路由器环回接口（loopback）详解

路由器环回接口(loopback)详解

/ac69896366/article/details/26555

019

Loopback接口

一、Loopback接口简介（环回接口）

Loopback接口是虚拟接口，是一种纯软件性质的虚拟接口。任

何送到该接口的网络数据报文都会被认为是送往设备自身的。大多数

平台都支持使用这种接口来模拟真正的接口。这样做的好处是虚拟接

口不会像物理接口那样因为各种因素的影响而导致接口被关闭。事实

上，将Loopback接口和其他物理接口相比较，可以发现Loopback

接口有以下几条优点：

l.Loopback接口状态永远是up的，即使没有配置地址。这是它

的一个非常重要的特性。

2.Loopback接口可以配置地址,而且可以配置全1的掩码，可以

节省宝贵的地址空间。

3.Loopback接口不能封装任何链路层协议。

对于目的地址不是loopback口，下一跳接口是loopback口的报

文,路由器会将其丢弃。对于CISCO路由器来说,可以配置［no］ip

unreachable命令，来设置是［否］发送icmp不可达报文，对于VRP来

说,没有这条命令，缺省不发送icmp不可达报文。

二、Loopback接口的应用

基于以上所述，决定了Loopback接口可以广泛应用在各个方面。

其中最主要的应用就是：路由器使用loopback接口地址作为该路由器

产生的所有IP包的源地址，这样使过滤通信量变得非常简单。

1.在RouterID中的应用

如果loopback接口存在、有IP地址，在路由协议中就会将其用

作RouterID,这样比较稳定--loopback接口一直都是up的。

如果loopback接口不存在、或者没有IP地址，RouterID就是

最高的IP地址,这样就比较危险--只要是物理地址就有可能down掉。

对于CISCO来说，RouterID是不能配置的，对于VRP来说，

RouterID可以配置,那麽我们也可以将Loopback接口地址配成

RouterIDe

配置BGP

在IBGP配置中使用loopback接口，可以使会话一直进行，即使

通往外部的接口关闭了也不会停止。配置举例：

interfaceloopback0

ipaddress455

routerbgp200

neighbor5remote-as200

neighborupdate-sourceloopback0

2.在远程访问中的应用

使用telnet实现远程访问。

配置telnet,使从该路由器始发的报文使用的源地址是loopback

地址。配置命令如下：

iptelnetsource-interfaceLoopbackO

使用RCMD实现远程访问。

配置RCMD,使从该路由器始发的报文使用的源地址是loopback

地址。配置命令如下：

iprcmdsource-interfaceLoopbackO

3.在安全方面的应用

在TACACS+中的应用。

配置TACACS+,使从该路由器始发的报文使用的源地址是

loopback地址。配置命令如下：

iptacacssource-interfaceLoopbackO

tacacs-serverhost

可以通过过滤来保护TACACS+服务器--只允许从LOOPBACK地

址访问TACACS+端口，从而使读/写日志变得简单，TACACS+日志纪

录中只有loopback口的地址，而没有出接口的地址。

4.在RADIUS用户验证中的应用。

配置RADIUS,使从该路由器始发的报文使用的源地址是

loopback地址。配置命令如下：

ipradiussource-interfaceLoopbackO

radius-serverhost

auth-port1645acct-port1646

这样配置是从服务器的安全角度考虑的，可以通过过滤来保护

RADIUS服务器和代理--只允许从LOOPBACK地址访问RADIUS端

口，从而使读/写日志变得简单，RADIUS日志纪录中只有loopback

口的地址，而没有出接口的地址。

5.在纪录信息方面的应用，输出网络流量纪录。

配置网络流量输出，使从该路由器始发的报文使用的源地址是

loopback地址。配置命令如下：

ipflow-exportsourceLoopbackO

ExportingNetFlowrecordsExportingNetFlow

这样配置是从服务器的安全角度考虑的，可以通过过滤来保护网

络流量收集■•只允许从LOOPBACK地址访问指定的流量端口。

6.在日志信息方面的应用。

发送日志信息到Unix或者WindowsSYSLOG服务器。路由器发

出的日志报文源地址是loopback接口,配置命令如下：

loggingsource-interfaceloopbackO

这样配置是从服务器的安全角度考虑的，可以通过过滤来保护

SYSLOG服务器和代理--只允许从LOOPBACK地址访问syslog端口，

从而使读/写日志变得简单，SYSLOG日志纪录中只有loopback口的

地址作为源地址，而不是出接口的地址。

7在NTP中的应用

用NTP（网络时间协议）使所有设备的时间取得同步，所有源于

该路由器的NTP包都把Loopback地址作为源地址。配置如下：

ntpsourceloopbackO

ntpserversourceloopback1

这样做是从NTP的安全角度着想,可以通过过滤来保护NTP系统

一只允许从loopback地址来访问NTP端口。NTP将Loopback接口

地址作为源地址，而不是出口地址。

8.在SNMP中的应用

如果使用SNMP（简单网络管理协议），发送traps时将

loopback地址作为源地址。配置命令：

snmp-servertrap-sourceLoopbackO

snmp-serverhostcommunity

这样做是为了保障服务器的安全，可以通过过滤来保护SNMP的

管理系统―只允许从Loopback接口来访问SNMP端口。从而使得读

/写trap信息变得简单。SNMPtraps将loopback接口地址作为源地

址，而不是出口地址。

9.在CoreDumps中的应用

如果系统崩溃，有Coredump特性的路由器能够将内存的映像上

传到指定的FTP服务器。配置Coredumps使用loopback地址作为

源地址。配置命令如下：

ipftpsource-interfaceloopback0

exceptionprotocolftp

exceptiondump

这样的做的好处是保证了CoreDumpFTP服务器的安全,通过

过滤能够保护用于coredumps的FTP服务器--只允许从loopback地

址访问FTP端口。

这个FTP服务器必须是不可见的。

10.在TFTP中的应用

通过TFTP从TFTP服务器配置路由器，可以将路由器的配置保存

在TFTP服务器,配置TFTP,将loopback地址作为源于该路由器的

包的源地址。配置命令如下：

iptftpsource-interfaceLoopbackO

这样做对TFTP服务器的安全是很有好处的：通过过滤来保护存储

配置和IOS映像的TFTP服务器一只允许从loopback地址来访问TFT