上限问题。此连接数上限问题,指的是七层流量代理与后端服务建立的连接,而非七层流量代理与客户端建立...
为什么在网络系统中的端口号范围为0~65535(2^16-1)?
知止定静安虑得
03-20 8987
因为在传输层协议(例如TCP、SCTP)中,Header Format的最前端32bit结构为:    0                   1                   2                   3       0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1    +-+-+-+-+-+-+
一台主机上只能保持最多 65535 个 TCP 连接吗?
chinansa的博客
09-02 453
1. 端口数量:TCP 连接使用源 IP 地址、源端口号、目的 IP 地址和目的端口号来唯一标识一个连接。因为一个连接的源端口和目的端口可以在这个范围内任意组合,而且一个端口在连接关闭后可以被重复使用。总之,一台主机上的 TCP 连接数量并不是固定的 65535 个,而是受到多种因素的影响。2. 系统资源:实际可建立的连接数量还受到系统资源的限制,如内存、文件描述符数量等。例如,路由器、防火墙等设备可能对连接数量进行限制,或者网络带宽不足可能导致连接建立失败。
端口号只有65535,如何做到百万并发量
weixin_42226134的博客
02-15 1372
每一个socketfd都对应一个五元组 (remote ip,remote port,local ip,local port,proto) 而65535只是local port的数量,其他的客户端的remote ip 和 remote port都有很多
手动声明高端口那模块不就没用了,我要不声明高端口的解决方案
03-08
<think>好的,用户之前问了关于FTP被动模式无法连接的问题,我给出了需要加载nf_conntrack_ftp模块以及开放高端口的解决方案。现在用户的新问题是:“手动声明高端口那模块不就没用了,我要不声明高端口的解决方案”。这里需要仔细分析用户的疑问。 首先,用户可能误解了nf_conntrack_ftp模块的作用。他们可能认为如果手动开放高端口范围,这个模块就没用了。但实际上,模块的作用是自动跟踪FTP的数据连接,不需要手动指定端口,这样更安全方便。用户希望不手动声明高端口,而是通过模块自动处理。 接下来,我需要确认用户的需求:他们是否希望避免在iptables中开放大量端口,同时保持FTP被动模式的正常工作。解决方案的核心在于正确使用连接追踪模块,并确保相关规则顺序正确。 需要检查是否加载了nf_conntrack_ftp模块,该模块能识别FTP协议的PORT/PASV命令,自动关联数据连接为RELATED状态,从而允许数据包通过而无需显式开放端口。同时,INPUT链中的规则必须允许RELATED和ESTABLISHED状态,并且这些规则必须在拒绝规则之前,否则会被阻断。 可能的问题点包括模块未加载、规则顺序错误、或者FTP服务器配置不正确导致模块无法识别。需要分步骤验证这些情况,并指导用户进行调整,比如加载模块、调整iptables规则顺序,以及检查FTP服务的被动模式设置是否在模块支持的范围内。 还要考虑到用户可能对模块的工作原理不太清楚,需要简明解释模块如何自动处理端口,以及为什么手动开放端口在某些情况下可能不必要。此外,提醒用户模块的依赖性和配置文件的正确性,确保重启后仍然有效。 最后,给出验证步骤,比如检查模块加载情况,测试FTP连接,并查看连接追踪表,确保数据连接被正确识别为RELATED状态。这样用户就能确认是否配置成功,无需手动开放高端口。</think>### 核心解决方案(不手动声明高端口) **关键在于正确使用 `nf_conntrack_ftp` 模块的智能识别功能**,以下是实现步骤: --- #### 第一步:确保模块正确加载 ```bash # 检查模块是否加载(必须有返回) lsmod | grep nf_conntrack_ftp # 若未加载则手动加载(临时生效) modprobe nf_conntrack_ftp # 永久生效配置(系统重启后自动加载) echo "nf_conntrack_ftp" > /etc/modules-load.d/ftp.conf ``` **模块作用**:自动解析 FTP 协议的 `PORT/PASV` 命令,将数据连接识别为 `RELATED` 状态 --- #### 第二步:优化防火墙规则(关键配置) ```bash # 清除旧规则(先备份当前规则) iptables -F # 核心规则(按顺序添加) iptables -I INPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT iptables -I INPUT 2 ! -s 192.168.10.0/24 -d 192.168.10.110 -p tcp --dport 21 -j ACCEPT iptables -I OUTPUT 1 -m conntrack --ctstate ESTABLISHED -j ACCEPT iptables -I OUTPUT 2 ! -d 192.168.10.0/24 -s 192.168.10.110 -p tcp --sport 21 -j ACCEPT # 设置默认拒绝策略(必须在最后) iptables -A INPUT -j REJECT iptables -A OUTPUT -j REJECT ``` --- #### 实现原理说明 | 组件 | 作用 | |-----------------|----------------------------------------------------------------------| | `nf_conntrack_ftp` | 内核模块,解析 FTP 控制流中的 `PORT 227 Entering Passive Mode (x,x,x,x,p1,p2)` 命令 | | `RELATED` 状态 | 自动识别数据连接为控制连接的关联流量,无需手动放行端口 | | 规则顺序 | `RELATED` 规则必须位于拒绝规则之前,否则会被阻断 | --- ### 必要验证步骤 1. **检查模块加载状态** ```bash dmesg | grep nf_conntrack_ftp # 应显示模块加载日志 ``` 2. **查看连接追踪效果** ```bash # 建立FTP连接后观察(需安装 conntrack 工具) conntrack -L | grep :21 # 正确输出示例: tcp 6 431995 ESTABLISHED src=客户端IP dst=192.168.10.110 sport=54321 dport=21 tcp 6 300 RELATED src=客户端IP dst=192.168.10.110 sport=12345 dport=50000 ``` 3. **测试被动模式连接** ```bash ftp -p 192.168.10.110 # 使用被动模式连接 ls # 测试数据传输 ``` --- ### 常见故障排查 | 现象 | 检查点 | |---------------------|----------------------------------------------------------------------| | 能登录但无法列目录 | 1. 确认 `nf_conntrack_ftp` 模块已加载<br>2. 检查 `RELATED` 规则是否在拒绝规则前 | | 间歇性连接失败 | 检查 FTP 服务的被动端口范围是否超出内核追踪能力(默认 0-65535) | | 服务器重启后失效 | 确认 `/etc/modules-load.d/ftp.conf` 配置文件存在且正确 | --- ### 高级配置建议 ```bash # 限制被动端口范围(提升安全性) # 在 FTP 服务配置中设置(以 vsftpd 为例) pasv_min_port=50000 pasv_max_port=50100 # 同步调整内核参数(必须与FTP服务配置一致) sysctl -w net.netfilter.nf_conntrack_ftp_ports=50000-50100 ``` 通过上述配置,即可实现 **无需手动声明高端口** 的被动模式 FTP 支持,同时保持防火墙的安全性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值