Loopback接⼝的作⽤
Loopback接⼝是虚拟接⼝,是⼀种纯软件性质的虚拟接⼝。任何送到该接⼝的⽹络数据报⽂都会被认为是送往设备⾃⾝的。⼤多数平台都⽀持使⽤这种接⼝来模拟真正的接⼝。这样做的好处是虚拟接⼝不会像物理接⼝那样因为各种因素的影响⽽导致接⼝被关闭。事实上,将Loopback接⼝和其他物理接⼝相⽐较,可以发现Loopback接⼝有以下⼏条优点:
1.Loopback接⼝状态永远是up的,即使没有配置地址。这是它的⼀个⾮常重要的特性。
2.Loopback接⼝可以配置地址,⽽且可以配置全1的掩码,可以节省宝贵的地址空间。
3.Loopback接⼝不能封装任何链路层协议。
对于⽬的地址不是loopback⼝,下⼀跳接⼝是loopback⼝的报⽂,路由器会将其丢弃。对于CISCO路由器来说,可以配置[no] ip unreachable命令,来设置是[否]发送icmp不可达报⽂,对于VRP来说,没有这条命令,缺省不发送icmp不可达报⽂。
⼆、Loopback接⼝的应⽤
基于以上所述,决定了Loopback接⼝可以⼴泛应⽤在各个⽅⾯。其中最主要的应⽤就是:路由器使⽤loopback接⼝地址作为该路由器产⽣的所有IP包的源地址,这样使过滤通信量变得⾮常简单。
1.在Router ID中的应⽤
如果loopback接⼝存在、有IP地址,在路由协议中就会将其⽤作Router ID,这样⽐较稳定--loopback接⼝⼀直都是up的。
如果loopback接⼝不存在、或者没有IP地址,Router ID就是最⾼的IP地址,这样就⽐较危险--只要是物理地址就有可能down掉。
对于CISCO来说,Router ID是不能配置的,对于VRP来说,Router ID可以配置,那麽我们也可以将Loopback接⼝地址配成Router ID。
配置BGP
在IBGP配置中使⽤loopback接⼝,可以使会话⼀直进⾏,即使通往外部的接⼝关闭了也不会停⽌。配置举例:
interface loopback 0
ip address 215.17.1.34 255.255.255.255
router bgp 200
neighbor 215.17.1.35 remote-as 200
neighbor update-source loopback 0
2.在远程访问中的应⽤
使⽤telnet实现远程访问。
配置telnet,使从该路由器始发的报⽂使⽤的源地址是loopback地址。配置命令如下:
ip telnet source-interface Loopback0
使⽤RCMD实现远程访问。
配置RCMD,使从该路由器始发的报⽂使⽤的源地址是loopback地址。配置命令如下:
ip rcmd source-interface Loopback0
3.在安全⽅⾯的应⽤
在TACACS+中的应⽤。
配置TACACS+,使从该路由器始发的报⽂使⽤的源地址是loopback地址。配置命令如下:
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.1
可以通过过滤来保护TACACS+服务器--只允许从LOOPBACK地址访问TACACS+端⼝,从⽽使读/写⽇志变得简单,TACACS+⽇志纪录中只有loopback⼝的地址,⽽没有出接⼝的地址。
4.在RADIUS⽤户验证中的应⽤。
配置RADIUS,使从该路由器始发的报⽂使⽤的源地址是loopback地址。配置命令如下:
ip radius source-interface Loopback0
radius-server host 215.17.1.1
auth-port 1645 acct-port 1646
这样配置是从服务器的安全⾓度考虑的,可以通过过滤来保护 RADIUS服务器和代理--只允许从LOOPBACK地址访问RADIUS端⼝,从⽽使读/写⽇志变得简单,RADIUS⽇志纪录中只有loopback⼝的
地址,⽽没有出接⼝的地址。
5.在纪录信息⽅⾯的应⽤,输出⽹络流量纪录。
配置⽹络流量输出,使从该路由器始发的报⽂使⽤的源地址是loopback地址。配置命令如下:
ip flow-export source Loopback0
Exporting NetFlow records Exporting NetFlow
