Loop口在實(shí)際中有非常廣泛的應(yīng)用，這個(gè)文章是是關(guān)于Loopback口使用的大全。 


BGP Update-Source

因?yàn)長(zhǎng)oopback口只要Router還健在，則它就會(huì)一直保持Active，這樣，只要BGP的Peer的Loopback口之間滿足路由可達(dá)，就可以建立BGP 回話，總之BGP中使用loopback口可以提高網(wǎng)絡(luò)的健壯性。
neighbor 215.17.1.35 update-source loopback 0

Router ID

使用該接口地址作為OSPF 、BGP 的Router-ID，作為此路由器的唯一標(biāo)識(shí)，并要求在整個(gè)自治系統(tǒng)內(nèi)唯一，在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器優(yōu)先級(jí)是在接口下手動(dòng)設(shè)置的，接著才是比較OSPF的Router-ID（Router-ID的選舉在這里就不多說(shuō)了，PS：一臺(tái)路由器啟動(dòng)OSPF路由協(xié)議后，將選取物理接口的最大IP地址作為其RouterID，但是如果配置Loopback接口，則從Loopback中選取IP地址最大者為RouterID。另外一旦選取RouterID，OSPF為了保證穩(wěn)定性，不會(huì)輕易更改，除非作為RouterID的IP地址被刪除或者OSPF被重新啟動(dòng)），在OSPF和BGP中的Router-ID都是可以手動(dòng)在路由配置模式下設(shè)置的。
OSPF: Router-ID *.*.*.*
BGP:BGP Router-ID *.*.*.*
 

IP Unnumbered Interfaces

無(wú)編號(hào)地址可以借用強(qiáng)壯的loopback口地址，來(lái)節(jié)約網(wǎng)絡(luò)IP地址的分配。
例子：
interface loopback 0
ip address 215.17.3.1 255.255.255.255
!
interface Serial 5/0
bandwidth 128
ip unnumbered loopback 0

Exception Dumps by FTP

當(dāng)Router 宕機(jī)，系統(tǒng)內(nèi)存中的文件還保留著一份軟件內(nèi)核的備份，CISCO路由器可以被配置為向一臺(tái)FTP服務(wù)器進(jìn)行內(nèi)核導(dǎo)出，作為路由器診斷和調(diào)試處理過(guò)程的一部分，可是，這種內(nèi)核導(dǎo)出功能必須導(dǎo)向一臺(tái)沒(méi)有運(yùn)行公共FTP服務(wù)器軟件的系統(tǒng)，而是一臺(tái)通過(guò)ACLS過(guò)濾（TCP地址欺騙）被重點(diǎn)保護(hù)的只允許路由器訪問(wèn)的FTP服務(wù)器。如果Loopback口地址作為Router的源地址，并且是相應(yīng)地址塊的一部分，ACLS的過(guò)濾功能很容易配置。

Sample IOS configuration:
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 045802150C2E
exception protocol ftp
exception dump 169.223.32.1

TFTP-SERVER Access

對(duì)于TFTP的安全意味著應(yīng)該經(jīng)常對(duì)IP源地址進(jìn)行安全方面的配置，CISCO IOS軟件允許TFTP服務(wù)器被配置為使用特殊的IP接口地址，基于Router的固定IP地址，將運(yùn)行TFTP服務(wù)器配置固定的ACLS.
ip tftp source-interface Loopback0

SNMP-SERVER Access

路由器的Loopback口一樣可以被用來(lái)對(duì)訪問(wèn)安全進(jìn)行控制，如果從一個(gè)路由器送出的SNMP網(wǎng)管數(shù)據(jù)起源于Loopback口，則很容易在網(wǎng)絡(luò)管理中心對(duì)SNMP服務(wù)器進(jìn)行保護(hù)
Sample IOS configuration:
access-list 98 permit 215.17.34.1
access-list 98 permit 215.17.1.1
access-list 98 deny any
!
snmp-server community 5nmc02m RO 98
snmp-server trap-source Loopback0
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001

TACACS/RADIUS-Server Source Interface

當(dāng)采用TACACS/RADIUS協(xié)議，無(wú)論是用戶管理性的接入Router還是對(duì)撥號(hào)用戶進(jìn)行認(rèn)證，Router都是被配置為將Loopback口作為Router發(fā)送TACACS/RADIUS數(shù)據(jù)包的源地址，提高安全性。
TACACS
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa accounting exec start-stop tacacs+
!
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t#
!
RADIUS
radius-server host 215.17.1.2 auth-port 1645 acct-port 1646
radius-server host 215.17.34.10 auth-port 1645 acct-port 1646
ip radius source-interface Loopback0
!

