当前位置:文档之家 › 路由器环回接口(loopback)详解

路由器环回接口(loopback)详解

  • 格式:docx
  • 大小:15.52 KB
  • 文档页数:3

下载文档原格式

  / 8
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Loopback接口

一、Loopback接口简介(环回接口)

Loopback接口是虚拟接口,是一种纯软件性质的虚拟接口。任何送到该接口的网络数据报文都会被认为是送往设备自身的。大多数平台都支持使用这种接口来模拟真正的接口。这样做的好处是虚拟接口不会像物理接口那样因为各种因素的影响而导致接口被关闭。事实上,将Loopback接口和其他物理接口相比较,可以发现Loopback接口有以下几条优点:

1.Loopback接口状态永远是up的,即使没有配置地址。这是它的一个非常重要的特性。

2.Loopback接口可以配置地址,而且可以配置全1的掩码,可以节省宝贵的地址空间。

3.Loopback接口不能封装任何链路层协议。

对于目的地址不是loopback口,下一跳接口是loopback口的报文,路由器会将其丢弃。对于CISCO路由器来说,可以配置[no] ip unreachable命令,来设置是[否]发送icmp不可达报文,对于VRP来说,没有这条命令,缺省不发送icmp不可达报文。

二、Loopback接口的应用

基于以上所述,决定了Loopback接口可以广泛应用在各个方面。其中最主要的应用就是:路由器使用loopback接口地址作为该路由器产生的所有IP包的源地址,这样使过滤通信量变得非常简单。

1.在Router ID中的应用

如果loopback接口存在、有IP地址,在路由协议中就会将其用作Router ID,这样比较稳定--loopback接口一直都是up的。

如果loopback接口不存在、或者没有IP地址,Router ID就是最高的IP地址,这样就比较危险--只要是物理地址就有可能down掉。

对于CISCO来说,Router ID是不能配置的,对于VRP来说,Router ID可以配置,那麽我们也可以将Loopback接口地址配成Router ID。

配置BGP

在IBGP配置中使用loopback接口,可以使会话一直进行,即使通往外部的接口关闭了也不会停止。配置举例:

interface loopback 0

ip address 215.17.1.34 255.255.255.255

router bgp 200

neighbor 215.17.1.35 remote-as 200

neighbor update-source loopback 0

2.在远程访问中的应用

使用telnet实现远程访问。

配置telnet,使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下: ip telnet source-interface Loopback0

使用RCMD实现远程访问。

配置RCMD,使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下: ip rcmd source-interface Loopback0

3.在安全方面的应用

在TACACS+中的应用。

配置TACACS+,使从该路由器始发的报文使用的源地址是loopback地址。配置命令如

下:

ip tacacs source-interface Loopback0

tacacs-server host 215.17.1.1

可以通过过滤来保护TACACS+服务器--只允许从LOOPBACK地址访问TACACS+端口,从而使读/写日志变得简单,TACACS+日志纪录中只有loopback口的地址,而没有出接口的地址。

4.在RADIUS用户验证中的应用。

配置RADIUS,使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下:ip radius source-interface Loopback0

radius-server host 215.17.1.1

auth-port 1645 acct-port 1646

这样配置是从服务器的安全角度考虑的,可以通过过滤来保护 RADIUS服务器和代理--只允许从LOOPBACK地址访问RADIUS端口,从而使读/写日志变得简单,RADIUS日志纪录中只有loopback口的地址,而没有出接口的地址。

5.在纪录信息方面的应用,输出网络流量纪录。

配置网络流量输出,使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下:

ip flow-export source Loopback0

Exporting NetFlow records Exporting NetFlow

这样配置是从服务器的安全角度考虑的,可以通过过滤来保护网络流量收集--只允许从LOOPBACK地址访问指定的流量端口。

6.在日志信息方面的应用。

发送日志信息到Unix或者Windows SYSLOG 服务器。路由器发出的日志报文源地址是loopback接口,配置命令如下:

logging source-interface loopback0

这样配置是从服务器的安全角度考虑的,可以通过过滤来保护 SYSLOG服务器和代理--只允许从LOOPBACK地址访问syslog端口,从而使读/写日志变得简单,SYSLOG日志纪录中只有loopback口的地址作为源地址,而不是出接口的地址。

7.在NTP中的应用

用NTP(网络时间协议)使所有设备的时间取得同步,所有源于该路由器的NTP包都把Loopback地址作为源地址。配置如下:

ntp source loopback0

ntp server 169.223.1.1 source loopback 1

这样做是从NTP的安全角度着想,可以通过过滤来保护NTP系统--只允许从loopback地址来访问NTP端口。NTP将Loopback接口地址作为源地址,而不是出口地址。

8.在SNMP中的应用

如果使用SNMP(简单网络管理协议),发送traps时将loopback地址作为源地址。配置命令:

snmp-server trap-source Loopback0

snmp-server host 169.223.1.1 community

相关主题