Loopback口的作用匯總

Loop口在實際中有非常廣泛的應用，這個文章是是關於Loopback口使用的大全。 



BGP Update-Source

因為Loopback口只要Router還健在，則它就會一直保持Active，這樣，只要BGP的Peer的Loopback口之間滿足路由可達，就可以建立BGP 回話，總之BGP中使用loopback口可以提高網路的健壯性。 

neighbor 215.17.1.35 update-source loopback 0

Router ID

使用該介面地址作為OSPF 、BGP 的Router-ID，作為此路由器的唯一標識，並要求在整個自治系統內唯一，在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器優先順序是在介面下手動設定的，接著才是比較OSPF的Router-ID（Router-ID的選舉在這裡就不多說了，PS：一臺路由器啟動OSPF路由協議後，將選取物理介面的最大IP地址作為其RouterID，但是如果配置Loopback介面，則從Loopback中選取IP地址最大者為RouterID。另外一旦選取RouterID，OSPF為了保證穩定性，不會輕易更改，除非作為RouterID的IP地址被刪除或者OSPF被重新啟動），在OSPF和BGP中的Router-ID都是可以手動在路由配置模式下設定的。 

OSPF: Router-ID *.*.*.* 

BGP:BGP Router-ID *.*.*.* 

IP Unnumbered Interfaces

無編號地址可以借用強壯的loopback口地址，來節約網路IP地址的分配。 例子： 

interface loopback 0 

ip address 215.17.3.1 255.255.255.255 

! 

interface Serial 5/0 

bandwidth 128 

ip unnumbered loopback 0

Exception Dumps by FTP

當Router 當機，系統記憶體中的檔案還保留著一份軟體核心的備份，CISCO路由器可以被配置為向一臺FTP伺服器進行核心匯出，作為路由器診斷和除錯處理過程的一部分，可是，這種核心匯出功能必須導向一臺沒有執行公共FTP伺服器軟體的系統，而是一臺通過ACLS過濾（TCP地址欺騙）被重點保護的只允許路由器訪問的FTP伺服器。如果Loopback口地址作為Router的源地址，並且是相應地址塊的一部分，ACLS的過濾功能很容易配置。 


Sample IOS configuration: 

ip ftp source-interface Loopback0 

ip ftp username cisco 

ip ftp password 7 045802150C2E 

exception protocol ftp 

exception dump 169.223.32.1

TFTP-SERVER Access

對於TFTP的安全意味著應該經常對IP源地址進行安全方面的配置，CISCO IOS軟體允許TFTP伺服器被配置為使用特殊的IP介面地址，基於Router的固定IP地址，將執行TFTP伺服器配置固定的ACLS. 

ip tftp source-interface Loopback0

SNMP-SERVER Access

路由器的Loopback口一樣可以被用來對訪問安全進行控制，如果從一個路由器送出的SNMP網管資料起源於Loopback口，則很容易在網路管理中心對SNMP伺服器進行保護 

Sample IOS configuration: 

access-list 98 permit 215.17.34.1 

access-list 98 permit 215.17.1.1 

access-list 98 deny any 

! 

snmp-server community 5nmc02m RO 98 

snmp-server trap-source Loopback0 

snmp-server trap-authentication 

snmp-server host 215.17.34.1 5nmc02m 

snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001

TACACS/RADIUS-Server Source Interface

當採用TACACS/RADIUS協議，無論是使用者管理性的接入Router還是對撥號使用者進行認證，Router都是被配置為將Loopback口作為Router傳送TACACS/RADIUS資料包的源地址，提高安全性。 

TACACS 

aaa new-model 

aaa authentication login default tacacs+ enable 

aaa authentication enable default tacacs+ enable 

aaa accounting exec start-stop tacacs+ 

! 

ip tacacs source-interface Loopback0 

tacacs-server host 215.17.1.2 

tacacs-server host 215.17.34.10 

tacacs-server key CKr3t# 

! 

RADIUS 

radius-server host 215.17.1.2 auth-port 1645 acct-port 1646 

radius-server host 215.17.34.10 auth-port 1645 acct-port 1646 

ip radius source-interface Loopback0 

!

NetFlow Flow-Export

從一個路由器向NetFlow採集器傳送流量資料，以實現流量分析和計費目的，將路由器的Router的Loopback地址作為路由器所有輸出流量統計資料包的源地址，可以在伺服器或者是伺服器外圍提供更精確，成本更低的過濾配置。 

ip flow-export destination 215.17.13.1 9996 

ip flow-export source Loopback0 

ip flow-export version 5 origin-as 

! 

interface Fddi0/0/0 

description FDDI link to IXP 

ip address 215.18.1.10 255.255.255.0 

ip route-cache flow 

ip route-cache distributed 

no keepalive 

! 

