loop口在实际中有非常广泛的应用,这个文章是是关于loopback口使用的大全。
bgp update-source
因为loopback口只要router还健在,则它就会一直保持active,这样,只要bgp的peer的loopback口之间满足路由可达,就可以建立bgp 回话,总之bgp中使用loopback口可以提高网络的健壮性。
neighbor 215.17.1.35 update-source loopback 0
router id
使用该接口地址作为ospf 、bgp 的router-id,作为此路由器的唯一标识,并要求在整个自治系统内唯一,在ipv6中的bgp/ospf的router-id仍然是32位的ip地址。在ospf中的路由器优先级是在接口下手动设置的,接着才是比较ospf的router-id(router-id的选举在这里就不多说了,ps:一台路由器启动ospf路由协议后,将选取物理接口的最大ip地址作为其routerid,但是如果配置loopback接口,则从loopback中选取ip地址最大者为routerid。另外一旦选取routerid,ospf为了保证稳定性,不会轻易更改,除非作为routerid的ip地址被删除或者ospf被重新启动),在ospf和bgp中的router-id都是可以手动在路由配置模式下设置的。
ospf: router-id *.*.*.*
bgp:bgp router-id *.*.*.*
ip unnumbered interfaces
无编号地址可以借用强壮的loopback口地址,来节约网络ip地址的分配。
例子:
interface loopback 0
ip address 215.17.3.1 255.255.255.255
!
interface serial 5/0
bandwidth 128
ip unnumbered loopback 0
exception dumps by ftp
当router 宕机,系统内存中的文件还保留着一份软件内核的备份,cisco路由器可以被配置为向一台ftp服务器进行内核导出,作为路由器诊断和调试处理过程的一部分,可是,这种内核导出功能必须导向一台没有运行公共ftp服务器软件的系统,而是一台通过acls过滤(tcp地址欺骗)被重点保护的只允许路由器访问的ftp服务器。如果loopback口地址作为router的源地址,并且是相应地址块的一部分,acls的过滤功能很容易配置。
sample ios c
ip ftp source-interface loopback0
ip ftp username cisco
ip ftp password 7 045802150c2e
exception protocol ftp
exception dump 169.223.32.1
tftp-server access
对于tftp的安全意味着应该经常对ip源地址进行安全方面的配置,cisco ios软件允许tftp服务器被配置为使用特殊的ip接口地址,基于router的固定ip地址,将运行tftp服务器配置固定的acls.
ip tftp source-interface loopback0
snmp-server access
路由器的loopback口一样可以被用来对访问安全进行控制,如果从一个路由器送出的snmp网管数据起源于loopback口,则很容易在网络管理中心对snmp服务器进行保护
sample ios c
access-list 98 permit 215.17.34.1
access-list 98 permit 215.17.1.1
access-list 98 deny any
!
snmp-server community 5nmc02m ro 98
snmp-server trap-source loopback0
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m.wednesday, june 06, 2001
tacacs/radius-server source interface
当采用tacacs/radius协议,无论是用户管理性的接入router还是对拨号用户进行认证,router都是被配置为将loopback口作为router发送tacacs/radius数据包的源地址,提高安全性。
tacacs
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa accounting exec start-stop tacacs+
!
ip tacacs source-interface loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key ckr3t#
!
radius
radius-server host 215.17.1.2 auth-port 1645 acct-port 1646
radius-server host 215.17.34.10 auth-port 1645 acct-port 1646
ip radius source-interface loopback0
!
netflow flow-export
从一个路由器向netflow采集器传送流量数据,以实现流量分析和计费目的,将路由器的router的loopback地址作为路由器所有输出流量统计数据包的源地址,可以在服务器或者是服务器外围提供更精确,成本更低的过滤配置。
ip flow-export destination 215.17.13.1 9996
ip flow-export source loopback0
ip flow-export version 5 origin-as
!
interface fddi0/0/0
description fddi link to ixp
ip address 215.18.1.10 255.255.255.0
ip route-cache flow
ip route-cache distributed
no keepalive
!
