loopback介面
一、loopback介面簡介(環迴介面)
loopback介面是虛擬介面,是一種純軟體性質的虛擬介面。任何送到該介面的網路資料報文都會被認為是送往裝置自身的。大多數平台都支援使用這種介面來模擬真正的介面。這樣做的好處是虛擬介面不會像物理介面那樣因為各種因素的影響而導致介面被關閉。事實上,將loopback介面和其他物理介面相比較,可以發現loopback介面有以下幾條優點:
1.loopback介面狀態永遠是up的,即使沒有配置位址。這是它的乙個非常重要的特性。
2.loopback介面可以配置位址,而且可以配置全1的掩碼,可以節省寶貴的位址空間。
3.loopback介面不能封裝任何鏈路層協議。
對於目的位址不是loopback口,下一跳介面是loopback口的報文,路由器會將其丟棄。對於cisco路由器來說,可以配置[no] ip unreachable命令,來設定是[否]傳送icmp不可達報文,對於vrp來說,沒有這條命令,預設不傳送icmp不可達報文 。
二、loopback介面的應用
基於以上所述,決定了loopback介面可以廣泛應用在各個方面。其中最主要的應用就是:路由器使用loopback介面位址作為該路由器產生的所有ip包的源位址,這樣使過濾通訊量變得非常簡單。
1.在router id中的應用
如果loopback介面存在、有ip位址,在路由協議中就會將其用作router id,這樣比較穩定--loopback介面一直都是up的。
如果loopback介面不存在、或者沒有ip位址,router id就是最高的ip位址,這樣就比較危險--只要是實體地址就有可能down掉。
對於cisco來說,router id是不能配置的,對於vrp來說,router id可以配置,那麼我們也可以將loopback介面位址配成router id。
配置bgp
在ibgp配置中使用loopback介面,可以使會話一直進行,即使通往外部的介面關閉了也不會停止。配置舉例:
inte***ce loopback 0
ip address 215.17.1.34 255.255.255.255
router bgp 200
neighbor 215.17.1.35 remote-as 200
neighbor update-source loopback 0
2.在遠端訪問中的應用
使用telnet實現遠端訪問。
配置telnet,使從該路由器始發的報文使用的源位址是loopback位址。配置命令如下:
ip telnet source-inte***ce loopback0
使用rcmd實現遠端訪問。
配置rcmd,使從該路由器始發的報文使用的源位址是loopback位址。配置命令如下:
ip rcmd source-inte***ce loopback0
3.在安全方面的應用
在tacacs+中的應用。
配置tacacs+,使從該路由器始發的報文使用的源位址是loopback位址。配置命令如下:
ip tacacs source-inte***ce loopback0
tacacs-server host 215.17.1.1
可以通過過濾來保護tacacs+伺服器--只允許從loopback位址訪問tacacs+埠,從而使讀/寫日誌變得簡單,tacacs+日誌紀錄中只有loopback口的位址,而沒有出介面的位址。
4.在radius使用者驗證中的應用。
配置radius, 使從該路由器始發的報文使用的源位址是loopback位址。配置命令如下:
ip radius source-inte***ce loopback0
radius-server host 215.17.1.1
auth-port 1645 acct-port 1646
這樣配置是從伺服器的安全角度考慮的,可以通過過濾來保護 radius伺服器和**--只允許從loopback位址訪問radius埠,從而使讀/寫日誌變得簡單,radius日誌紀錄中只有loopback口的位址,而沒有出介面的位址。
5.在紀錄資訊方面的應用,輸出網路流量紀錄。
配置網路流量輸出,使從該路由器始發的報文使用的源位址是loopback位址。配置命令如下:
ip flow-export source loopback0
exporting netflow records exporting netflow
這樣配置是從伺服器的安全角度考慮的,可以通過過濾來保護 網路流量收集--只允許從loopback位址訪問指定的流量埠。