FDDDI 0/0/0 介面被配置成為進行流量採集。路由器被配置為輸出第五版本型別的流量資訊到IP地址為215.17.13.1的主機上，採用UDP協議，埠號9996，統計資料包的源地址採用Router的Loopback地址。

NTP Source Interface

NTP用來保證一個網路內所有Rdouter的時鐘同步，確保誤差在幾毫秒之內，如果在NTP的Speaker之間採用Loopback地址作為路由器的源地址，會使得地址過濾和認證在某種程度上容易維護和實現，許多ISP希望他們的客戶只與他們的客戶只與ISP自己的而不是世界上其他地方的時間伺服器同步。 

clock timezone SST 8 

! 

access-list 5 permit 192.36.143.150 

access-list 5 permit 169.223.50.14 

!.Cisco ISP Essentials 

39 

ntp authentication-key 1234 md5 104D000A0618 7 

ntp authenticate 

ntp trusted-key 1234 

ntp source Loopback0 

ntp access-group peer 5 

ntp update-calendar 

ntp peer 192.36.143.150 

ntp peer 169.223.50.14 

!

SYSLOG Source Interface

系統日誌伺服器同樣也需要在ISP骨幹網路中被妥善保護。許多ISP只希望採集他們自己的而不是外面網路傳送來的昔日日誌資訊。對系統日誌伺服器的DDOS攻擊並不是不知道，如果系統資訊資料包的源地址來自於被很好規劃了的地址空間，例如，採用路由器的Loopback口地址，對系統日誌伺服器的安全配置同樣會更容易。 

A configuration example: 

logging buffered 16384 

logging trap debugging 

logging source-interface Loopback0 

logging facility local7 

logging 169.223.32.1 

!

Telnet to the Router

遠端路由器才用Loopback口做遠端接入的目標介面，這個一方面提高網路的健壯性，另一方面，如果在DNS伺服器做了Router的DNS對映條目，則可以在世界上任何路由可達的地方Telnet到這臺Router，ISP會不斷擴充套件，增加新的裝置 
由於telnet 命令使用TCP 報文，會存在如下情況：路由器的某一個介面由於故障down 掉了，但是其他的介面卻仍舊可以telnet ，也就是說，到達這臺路由器的TCP 連線依舊存在。所以選擇的telnet 地址必須是永遠也不會down 掉的，而虛介面恰好滿足此類要求。由於此類介面沒有與對端互聯互通的需求，所以為了節約地址資源，loopback 介面的地址通常指定為32 位掩碼。

DNS前向和反向轉發區域檔案的例子： 

; net.galaxy zone file 

net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. ( 

1998072901 ; version == date(YYYYMMDD)+serial 

10800 ; Refresh (3 hours) 

900 ; Retry (15 minutes) 

172800 ; Expire (48 hours) 

43200 ) ; Mimimum (12 hours) 

IN NS ns0.net.galaxy. 

IN NS ns1.net.galaxy. 

IN MX 10 mail0.net.galaxy. 

IN MX 20 mail1.net.galaxy. 

; 

localhost IN A 127.0.0.1 

gateway1 IN A 215.17.1.1 

gateway2 IN A 215.17.1.2 

gateway3 IN A 215.17.1.3 

; 

;etc etc 

; 1.17.215.in-addr.arpa zone file 

; 

1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. ( 

1998072901 ; version == date(YYYYMMDD)+serial 

10800 ; Refresh (3 hours) 

900 ; Retry (15 minutes) 

172800 ; Expire (48 hours) 

43200 ) ; Mimimum (12 hours) 

IN NS ns0.net.galaxy. 

IN NS ns1.net.galaxy. 

1 IN PTR gateway1.net.galaxy. 

2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001 

3 IN PTR gateway3.net.galaxy. 

; 

;etc etc 

On the router, set the telnet source to the loopback interface: 

ip telnet source-interface Loopback0

RCMD to the router

RCMD 要求網路管理員擁有UNIX的rlogin/rsh客戶端來訪問路由器。某些ISP採用RCMD來捕獲介面統計資訊，上載或下載路由器配置檔案，或者獲取Router路由選擇表的簡易資訊，Router可以被配置採用Loopback地址作為源地址，使得路由器傳送的所有資料包的源地址都採用Loopback地址來建立RCMD連線： 

ip rcmd source-interface Loopback0

本文轉自游來游去島部落格51CTO部落格，原文連結http://blog.51cto.com/ylyqd/3518如需轉載請自行聯絡原作者

wingking84