Loopback口的作用匯總
Loop口在實際中有非常廣泛的應用,這個文章是是關於Loopback口使用的大全。
BGP Update-Source
因為Loopback口只要Router還健在,則它就會一直保持Active,這樣,只要BGP的Peer的Loopback口之間滿足路由可達,就可以建立BGP 回話,總之BGP中使用loopback口可以提高網路的健壯性。
neighbor 215.17.1.35 update-source loopback 0
Router ID
使用該介面地址作為OSPF 、BGP 的Router-ID,作為此路由器的唯一標識,並要求在整個自治系統內唯一,在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器優先順序是在介面下手動設定的,接著才是比較OSPF的Router-ID(Router-ID的選舉在這裡就不多說了,PS:一臺路由器啟動OSPF路由協議後,將選取物理介面的最大IP地址作為其RouterID,但是如果配置Loopback介面,則從Loopback中選取IP地址最大者為RouterID。另外一旦選取RouterID,OSPF為了保證穩定性,不會輕易更改,除非作為RouterID的IP地址被刪除或者OSPF被重新啟動),在OSPF和BGP中的Router-ID都是可以手動在路由配置模式下設定的。
OSPF: Router-ID *.*.*.*
BGP:BGP Router-ID *.*.*.*
IP Unnumbered Interfaces
無編號地址可以借用強壯的loopback口地址,來節約網路IP地址的分配。 例子:
interface loopback 0
ip address 215.17.3.1 255.255.255.255
!
interface Serial 5/0
bandwidth 128
ip unnumbered loopback 0
Exception Dumps by FTP
當Router 當機,系統記憶體中的檔案還保留著一份軟體核心的備份,CISCO路由器可以被配置為向一臺FTP伺服器進行核心匯出,作為路由器診斷和除錯處理過程的一部分,可是,這種核心匯出功能必須導向一臺沒有執行公共FTP伺服器軟體的系統,而是一臺通過ACLS過濾(TCP地址欺騙)被重點保護的只允許路由器訪問的FTP伺服器。如果Loopback口地址作為Router的源地址,並且是相應地址塊的一部分,ACLS的過濾功能很容易配置。
Sample IOS configuration:
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 045802150C2E
exception protocol ftp
exception dump 169.223.32.1
TFTP-SERVER Access
對於TFTP的安全意味著應該經常對IP源地址進行安全方面的配置,CISCO IOS軟體允許TFTP伺服器被配置為使用特殊的IP介面地址,基於Router的固定IP地址,將執行TFTP伺服器配置固定的ACLS.
ip tftp source-interface Loopback0
SNMP-SERVER Access
路由器的Loopback口一樣可以被用來對訪問安全進行控制,如果從一個路由器送出的SNMP網管資料起源於Loopback口,則很容易在網路管理中心對SNMP伺服器進行保護
Sample IOS configuration:
access-list 98 permit 215.17.34.1
access-list 98 permit 215.17.1.1
access-list 98 deny any
!
snmp-server community 5nmc02m RO 98
snmp-server trap-source Loopback0
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001
TACACS/RADIUS-Server Source Interface
當採用TACACS/RADIUS協議,無論是使用者管理性的接入Router還是對撥號使用者進行認證,Router都是被配置為將Loopback口作為Router傳送TACACS/RADIUS資料包的源地址,提高安全性。
TACACS
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa accounting exec start-stop tacacs+
!
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t#
!
RADIUS
radius-server host 215.17.1.2 auth-port 1645 acct-port 1646
radius-server host 215.17.34.10 auth-port 1645 acct-port 1646
ip radius source-interface Loopback0
!
NetFlow Flow-Export
從一個路由器向NetFlow採集器傳送流量資料,以實現流量分析和計費目的,將路由器的Router的Loopback地址作為路由器所有輸出流量統計資料包的源地址,可以在伺服器或者是伺服器外圍提供更精確,成本更低的過濾配置。
ip flow-export destination 215.17.13.1 9996
ip flow-export source Loopback0
ip flow-export version 5 origin-as
!
interface Fddi0/0/0
description FDDI link to IXP
ip address 215.18.1.10 255.255.255.0
ip route-cache flow
ip route-cache distributed
no keepalive
!
FDDDI 0/0/0 介面被配置成為進行流量採集。路由器被配置為輸出第五版本型別的流量資訊到IP地址為215.17.13.1的主機上,採用UDP協議,埠號9996,統計資料包的源地址採用Router的Loopback地址。
NTP Source Interface
NTP用來保證一個網路內所有Rdouter的時鐘同步,確保誤差在幾毫秒之內,如果在NTP的Speaker之間採用Loopback地址作為路由器的源地址,會使得地址過濾和認證在某種程度上容易維護和實現,許多ISP希望他們的客戶只與他們的客戶只與ISP自己的而不是世界上其他地方的時間伺服器同步。
clock timezone SST 8
!
access-list 5 permit 192.36.143.150
access-list 5 permit 169.223.50.14
!.Cisco ISP Essentials
39
ntp authentication-key 1234 md5 104D000A0618 7
ntp authenticate
ntp trusted-key 1234
ntp source Loopback0
ntp access-group peer 5
ntp update-calendar
ntp peer 192.36.143.150
ntp peer 169.223.50.14
!
