歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

Loopback口的作用匯總

  Loop口在實際中有非常廣泛的應用,這個文章是是關於Loopback口使用的大全。 BGP Update-Source 因為Loopback口只要Router還健在,則它就會一直保持Active,這樣,只要BGP的Peer的Loopback口之間滿足路由可達,就可以建立BGP 回話,總之BGP中使用loopback口可以提高網絡的健壯性。 neighbor 215.17.1.35 update-source loopback 0 Router ID 使用該接口地址作為OSPF 、BGP 的Router-ID,作為此路由器的唯一標識,並要求在整個自治系統內唯一,在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器優先級是在接口下手動設置的,接著才是比較OSPF的Router-ID(Router-ID的選舉在這裡就不多說了,PS:一台路由器啟動OSPF路由協議後,將選取物理接口的最大IP地址作為其RouterID,但是如果配置Loopback接口,則從Loopback中選取 IP地址最大者為RouterID。另外一旦選取RouterID,OSPF為了保證穩定性,不會輕易更改,除非作為RouterID的IP地址被刪除或者OSPF被重新啟動),在OSPF和BGP中的Router-ID都是可以手動在路由配置模式下設置的。 OSPF: Router-ID *.*.*.* BGP:BGP Router-ID *.*.*.* IP Unnumbered Interfaces 無編號地址可以借用強壯的loopback口地址,來節約網絡IP地址的分配。 例子: interface loopback 0 ip address 215.17.3.1 255.255.255.255 ! interface Serial 5/0 bandwidth 128 ip unnumbered loopback 0 Exception Dumps by FTP 當Router 宕機,系統內存中的文件還保留著一份軟件內核的備份,CISCO路由器可以被配置為向一台FTP服務器進行內核導出,作為路由器診斷和調試處理過程的一部分,可是,這種內核導出功能必須導向一台沒有運行公共FTP服務器軟件的系統,而是一台通過ACLS過濾(TCP地址欺騙)被重點保護的只允許路由器訪問的FTP服務器。如果Loopback口地址作為Router的源地址,並且是相應地址塊的一部分,ACLS的過濾功能很容易配置。 Sample IOS configuration: ip ftp source-interface Loopback0 ip ftp username cisco ip ftp passWord 7 045802150C2E exception protocol ftp exception dump 169.223.32.1 TFTP-SERVER Access 對於TFTP的安全意味著應該經常對IP源地址進行安全方面的配置,CISCO IOS軟件允許TFTP服務器被配置為使用特殊的IP接口地址,基於Router的固定IP地址,將運行TFTP服務器配置固定的ACLS. ip tftp source-interface Loopback0 SNMP-SERVER Access 路由器的Loopback口一樣可以被用來對訪問安全進行控制,如果從一個路由器送出的SNMP網管數據起源於Loopback口,則很容易在網絡管理中心對SNMP服務器進行保護 Sample IOS configuration: access-list 98 permit 215.17.34.1 access-list 98 permit 215.17.1.1 access-list 98 deny any ! snmp-server community 5nmc02m RO 98 snmp-server trap-source Loopback0 snmp-server trap-authentication snmp-server host 215.17.34.1 5nmc02m snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001 TACACS/RADIUS-Server Source Interface 當采用TACACS/RADIUS協議,無論是用戶管理性的接入Router還是對撥號用戶進行認證,Router都是被配置為將Loopback口作為Router發送TACACS/RADIUS數據包的源地址,提高安全性。