NetFlow Flow-Export

從一個(gè)路由器向NetFlow采集器傳送流量數(shù)據(jù)，以實(shí)現(xiàn)流量分析和計(jì)費(fèi)目的，將路由器的Router的Loopback地址作為路由器所有輸出流量統(tǒng)計(jì)數(shù)據(jù)包的源地址，可以在服務(wù)器或者是服務(wù)器外圍提供更精確，成本更低的過(guò)濾配置。
ip flow-export destination 215.17.13.1 9996
ip flow-export source Loopback0
ip flow-export version 5 origin-as
!
interface Fddi0/0/0
description FDDI link to IXP
ip address 215.18.1.10 255.255.255.0
ip route-cache flow
ip route-cache distributed
no keepalive
!
FDDDI 0/0/0 接口被配置成為進(jìn)行流量采集。路由器被配置為輸出第五版本類型的流量信息到IP地址為215.17.13.1的主機(jī)上，采用UDP協(xié)議，端口號(hào)9996，統(tǒng)計(jì)數(shù)據(jù)包的源地址采用Router的Loopback地址。

NTP Source Interface

NTP用來(lái)保證一個(gè)網(wǎng)絡(luò)內(nèi)所有Rdouter的時(shí)鐘同步，確保誤差在幾毫秒之內(nèi)，如果在NTP的Speaker之間采用Loopback地址作為路由器的源地址，會(huì)使得地址過(guò)濾和認(rèn)證在某種程度上容易維護(hù)和實(shí)現(xiàn)，許多ISP希望他們的客戶只與他們的客戶只與ISP自己的而不是世界上其他地方的時(shí)間服務(wù)器同步。
clock timezone SST 8
!
access-list 5 permit 192.36.143.150
access-list 5 permit 169.223.50.14
!.Cisco ISP Essentials
39
ntp authentication-key 1234 md5 104D000A0618 7
ntp authenticate
ntp trusted-key 1234
ntp source Loopback0
ntp access-group peer 5
ntp update-calendar
ntp peer 192.36.143.150
ntp peer 169.223.50.14
!

SYSLOG Source Interface

系統(tǒng)日志服務(wù)器同樣也需要在ISP骨干網(wǎng)絡(luò)中被妥善保護(hù)。許多ISP只希望采集他們自己的而不是外面網(wǎng)絡(luò)發(fā)送來(lái)的昔日日志信息。對(duì)系統(tǒng)日志服務(wù)器的DDOS攻擊并不是不知道，如果系統(tǒng)信息數(shù)據(jù)包的源地址來(lái)自于被很好規(guī)劃了的地址空間，例如，采用路由器的Loopback口地址，對(duì)系統(tǒng)日志服務(wù)器的安全配置同樣會(huì)更容易。
A configuration example:
logging buffered 16384
logging trap debugging
logging source-interface Loopback0
logging facility local7
logging 169.223.32.1
!

Telnet to the Router

遠(yuǎn)程路由器才用Loopback口做遠(yuǎn)程接入的目標(biāo)接口，這個(gè)一方面提高網(wǎng)絡(luò)的健壯性，另一方面，如果在DNS服務(wù)器做了Router的DNS映射條目，則可以在世界上任何路由可達(dá)的地方Telnet到這臺(tái)Router，ISP會(huì)不斷擴(kuò)展，增加新的設(shè)備

由于telnet 命令使用TCP 報(bào)文，會(huì)存在如下情況：路由器的某一個(gè)接口由于故障down 掉了，但是其他的接口卻仍舊可以telnet ，也就是說(shuō)，到達(dá)這臺(tái)路由器的TCP 連接依舊存在。所以選擇的telnet 地址必須是永遠(yuǎn)也不會(huì)down 掉的，而虛接口恰好滿足此類要求。由于此類接口沒(méi)有與對(duì)端互聯(lián)互通的需求，所以為了節(jié)約地址資源，loopback 接口的地址通常指定為32 位掩碼。

DNS前向和反向轉(zhuǎn)發(fā)區(qū)域文件的例子：
; net.galaxy zone file
net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
IN MX 10 mail0.net.galaxy.
IN MX 20 mail1.net.galaxy.

localhost IN A 127.0.0.1
gateway1 IN A 215.17.1.1
gateway2 IN A 215.17.1.2
gateway3 IN A 215.17.1.3

;etc etc
; 1.17.215.in-addr.arpa zone file

1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
1 IN PTR gateway1.net.galaxy.
2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001
3 IN PTR gateway3.net.galaxy.

;etc etc
On the router, set the telnet source to the loopback interface:
ip telnet source-interface Loopback0

RCMD to the router

RCMD 要求網(wǎng)絡(luò)管理員擁有UNIX的rlogin/rsh客戶端來(lái)訪問(wèn)路由器。某些ISP采用RCMD來(lái)捕獲接口統(tǒng)計(jì)信息，上載或下載路由器配置文件，或者獲取Router路由選擇表的簡(jiǎn)易信息，Router可以被配置采用Loopback地址作為源地址，使得路由器發(fā)送的所有數(shù)據(jù)包的源地址都采用Loopback地址來(lái)建立RCMD連接：
ip rcmd source-interface Loopback0

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論