路由器環(huán)回接口(loopback)詳解.docx

Loopback接口一、Loopback接口簡介（環(huán)回接口） Loopback接口是虛擬接口，是一種純軟件性質(zhì)的虛擬接口。任何送到該接口的網(wǎng)絡(luò)數(shù)據(jù)報文都會被認為是送往設(shè)備自身的。大多數(shù)平臺都支持使用這種接口來模擬真正的接口。這樣做的好處是虛擬接口不會像物理接口那樣因為各種因素的影響而導(dǎo)致接口被關(guān)閉。事實上，將Loopback接口和其他物理接口相比較，可以發(fā)現(xiàn)Loopback接口有以下幾條優(yōu)點： 1.Loopback接口狀態(tài)永遠是up的，即使沒有配置地址。這是它的一個非常重要的特性。 2.Loopback接口可以配置地址，而且可以配置全1的掩碼,可以節(jié)省寶貴的地址空間。 3.Loopback接口不能封裝任何鏈路層協(xié)議。對于目的地址不是loopback口，下一跳接口是loopback口的報文，路由器會將其丟棄。對于CISCO路由器來說，可以配置no ip unreachable命令，來設(shè)置是否發(fā)送icmp不可達報文，對于VRP來說，沒有這條命令，缺省不發(fā)送icmp不可達報文 。二、Loopback接口的應(yīng)用基于以上所述，決定了Loopback接口可以廣泛應(yīng)用在各個方面。其中最主要的應(yīng)用就是：路由器使用loopback接口地址作為該路由器產(chǎn)生的所有IP包的源地址，這樣使過濾通信量變得非常簡單。1.在Router ID中的應(yīng)用如果loopback接口存在、有IP地址，在路由協(xié)議中就會將其用作Router ID，這樣比較穩(wěn)定-loopback接口一直都是up的。如果loopback接口不存在、或者沒有IP地址，Router ID就是最高的IP地址，這樣就比較危險-只要是物理地址就有可能down掉。對于CISCO來說，Router ID是不能配置的，對于VRP來說，Router ID可以配置，那麼我們也可以將Loopback接口地址配成Router ID。配置BGP在IBGP配置中使用loopback接口，可以使會話一直進行，即使通往外部的接口關(guān)閉了也不會停止。配置舉例：interface loopback 0ip address 4 55router bgp 200neighbor 5 remote-as 200neighbor update-source loopback 0 2.在遠程訪問中的應(yīng)用使用telnet實現(xiàn)遠程訪問。配置telnet，使從該路由器始發(fā)的報文使用的源地址是loopback地址。配置命令如下： ip telnet source-interface Loopback0使用RCMD實現(xiàn)遠程訪問。配置RCMD，使從該路由器始發(fā)的報文使用的源地址是loopback地址。配置命令如下： ip rcmd source-interface Loopback0 3.在安全方面的應(yīng)用在TACACS+中的應(yīng)用。 配置TACACS+，使從該路由器始發(fā)的報文使用的源地址是loopback地址。配置命令如下： ip tacacs source-interface Loopback0 tacacs-server host 可以通過過濾來保護TACACS+服務(wù)器-只允許從LOOPBACK地址訪問TACACS+端口，從而使讀/寫日志變得簡單，TACACS+日志紀錄中只有l(wèi)oopback口的地址，而沒有出接口的地址。 4.在RADIUS用戶驗證中的應(yīng)用。配置RADIUS， 使從該路由器始發(fā)的報文使用的源地址是loopback地址。配置命令如下：ip radius source-interface Loopback0radius-server host auth-port 1645 acct-port 1646這樣配置是從服務(wù)器的安全角度考慮的，可以通過過濾來保護 RADIUS服務(wù)器和代理-只允許從LOOPBACK地址訪問RADIUS端口，從而使讀/寫日志變得簡單，RADIUS日志紀錄中只有l(wèi)oopback口的地址，而沒有出接口的地址。 5.在紀錄信息方面的應(yīng)用，輸出網(wǎng)絡(luò)流量紀錄。配置網(wǎng)絡(luò)流量輸出，使從該路由器始發(fā)的報文使用的源地址是loopback地址。配置命令如下：ip flow-export source Loopback0Exporting NetFlow records Exporting NetFlow這樣配置是從服務(wù)器的安全角度考慮的，可以通過過濾來保護 網(wǎng)絡(luò)流量收集-只允許從LOOPBACK地址訪問指定的流量端口。 6.在日志信息方面的應(yīng)用。發(fā)送日志信息到Unix或者Windows SYSLOG 服務(wù)器。路由器發(fā)出的日志報文源地址是loopback接口，配置命令如下：logging source-interface loopback0這樣配置是從服務(wù)器的安全角度考慮的，可以通過過濾來保護 SYSLOG服務(wù)器和代理-只允許從LOOPBACK地址訪問syslog端口，從而使讀/寫日志變得簡單，SYSLOG日志紀錄中只有l(wèi)oopback口的地址作為源地址，而不是出接口的地址。 7.在NTP中的應(yīng)用用NTP（網(wǎng)絡(luò)時間協(xié)議）使所有設(shè)備的時間取得同步，所有源于該路由器的NTP包都把Loopback地址作為源地址。配置如下：ntp source loopback0ntp server source loopback 1這樣做是從NTP的安全角度著想，可以通過過濾來保護NTP系統(tǒng)-只允許從loopback地址來訪問NTP端口。NTP將Loopback接口地址作為源地址，而不是出口地址。 8.在SNMP中的應(yīng)用如果使用SNMP（簡單網(wǎng)絡(luò)管理協(xié)議），發(fā)送traps時將loopback地址作為源地址。配置命令：snmp-server trap-source Loopback0snmp-server host community這樣做是為了保障服務(wù)器的安全，可以通過過濾來保護SNMP的管理系統(tǒng)-只允許從Loopback接口來訪問SNMP端口。從而使得讀/寫trap信息變得簡單。SNMP traps將loopback接口地址作為源地址，而不是出口地址。 9.在Core Dumps中的應(yīng)用如果系統(tǒng)崩潰，有Core dump特性的路由器能夠?qū)?nèi)存的映像上傳到指定的FTP服務(wù)器。配置Core dumps使用loopback地址作為源地址。配置命令如下：ip ftp source-interface loopback 0exception protocol ftpexception dump 這樣的做的好處是保證了Core Dump FTP 服務(wù)器的安全，通過過濾能夠保護用于core dumps的FTP服務(wù)器-只允許從loopback地址訪問FTP端口。這個FTP服務(wù)器必須是不可見的。 10.在TFTP中的應(yīng)用通過TFTP從TFTP服務(wù)器配置路由器，可以將路由器的配置保存在TFTP服務(wù)器，配置TFTP，將loopback地址作為源于該路由器的包的源地址。配置命令如下：ip tftp source-interface Loopback0這樣做對TFTP服務(wù)器的安全是很有好處的：通過過濾來保護存儲配置和IOS映像的TFTP服務(wù)器-只允許從loopback地址來訪問TFTP端口，TFTP服務(wù)器必須是不可見的。 11.在IP unnumbered中的應(yīng)用應(yīng)用IP Unnumbered在點到點鏈