路由器環(huán)回接口(loopback)詳解

/ac69896366/article/details/26555

019

Loopback接口

一、Loopback接口簡(jiǎn)介（環(huán)回接口）

Loopback接口是虛擬接口，是一種純軟件性質(zhì)的虛擬接口。任

何送到該接口的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文都會(huì)被認(rèn)為是送往設(shè)備自身的。大多數(shù)

平臺(tái)都支持使用這種接口來(lái)模擬真正的接口。這樣做的好處是虛擬接

口不會(huì)像物理接口那樣因?yàn)楦鞣N因素的影響而導(dǎo)致接口被關(guān)閉。事實(shí)

上，將Loopback接口和其他物理接口相比較，可以發(fā)現(xiàn)Loopback

接口有以下幾條優(yōu)點(diǎn)：

l.Loopback接口狀態(tài)永遠(yuǎn)是up的，即使沒(méi)有配置地址。這是它

的一個(gè)非常重要的特性。

2.Loopback接口可以配置地址,而且可以配置全1的掩碼，可以

節(jié)省寶貴的地址空間。

3.Loopback接口不能封裝任何鏈路層協(xié)議。

對(duì)于目的地址不是loopback口，下一跳接口是loopback口的報(bào)

文,路由器會(huì)將其丟棄。對(duì)于CISCO路由器來(lái)說(shuō),可以配置［no］ip

unreachable命令，來(lái)設(shè)置是［否］發(fā)送icmp不可達(dá)報(bào)文，對(duì)于VRP來(lái)

說(shuō),沒(méi)有這條命令，缺省不發(fā)送icmp不可達(dá)報(bào)文。

二、Loopback接口的應(yīng)用

基于以上所述，決定了Loopback接口可以廣泛應(yīng)用在各個(gè)方面。

其中最主要的應(yīng)用就是：路由器使用loopback接口地址作為該路由器

產(chǎn)生的所有IP包的源地址，這樣使過(guò)濾通信量變得非常簡(jiǎn)單。

1.在RouterID中的應(yīng)用

如果loopback接口存在、有IP地址，在路由協(xié)議中就會(huì)將其用

作RouterID,這樣比較穩(wěn)定--loopback接口一直都是up的。

如果loopback接口不存在、或者沒(méi)有IP地址，RouterID就是

最高的IP地址,這樣就比較危險(xiǎn)--只要是物理地址就有可能down掉。

對(duì)于CISCO來(lái)說(shuō)，RouterID是不能配置的，對(duì)于VRP來(lái)說(shuō)，

RouterID可以配置,那麼我們也可以將Loopback接口地址配成

RouterIDe

配置BGP

在IBGP配置中使用loopback接口，可以使會(huì)話一直進(jìn)行，即使

通往外部的接口關(guān)閉了也不會(huì)停止。配置舉例：

interfaceloopback0

ipaddress455

routerbgp200

neighbor5remote-as200

neighborupdate-sourceloopback0

2.在遠(yuǎn)程訪問(wèn)中的應(yīng)用

使用telnet實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。

配置telnet,使從該路由器始發(fā)的報(bào)文使用的源地址是loopback

地址。配置命令如下：

iptelnetsource-interfaceLoopbackO

使用RCMD實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。

配置RCMD,使從該路由器始發(fā)的報(bào)文使用的源地址是loopback

地址。配置命令如下：

iprcmdsource-interfaceLoopbackO

3.在安全方面的應(yīng)用

在TACACS+中的應(yīng)用。

配置TACACS+,使從該路由器始發(fā)的報(bào)文使用的源地址是

loopback地址。配置命令如下：

iptacacssource-interfaceLoopbackO

tacacs-serverhost

可以通過(guò)過(guò)濾來(lái)保護(hù)TACACS+服務(wù)器--只允許從LOOPBACK地

址訪問(wèn)TACACS+端口，從而使讀/寫(xiě)日志變得簡(jiǎn)單，TACACS+日志紀(jì)

錄中只有l(wèi)oopback口的地址，而沒(méi)有出接口的地址。

4.在RADIUS用戶(hù)驗(yàn)證中的應(yīng)用。

配置RADIUS,使從該路由器始發(fā)的報(bào)文使用的源地址是

loopback地址。配置命令如下：

ipradiussource-interfaceLoopbackO

radius-serverhost

auth-port1645acct-port1646

這樣配置是從服務(wù)器的安全角度考慮的，可以通過(guò)過(guò)濾來(lái)保護(hù)

