Loopback接口
一、Loopback接口簡介(環回接口) Loopback接口是虛擬接口,是一種純軟件性質的虛擬接口。任何送到該接口的網絡數據報文都會被認為是送往設備自身的。大多數平臺都支持使用這種接口來模擬真正的接口。這樣做的好處是虛擬接口不會像物理接口那樣因為各種因素的影響而導致接口被關閉。事實上,將Loopback接口和其他物理接口相比較,可以發現Loopback接口有以下幾條優點: 1.Loopback接口狀態永遠是up的,即使沒有配置地址。這是它的一個非常重要的特性。 2.Loopback接口可以配置地址,而且可以配置全1的掩碼,可以節省寶貴的地址空間。 3.Loopback接口不能封裝任何鏈路層協議。
對於目的地址不是loopback口,下一跳接口是loopback口的報文,路由器會將其丟棄。對於CISCO路由器來說,可以配置[no] ip unreachable命令,來設置是[否]發送icmp不可達報文,對於VRP來說,沒有這條命令,缺省不發送icmp不可達報文 。
二、Loopback接口的應用基於以上所述,決定了Loopback接口可以廣泛應用在各個方面。其中最主要的應用就是:路由器使用loopback接口地址作為該路由器產生的所有IP包的源地址,這樣使過濾通信量變得非常簡單。
1.在Router ID中的應用如果loopback接口存在、有IP地址,在路由協議中就會將其用作Router ID,這樣比較穩定--loopback接口一直都是up的。如果loopback接口不存在、或者沒有IP地址,Router ID就是最高的IP地址,這樣就比較危險--只要是物理地址就有可能down掉。對於CISCO來說,Router ID是不能配置的,對於VRP來說,Router ID可以配置,那麼我們也可以將Loopback接口地址配成Router ID。配置BGP在IBGP配置中使用loopback接口,可以使會話一直進行,即使通往外部的接口關閉了也不會停止。配置舉例:interface loopback 0ip address 215.17.1.34 255.255.255.255router bgp 200neighbor 215.17.1.35 remote-as 200neighbor update-source loopback 0
2.在遠程訪問中的應用
使用telnet實現遠程訪問。配置telnet,使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下: ip telnet source-interface Loopback0使用RCMD實現遠程訪問。配置RCMD,使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下: ip rcmd source-interface Loopback0
3.在安全方面的應用在TACACS+中的應用。 配置TACACS+,使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下: ip tacacs source-interface Loopback0 tacacs-server host 215.17.1.1可以通過過濾來保護TACACS+服務器--只允許從LOOPBACK地址訪問TACACS+端口,從而使讀/寫日誌變得簡單,TACACS+日誌紀錄中只有loopback口的地址,而沒有出接口的地址。
4.在RADIUS用戶驗證中的應用。配置RADIUS, 使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下:ip radius source-interface Loopback0radius-server host 215.17.1.1auth-port 1645 acct-port 1646這樣配置是從服務器的安全角度考慮的,可以通過過濾來保護 RADIUS服務器和代理--只允許從LOOPBACK地址訪問RADIUS端口,從而使讀/寫日誌變得簡單,RADIUS日誌紀錄中只有loopback口的地址,而沒有出接口的地址。
5.在紀錄信息方面的應用,輸出網絡流量紀錄。配置網絡流量輸出,使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下:ip flow-export source Loopback0Exporting NetFlow records Exporting NetFlow 這樣配置是從服務器的安全角度考慮的,可以通過過濾來保護 網絡流量收集--只允許從LOOPBACK地址訪問指定的流量端口。
6.在日誌信息方面的應用。發送日誌信息到Unix或者Windows SYSLOG 服務器。路由器發出的日誌報文源地址是loopback接口,配置命令如下:logging source-interface loopback0這樣配置是從服務器的安全角度考慮的,可以通過過濾來保護 SYSLOG服務器和代理--只允許從LOOPBACK地址訪問syslog端口,從而使讀/寫日誌變得簡單,SYSLOG日誌紀錄中只有loopback口的地址作為源地址,而不是出接口的地址。
7.在NTP中的應用
用NTP(網絡時間協議)使所有設備的時間取得同步,所有源於該路由器的NTP包都把Loopback地址作為源地址。配置如下:ntp source loopback0ntp server 169.223.1.1 source loopback 1這樣做是從NTP的安全角度著想,可以通過過濾來保護NTP系統--只允許從loopback地址來訪問NTP端口。NTP將Loopback接口地址作為源地址,而不是出口地址。
8.在SNMP中的應用
如果使用SNMP(簡單網絡管理協議),發送traps時將loopback地址作為源地址。配置命令:snmp-server trap-source Loopback0snmp-server host 169.223.1.1 community這樣做是為了保障服務器的安全,可以通過過濾來保護SNMP的管理系統--只允許從Loopback接口來訪問SNMP端口。從而使得讀/寫trap信息變得簡單。SNMPtraps將loopback接口地址作為源地址,而不是出口地址。
9.在Core Dumps中的應用
如果系統崩潰,有Core dump特性的路由器能夠將內存的映像上傳到指定的FTP服務器。配置Core dumps使用loopback地址作為源地址。配置命令如下:ip ftp source-interface loopback 0exception protocol ftpexception dump 169.223.32.1這樣的做的好處是保證了Core Dump FTP 服務器的安全,通過過濾能夠保護用於core dumps的FTP服務器--只允許從loopback地址訪問FTP端口。這個FTP服務器必須是不可見的。
10.在TFTP中的應用
通過TFTP從TFTP服務器配置路由器,可以將路由器的配置保存在TFTP服務器,配置TFTP,將loopback地址作為源於該路由器的包的源地址。配置命令如下:ip tftp source-interface Loopback0這樣做對TFTP服務器的安全是很有好處的:通過過濾來保護存儲配置和IOS映像的TFTP服務器--只允許從loopback地址來訪問TFTP端口,TFTP服務器必須是不可見的。
11.在IP unnumbered中的應用應用IP Unnumbered在點到點鏈路上就不需要再配置地址了。配置舉例:interface loopback 0ip address 215.17.3.1 255.255.255.255interface Serial 5/0ip unnumbered loopback 0ip route 215.34.10.0 255.255.252.0 Serial 5/0
閱讀更多 愛學習de小烏龜 的文章