6.在日誌資訊方面的應用。
傳送日誌資訊到unix或者windows syslog 伺服器。路由器發出的日誌報文源位址是loopback介面,配置命令如下:
logging source-inte***ce loopback0
這樣配置是從伺服器的安全角度考慮的,可以通過過濾來保護 syslog伺服器和**--只允許從loopback位址訪問syslog埠,從而使讀/寫日誌變得簡單,syslog日誌紀錄中只有loopback口的位址作為源位址,而不是出介面的位址。
7.在ntp中的應用
用ntp(網路時間協議)使所有裝置的時間取得同步,所有源於該路由器的ntp包都把loopback位址作為源位址。配置如下:
ntp source loopback0
ntp server 169.223.1.1 source loopback 1
這樣做是從ntp的安全角度著想,可以通過過濾來保護ntp系統--只允許從loopback位址來訪問ntp埠。ntp將loopback介面位址作為源位址,而不是出口位址。
8.在snmp中的應用
如果使用snmp(簡單網路管理協議),傳送traps時將loopback位址作為源位址。配置命令:
snmp-server trap-source loopback0
snmp-server host 169.223.1.1 community
這樣做是為了保障伺服器的安全,可以通過過濾來保護snmp的管理系統--只允許從loopback介面來訪問snmp埠。從而使得讀/寫trap資訊變得簡單。snmptraps將loopback介面位址作為源位址,而不是出口位址。
9.在core dumps中的應用
如果系統崩潰,有core dump特性的路由器能夠將記憶體的映像上傳到指定的ftp伺服器。配置core dumps使用loopback位址作為源位址。配置命令如下:
ip ftp source-inte***ce loopback 0
exception protocol ftp
exception dump 169.223.32.1
這樣的做的好處是保證了core dump ftp 伺服器的安全,通過過濾能夠保護用於core dumps的ftp伺服器--只允許從loopback位址訪問ftp埠。
這個ftp伺服器必須是不可見的。
10.在tftp中的應用
通過tftp從tftp伺服器配置路由器,可以將路由器的配置儲存在tftp伺服器,配置tftp,將loopback位址作為源於該路由器的包的源位址。配置命令如下:
ip tftp source-inte***ce loopback0
這樣做對tftp伺服器的安全是很有好處的:通過過濾來保護儲存配置和ios映像的tftp伺服器--只允許從loopback位址來訪問tftp埠,tftp伺服器必須是不可見的。
11.在ip unnumbered中的應用
應用ip unnumbered在點到點鏈路上就不需要再配置位址了。配置舉例:
inte***ce loopback 0
ip address 215.17.3.1 255.255.255.255
inte***ce serial 5/0
ip unnumbered loopback 0
ip route 215.34.10.0 255.255.252.0 serial 5/0
路由器配置loopback具體作用
oopback就是回環 自己發,自己收 有兩種實現方法,一是邏輯回環,另乙個是物理回環。前者是用inte celoopback 0 命令建立乙個回環介面,後者就是介面做自己的傳送和自己的接收端相連。loopback介面比任何其它的物理介面都更穩定,因為只要路由器啟動,這個環迴介面就處理活動狀態,只有...
華為路由器介面如何區分 華為路由器介面介紹
e1 f和t1 f介面 e1 f和t1 f介面是指部分 fractional 化e1 t1介面,它們分別是ce1 pri和ct1 pri介面的簡化版本。在e1 t1接入應用中,如果不需要劃分出多個通道組 channel group 或不需要isdn pri功能,使用ce1 pri或ct1 pri介面...
路由器連線路由器
有兩種方法!無論哪種,和貓接的主路由總是不變!只要改從路由的設定!第一。從路由還是當路由用!設定 路由a為主路由,路由b為從路由!假設你現在有兩個路由 路由a 和 路由b 同時使用的是adsl撥號上網。首先,設定路由a的wan口狀態設定為pppoe撥號狀態,然後填入adsl撥號的賬號和密碼。然後,設...