Loopback接口是虛擬接口,是一種純軟件性質的虛擬接口。任何送到該接口的網絡數據報文都會被認為是送往設備自身的。大多數平台都支持使用這種接口來模擬真正的接口。這樣做的好處是虛擬接口不會像物理接口那樣因為各種因素的影響而導致接口被關閉。事實上,將Loopback接口和其他物理接口相比較,可以發現Loopback接口有以下幾條優點:
1.Loopback接口狀態永遠是up的,即使沒有配置地址。這是它的一個非常重要的特性。
2.Loopback接口可以配置地址,而且可以配置全1的掩碼,可以節省寶貴的地址空間。
3.Loopback接口不能封裝任何鏈路層協議。
對於目的地址不是loopback口,下一跳接口是loopback口的報文,路由器會將其丟棄。對於CISCO路由器來說,可以配置[no] ip unreachable命令,來設置是[否]發送icmp不可達報文,對於VRP來說,沒有這條命令,缺省不發送icmp不可達報文 。
二、Loopback接口的應用
基於以上所述,決定了Loopback接口可以廣泛應用在各個方面。其中最主要的應用就是:路由器使用loopback接口地址作為該路由器產生的所有IP包的源地址,這樣使過濾通信量變得非常簡單。
1.在Router ID中的應用
如果loopback接口存在、有IP地址,在路由協議中就會將其用作Router ID,這樣比較穩定--loopback接口一直都是up的。
如果loopback接口不存在、或者沒有IP地址,Router ID就是最高的IP地址,這樣就比較危險--只要是物理地址就有可能down掉。
對於CISCO來說,Router ID是不能配置的,對於VRP來說,Router ID可以配置,那麽我們也可以將Loopback接口地址配成Router ID。
配置BGP
在IBGP配置中使用loopback接口,可以使會話一直進行,即使通往外部的接口關閉了也不會停止。配置舉例:
interface loopback 0
ip address 215.17.1.34 255.255.255.255
router bgp 200
neighbor 215.17.1.35 remote-as 200
neighbor update-source loopback 0
2.在遠程訪問中的應用
使用telnet實現遠程訪問。
配置telnet,使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下:
ip telnet source-interface Loopback0
使用RCMD實現遠程訪問。
配置RCMD,使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下:
ip rcmd source-interface Loopback0
3.在安全方面的應用
在TACACS+中的應用。
配置TACACS+,使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下:
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.1
可以通過過濾來保護TACACS+服務器--只允許從LOOPBACK地址訪問TACACS+端口,從而使讀/寫日志變得簡單,TACACS+日志紀錄中只有loopback口的地址,而沒有出接口的地址。
4.在RADIUS用戶驗證中的應用。
配置RADIUS, 使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下:
ip radius source-interface Loopback0
radius-server host 215.17.1.1
auth-port 1645 acct-port 1646
這樣配置是從服務器的安全角度考慮的,可以通過過濾來保護 RADIUS服務器和代理--只允許從LOOPBACK地址訪問RADIUS端口,從而使讀/寫日志變得簡單,RADIUS日志紀錄中只有loopback口的地址,而沒有出接口的地址。
5.在紀錄信息方面的應用,輸出網絡流量紀錄。
配置網絡流量輸出,使從該路由器始發的報文使用的源地址是loopback地址。配置命令如下:
ip flow-export source Loopback0
