環回地址
在Windows系統中,采用127.0.0.1作為本地環回地址。
BGP Update-Source
BGP Update-Source
因為Loopback口隻要Router還健在,則它就會一直保持Active,這樣,隻要BGP的Peer的Loopback口之間滿足路由可達,就可以建立BGP 會話,總之BGP中使用loopback口可以提高網絡的健壯性。
neighbor 215.17.1.35 update-source loopback
Router ID
使用該接口地址作為OSPF、BGP的Router-ID,作為此路由器的唯一标識,并要求在整個自治系統内唯一,在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。
在OSPF中的路由器優先級是在接口下手動設置的,接着才是比較OSPF的Router-ID(Router-ID的選舉在這裡就不多說了。
PS:一台路由器啟動OSPF路由協議後,将選取物理接口的最大IP地址作為其RouterID,但是如果配置Loopback接口,則從Loopback中選取IP地址最大者為RouterID。
另外一旦選取RouterID,OSPF為了保證穩定性,不會輕易更改,除非作為RouterID的IP地址被删除或者OSPF被重新啟動),在OSPF和BGP中的Router-ID都是可以手動在路由配置模式下設置的。
OSPF: Router-ID *.*.*.*
BGP:BGP Router-ID *.*.*.*
IP Unnumbered Interfaces
無編号地址可以借用強壯的loopback口地址,來節約網絡IP地址的分配。
例子:
interface loopback 0
ip address 215.17.3.1 255.255.255.255
!
interface Serial 5/0
bandwidth 128
ip unnumbered loopback
0Exception Dumps by FTP
當Router 宕機,系統内存中的文件還保留着一份軟件内核的備份,CISCO路由器可以被配置為向一台FTP服務器進行内核導出,作為路由器診斷和調試處理過程的一部分。
可是,這種内核導出功能必須導向一台沒有運行公共FTP服務器軟件的系統,而是一台通過ACLS過濾(TCP地址欺騙)被重點保護的隻允許路由器訪問的FTP服務器。
如果Loopback口地址作為Router的源地址,并且是相應地址塊的一部分,ACLS的過濾功能很容易配置。
Sample IOS configuration:
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 045802150C2E
exception protocol ftp
exception dump 169.223.32.1
TFTP-SERVER Access
對于TFTP的安全意味着應該經常對IP源地址進行安全方面的配置,CISCO IOS軟件允許TFTP服務器被配置為使用特殊的IP接口地址,基于Router的固定IP地址,将運行TFTP服務器配置固定的ACLS.
ip tftp source-interface
Loopback0 SNMP-SERVER Access
路由器的Loopback口一樣可以被用來對訪問安全進行控制,如果從一個路由器送出的SNMP網管數據起源于Loopback口,則很容易在網絡管理中心對SNMP服務器進行保護
Sample IOS configuration:
access-list 98 permit 215.17.34.1
access-list 98 permit 215.17.1.1
access-list 98 deny any
!
snmp-server community 5nmc02m RO 98
snmp-server trap-source Loopback0
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001
TACACS/RADIUS-Server Source Interface
當采用TACACS/RADIUS協議,無論是用戶管理性的接入Router還是對撥号用戶進行認證,Router都是被配置為将Loopback口作為Router發送TACACS/RADIUS數據包的源地址,提高安全性。
TACACS
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa accounting execstart-stoptacacs+
!
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t#
!
RADIUS
radius-server host 215.17.1.2 auth-port 1645 acct-port 1646
radius-server host 215.17.34.10 auth-port 1645 acct-port 1646
ip radius source-interface Loopback0
!
NetFlow Flow-Export
從一個路由器向NetFlow采集器傳送流量數據,以實現流量分析和計費目的,将路由器的Router的Loopback地址作為路由器所有輸出流量統計數據包的源地址,可以在服務器或者是服務器外圍提供更精确,成本更低的過濾配置。
ip flow-export destination 215.17.13.1 9996
ip flow-export source Loopback0
ip flow-export version 5 origin-as
!
interface Fddi0/0/0
description FDDI link to IXP
ip address 215.18.1.10 255.255.255.0
ip route-cache flow
ip route-cache distributed
no keepalive
!
FDDDI 0/0/0 接口被配置成為進行流量采集。路由器被配置為輸出第五版本類型的流量信息到IP地址為215.17.13.1的主機上,采用UDP協議,端口号9996,統計數據包的源地址采用Router的Loopback地址。
NTP Source Interface
NTP用來保證一個網絡内所有Rdouter的時鐘同步,确保誤差在幾毫秒之内,如果在NTP的Speaker之間采用Loopback地址作為路由器的源地址,會使得地址過濾和認證在某種程度上容易維護和實現。
許多ISP希望他們的客戶隻與ISP自己的而不是世界上其他地方的時間服務器同步。
clock timezone SST 8
!
access-list 5 permit 192.36.143.150
access-list 5 permit 169.223.50.14
!.Cisco ISP Essentials
39
ntp authentication-key 1234 md5 104D000A0618 7
ntp authenticate
ntp trusted-key 1234
ntp source Loopback0
ntp access-group peer 5
ntp update-calendar
ntp peer 192.36.143.150
ntp peer 169.223.50.14
!
