路由器环回接口(loopback)详解.docx

Loopback接口一、Loopback接口简介（环回接口） Loopback接口是虚拟接口，是一种纯软件性质的虚拟接口。任何送到该接口的网络数据报文都会被认为是送往设备自身的。大多数平台都支持使用这种接口来模拟真正的接口。这样做的好处是虚拟接口不会像物理接口那样因为各种因素的影响而导致接口被关闭。事实上，将Loopback接口和其他物理接口相比较，可以发现Loopback接口有以下几条优点： 1.Loopback接口状态永远是up的，即使没有配置地址。这是它的一个非常重要的特性。 2.Loopback接口可以配置地址，而且可以配置全1的掩码,可以节省宝贵的地址空间。 3.Loopback接口不能封装任何链路层协议。对于目的地址不是loopback口，下一跳接口是loopback口的报文，路由器会将其丢弃。对于CISCO路由器来说，可以配置no ip unreachable命令，来设置是否发送icmp不可达报文，对于VRP来说，没有这条命令，缺省不发送icmp不可达报文 。二、Loopback接口的应用基于以上所述，决定了Loopback接口可以广泛应用在各个方面。其中最主要的应用就是：路由器使用loopback接口地址作为该路由器产生的所有IP包的源地址，这样使过滤通信量变得非常简单。1.在Router ID中的应用如果loopback接口存在、有IP地址，在路由协议中就会将其用作Router ID，这样比较稳定-loopback接口一直都是up的。如果loopback接口不存在、或者没有IP地址，Router ID就是最高的IP地址，这样就比较危险-只要是物理地址就有可能down掉。对于CISCO来说，Router ID是不能配置的，对于VRP来说，Router ID可以配置，那麽我们也可以将Loopback接口地址配成Router ID。配置BGP在IBGP配置中使用loopback接口，可以使会话一直进行，即使通往外部的接口关闭了也不会停止。配置举例：interface loopback 0ip address 4 55router bgp 200neighbor 5 remote-as 200neighbor update-source loopback 0 2.在远程访问中的应用使用telnet实现远程访问。配置telnet，使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下： ip telnet source-interface Loopback0使用RCMD实现远程访问。配置RCMD，使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下： ip rcmd source-interface Loopback0 3.在安全方面的应用在TACACS+中的应用。 配置TACACS+，使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下： ip tacacs source-interface Loopback0 tacacs-server host 可以通过过滤来保护TACACS+服务器-只允许从LOOPBACK地址访问TACACS+端口，从而使读/写日志变得简单，TACACS+日志纪录中只有loopback口的地址，而没有出接口的地址。 4.在RADIUS用户验证中的应用。配置RADIUS， 使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下：ip radius source-interface Loopback0radius-server host auth-port 1645 acct-port 1646这样配置是从服务器的安全角度考虑的，可以通过过滤来保护 RADIUS服务器和代理-只允许从LOOPBACK地址访问RADIUS端口，从而使读/写日志变得简单，RADIUS日志纪录中只有loopback口的地址，而没有出接口的地址。 5.在纪录信息方面的应用，输出网络流量纪录。配置网络流量输出，使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下：ip flow-export source Loopback0Exporting NetFlow records Exporting NetFlow这样配置是从服务器的安全角度考虑的，可以通过过滤来保护 网络流量收集-只允许从LOOPBACK地址访问指定的流量端口。 6.在日志信息方面的应用。发送日志信息到Unix或者Windows SYSLOG 服务器。路由器发出的日志报文源地址是loopback接口，配置命令如下：logging source-interface loopback0这样配置是从服务器的安全角度考虑的，可以通过过滤来保护 SYSLOG服务器和代理-只允许从LOOPBACK地址访问syslog端口，从而使读/写日志变得简单，SYSLOG日志纪录中只有loopback口的地址作为源地址，而不是出接口的地址。 7.在NTP中的应用用NTP（网络时间协议）使所有设备的时间取得同步，所有源于该路由器的NTP包都把Loopback地址作为源地址。配置如下：ntp source loopback0ntp server source loopback 1这样做是从NTP的安全角度着想，可以通过过滤来保护NTP系统-只允许从loopback地址来访问NTP端口。NTP将Loopback接口地址作为源地址，而不是出口地址。 8.在SNMP中的应用如果使用SNMP（简单网络管理协议），发送traps时将loopback地址作为源地址。配置命令：snmp-server trap-source Loopback0snmp-server host community这样做是为了保障服务器的安全，可以通过过滤来保护SNMP的管理系统-只允许从Loopback接口来访问SNMP端口。从而使得读/写trap信息变得简单。SNMP traps将loopback接口地址作为源地址，而不是出口地址。 9.在Core Dumps中的应用如果系统崩溃，有Core dump特性的路由器能够将内存的映像上传到指定的FTP服务器。配置Core dumps使用loopback地址作为源地址。配置命令如下：ip ftp source-interface loopback 0exception protocol ftpexception dump 这样的做的好处是保证了Core Dump FTP 服务器的安全，通过过滤能够保护用于core dumps的FTP服务器-只允许从loopback地址访问FTP端口。这个FTP服务器必须是不可见的。 10.在TFTP中的应用通过TFTP从TFTP服务器配置路由器，可以将路由器的配置保存在TFTP服务器，配置TFTP，将loopback地址作为源于该路由器的包的源地址。配置命令如下：ip tftp source-interface Loopback0这样做对TFTP服务器的安全是很有好处的：通过过滤来保护存储配置和IOS映像的TFTP服务器-只允许从loopback地址来访问TFTP端口，TFTP服务器必须是不可见的。 11.在IP unnumbered中的应用应用IP Unnumbered在点到点链