Exporting NetFlow records Exporting NetFlow
這樣配置是從服務器的安全角度考慮的,可以通過過濾來保護 網絡流量收集--只允許從LOOPBACK地址訪問指定的流量端口。
6.在日志信息方面的應用。
發送日志信息到Unix或者Windows SYSLOG 服務器。路由器發出的日志報文源地址是loopback接口,配置命令如下:
logging source-interface loopback0
這樣配置是從服務器的安全角度考慮的,可以通過過濾來保護 SYSLOG服務器和代理--只允許從LOOPBACK地址訪問syslog端口,從而使讀/寫日志變得簡單,SYSLOG日志紀錄中只有loopback口的地址作為源地址,而不是出接口的地址。
7.在NTP中的應用
用NTP(網絡時間協議)使所有設備的時間取得同步,所有源於該路由器的NTP包都把Loopback地址作為源地址。配置如下:
ntp source loopback0
ntp server 169.223.1.1 source loopback 1
這樣做是從NTP的安全角度着想,可以通過過濾來保護NTP系統--只允許從loopback地址來訪問NTP端口。NTP將Loopback接口地址作為源地址,而不是出口地址。
8.在SNMP中的應用
如果使用SNMP(簡單網絡管理協議),發送traps時將loopback地址作為源地址。配置命令:
snmp-server trap-source Loopback0
snmp-server host 169.223.1.1 community
這樣做是為了保障服務器的安全,可以通過過濾來保護SNMP的管理系統--只允許從Loopback接口來訪問SNMP端口。從而使得讀/寫trap信息變得簡單。SNMPtraps將loopback接口地址作為源地址,而不是出口地址。
9.在Core Dumps中的應用
如果系統崩潰,有Core dump特性的路由器能夠將內存的映像上傳到指定的FTP服務器。配置Core dumps使用loopback地址作為源地址。配置命令如下:
ip ftp source-interface loopback 0
exception protocol ftp
exception dump 169.223.32.1
這樣的做的好處是保證了Core Dump FTP 服務器的安全,通過過濾能夠保護用於core dumps的FTP服務器--只允許從loopback地址訪問FTP端口。
這個FTP服務器必須是不可見的。
10.在TFTP中的應用
通過TFTP從TFTP服務器配置路由器,可以將路由器的配置保存在TFTP服務器,配置TFTP,將loopback地址作為源於該路由器的包的源地址。配置命令如下:
ip tftp source-interface Loopback0
這樣做對TFTP服務器的安全是很有好處的:通過過濾來保護存儲配置和IOS映像的TFTP服務器--只允許從loopback地址來訪問TFTP端口,TFTP服務器必須是不可見的。
11.在IP unnumbered中的應用
應用IP Unnumbered在點到點鏈路上就不需要再配置地址了。配置舉例:
interface loopback 0
ip address 215.17.3.1 255.255.255.255
interface Serial 5/0
ip unnumbered loopback 0
ip route 215.34.10.0 255.255.252.0 Serial 5/0
(1)Loopback接口的主要作用
Loopback是路由器里面的一個邏輯接口。邏輯接口是指能夠實現數據交換功能,但是物理上不存在、需要通過配置建立的接口。Loopback接口一旦被創建,其物理狀態和鏈路協議狀態永遠是Up,即使該接口上沒有配置IP地址。正是因為這個特性,Loopback接口具有特殊的用途。下面介紹Loopback接口的常見應用場景。
一、提高可靠性
1、在IP地址借用中的應用
當某接口不是長期使用IP地址時,為了節省IP地址,可以配置該接口借用其他接口的IP地址。通常配置為借用Loopback接口的地址,以保持接口的穩定性。
2、在Router ID中的應用
一些動態路由協議要求路由器必須有Router ID,它是一台路由器在自治系統中的唯一標識。