这样配置是从服务器的安全⾓度考虑的,可以通过过滤来保护⽹络流量收集--只允许从LOOPBACK地址访问指定的流量端⼝。
6.在⽇志信息⽅⾯的应⽤。
发送⽇志信息到Unix或者Windows SYSLOG 服务器。路由器发出的⽇志报⽂源地址是loopback接⼝,配置命令如下:
logging source-interface loopback0
这样配置是从服务器的安全⾓度考虑的,可以通过过滤来保护 SYSLOG服务器和代理--只允许从LOOP
BACK地址访问syslog端⼝,从⽽使
读/写⽇志变得简单,SYSLOG⽇志纪录中只有loopback⼝的地址作为源地址,⽽不是出接⼝的地址。
7.在NTP中的应⽤
⽤NTP(⽹络时间协议)使所有设备的时间取得同步,所有源于该路由器的NTP包都把Loopback地址作为源地址。配置如下:
ntp source loopback0
ntp server 169.223.1.1 source loopback 1
radius软件这样做是从NTP的安全⾓度着想,可以通过过滤来保护NTP系统--只允许从loopback地址来访问NTP端⼝。NTP将Loopback接⼝地址作为源地址,⽽不是出⼝地址。
8.在SNMP中的应⽤
如果使⽤SNMP(简单⽹络管理协议),发送traps时将loopback地址作为源地址。配置命令:
snmp-server trap-source Loopback0
snmp-server host 169.223.1.1 community
这样做是为了保障服务器的安全,可以通过过滤来保护SNMP的管理系统--只允许从Loopback接⼝来访问SNMP端⼝。从⽽使得读/写trap信息变得简单。SNMPtraps将loopback接⼝地址作为源地址,⽽不是出⼝地址。
9.在Core Dumps中的应⽤
如果系统崩溃,有Core dump特性的路由器能够将内存的映像上传到指定的FTP服务器。配置Core dumps使⽤loopback地址作为源地址。配置命令如下:
ip ftp source-interface loopback 0
exception protocol ftp
exception dump 169.223.32.1
这样的做的好处是保证了Core Dump FTP 服务器的安全,通过过滤能够保护⽤于core dumps的FTP服务器--只允许从loopback地址访问FTP端⼝。
这个FTP服务器必须是不可见的。
10.在TFTP中的应⽤
通过TFTP从TFTP服务器配置路由器,可以将路由器的配置保存在TFTP服务器,配置TFTP,将loopback地址作为源于该路由器的包的源地址。配置命令如下:
ip tftp source-interface Loopback0
这样做对TFTP服务器的安全是很有好处的:通过过滤来保护存储配置和IOS映像的TFTP服务器--只允许从loopback地址来访问TFTP端⼝,TFTP服务器必须是不可见的。
11.在IP unnumbered中的应⽤
应⽤IP Unnumbered在点到点链路上就不需要再配置地址了。配置举例:
interface loopback 0
ip address 215.17.3.1 255.255.255.255
interface Serial 5/0
ip unnumbered loopback 0
ip route 215.34.10.0 255.255.252.0 Serial 5/0
(1)Loopback接⼝的主要作⽤
Loopback是路由器⾥⾯的⼀个逻辑接⼝。逻辑接⼝是指能够实现数据交换功能,但是物理上不存在、需要通过配置建⽴的接⼝。Loopback 接⼝⼀旦被创建,其物理状态和链路协议状态永远是Up,即使该接⼝上没有配置IP地址。正是因为这个特性,Loopback接⼝具有特殊的⽤途。下⾯介绍Loopback接⼝的常见应⽤场景。
⼀、提⾼可靠性
1、在IP地址借⽤中的应⽤
当某接⼝不是长期使⽤IP地址时,为了节省IP地址,可以配置该接⼝借⽤其他接⼝的IP地址。通常配置为借⽤Loopback接⼝的地址,以保持接⼝的稳定性。
2、在Router ID中的应⽤
⼀些动态路由协议要求路由器必须有Router ID,它是⼀台路由器在⾃治系统中的唯⼀标识。
