loopback的作用

BGP Update-Source

因为Loopback口只要Router还健在， 则它就会一直保持Active， 这样， 只要BGP的Peer的Loopback口之间满足路由可达， 就可以建立BGP 回话， 总之BGP中使用loopback口可以提高网络的健壮性。

neighbor 215.17.1.35 update-source loopback 0

Router ID

使用该接口地址作为OSPF 、BGP 的Router-ID， 作为此路由器的唯一标识， 并要求在整个自治系统内唯一， 在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。 在OSPF中的路由器优先级是在接口下手动设置的， 接着才是比较OSPF的Router-ID（Router-ID的选举在这里就不多说了， PS：一台路由器启动OSPF路由协议后， 将选取物理接口的最大IP地址作为其RouterID， 但是如果配置Loopback接口， 则从Loopback中选取IP地址最大者为RouterID。 另外一旦选取RouterID， OSPF为了保证稳定性， 不会轻易更改， 除非作为RouterID的IP地址被删除或者OSPF被重新启动）， 在OSPF和BGP中的Router-ID都是可以手动在路由配置模式下设置的。

OSPF: Router-ID *.*.*.*

BGP:BGP Router-ID *.*.*.*

  

IP Unnumbered Interfaces

无编号地址可以借用强壮的loopback口地址， 来节约网络IP地址的分配。

例子：

interface loopback 0

ip address 215.17.3.1 255.255.255.255

!

interface Serial 5/0

bandwidth 128

ip unnumbered loopback 0

Exception Dumps by FTP

当Router 宕机， 系统内存中的文件还保留着一份软件内核的备份， CISCO路由器可以被配置为向一台FTP服务器进行内核导出， 作为路由器诊断和调试处理过程的一部分， 可是， 这种内核导出功能必须导向一台没有运行公共FTP服务器软件的系统， 而是一台通过ACLS过滤（TCP地址欺骗）被重点保护的只允许路由器访问的FTP服务器。 如果Loopback口地址作为Router的源地址， 并且是相应地址块的一部分， ACLS的过滤功能很容易配置。

  

Sample IOS configuration:

ip ftp source-interface Loopback0

ip ftp username cisco

ip ftp password 7 045802150C2E

exception protocol ftp

exception dump 169.223.32.1

TFTP-SERVER Access

对于TFTP的安全意味着应该经常对IP源地址进行安全方面的配置， CISCO IOS软件允许TFTP服务器被配置为使用特殊的IP接口地址， 基于Router的固定IP地址， 将运行TFTP服务器配置固定的ACLS.

ip tftp source-interface Loopback0

SNMP-SERVER Access

路由器的Loopback口一样可以被用来对访问安全进行控制， 如果从一个路由器送出的SNMP网管数据起源于Loopback口， 则很容易在网络管理中心对SNMP服务器进行保护

Sample IOS configuration:

access-list 98 permit 215.17.34.1

access-list 98 permit 215.17.1.1

access-list 98 deny any

!

snmp-server community 5nmc02m RO 98

snmp-server trap-source Loopback0

snmp-server trap-authentication

snmp-server host 215.17.34.1 5nmc02m

snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001

TACACS/RADIUS-Server Source Interface

当采用TACACS/RADIUS协议， 无论是用户管理性的接入Router还是对拨号用户进行认证， Router都是被配置为将Loopback口作为Router发送TACACS/RADIUS数据包的源地址， 提高安全性。

TACACS

aaa new-model

aaa authentication login default tacacs+ enable

aaa authentication enable default tacacs+ enable

aaa accounting exec start-stop tacacs+

!

ip tacacs source-interface Loopback0

tacacs-server host 215.17.1.2

tacacs-server host 215.17.34.10

tacacs-server key CKr3t#

!

RADIUS

radius-server host 215.17.1.2 auth-port 1645 acct-port 1646

radius-server host 215.17.34.10 auth-port 1645 acct-port 1646

ip radius source-interface Loopback0

!

NetFlow Flow-Export

从一个路由器向NetFlow采集器传送流量数据， 以实现流量分析和计费目的， 将路由器的Router的Loopback地址作为路由器所有输出流量统计数据包的源地址， 可以在服务器或者是服务器外围提供更精确， 成本更低的过滤配置。

ip flow-export destination 215.17.13.1 9996

ip flow-export source Loopback0

ip flow-export version 5 origin-as

!

interface Fddi0/0/0

description FDDI link to IXP

ip address 215.18.1.10 255.255.255.0

ip route-cache flow

ip route-cache distributed

no keepalive

!