SYSLOG Source Interface
系統日志服務器同樣也需要在ISP骨幹網絡中被妥善保護。許多ISP隻希望采集他們自己的而不是外面網絡發送來的昔日日志信息。
對系統日志服務器的DDOS攻擊并不是不知道,如果系統信息數據包的源地址來自于被很好規劃了的地址空間,例如,采用路由器的Loopback口地址,對系統日志服務器的安全配置同樣會更容易。
A configuration example:
logging buffered 16384
logging trap debugging
logging source-interface Loopback0
logging facility local7
logging 169.223.32.1
!
Telnet to the Router
遠程路由器才用Loopback口做遠程接入的目标接口,這個一方面提高網絡的健壯性,另一方面,如果在DNS服務器做了Router的DNS映射條目,則可以在世界上任何路由可達的地方Telnet到這台Router,ISP會不斷擴展,增加新的設備
由于telnet命令使用TCP報文,會存在如下情況:路由器的某一個接口由于故障down了,但是其他的接口卻仍舊可以telnet,也就是說,到達這台路由器的TCP連接依舊存在。
所以選擇的telnet地址必須是永遠也不會down掉的,而虛接口恰好滿足此類要求。由于此類接口沒有與對端互聯互通的需求,所以為了節約地址資源,loopback接口的地址通常指定為32位掩碼。
DNS前向和反向轉發區域文件的例子:
; net.galaxy zone file
net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
IN MX 10 mail0.net.galaxy.
IN MX 20 mail1.net.galaxy.
;
localhost IN A127.0.0.1
gateway1 IN A 215.17.1.1
gateway2 IN A 215.17.1.2
gateway3 IN A 215.17.1.3
;
;etc etc
; 1.17.215.in-addr.arpa zone file
;
1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
1 IN PTR gateway1.net.galaxy.
2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001
3 IN PTR gateway3.net.galaxy.
;
;etc etc
On the router, set the telnet source to the loopback interface:
ip telnet source-interface Loopback0
RCMD to the router
RCMD要求網絡管理員擁有UNIX的rlogin/rsh客戶端來訪問路由器。某些ISP采用RCMD來捕獲接口統計信息,上載或下載路由器配置文件,或者獲取Router路由選擇表的簡易信息。
Router可以被配置采用Loopback地址作為源地址,使得路由器發送的所有數據包的源地址都采用Loopback地址來建立RCMD連接:
ip rcmd source-interface Loopback0
名詞解釋
又叫本地環回接口。
此類接口是應用最為廣泛的一種虛接口,幾乎在每台路由器上都會使用。
常見于如下用途:
1、作為一台路由器的管理地址系統管理員完成網絡規劃之後,為了方便管理,會為每一台路由器創建一個loopback接口,并在該接口上單獨指定一個IP地址作為管理地址。
管理員會使用該地址對路由器遠程登錄(telnet),該地址實際上起到了類似設備名稱一類的功能。
但是通常每台路由器上存在衆多接口和地址,為何不從當中随便挑選一個呢?
原因如下:由于telnet命令使用TCP報文,會存在如下情況:路由器的某一個接口由于故障down掉了,但是其他的接口卻仍舊可以telnet,也就是說,到達這台路由器的TCP連接依舊存在。
所以選擇的telnet地址必須是永遠也不會down掉的,而虛接口恰好滿足此類要求。由于此類接口沒有與對端互聯互通的需求,所以為了節約地址資源,loopback接口的地址通常指定為32位掩碼。
2、使用該接口地址作為動态路由協議OSPF、BGP的router i 動态路由協議OSPF、BGP在運行過程中需要為該協議指定一個Router id,作為此路由器的唯一标識,并要求在整個自治系統内唯一。
由于router id是一個32位的無符号整數,這一點與IP地址十分相像。而且IP地址是不會出現重複現象的,所以通常将路由器的router id指定為與該設備上的某個接口的地址相同。
由于loopback接口的IP地址通常被視為路由器的标識,所以也就成了router id的最佳選擇。
3、使用該接口地址作為BGP建立TCP連接的源地址在BGP協議中,兩個運行BGP的路由器之間建立鄰居關系是通過TCP建立連接完成的。
在配置鄰居時通常指定loopback接口為建立TCP連接的源地址(通常隻用于IBGP,原因同2.1,都是為了增強TCP連接的健壯性)
配置命令如下:
router id 61.235.66.1
interface loopback 0
ip address 61.235.66.1 255.255.255.255
router bgp 100
neighbor 61.235.66.7 remote-as 200
neighbor 61.235.66.7 update-source LoopBack0
4、在Windows系統中,采用127.0.0.1作為本地環回地址。
網口上的IPv6地址
Loopback網卡,它一般的用途有三個:n
用于網絡軟件發布前的測試。n
用于協議棧本身的測試。n
用于配置一些可以标識主機的IP地址以供管理和接入(比如Linux LVS)。
相關實驗
實驗說明:n
1、配置IP地址,每一個路由器上配置一個Loopabck0接口為X.X.X.X/32,如R1為1.1.1.1/32。
2、AS300内運行OSPF進程1區域0,通告R2,R3,R4之間互聯網段以及他們的Loopback0接口。n
3、R1和R2之間通過直連接口建立EBGP鄰居關系,R1和R5分别屬于AS 100、200。n
4、R4和R5之間通過Loopback 0接口建立EBGP鄰居關系。n
5、R2和R4之間通過Loopback 0接口建立IBGP鄰居關系。n
6、将R1的Loopback 0和R5的Loopback 1通過network的方式通告進BGP中,保證能夠互訪。n
7、在R2上将OSPF路由通過import的方式引入BGP。n
8、驗證:display bgp route //查看BGP路由
