loopback接口的作用

发布于 2021-08-28 15:07 ,所属分类:软考学习资料大全

loopback是一个完全以软件指定的逻辑上的一个端口,它最大的特点就是可以支持所有的平台,并且状态始终UP基于以上所述,决定了Loopback接口可以广泛应用在各个方面。其中最主要的应用就是:路由器使用loopback接口地址作为该路由器产生的所有IP包的源地址,这样使过滤通信量变得非常简单。
1、作为路由设备的ID标识,在OSPF等协议中,协议规定根据RouterID来选择指派路由器和备份指派路由器,因为Loopback端口始终有效,因此我们通常创建一个Loopback端口并封装IP地址作为路由器的ID,协议会首先比较Loopback端口的IP地址大小进行指派路由器的选择,从而实现路由制定。
如果loopback接口不存在、或者没有IP地址,Router ID就是最高的IP地址,这样就比较危险--只要是物理地址就有可能down掉。

2、作为路由设备的非直连网段,在Loopback端口配上路由器与别的设备的直连网段之外的网段地址,可以在设备之间测试路由,这也是非常有效和方便的一种做法,检查设备连通性。
3、作为终端访问的地址,由于Loopback端口永远不会DOWN,因此用它的端口地址作为别的终端和设备进行TELNET访问的地址是比较常用的一种方式,做DET实用化。

配置telnet,使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下:
ip telnet source-interface Loopback0


4、作为“黑洞”路由处理,因为路由到Loopback的包,会被重新路由回路由器的Loopback口,并不会被真正地转发,因此也可以被作为一个路由的“黑洞”,现在也有用Null端口来实现,可视为回收站。



5、配置BGP
在IBGP配置中使用loopback接口,可以使会话一直进行,即使通往外部的接口关闭了也不会停止。配置举例:
interface loopback 0
ip address 215.17.1.34 255.255.255.255
router bgp 200
neighbor 215.17.1.35 remote-as 200
neighbor update-source loopback 0


6.在安全方面的应用
在TACACS+中的应用。
配置TACACS+,使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下:
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.1
可以通过过滤来保护TACACS+服务器--只允许从LOOPBACK地址访问TACACS+端口,从而使读/写日志变得简单,TACACS+日志记录中只有loopback口的地址,而没有出接口的地址。


8.在RADIUS用户验证中的应用。
配置RADIUS, 使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下:
ip radius source-interface Loopback0
radius-server host 215.17.1.1
auth-port 1645 acct-port 1646
这样配置是从服务器的安全角度考虑的,可以通过过滤来保护 RADIUS服务器和代理--只允许从LOOPBACK地址访问RADIUS端口,从而使读/写日志变得简单,RADIUS日志记录中只有loopback口的地址,而没有出接口的地址。


9.在记录信息方面的应用,输出网络流量纪录。
配置网络流量输出,使从该路由器始发的报文使用的源地址是loopback地址。配置命令如下:
ip flow-export source Loopback0
Exporting NetFlow records Exporting NetFlow
这样配置是从服务器的安全角度考虑的,可以通过过滤来保护 网络流量收集--只允许从LOOPBACK地址访问指定的流量端口。


10.在日志信息方面的应用。
发送日志信息到Unix或者Windows SYSLOG 服务器。路由器发出的日志报文源地址是loopback接口,配置命令如下:
logging source-interface loopback0
这样配置是从服务器的安全角度考虑的,可以通过过滤来保护 SYSLOG服务器和代理--只允许从LOOPBACK地址访问syslog端口,从而使读/写日志变得简单,SYSLOG日志记录中只有loopback口的地址作为源地址,而不是出接口的地址。


11.在NTP中的应用用NTP(网络时间协议)使所有设备的时间取得同步,所有源于该路由器的NTP包都把Loopback地址作为源地址。配置如下:
ntp source loopback0
ntp server 169.223.1.1 source loopback 1
这样做是从NTP的安全角度着想,可以通过过滤来保护NTP系统--只允许从loopback地址来访问NTP端口。NTP将Loopback接口地址作为源地址,而不是出口地址。


12.在SNMP中的应用如果使用SNMP(简单网络管理协议),发送traps时将loopback地址作为源地址。配置命令:
snmp-server trap-source Loopback0
snmp-server host 169.223.1.1 community
这样做是为了保障服务器的安全,可以通过过滤来保护SNMP的管理系统--只允许从Loopback接口来访问SNMP端口。从而使得读/写trap信息变得简单。SNMPtraps将loopback接口地址作为源地址,而不是出口地址。


相关资源