1作为一台路由器的管理地址
系统管理员完成网络规划之后,为了方便管理,会为每一台路由器创建一个loopback接口,并在该接口上单独指定一个IP地址作为管理地址,管理员会使用该地址对路由器远程登录(telnet),该地址实际上起到了类似设备名称一类的功能。
但是通常每台路由器上存在众多接口和地址,为何不从当中随便挑选一个呢
原因如下:由于 telnet命令使用TCP报文,会存在如下情况:路由器的某一个接口由于故障down掉了,但是其他的接口却仍旧可以telnet,也就是说,到达这台路由器的TCP连接依旧存在。所以选择的telnet地址必须是永远也不会down掉的,而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求,所以为了节约地址资源,loopback接口的地址通常指定为32位掩码。
2使用该接口地址作为动态路由协议 OSPF、 BGP的routerid动态路由协议OSPF、BGP在运行过程中需要为该协议指定一个Routerid,作为此路由器的唯一标识,并要求在整个自治系统内唯一。由于routerid是一个32位的无符号整数,这一点与IP地址十分相像。而且IP地址是不会出现重复现象的,所以通常将路由器的routerid指定为与该设备上的某个接口的地址相同。由于loopback接口的IP地址通常被视为路由器的标识,所以也就成了routerid的最佳选择。
3、使用该接口地址作为BGP建立TCP连接的源地址
在BGP协议中,两个运行BGP的路由器之间建立邻居关系是通过TCP建立连接完成的。
在配置邻居时通常指定loopback接口为建立TCP连接的源地址(通常只用于IBGP,原因同2.1,都是为了增强TCP连接的健壮性)
配置命令如下:
routerid61.235.66.1
interfaceloopback0
ipaddress61.235.66.1255.255.255.255
routerbgp100
neighbor61.235.66.7remote-as200
neighbor61.235.66.7update-sourceLoopBack0
4、在Windows系统中,采用127.0.0.1作为本地环回地址。
5、BGPUpdate-Source
因为Loopback口只要Router还健在,则它就会一直保持Active,这样,只要BGP的Peer的Loopback口之间满足路由可达,就可以建立BGP回话,总之BGP中使用loopback口可以提高网络的健壮性。
neighbor215.17.1.35update-sourceloopback0
6、RouterID
使用该接口地址作为OSPF、BGP的Router-ID,作为此路由器的唯一标识,并要求在整个自治系统内唯一,在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器优先级是在接口下手动设置的,接着才是比较OSPF的Router-ID(Router-ID的选举在这里就不多说了,PS:一台路由器启动OSPF路由协议后,将选取物理接口的最大IP地址作为其RouterID,但是如果配置Loopback接口,则从Loopback中选取IP地址最大者为RouterID。另外一旦选取RouterID,OSPF为了保证稳定性,不会轻易更改,除非作为RouterID的IP地址被删除或者OSPF被重新启动),在OSPF和BGP中的Router-ID都是可以手动在路由配置模式下设置的。
OSPF:Router-ID*.*.*.*
BGP:BGPRouter-ID*.*.*.*
7、IPUnnumberedInterfaces
无编号地址可以借用强壮的loopback口地址,来节约网络IP地址的分配。
例子:
interfaceloopback0
ipaddress215.17.3.1255.255.255.255
!
interfaceSerial5/0
bandwidth128
ipunnumberedloopback0
8、ExceptionDumpsbyFTP
当 Router宕机, 系统内存中的文件还保留着一份软件内核的备份,CISCO路由器可以被配置为向一台FTP服务器进行内核导出,作为路由器诊断和调试处理过程的一部分,可是,这种内核导出功能必须导向一台没有运行公共FTP服务器软件的系统,而是一台通过ACLS过滤(TCP地址欺骗)被重点保护的只允许路由器访问的FTP服务器。如果Loopback口地址作为Router的源地址,并且是相应地址块的一部分, ACLS的过滤功能很容易配置。
SampleIOSconfiguration:
ipftpsource-interfaceLoopback0
ipftpusernamecisco
ipftppassword7045802150C2E
exceptionprotocolftp
exceptiondump169.223.32.1
9、TFTP-SERVERAccess
对于 TFTP的安全意味着应该经常对IP源地址进行安全方面的配置,CISCOIOS软件允许TFTP 服务器被配置为使用特殊的IP接口地址,基于Router的固定IP地址,将运行TFTP服务器配置固定的ACLS.
iptftpsource-interfaceLoopback0
10、SNMP-SERVERAccess
路由器的Loopback口一样可以被用来对访问安全进行控制,如果从一个路由器送出的SNMP网管数据起源于Loopback口,则很容易在网络管理中心对SNMP服务器进行保护
SampleIOSconfiguration:
access-list98permit215.17.34.1
access-list98permit215.17.1.1
access-list98denyany
!
snmp-servercommunity5nmc02mRO98
snmp-servertrap-sourceLoopback0
snmp-servertrap-authentication
snmp-serverhost215.17.34.15nmc02m
snmp-serverhost215.17.1.15nmc02m.Wednesday,June06,2001
11、TACACS/RADIUS-ServerSourceInterface
当采用TACACS/RADIUS协议,无论是用户管理性的接入Router还是对拨号用户进行认证,Router都是被配置为将Loopback口作为Router发送TACACS/RADIUS数据包的源地址,提高安全性。
TACACS
aaanew-model
aaaauthenticationlogindefaulttacacs+enable
aaaauthenticationenabledefaulttacacs+enable
aaaaccountingexecstart-stoptacacs+
!
iptacacssource-interfaceLoopback0
tacacs-serverhost215.17.1.2
tacacs-serverhost215.17.34.10
tacacs-serverkeyCKr3t#
!
