Existem 65.535 portas disponíveis. A prova do CCNA cobra menos de 20. Entrevistas de emprego cobram menos que isso. Troubleshooting de firewall resolve com as mesmas 20.
Não precisa decorar todas. Precisa entender as que importam e por que cada uma existe.
Tabela de referência rápida
| Porta | Protocolo | Serviço | Uso |
|---|---|---|---|
| 20 | TCP | FTP | Transferência de dados |
| 21 | TCP | FTP | Controle e autenticação |
| 22 | TCP | SSH | Acesso remoto seguro |
| 23 | TCP | Telnet | Acesso remoto sem criptografia |
| 25 | TCP | SMTP | Envio de email entre servidores |
| 53 | TCP/UDP | DNS | Resolução de nomes |
| 67 | UDP | DHCP | Servidor — atribuição de IPs |
| 68 | UDP | DHCP | Cliente — recebimento de IP |
| 69 | UDP | TFTP | Transferência de arquivos sem autenticação |
| 80 | TCP | HTTP | Web sem criptografia |
| 110 | TCP | POP3 | Recebimento de email (apaga do servidor) |
| 123 | UDP | NTP | Sincronização de relógio |
| 143 | TCP | IMAP | Recebimento de email (mantém no servidor) |
| 161 | UDP | SNMP | Consulta de monitoramento |
| 162 | UDP | SNMP | Trap — alertas proativos |
| 179 | TCP | BGP | Roteamento entre sistemas autônomos |
| 443 | TCP | HTTPS | Web com criptografia TLS |
| 514 | UDP | Syslog | Centralização de logs |
| 587 | TCP | SMTP | Envio autenticado cliente → servidor |
| 3389 | TCP | RDP | Acesso remoto Windows |
Por que portas existem
Um servidor com IP único pode rodar dezenas de serviços ao mesmo tempo: web, SSH, FTP, email. O IP identifica a máquina. A porta identifica o serviço dentro da máquina.
Quando você acessa packetpass.com.br, seu navegador abre uma conexão para o IP do servidor na porta 443. O servidor sabe que é requisição HTTPS, não SSH, não FTP. Sem portas, o servidor não saberia o que fazer com o pacote.
Portas abaixo de 1024 são reservadas para serviços padrão pela IANA. Portas acima de 1024 são usadas dinamicamente pelos clientes para montar as conexões.
As 20 portas explicadas
Acesso remoto
Porta 22 | TCP | SSH Porta 23 | TCP | Telnet
SSH é o padrão atual. Comunicação cifrada, autenticação por chave ou senha. Telnet transmite tudo em texto claro, incluindo senha. Em 2026, Telnet ativo em produção é sinal de problema. A Cisco ainda cobra a diferença nas provas.
Transferência de arquivos
Porta 20 | TCP | FTP (dados) Porta 21 | TCP | FTP (controle) Porta 69 | UDP | TFTP
FTP usa duas portas: 21 para comandos e autenticação, 20 para o fluxo de dados. Isso confunde quem configura firewall e libera só a 21. A transferência não funciona porque a 20 está bloqueada.
TFTP é FTP simplificado, sem autenticação, sobre UDP. Usado para transferir imagens IOS entre roteadores Cisco. Leve e sem segurança nenhuma. Só use em rede isolada.
Web
Porta 80 | TCP | HTTP Porta 443 | TCP | HTTPS
HTTP é texto claro. HTTPS é HTTP rodando dentro de TLS. O protocolo HTTP em si não muda. O que muda é que o canal de comunicação é cifrado e o servidor precisa apresentar um certificado válido.
Por que 443 existe se já tinha 80? Porque quando HTTPS foi criado, não dava para mudar a porta 80 sem quebrar tudo que já existia. Criaram uma porta nova.
Porta 25 | TCP | SMTP (envio entre servidores) Porta 110 | TCP | POP3 (recebimento, apaga do servidor) Porta 143 | TCP | IMAP (recebimento, mantém no servidor) Porta 587 | TCP | SMTP autenticado (cliente para servidor)
SMTP na porta 25 é comunicação entre servidores de email. A porta 587 é o que seu cliente de email usa para enviar. A distinção importa na hora de liberar regras de firewall para um servidor de email corporativo.
POP3 baixa o email e apaga do servidor. IMAP sincroniza. Quem acessa email em múltiplos dispositivos usa IMAP.
DNS e infraestrutura
Porta 53 | TCP/UDP | DNS Porta 67 | UDP | DHCP (servidor) Porta 68 | UDP | DHCP (cliente)
DNS usa UDP na porta 53 para consultas normais. Muda para TCP quando a resposta é grande demais. Bloquear UDP 53 no firewall derruba a resolução de nomes da rede inteira.
DHCP usa broadcast. O cliente sem IP ainda não sabe o endereço do servidor. Manda na porta 67, recebe resposta na 68.
Gerenciamento de rede
Porta 161 | UDP | SNMP (consulta) Porta 162 | UDP | SNMP (trap) Porta 514 | UDP | Syslog Porta 123 | UDP | NTP
SNMP é o protocolo de monitoramento. A porta 161 é onde o agente escuta consultas do gerenciador. A porta 162 é onde o gerenciador recebe alertas (traps) proativos dos dispositivos.
Syslog centraliza logs de roteadores, switches e firewalls num servidor único. NTP sincroniza o relógio de todos os dispositivos. Logs com timestamps errados são inúteis para troubleshooting e auditoria.
Roteamento
Porta 179 | TCP | BGP
BGP usa TCP na porta 179 para estabelecer sessões entre roteadores de sistemas autônomos diferentes. É o protocolo que mantém a internet funcionando — cada ISP usa BGP para anunciar seus blocos de IP para o resto do mundo. Cai no CCNA dentro do domínio de IP Connectivity.
Acesso remoto Windows
Porta 3389 | TCP | RDP
Remote Desktop Protocol. Se essa porta estiver aberta para a internet sem proteção adicional, é questão de tempo até tentativa de ataque por força bruta. Cai em questões de segurança do CCNA.
Como isso aparece no troubleshooting real
Usuário não consegue acessar o servidor de email. Você testa conectividade:
R1# telnet 192.168.10.50 25
Trying 192.168.10.50, 25 ... Open
220 mail.empresa.com.br ESMTP ready
Porta 25 respondeu. O problema não é conectividade com o servidor SMTP. É outra coisa: autenticação, DNS reverso, configuração do cliente.
R1# telnet 192.168.10.50 587
Trying 192.168.10.50, 587 ...
% Connection timed out; remote host not responding
Porta 587 não responde. Firewall bloqueando. O cliente de email do usuário tenta enviar na 587 e não consegue. Regra de firewall a adicionar.
telnet IP porta é o jeito mais rápido de testar se uma porta específica está acessível. Funciona independente do serviço que roda nela.
O que a prova cobra
A Cisco apresenta um cenário e pergunta qual porta liberar no ACL. Ou mostra uma tabela de portas e pede para identificar o protocolo. Ou descreve um serviço e pede o número da porta.
As 20 portas acima cobrem a esmagadora maioria dessas questões.
Porta errada no firewall derruba serviço. Porta certa, na direção certa, resolve. Não tem atalho para saber isso além de memorizar.