Loopback口的作用汇总

Loop 口在实际中有非常广泛的应用，这个文章是是关于 Loopback 口使用的大全。

BGP Update-Source
因为 Loopback 口只要 Router 还健在，则它就会一直保持 Active ，这样，只要 BGP 的 Peer 的 Loopback 口之间满足路由可达，就可以建立 BGP 回话，总之 BGP 中使用 loopback 口可以提高网络的健壮性。
neighbor 215.17.1.35 update-source loopback 0

Router ID
使用该接口地址作为 OSPF 、 BGP 的 Router-ID ，作为此路由器的唯一标识，并要求在整个自治系统内唯一，在 Ipv6 中的 BGP/OSPF 的 Router-ID 仍然是 32 位的 IP 地址。在 OSPF 中的路由器优先级是在接口下手动设置的，接着才是比较 OSPF 的 Router-ID （ Router-ID 的选举在这里就不多说了， PS ：一台路由器启动 OSPF 路由协议后，将选取物理接口的最大 IP 地址作为其 RouterID ，但是如果配置 Loopback 接口，则从 Loopback 中选取 IP 地址最大者为 RouterID 。另外一旦选取 RouterID ， OSPF 为了保证稳定性，不会轻易更改，除非作为 RouterID 的 IP 地址被删除或者 OSPF 被重新启动），在 OSPF 和 BGP 中的 Router-ID 都是可以手动在路由配置模式下设置的。
OSPF: Router-ID *.*.*.*
BGP:BGP Router-ID *.*.*.*
  
IP Unnumbered Interfaces
无编号地址可以借用强壮的 loopback 口地址，来节约网络 IP 地址的分配。
例子：
interface loopback 0
ip address 215.17.3.1 255.255.255.255
!
interface Serial 5/0
bandwidth 128
ip unnumbered loopback 0
Exception Dumps by FTP
当 Router 宕机，系统内存中的文件还保留着一份软件内核的备份， CISCO 路由器可以被配置为向一台 FTP 服务器进行内核导出，作为路由器诊断和调试处理过程的一部分，可是，这种内核导出功能必须导向一台没有运行公共 FTP 服务器软件的系统，而是一台通过 ACLS 过滤（ TCP 地址欺骗）被重点保护的只允许路由器访问的 FTP 服务器。如果 Loopback 口地址作为 Router 的源地址，并且是相应地址块的一部分， ACLS 的过滤功能很容易配置。
  
Sample IOS configuration:
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 045802150C2E
exception protocol ftp
exception dump 169.223.32.1

TFTP-SERVER Access
对于 TFTP 的安全意味着应该经常对 IP 源地址进行安全方面的配置， CISCO IOS 软件允许 TFTP 服务器被配置为使用特殊的 IP 接口地址，基于 Router 的固定 IP 地址，将运行 TFTP 服务器配置固定的 ACLS.
ip tftp source-interface Loopback0
SNMP-SERVER Access
路由器的 Loopback 口一样可以被用来对访问安全进行控制，如果从一个路由器送出的 SNMP 网管数据起源于 Loopback 口，则很容易在网络管理中心对 SNMP 服务器进行保护
Sample IOS configuration:
access-list 98 permit 215.17.34.1
access-list 98 permit 215.17.1.1
access-list 98 deny any
!
snmp-server community 5nmc02m RO 98
snmp-server trap-source Loopback0
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001