RADIUS
radius-serverhost215.17.1.2auth-port1645acct-port1646
radius-serverhost215.17.34.10auth-port1645acct-port1646
ipradiussource-interfaceLoopback0
!
12、NetFlowFlow-Export
从一个路由器向NetFlow采集器传送流量数据,以实现流量分析和计费目的,将路由器的Router的Loopback地址作为路由器所有输出流量统计数据包的源地址,可以在服务器或者是服务器外围提供更精确,成本更低的过滤配置。
ipflow-exportdestination215.17.13.19996
ipflow-exportsourceLoopback0
ipflow-exportversion5origin-as
!
interfaceFddi0/0/0
descriptionFDDIlinktoIXP
ipaddress215.18.1.10255.255.255.0
iproute-cacheflow
iproute-cachedistributed
nokeepalive
!
FDDDI0/0/0接口被配置成为进行流量采集。路由器被配置为输出第五版本类型的流量信息到IP地址为215.17.13.1的主机上,采用UDP协议,端口号9996,统计数据包的源地址采用Router的Loopback地址。
13、NTPSourceInterface
NTP用来保证一个网络内所有Rdouter的时钟同步,确保误差在几毫秒之内,如果在NTP的Speaker之间采用Loopback地址作为路由器的源地址,会使得地址过滤和认证在某种程度上容易维护和实现,许多ISP希望他们的客户只与他们的客户只与ISP自己的而不是世界上其他地方的时间服务器同步。
clocktimezoneSST8
!
access-list5permit192.36.143.150
access-list5permit169.223.50.14
!.CiscoISPEssentials
39
ntpauthentication-key1234md5104D000A06187
ntpauthenticate
ntptrusted-key1234
ntpsourceLoopback0
ntpaccess-grouppeer5
ntpupdate-calendar
ntppeer192.36.143.150
ntppeer169.223.50.14
!
14、SYSLOGSourceInterface
系统日志服务器同样也需要在ISP骨干网络中被妥善保护。许多ISP只希望采集他们自己的而不是外面网络发送来的昔日日志信息。对系统日志服务器的DDOS攻击并不是不知道,如果系统信息数据包的源地址来自于被很好规划了的地址空间,例如,采用路由器的Loopback口地址,对系统日志服务器的安全配置同样会更容易。
Aconfigurationexample:
loggingbuffered16384
loggingtrapdebugging
loggingsource-interfaceLoopback0
loggingfacilitylocal7
logging169.223.32.1
!
15、TelnettotheRouter
远程路由器才用Loopback口做远程接入的目标接口,这个一方面提高网络的健壮性,另一方面,如果在DNS服务器做了Router的DNS映射条目,则可以在世界上任何路由可达的地方Telnet到这台Router,ISP会不断扩展,增加新的设备
由于telnet命令使用TCP报文,会存在如下情况:路由器的某一个接口由于故障down掉了,但是其他的接口却仍旧可以telnet,也就是说,到达这台路由器的TCP连接依旧存在。所以选择的telnet地址必须是永远也不会down掉的,而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求,所以为了节约地址资源,loopback接口的地址通常指定为32位掩码。
DNS前向和反向转发区域文件的例子:
;net.galaxyzonefile
net.galaxy.INSOAns.net.galaxy.hostmaster.net.galaxy.(
1998072901;version==date(YYYYMMDD)+serial
10800;Refresh(3hours)
900;Retry(15minutes)
172800;Expire(48hours)
43200);Mimimum(12hours)
INNSns0.net.galaxy.
INNSns1.net.galaxy.
INMX10mail0.net.galaxy.
INMX20mail1.net.galaxy.
;
localhostINA127.0.0.1
gateway1INA215.17.1.1
gateway2INA215.17.1.2
gateway3INA215.17.1.3
;
;etcetc
;1.17.215.in-addr.arpazonefile
;
1.17.215.in-addr.arpa.INSOAns.net.galaxy.hostmaster.net.galaxy.(
1998072901;version==date(YYYYMMDD)+serial
10800;Refresh(3hours)
900;Retry(15minutes)
172800;Expire(48hours)
43200);Mimimum(12hours)
INNSns0.net.galaxy.
INNSns1.net.galaxy.
1INPTRgateway1.net.galaxy.
2INPTRgateway2.net.galaxy..Wednesday,June06,2001
3INPTRgateway3.net.galaxy.
;
;etcetc
Ontherouter,setthetelnetsourcetotheloopbackinterface:
iptelnetsource-interfaceLoopback0
16、RCMDtotherouter
RCMD要求网络管理员拥有UNIX的rlogin/rsh客户端来访问路由器。某些ISP采用RCMD来捕获接口统计信息,上载或下载路由器配置文件,或者获取Router路由选择表的简易信息,Router可以被配置采用Loopback地址作为源地址,使得路由器发送的所有数据包的源地址都采用Loopback地址来建立RCMD连接:
iprcmdsource-interfaceLoopback0