RADIUS服務(wù)器和代理--只允許從LOOPBACK地址訪問(wèn)RADIUS端

口，從而使讀/寫(xiě)日志變得簡(jiǎn)單，RADIUS日志紀(jì)錄中只有l(wèi)oopback

口的地址，而沒(méi)有出接口的地址。

5.在紀(jì)錄信息方面的應(yīng)用，輸出網(wǎng)絡(luò)流量紀(jì)錄。

配置網(wǎng)絡(luò)流量輸出，使從該路由器始發(fā)的報(bào)文使用的源地址是

loopback地址。配置命令如下：

ipflow-exportsourceLoopbackO

ExportingNetFlowrecordsExportingNetFlow

這樣配置是從服務(wù)器的安全角度考慮的，可以通過(guò)過(guò)濾來(lái)保護(hù)網(wǎng)

絡(luò)流量收集■?只允許從LOOPBACK地址訪問(wèn)指定的流量端口。

6.在日志信息方面的應(yīng)用。

發(fā)送日志信息到Unix或者WindowsSYSLOG服務(wù)器。路由器發(fā)

出的日志報(bào)文源地址是loopback接口,配置命令如下：

loggingsource-interfaceloopbackO

這樣配置是從服務(wù)器的安全角度考慮的，可以通過(guò)過(guò)濾來(lái)保護(hù)

SYSLOG服務(wù)器和代理--只允許從LOOPBACK地址訪問(wèn)syslog端口，

從而使讀/寫(xiě)日志變得簡(jiǎn)單，SYSLOG日志紀(jì)錄中只有l(wèi)oopback口的

地址作為源地址，而不是出接口的地址。

7在NTP中的應(yīng)用

用NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）使所有設(shè)備的時(shí)間取得同步，所有源于

該路由器的NTP包都把Loopback地址作為源地址。配置如下：

ntpsourceloopbackO

ntpserversourceloopback1

這樣做是從NTP的安全角度著想,可以通過(guò)過(guò)濾來(lái)保護(hù)NTP系統(tǒng)

一只允許從loopback地址來(lái)訪問(wèn)NTP端口。NTP將Loopback接口

地址作為源地址，而不是出口地址。

8.在SNMP中的應(yīng)用

如果使用SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議），發(fā)送traps時(shí)將

loopback地址作為源地址。配置命令：

snmp-servertrap-sourceLoopbackO

snmp-serverhostcommunity

這樣做是為了保障服務(wù)器的安全，可以通過(guò)過(guò)濾來(lái)保護(hù)SNMP的

管理系統(tǒng)―只允許從Loopback接口來(lái)訪問(wèn)SNMP端口。從而使得讀

/寫(xiě)trap信息變得簡(jiǎn)單。SNMPtraps將loopback接口地址作為源地

址，而不是出口地址。

9.在CoreDumps中的應(yīng)用

如果系統(tǒng)崩潰，有Coredump特性的路由器能夠?qū)?nèi)存的映像上

傳到指定的FTP服務(wù)器。配置Coredumps使用loopback地址作為

源地址。配置命令如下：

ipftpsource-interfaceloopback0

exceptionprotocolftp

exceptiondump

這樣的做的好處是保證了CoreDumpFTP服務(wù)器的安全,通過(guò)

過(guò)濾能夠保護(hù)用于coredumps的FTP服務(wù)器--只允許從loopback地

址訪問(wèn)FTP端口。

這個(gè)FTP服務(wù)器必須是不可見(jiàn)的。

10.在TFTP中的應(yīng)用

通過(guò)TFTP從TFTP服務(wù)器配置路由器，可以將路由器的配置保存

在TFTP服務(wù)器,配置TFTP,將loopback地址作為源于該路由器的

包的源地址。配置命令如下：

iptftpsource-interfaceLoopbackO

這樣做對(duì)TFTP服務(wù)器的安全是很有好處的：通過(guò)過(guò)濾來(lái)保護(hù)存儲(chǔ)

配置和IOS映像的TFTP服務(wù)器一只允許從loopback地址來(lái)訪問(wèn)TFT