SYSLOG Source Interface
系統日誌伺服器同樣也需要在ISP骨幹網路中被妥善保護。許多ISP只希望採集他們自己的而不是外面網路傳送來的昔日日誌資訊。對系統日誌伺服器的DDOS攻擊並不是不知道,如果系統資訊資料包的源地址來自於被很好規劃了的地址空間,例如,採用路由器的Loopback口地址,對系統日誌伺服器的安全配置同樣會更容易。
A configuration example:
logging buffered 16384
logging trap debugging
logging source-interface Loopback0
logging facility local7
logging 169.223.32.1
!
Telnet to the Router
遠端路由器才用Loopback口做遠端接入的目標介面,這個一方面提高網路的健壯性,另一方面,如果在DNS伺服器做了Router的DNS對映條目,則可以在世界上任何路由可達的地方Telnet到這臺Router,ISP會不斷擴充套件,增加新的裝置
由於telnet 命令使用TCP 報文,會存在如下情況:路由器的某一個介面由於故障down 掉了,但是其他的介面卻仍舊可以telnet ,也就是說,到達這臺路由器的TCP 連線依舊存在。所以選擇的telnet 地址必須是永遠也不會down 掉的,而虛介面恰好滿足此類要求。由於此類介面沒有與對端互聯互通的需求,所以為了節約地址資源,loopback 介面的地址通常指定為32 位掩碼。
DNS前向和反向轉發區域檔案的例子:
; net.galaxy zone file
net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
IN MX 10 mail0.net.galaxy.
IN MX 20 mail1.net.galaxy.
;
localhost IN A 127.0.0.1
gateway1 IN A 215.17.1.1
gateway2 IN A 215.17.1.2
gateway3 IN A 215.17.1.3
;
;etc etc
; 1.17.215.in-addr.arpa zone file
;
1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
1 IN PTR gateway1.net.galaxy.
2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001
3 IN PTR gateway3.net.galaxy.
;
;etc etc
On the router, set the telnet source to the loopback interface:
ip telnet source-interface Loopback0
RCMD to the router
RCMD 要求網路管理員擁有UNIX的rlogin/rsh客戶端來訪問路由器。某些ISP採用RCMD來捕獲介面統計資訊,上載或下載路由器配置檔案,或者獲取Router路由選擇表的簡易資訊,Router可以被配置採用Loopback地址作為源地址,使得路由器傳送的所有資料包的源地址都採用Loopback地址來建立RCMD連線:
ip rcmd source-interface Loopback0
本文轉自游來游去島部落格51CTO部落格,原文連結http://blog.51cto.com/ylyqd/3518如需轉載請自行聯絡原作者
wingking84
相關文章
- 【oracle 匯入、匯出】escape 的作用。Oracle
- 網路裝置重的loopback介面OOP
- Loopback 4配置連線MySQLOOPMySql
- 環回介面(loopback interface)的新認識OOP
- 實用口語總結(1)
- goland 匿名匯入包不起作用GoLand
- JavaScript作用域相關的總結JavaScript
- JAVA註解的總結及其作用Java
- javascript作用域總結JavaScript
- Oracle 工具匯總Oracle
- 強大的虛擬音訊器 Loopback 2.2.0 Mac音訊OOPMac
- Loopback for Mac(虛擬音訊應用)OOPMac音訊
- 虛擬音訊應用:Loopback Mac音訊OOPMac
- 關於Gson解析的使用匯總
- js匯入匯出總結與實踐JS
- Redis全方位作用總結 -VedcraftRedisRaft
- static關鍵字作用總結
- SPOOL、SQLLOADER資料匯出匯入的一點小總結SQL
- linq to js使用匯總JS
- Linux 效能分析匯總Linux
- Android 抖音爆紅的口紅挑戰爬坑總結Android
- 博森FA外匯機器人:鎖倉的作用是什麼?機器人
- 交換機通過Loopback Detection檢測(介面自環)OOP
- expdpnf 匯出問題總結
- Linux Command常用匯總Linux
- Linux 效能分析匯總(轉)Linux
- ABAP數學函式匯總函式
- java Swagger 使用匯總JavaSwagger
- iOS 脈絡圖總結匯總 連續更新iOS
- .NET開發常用知識點總結匯總
- AUL6資料匯出_sqlloader匯入總結SQL
- ES6 變數作用域總結變數
- JS 總結之函式、作用域鏈JS函式
- javascript字串常用api使用匯總(二)JavaScript字串API
- cisco交換機命令總結匯集
- excel表格匯入word方法彙總Excel
- 【process】一些常見file和process的作用總結
- MATLAB匯入txt和excel檔案技巧彙總:批量匯入、單個匯入MatlabExcel