例如,OSPF和BGP在没有⼿⼯配置Router ID时,系统需要从本地接⼝的IP地址中选⼀个最⼤的IP地址作为Router ID。如果选择的是物理接⼝的IP地址,当这个物理接⼝状态变为Down时,系统也不会重新选择Router ID,除⾮这个被选择的IP地址被删除。
因此建议使⽤Loopback接⼝的IP地址作为路由器的Router ID。因为Loopback接⼝稳定,它⼀直都处于Up状态。
3、在BGP中的应⽤
为了使BGP会话不受物理接⼝故障的影响,可将发送BGP报⽂的源接⼝配置成Loopback接⼝。
在使⽤Loopback接⼝作为BGP报⽂的源接⼝时,必须注意以下事项:
确认BGP对等体的Loopback接⼝的地址是可达的。
如果是EBGP连接,还要允许EBGP通过⾮直连建⽴邻居关系。
4、在MPLS LDP中的应⽤
在MPLS LDP中,为了保持⽹络的稳定性,通常使⽤Loopback接⼝的IP地址作为传输地址。这个Loopback接⼝的IP地址可能是公⽹地址。
5、在VPN中的应⽤
在L2TP中,建议⽤户指定LAC端发起隧道请求时使⽤的隧道源接⼝类型是Loopback接⼝。这样是为了当LAC访问LNS时,提⾼LAC与LNS通信的可靠性。
在配置GRE和IPv6 over IPv4隧道时,需要创建Tunnel接⼝。同时可配置该隧道接⼝的源IP地址或源接⼝。即,指定该隧道的承载协议的源IP地址或源接⼝。此时⼀般选⽤的也是Loopback接⼝的IP地址或Loopback接⼝。
⼆、对信息分类
1、在SNMP中的应⽤
如果使⽤简单⽹络管理协议SNMP(Simple Network Management Protocol),可以设置发送trap报⽂时的源IP地址是Loopback接⼝的IP地址。
为了保障服务器的安全,SNMP trap将Loopback接⼝的IP地址作为源IP地址,⽽不是出接⼝的IP地址。这样可以使⽤过滤来保护SNMP 的管理系统。系统只允许来⾃Loopback接⼝IP地址的报⽂访问SNMP端⼝,从⽽使得读写trap信息变得简单。
2、在NTP中的应⽤
⽹络时间协议NTP(Network Time Protocol)可以使所有设备的时间取得同步。NTP可以把Loopback接⼝的IP地址作为所有从本路由器发出的NTP报⽂的源地址。
出于对NTP的安全考虑,NTP将Loopback接⼝的IP地址(⽽不是出接⼝的IP地址)作为源地址。系统只允许Loopback接⼝地址的报⽂访问NTP端⼝。这样可以使⽤过滤来保护NTP系统。
3、在记录信息⽅⾯的应⽤
输出⽹络流量记录时,可以配置⽹络流量输出时的源IP地址是Loopback接⼝的IP地址。
这是从服务器的安全⾓度考虑的。这样可以使⽤过滤来保护⽹络流量收集,因为只允许Loopback接⼝地址的报⽂访问指定的端⼝。4、在安全⽅⾯的应⽤
在⽤户⽇志服务器端,通过识别⽇志的源IP地址,可以迅速定位⽇志信息的来源。建议配置Loopback地址作为⽇志报⽂的源IP地址。5、在HWTACACS中的应⽤
配置HWTACACS,使从该路由器始发的报⽂使⽤的源地址是Loopback地址。这样可以使⽤过滤来保护HWTACACS服务器。
因为这样只允许从Loopback接⼝的地址发送的报⽂访问HWTACACS服务器,从⽽使读写⽇志变得简单。HWTACACS⽇志记录中只有Loopback接⼝的地址,⽽没有出接⼝的地址。
6、在RADIUS⽤户验证中的应⽤
配置RADIUS服务器时,使从该路由器始发的报⽂使⽤的源IP地址是Loopback接⼝的IP地址。
和在HWTACACS中的应⽤类似,这样配置是从服务器的安全⾓度考虑的。它可以使⽤过滤来保护RADIUS服务器和代理。这样只允许Loopback接⼝地址的报⽂访问RADIUS服务器的端⼝,从⽽使读写⽇志变得简单。RADIUS⽇志记录中只有Loopback接⼝的地址,⽽没有出接⼝的地址。
(2)loopback接⼝的⽤法
此类接⼝是应⽤最为⼴泛的⼀种虚接⼝,⼏乎在每台路由器上都会使⽤。常见于如下⽤途。
  1 作为⼀台路由器的管理地址
  系统管理员完成⽹络规划之后,为了⽅便管理,会为每⼀台路由器创建⼀个loopback 接⼝,并在该接⼝上单独指定⼀个IP 地址作为管理地址,管理员会使⽤该地址对路由器远程登录(telnet ),该地址实际上起到了类似设备名称⼀类的功能。
  但是通常每台路由器上存在众多接⼝和地址,为何不从当中随便挑选⼀个呢?