fdddi 0/0/0 接口被配置成为进行流量采集。路由器被配置为输出第五版本类型的流量信息到ip地址为215.17.13.1的主机上,采用udp协议,端口号9996,统计数据包的源地址采用router的loopback地址。
ntp source interface
ntp用来保证一个网络内所有rdouter的时钟同步,确保误差在几毫秒之内,如果在ntp的speaker之间采用loopback地址作为路由器的源地址,会使得地址过滤和认证在某种程度上容易维护和实现,许多isp希望他们的客户只与他们的客户只与isp自己的而不是世界上其他地方的时间服务器同步。
clock timez sst 8
!
access-list 5 permit 192.36.143.150
access-list 5 permit 169.223.50.14
!.cisco isp essentials
39
ntp authenticati 1234 md5 104d000a0618 7
ntp authenticate
ntp trusted-key 1234
ntp source loopback0
ntp access-group peer 5
ntp update-calendar
ntp peer 192.36.143.150
ntp peer 169.223.50.14
!
syslog source interface
系统日志服务器同样也需要在isp骨干网络中被妥善保护。许多isp只希望采集他们自己的而不是外面网络发送来的昔日日志信息。对系统日志服务器的ddos攻击并不是不知道,如果系统信息数据包的源地址来自于被很好规划了的地址空间,例如,采用路由器的loopback口地址,对系统日志服务器的安全配置同样会更容易。
a c example:
logging buffered 16384
logging trap debugging
logging source-interface loopback0
logging facility local7
logging 169.223.32.1
!
telnet to the router
远程路由器才用loopback口做远程接入的目标接口,这个一方面提高网络的健壮性,另一方面,如果在dns服务器做了router的dns映射条目,则可以在世界上任何路由可达的地方telnet到这台router,isp会不断扩展,增加新的设备
由于telnet 命令使用tcp 报文,会存在如下情况:路由器的某一个接口由于故障down 掉了,但是其他的接口却仍旧可以telnet ,也就是说,到达这台路由器的tcp 连接依旧存在。所以选择的telnet 地址必须是永远也不会down 掉的,而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求,所以为了节约地址资源,loopback 接口的地址通常指定为32 位掩码。
dns前向和反向转发区域文件的例子:
; net.galaxy z file
net.galaxy. in soa ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(yyyymmdd)+serial
10800 ; refresh (3 hours)
900 ; retry (15 minutes)
172800 ; expire (48 hours)
43200 ) ; mimimum (12 hours)
in ns ns0.net.galaxy.
in ns ns1.net.galaxy.
in mx 10 mail0.net.galaxy.
in mx 20 mail1.net.galaxy.
;
localhost in a 127.0.0.1
gateway1 in a 215.17.1.1
gateway2 in a 215.17.1.2
gateway3 in a 215.17.1.3
;
;etc etc
; 1.17.215.in-addr.arpa z file
;
1.17.215.in-addr.arpa. in soa ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(yyyymmdd)+serial
10800 ; refresh (3 hours)
900 ; retry (15 minutes)
172800 ; expire (48 hours)
43200 ) ; mimimum (12 hours)
in ns ns0.net.galaxy.
in ns ns1.net.galaxy.
1 in ptr gateway1.net.galaxy.
2 in ptr gateway2.net.galaxy..wednesday, june 06, 2001
3 in ptr gateway3.net.galaxy.
;
;etc etc
on the router, set the telnet source to the loopback interface:
ip telnet source-interface loopback0
rcmd to the router
rcmd 要求网络管理员拥有unix的rlogin/rsh客户端来访问路由器。某些isp采用rcmd来捕获接口统计信息,上载或下载路由器配置文件,或者获取router路由选择表的简易信息,router可以被配置采用loopback地址作为源地址,使得路由器发送的所有数据包的源地址都采用loopback地址来建立rcmd连接:
ip rcmd source-interface loopback0