例如,OSPF和BGP在沒有手工配置Router ID時,系統需要從本地接口的IP地址中選一個最大的IP地址作為Router ID。如果選擇的是物理接口的IP地址,當這個物理接口狀態變為Down時,系統也不會重新選擇Router ID,除非這個被選擇的IP地址被刪除。
因此建議使用Loopback接口的IP地址作為路由器的Router ID。因為Loopback接口穩定,它一直都處於Up狀態。
3、在BGP中的應用
為了使BGP會話不受物理接口故障的影響,可將發送BGP報文的源接口配置成Loopback接口。
在使用Loopback接口作為BGP報文的源接口時,必須注意以下事項:
確認BGP對等體的Loopback接口的地址是可達的。
如果是EBGP連接,還要允許EBGP通過非直連建立鄰居關系。
4、在MPLS LDP中的應用
在MPLS LDP中,為了保持網絡的穩定性,通常使用Loopback接口的IP地址作為傳輸地址。這個Loopback接口的IP地址可能是公網地址。
5、在VPN中的應用
在L2TP中,建議用戶指定LAC端發起隧道請求時使用的隧道源接口類型是Loopback接口。這樣是為了當LAC訪問LNS時,提高LAC與LNS通信的可靠性。
在配置GRE和IPv6 over IPv4隧道時,需要創建Tunnel接口。同時可配置該隧道接口的源IP地址或源接口。即,指定該隧道的承載協議的源IP地址或源接口。此時一般選用的也是Loopback接口的IP地址或Loopback接口。
二、對信息分類
1、在SNMP中的應用
如果使用簡單網絡管理協議SNMP(Simple Network Management Protocol),可以設置發送trap報文時的源IP地址是Loopback接口的IP地址。
為了保障服務器的安全,SNMP trap將Loopback接口的IP地址作為源IP地址,而不是出接口的IP地址。這樣可以使用過濾來保護SNMP的管理系統。系統只允許來自Loopback接口IP地址的報文訪問SNMP端口,從而使得讀寫trap信息變得簡單。
2、在NTP中的應用
網絡時間協議NTP(Network Time Protocol)可以使所有設備的時間取得同步。NTP可以把Loopback接口的IP地址作為所有從本路由器發出的NTP報文的源地址。
出於對NTP的安全考慮,NTP將Loopback接口的IP地址(而不是出接口的IP地址)作為源地址。系統只允許Loopback接口地址的報文訪問NTP端口。這樣可以使用過濾來保護NTP系統。
3、在記錄信息方面的應用
輸出網絡流量記錄時,可以配置網絡流量輸出時的源IP地址是Loopback接口的IP地址。
這是從服務器的安全角度考慮的。這樣可以使用過濾來保護網絡流量收集,因為只允許Loopback接口地址的報文訪問指定的端口。
4、在安全方面的應用
在用戶日志服務器端,通過識別日志的源IP地址,可以迅速定位日志信息的來源。建議配置Loopback地址作為日志報文的源IP地址。
5、在HWTACACS中的應用
配置HWTACACS,使從該路由器始發的報文使用的源地址是Loopback地址。這樣可以使用過濾來保護HWTACACS服務器。
因為這樣只允許從Loopback接口的地址發送的報文訪問HWTACACS服務器,從而使讀寫日志變得簡單。HWTACACS日志記錄中只有Loopback接口的地址,而沒有出接口的地址。
6、在RADIUS用戶驗證中的應用
配置RADIUS服務器時,使從該路由器始發的報文使用的源IP地址是Loopback接口的IP地址。
和在HWTACACS中的應用類似,這樣配置是從服務器的安全角度考慮的。它可以使用過濾來保護RADIUS服務器和代理。這樣只允許Loopback接口地址的報文訪問RADIUS服務器的端口,從而使讀寫日志變得簡單。RADIUS日志記錄中只有Loopback接口的地址,而沒有出接口的地址。
(2)loopback接口的用法
1 作為一台路由器的管理地址
系統管理員完成網絡規划之后,為了方便管理,會為每一台路由器創建一個loopback 接口,並在該接口上單獨指定一個IP 地址作為管理地址,管理員會使用該地址對路由器遠程登錄(telnet ),該地址實際上起到了類似設備名稱一類的功能。
但是通常每台路由器上存在眾多接口和地址,為何不從當中隨便挑選一個呢?
