环回口功能
-
路由器环回口的功能
此类接口是应用最为广泛的一种
虚接口
,几乎在每台路由器上
都会使用。常
见于如下用途。
1
作为一台路由器的管理地址
<
/p>
系统管理员完成网络规划之后,为了方便管理,会为每一台路由器创建一个
loopback
接口,并在该接口上单独指定一个
IP
地址作为管理地址,管理员会
使用该地址对路由器远程登录(
telnet
),该地址实际上起到了类似设备名称
一类的功能。
但是通常每台路由器
上存在众多接口和地址,为何不从当中随便挑选一个呢?
原因如下:
由于
telnet
命令使用
TCP
报文,
会存在如下情况:
路由器的某一个
接口由于故障
down
掉了,但是其他的接口却仍旧可以
telnet
,也就是说,到
达这台路由器的
TCP
连接依旧存在
。
所以选择的
telnet
地址必须是永远也不会
down
掉的,而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通
< br>
的需求,所以为了节约地址资源,
loopback
接口的地址通常指定为
32
位掩码。
2
使用该接口地址作为动态路由协议
OSPF
、
BGP
的
router id
动态路由协议
OSPF
、
BGP
在运行过程中需要为该协议指定一个
Router
id
,作
为此路由器的唯一标识,并要求在整个自治系统内唯一。由于
r
outer id
是一
个
32
位的无符号整数,
这一点与
IP
地址十分相像。
而且
IP
地址是不会出现重复
现象的,所以通常将路由器的
router id
指定为与该设备上的某个接口的地址
相
同。由于
loopback
接口的
IP
地址通常被视为路由器的标识,所以也就成了
router id
的最佳选择。
3
、使用该接口地址作为
BGP
建立
TCP
连接的源地址
在
BGP
协议中,两个运行
BGP
的路由器之间建立邻居关系是通过
TCP
建立连
接完成的。
在配置邻居时通常指定
loopback
接口为建立
TCP
连接的源地址
(通
常只用于
IBGP
,原因同
2.1
,都是为了增强
TCP
连接的健壮性)
配置命令如下:
router
id 61.235.66.1
interface loopback 0
ip address 61.235.66.1 255.255.255.255
router bgp 100
neighbor
61.235.66.7 remote-as 200
neighbor
61.235.66.7 update-source LoopBack0
Loop
口在实际中有非常广泛的应用,
这个
文章是是关于
Loopback
口使用的大全
< br>
BGP Update-Source
因为
Loopback
口只要
Router
还健在,则它就会一直保持
Active
,这样
,只要
BGP
的
Peer
的
Loopback
口之间满足路由可达,就可以建
立
BGP
回话,总之
BGP
中使用
loopback
口可以提高网络的健壮
性。
neighbor 215.17.1.35
update-source loopback 0
Router ID
使
用该接口地址作为
OSPF
、
BGP
的
Router-ID
,
作为此路由器的唯一标识,
并
要求在整个自治系统内
唯一,在
Ipv6
中的
BGP/OSP
F
的
Router-ID
仍然是
32
位
的
IP
地
址。在
OSPF
中的路由器优先级是在接口下手动设置的,接着才是比较
OSP
F
的
Router-
ID
(
Router-ID
的选举在这
里就不多说了,
PS
:一
台路由器启
动
OSPF
路
由协议后,将选取物理接口的最大
IP
地址作为其
RouterID
,但是如
果配置
< br>Loopback
接口,
则从
L
oopback
中选取
IP
地址最大
者为
RouterID
。
另外
一旦选取
RouterID
,
< br>OSPF
为了保证稳定性,不会轻易更改,除非作为
Ro
uterID
的
IP
地址被删除或
者
OSPF
被重
新启动)
,
在
OSPF
和
BGP
中的
Router-
ID
都是
可以手动在路由配置模式下设置的。
< br>
OSPF: Router-ID *.*.*.*
BGP:BGP Router-ID *.*.*.*
IP
Unnumbered Interfaces
无编号地址可以借用强壮的
loopback
口地址,来节约网络
IP
地址的分配。
例子:
interface
loopback 0
ip address 215.17.3.1
255.255.255.255
!
interface Serial 5/0
bandwidth 128
ip unnumbered
loopback 0
Exception Dumps
by FTP
当
Router
宕机
,系统内存中的文件还保留着一份软件内核的备份,
CISCO
路由
器可以被配置为向一台
FTP
服务
器进行内核导出,
作为路由器诊断和调试处理过
程的一部
分,可是,这种内核导出功能必须导向一台没有运行公共
FTP
服务器
软件的系统,而是一台通过
ACLS
过滤(
TCP
地址欺骗)被重点保护的只允许路
由器访问
< br>的
FTP
服务器。如果
Loop
back
口地址作为
Router
的源
地址,并且是
相应地址块的一部分,
ACLS
< br>的过滤功能很容易配置。
Sample IOS configuration:
ip ftp source-interface Loopback0
ip ftp username cisco
ip
ftp password 7 045802150C2E
exception
protocol ftp
exception dump
169.223.32.1
TFTP-SERVER
Access
对于
TFTP
的安全意
味着应该经常对
IP
源地址进行安全方面的配置,
CISCO IOS
软件允许
TFTP
服务器被配置为使用特殊的
IP
接口地址,
基于
Router
的固定
IP
地址,将运行
TFTP
服务器配
置固定的
ACLS.
ip tftp source-
interface Loopback0
SNMP-
SERVER Access
路由器的
Loopback
口一样可以被用来对访问安全进行控制,如果从一个路由器
送出的<
/p>
SNMP
网管数据起源于
Loopbac
k
口,则很容易在网络管理中心对
SNMP
服
务器进行保护
Sample
IOS configuration:
access-list 98
permit 215.17.34.1
access-list 98
permit 215.17.1.1
access-list 98 deny
any
!
snmp-server
community 5nmc02m RO 98
snmp-server
trap-source Loopback0
snmp-server
trap-authentication
snmp-server host
215.17.34.1 5nmc02m
snmp-server host
215.17.1.1 day, June 06, 2001
TACACS/RADIUS-Server Source Interface <
/p>
当采用
TACACS/RADIUS
协议
,无论是用户管理性的接入
Router
还是对拨号用户
进行认证,
Router
都是被配置为将
Loopback
口作为
Router
发送
TACACS/RADIUS
数据包的
源地址,提高安全性。
TACACS
aaa new-model
aaa
authentication login default tacacs+ enable
aaa authentication enable default
tacacs+ enable
aaa accounting exec
start-stop tacacs+
!
ip
tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t#
!