  原因如下:由于telnet 命令使⽤TCP 报⽂,会存在如下情况:路由器的某⼀个接⼝由于故障down 掉了,但是其他的接⼝却仍旧可以telnet ,也就是说,到达这台路由器的TCP 连接依旧存在。所以选择的telnet 地址必须是永远也不会
  down 掉的,⽽虚接⼝恰好满⾜此类要求。由于此类接⼝没有与对端互联互通的需求,所以为了节约地址资源,loopback 接⼝的地址通常指定为32 位掩码。
  2 使⽤该接⼝地址作为动态路由协议OSPF 、BGP 的router id动态路由协议OSPF 、BGP 在运⾏过程中需要为该协议指定⼀个Router id ,作为此路由器的唯⼀标识,并要求在整个⾃治系统内唯⼀。由于router id 是⼀个32 位的⽆符号整数,这⼀点与IP 地址⼗分相像。⽽且IP 地址是不会出现重复现象的,所以通常将路由器的router id 指定为与该设备上的某个接⼝的地址相同。由于loopback 接⼝的IP 地址通常被视为路由器的标识,所以也就成了router id 的最佳选择。
  3、使⽤该接⼝地址作为BGP 建⽴TCP 连接的源地址在BGP 协议中,两个运⾏BGP 的路由器之间建⽴邻居关系是通过TCP 建⽴连接完成的。
  在配置邻居时通常指定loopback 接⼝为建⽴TCP 连接的源地址(通常只⽤于IBGP ,原因同2.1 ,都是为了增强TCP 连接的健壮性)  配置命令如下:
  router id 61.235.66.1
  interface loopback 0
  ip address 61.235.66.1 255.255.255.255
  router bgp 100
  neighbor 61.235.66.7 remote-as 200
  neighbor 61.235.66.7 update-source LoopBack0
配置逻辑端⼝
逻辑端⼝是相对物理端⼝⽽⾔的,它是指能够实现数据交换功能但在物理上不存在、需要通过配置来建⽴的端⼝。通常提供5类逻辑端⼝:Loopback(回环)端⼝,NULL(空)端⼝,Tunnel(隧道)端⼝,Dialer(拨号)端⼝以及⼦端⼝。
12.3.1  Loopback端⼝配置
Loopback(回环)端⼝是完全软件模拟的路由器本地端⼝,它永远都处于UP状态。发往Loopback端⼝的数据包将会在路由器本地处理,包括路由信息。Loopback端⼝的IP地址可以⽤来作为OSPF路由协议
的路由器标识、实施发向 Telnet或者作为远程Telnet访问的⽹络端⼝等。配置⼀个Loopback端⼝类似于配置⼀个以太⽹端⼝,可以把它看作⼀个虚拟的以太⽹端⼝。
设置Loopback端⼝。创建指定端⼝号的Loopback后,就可以像配置以太⽹⼝⼀样配置Loopback端⼝的通信参数(譬如IP地址等)了。Router(config)#interface loopback loopback-interface-number
删除Loopback端⼝。由于Loopback是虚拟的端⼝,它只在逻辑意义上存在,可以在需要的时候使⽤no命令删除指定的Loopback端⼝。Router(config)#no interface loopback loopback-interface-number
显⽰Loopback端⼝状态。
Router#show interfaces loopback loopback-interface-number
NULL端⼝配置
路由器还提供NULL(空)的虚拟端⼝。该虚拟端⼝仅仅相当于⼀个可⽤的系统设备。NULL(空)永远都处于UP状态并且永远不会主动发送或者接受⽹络数据,任何发往NULL端⼝的数据包都会被丢弃,在NULL端⼝上任何链路层协议封装的企图都不会成功。
进⼊NULL端⼝配置。
Router(config)#interface null 0
允许NULL端⼝发送ICMP的unreachable消息。
Router(config-if)#ip unreachables
禁⽌NULL端⼝发送ICMP的unreachable消息。
Router(config-if)#no ip unreachables
NULL端⼝更多地⽤于⽹络数据流的过滤。如果使⽤空端⼝,可以通过将不希望处理的⽹络数据流路由给NULL端⼝,⽽不必使⽤访问列表,例如:
Router(config)#ip route 127.0.0.0 255.0.0.0 null 0
由于NULL端⼝在功能上是⼀个“空”的系统设备,它不会像以太⽹或者其他端⼝⼀样可显⽰(例如,使⽤命令show running-config是⽆法看见它的)。同时,作为系统设备是⽆法使⽤no interface null命令来删除NULL端⼝的。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。