原因如下:由於telnet 命令使用TCP 報文,會存在如下情況:路由器的某一個接口由於故障down 掉了,但是其他的接口卻仍舊可以telnet ,也就是說,到達這台路由器的TCP 連接依舊存在。所以選擇的telnet 地址必須是永遠也不會
down 掉的,而虛接口恰好滿足此類要求。由於此類接口沒有與對端互聯互通的需求,所以為了節約地址資源,loopback 接口的地址通常指定為32 位掩碼。
2 使用該接口地址作為動態路由協議OSPF 、BGP 的router id動態路由協議OSPF 、BGP 在運行過程中需要為該協議指定一個Router id ,作為此路由器的唯一標識,並要求在整個自治系統內唯一。由於router id 是一個32 位的無符號整數,這一點與IP 地址十分相像。而且IP 地址是不會出現重復現象的,所以通常將路由器的router id 指定為與該設備上的某個接口的地址相同。由於loopback 接口的IP 地址通常被視為路由器的標識,所以也就成了router id 的最佳選擇。
3、使用該接口地址作為BGP 建立TCP 連接的源地址在BGP 協議中,兩個運行BGP 的路由器之間建立鄰居關系是通過TCP 建立連接完成的。
在配置鄰居時通常指定loopback 接口為建立TCP 連接的源地址(通常只用於IBGP ,原因同2.1 ,都是為了增強TCP 連接的健壯性)
配置命令如下:
router id 61.235.66.1
interface loopback 0
ip address 61.235.66.1 255.255.255.255
router bgp 100
neighbor 61.235.66.7 remote-as 200
neighbor 61.235.66.7 update-source LoopBack0
配置邏輯端口
邏輯端口是相對物理端口而言的,它是指能夠實現數據交換功能但在物理上不存在、需要通過配置來建立的端口。路由器通常提供5類邏輯端口:Loopback(回環)端口,NULL(空)端口,Tunnel(隧道)端口,Dialer(撥號)端口以及子端口。
12.3.1 Loopback端口配置
Loopback(回環)端口是完全軟件模擬的路由器本地端口,它永遠都處於UP狀態。發往Loopback端口的數據包將會在路由器本地處理,包括路由信息。Loopback端口的IP地址可以用來作為OSPF路由協議的路由器標識、實施發向 Telnet或者作為遠程Telnet訪問的網絡端口等。配置一個Loopback端口類似於配置一個以太網端口,可以把它看作一個虛擬的以太網端口。
設置Loopback端口。創建指定端口號的Loopback后,就可以像配置以太網口一樣配置Loopback端口的通信參數(譬如IP地址等)了。
Router(config)#interface loopback loopback-interface-number
刪除Loopback端口。由於Loopback是虛擬的端口,它只在邏輯意義上存在,可以在需要的時候使用no命令刪除指定的Loopback端口。
Router(config)#no interface loopback loopback-interface-number
顯示Loopback端口狀態。
Router#show interfaces loopback loopback-interface-number
NULL端口配置
路由器還提供NULL(空)的虛擬端口。該虛擬端口僅僅相當於一個可用的系統設備。NULL(空)永遠都處於UP狀態並且永遠不會主動發送或者接受網絡數據,任何發往NULL端口的數據包都會被丟棄,在NULL端口上任何鏈路層協議封裝的企圖都不會成功。
進入NULL端口配置。
Router(config)#interface null 0
允許NULL端口發送ICMP的unreachable消息。
Router(config-if)#ip unreachables
禁止NULL端口發送ICMP的unreachable消息。
Router(config-if)#no ip unreachables
NULL端口更多地用於網絡數據流的過濾。如果使用空端口,可以通過將不希望處理的網絡數據流路由給NULL端口,而不必使用訪問列表,例如:
Router(config)#ip route 127.0.0.0 255.0.0.0 null 0
由於NULL端口在功能上是一個“空”的系統設備,它不會像以太網或者其他端口一樣可顯示(例如,使用命令show running-config是無法看見它的)。同時,作為系統設備是無法使用no interface null命令來刪除NULL端口的。