TACACS/RADIUS-Server Source Interface
当采用 TACACS/RADIUS 协议，无论是用户管理性的接入 Router 还是对拨号用户进行认证， Router 都是被配置为将 Loopback 口作为 Router 发送 TACACS/RADIUS 数据包的源地址，提高安全性。
TACACS
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa accounting exec start-stop tacacs+
!
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t#
!
RADIUS
radius-server host 215.17.1.2 auth-port 1645 acct-port 1646
radius-server host 215.17.34.10 auth-port 1645 acct-port 1646
ip radius source-interface Loopback0
!
NetFlow Flow-Export
从一个路由器向 NetFlow 采集器传送流量数据，以实现流量分析和计费目的，将路由器的 Router 的 Loopback 地址作为路由器所有输出流量统计数据包的源地址，可以在服务器或者是服务器外围提供更精确，成本更低的过滤配置。
ip flow-export destination 215.17.13.1 9996
ip flow-export source Loopback0
ip flow-export version 5 origin-as
!
interface Fddi0/0/0
description FDDI link to IXP
ip address 215.18.1.10 255.255.255.0
ip route-cache flow
ip route-cache distributed
no keepalive
!
FDDDI 0/0/0 接口被配置成为进行流量采集。路由器被配置为输出第五版本类型的流量信息到 IP 地址为 215.17.13.1 的主机上，采用 UDP 协议，端口号 9996 ，统计数据包的源地址采用 Router 的 Loopback 地址。
NTP Source Interface
NTP 用来保证一个网络内所有 Rdouter 的时钟同步，确保误差在几毫秒之内，如果在 NTP 的 Speaker 之间采用 Loopback 地址作为路由器的源地址，会使得地址过滤和认证在某种程度上容易维护和实现，许多 ISP 希望他们的客户只与他们的客户只与 ISP 自己的而不是世界上其他地方的时间服务器同步。
clock timezone SST 8
!
access-list 5 permit 192.36.143.150
access-list 5 permit 169.223.50.14
!.Cisco ISP Essentials
39
ntp authentication-key 1234 md5 104D000A0618 7
ntp authenticate
ntp trusted-key 1234
ntp source Loopback0
ntp access-group peer 5
ntp update-calendar
ntp peer 192.36.143.150
ntp peer 169.223.50.14
!

SYSLOG Source Interface
系统日志服务器同样也需要在 ISP 骨干网络中被妥善保护。许多 ISP 只希望采集他们自己的而不是外面网络发送来的昔日日志信息。对系统日志服务器的 DDOS 攻击并不是不知道，如果系统信息数据包的源地址来自于被很好规划了的地址空间，例如，采用路由器的 Loopback 口地址，对系统日志服务器的安全配置同样会更容易。
A configuration example:
logging buffered 16384
logging trap debugging
logging source-interface Loopback0
logging facility local7
logging 169.223.32.1
!

Telnet to the Router
远程路由器才用 Loopback 口做远程接入的目标接口，这个一方面提高网络的健壮性，另一方面，如果在 DNS 服务器做了 Router 的 DNS 映射条目，则可以在世界上任何路由可达的地方 Telnet 到这台 Router ， ISP 会不断扩展，增加新的设备
  
由于 telnet 命令使用 TCP 报文，会存在如下情况：路由器的某一个接口由于故障 down 掉了，但是其他的接口却仍旧可以 telnet ，也就是说，到达这台路由器的 TCP 连接依旧存在。所以选择的 telnet 地址必须是永远也不会 down 掉的，而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求，所以为了节约地址资源， loopback 接口的地址通常指定为 32 位掩码。
DNS 前向和反向转发区域文件的例子：
; net.galaxy zone file
net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
IN MX 10 mail0.net.galaxy.
IN MX 20 mail1.net.galaxy.
;
localhost IN A 127.0.0.1
gateway1 IN A 215.17.1.1
gateway2 IN A 215.17.1.2
gateway3 IN A 215.17.1.3
;
;etc etc
; 1.17.215.in-addr.arpa zone file
;
1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
1 IN PTR gateway1.net.galaxy.
2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001
3 IN PTR gateway3.net.galaxy.
;
;etc etc
On the router, set the telnet source to the loopback interface:
ip telnet source-interface Loopback0

RCMD to the router
RCMD 要求网络管理员拥有 UNIX 的 rlogin/rsh 客户端来访问路由器。某些 ISP 采用 RCMD 来捕获接口统计信息，上载或下载路由器配置文件，或者获取 Router 路由选择表的简易信息， Router 可以被配置采用 Loopback 地址作为源地址，使得路由器发送的所有数据包的源地址都采用 Loopback 地址来建立 RCMD 连接：
ip rcmd source-interface Loopback0