TACACS aaa new-model aaa authentication login default tacacs+ enable aaa authentication enable default tacacs+ enable aaa accounting exec start-stop tacacs+ ! ip tacacs source-interface Loopback0 tacacs-server host 215.17.1.2 tacacs-server host 215.17.34.10 tacacs-server key CKr3t# ! RADIUS radius-server host 215.17.1.2 auth-port 1645 acct-port 1646 radius-server host 215.17.34.10 auth-port 1645 acct-port 1646 ip radius source-interface Loopback0 ! NetFlow Flow-EXPort 從一個路由器向NetFlow采集器傳送流量數據,以實現流量分析和計費目的,將路由器的Router的Loopback地址作為路由器所有輸出流量統計數據包的源地址,可以在服務器或者是服務器外圍提供更精確,成本更低的過濾配置。 ip flow-export destination 215.17.13.1 9996 ip flow-export source Loopback0 ip flow-export version 5 origin-as ! interface Fddi0/0/0 description FDDI link to IXP ip address 215.18.1.10 255.255.255.0 ip route-cache flow ip route-cache distributed no keepalive ! FDDDI 0/0/0 接口被配置成為進行流量采集。路由器被配置為輸出第五版本類型的流量信息到IP地址為215.17.13.1的主機上,采用UDP協議,端口號9996,統計數據包的源地址采用Router的Loopback地址。 NTP Source Interface NTP 用來保證一個網絡內所有Rdouter的時鐘同步,確保誤差在幾毫秒之內,如果在NTP的Speaker之間采用Loopback地址作為路由器的源地址,會使得地址過濾和認證在某種程度上容易維護和實現,許多ISP希望他們的客戶只與他們的客戶只與ISP自己的而不是世界上其他地方的時間服務器同步。 clock timezone SST 8 ! access-list 5 permit 192.36.143.150 access-list 5 permit 169.223.50.14 !.Cisco ISP Essentials 39 ntp authentication-key 1234 md5 104D000A0618 7 ntp authenticate ntp trusted-key 1234 ntp source Loopback0 ntp access-group peer 5 ntp update-calendar ntp peer 192.36.143.150 ntp peer 169.223.50.14 ! SYSLOG Source Interface 系統日志服務器同樣也需要在ISP骨干網絡中被妥善保護。許多ISP只希望采集他們自己的而不是外面網絡發送來的昔日日志信息。對系統日志服務器的DDOS 攻擊並不是不知道,如果系統信息數據包的源地址來自於被很好規劃了的地址空間,例如,采用路由器的Loopback口地址,對系統日志服務器的安全配置同樣會更容易。 A configuration example: logging buffered 16384 logging trap debugging logging source-interface Loopback0 logging facility local7 logging 169.223.32.1 ! Telnet to the Router 遠程路由器才用Loopback口做遠程接入的目標接口,這個一方面提高網絡的健壯性,另一方面,如果在DNS服務器做了Router的DNS映射條目,則可以在世界上任何路由可達的地方Telnet到這台Router,ISP會不斷擴展,增加新的設備 由於telnet 命令使用TCP 報文,會存在如下情況:路由器的某一個接口由於故障down 掉了,但是其他的接口卻仍舊可以telnet ,也就是說,到達這台路由器的TCP 連接依舊存在。所以選擇的telnet 地址必須是永遠也不會down 掉的,而虛接口恰好滿足此類要求。由於此類接口沒有與對端互聯互通的需求,所以為了節約地址資源,loopback 接口的地址通常指定為32 位掩碼。 DNS前向和反向轉發區域文件的例子: ; net.galaxy zone file net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. ( 1998072901 ; version == date(YYYYMMDD)+serial 10800 ; Refresh (3 hours) 900 ; Retry (15 minutes) 172800 ; Expire (48 hours) 43200 ) ; Mimimum (12 hours) IN NS ns0.net.galaxy.

IN NS ns1.net.galaxy. IN MX 10 mail0.net.galaxy. IN MX 20 mail1.net.galaxy. ; localhost IN A 127.0.0.1 gateway1 IN A 215.17.1.1 gateway2 IN A 215.17.1.2 gateway3 IN A 215.17.1.3 ; ;etc etc ; 1.17.215.in-addr.arpa zone file ; 1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. ( 1998072901 ; version == date(YYYYMMDD)+serial 10800 ; Refresh (3 hours) 900 ; Retry (15 minutes) 172800 ; Expire (48 hours) 43200 ) ; Mimimum (12 hours) IN NS ns0.net.galaxy. IN NS ns1.net.galaxy. 1 IN PTR gateway1.net.galaxy. 2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001 3 IN PTR gateway3.net.galaxy. ; ;etc etc On the router, set the telnet source to the loopback interface: ip telnet source-interface Loopback0 RCMD to the router RCMD 要求網絡管理員擁有UNIX的rlogin/rsh客戶端來訪問路由器。某些ISP采用RCMD來捕獲接口統計信息,上載或下載路由器配置文件,或者獲取 Router路由選擇表的簡易信息,Router可以被配置采用Loopback地址作為源地址,使得路由器發送的所有數據包的源地址都采用 Loopback地址來建立RCMD連接: ip rcmd source-interface Loopback0



; 1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. ( 1998072901 ; version == date(YYYYMMDD)+serial 10800 ; Refresh (3 hours) 900 ; Retry (15 minutes) 172800 ; Expire (48 hours) 43200 ) ; Mimimum (12 hours) IN NS ns0.net.galaxy. IN NS ns1.net.galaxy. 1 IN PTR gateway1.net.galaxy. 2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001 3 IN PTR gateway3.net.galaxy. ; ;etc etc On the router, set the telnet source to the loopback interface: ip telnet source-interface Loopback0 RCMD to the router RCMD 要求網絡管理員擁有UNIX的rlogin/rsh客戶端來訪問路由器。某些ISP采用RCMD來捕獲接口統計信息,上載或下載路由器配置文件,或者獲取 Router路由選擇表的簡易信息,Router可以被配置采用Loopback地址作為源地址,使得路由器發送的所有數據包的源地址都采用 Loopback地址來建立RCMD連接: ip rcmd source-interface Loopback0



Copyright © Linux教程網 All Rights Reserved