FDDDI 0/0/0 接口被配置成为进行流量采集。 路由器被配置为输出第五版本类型的流量信息到IP地址为215.17.13.1的主机上， 采用UDP协议， 端口号9996， 统计数据包的源地址采用Router的Loopback地址。

NTP Source Interface

NTP用来保证一个网络内所有Rdouter的时钟同步， 确保误差在几毫秒之内， 如果在NTP的Speaker之间采用Loopback地址作为路由器的源地址， 会使得地址过滤和认证在某种程度上容易维护和实现， 许多ISP希望他们的客户只与他们的客户只与ISP自己的而不是世界上其他地方的时间服务器同步。

clock timezone SST 8

!

access-list 5 permit 192.36.143.150

access-list 5 permit 169.223.50.14

!.Cisco ISP Essentials

39

ntp authentication-key 1234 md5 104D000A0618 7

ntp authenticate

ntp trusted-key 1234

ntp source Loopback0

ntp access-group peer 5

ntp update-calendar

ntp peer 192.36.143.150

ntp peer 169.223.50.14

!

SYSLOG Source Interface

系统日志服务器同样也需要在ISP骨干网络中被妥善保护。 许多ISP只希望采集他们自己的而不是外面网络发送来的昔日日志信息。 对系统日志服务器的DDOS攻击并不是不知道， 如果系统信息数据包的源地址来自于被很好规划了的地址空间， 例如， 采用路由器的Loopback口地址， 对系统日志服务器的安全配置同样会更容易。

A configuration example:

logging buffered 16384

logging trap debugging

logging source-interface Loopback0

logging facility local7

logging 169.223.32.1

!

Telnet to the Router

远程路由器才用Loopback口做远程接入的目标接口， 这个一方面提高网络的健壮性， 另一方面， 如果在DNS服务器做了Router的DNS映射条目， 则可以在世界上任何路由可达的地方Telnet到这台Router， ISP会不断扩展， 增加新的设备

  

由于telnet 命令使用TCP 报文， 会存在如下情况：路由器的某一个接口由于故障down 掉了， 但是其他的接口却仍旧可以telnet ， 也就是说， 到达这台路由器的TCP 连接依旧存在。 所以选择的telnet 地址必须是永远也不会down 掉的， 而虚接口恰好满足此类要求。 由于此类接口没有与对端互联互通的需求， 所以为了节约地址资源， loopback 接口的地址通常指定为32 位掩码。

DNS前向和反向转发区域文件的例子：

; net.galaxy zone file

net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (

1998072901 ; version == date(YYYYMMDD)+serial

10800 ; Refresh (3 hours)

900 ; Retry (15 minutes)

172800 ; Expire (48 hours)

43200 ) ; Mimimum (12 hours)

IN NS ns0.net.galaxy.

IN NS ns1.net.galaxy.

IN MX 10 mail0.net.galaxy.

IN MX 20 mail1.net.galaxy.

;

localhost IN A 127.0.0.1

gateway1 IN A 215.17.1.1

gateway2 IN A 215.17.1.2

gateway3 IN A 215.17.1.3

;

;etc etc

; 1.17.215.in-addr.arpa zone file

;

1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (

1998072901 ; version == date(YYYYMMDD)+serial

10800 ; Refresh (3 hours)

900 ; Retry (15 minutes)

172800 ; Expire (48 hours)

43200 ) ; Mimimum (12 hours)

IN NS ns0.net.galaxy.

IN NS ns1.net.galaxy.

1 IN PTR gateway1.net.galaxy.

2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001

3 IN PTR gateway3.net.galaxy.

;

;etc etc

On the router, set the telnet source to the loopback interface:

ip telnet source-interface Loopback0

RCMD to the router

RCMD 要求网络管理员拥有UNIX的rlogin/rsh客户端来访问路由器。 某些ISP采用RCMD来捕获接口统计信息， 上载或下载路由器配置文件， 或者获取Router路由选择表的简易信息， Router可以被配置采用Loopback地址作为源地址， 使得路由器发送的所有数据包的源地址都采用Loopback地址来建立RCMD连接：

ip rcmd source-interface Loopback0