lookback地址

此類接口是應用最爲普遍的一種虛接口，幾乎在每臺路由器上都會使用。常 見於以下用途。 
1 做爲一臺路由器的管理地址 
系統管理員完成網絡規劃以後，爲了方便管理，會爲每一臺路由器建立一個 loopback 接口，並在該接口上單獨指定一個IP 地址做爲管理地址，管理員會使用該地址對路由器遠程登陸（telnet ），該地址實際上起到了相似設備名稱一類的功能。可是一般每臺路由器上存在衆多接口和地址，爲什麼不從當中隨便挑選一個呢？ 
緣由以下：因爲telnet 命令使用TCP 報文，會存在以下狀況：路由器的某一個接口因爲故障down 掉了，可是其餘的接口卻仍舊能夠telnet ，也就是說，到達這臺路由器的TCP 鏈接依舊存在。因此選擇的telnet 地址必須是永遠也不會down 掉的，而虛接口剛好知足此類要求。因爲此類接口沒有與對端互聯互通的需求，因此爲了節約地址資源，loopback 接口的地址一般指定爲32 位掩碼。

2 使用該接口地址做爲動態路由協議OSPF 、BGP的router id動態路由協議OSPF 、BGP 在運行過程當中須要爲該協議指定一個Router id，做爲此路由器的惟一標識，並要求在整個自治系統內惟一。因爲router id 是一個32 位的無符號整數，這一點與IP 地址十分相像。並且IP 地址是不會出現重複 
現象的，因此一般將路由器的router id 指定爲與該設備上的某個接口的地址相同。因爲loopback 接口的IP 地址一般被視爲路由器的標識，因此也就成了router id 的最佳選擇。

三、使用該接口地址做爲BGP 創建TCP 鏈接的源地址在BGP 協議中，兩個運行BGP 的路由器之間創建鄰居關係是經過TCP 創建鏈接完成的。 
在配置鄰居時一般指定loopback 接口爲創建TCP 鏈接的源地址（一般只用於IBGP ，緣由同2.1 ，都是爲了加強TCP 鏈接的健壯性） 
配置命令以下： 
router id 61.235.66.1 
interface loopback 0 
ip address 61.235.66.1 255.255.255.255 
router bgp 100 
neighbor 61.235.66.7 remote-as 200 
neighbor 61.235.66.7 update-source LoopBack0

Loop口在實際中有很是普遍的應用，這個文章是是關於Loopback口使用的大全

BGP Update-Source

由於Loopback口只要Router還健在，則它就會一直保持Active，這樣，只要BGP的Peer的Loopback口之間知足路由可達，就能夠創建BGP 回話，總之BGP中使用loopback口能夠提升網絡的健壯性。 
neighbor 215.17.1.35 update-source loopback 0

Router ID

使 用該接口地址做爲OSPF 、BGP 的Router-ID，做爲此路由器的惟一標識，並要求在整個自治系統內惟一，在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地 址。在OSPF中的路由器優先級是在接口下手動設置的，接着纔是比較OSPF的Router-ID（Router-ID的選舉在這裏就很少說了，PS：一 臺路由器啓動OSPF路由協議後，將選取物理接口的最大IP地址做爲其RouterID，可是若是配置Loopback接口，則從Loopback中選取 IP地址最大者爲RouterID。另一旦選取RouterID，OSPF爲了保證穩定性，不會輕易更改，除非做爲RouterID的IP地址被刪除或 者OSPF被從新啓動），在OSPF和BGP中的Router-ID都是能夠手動在路由配置模式下設置的。 
OSPF: Router-ID *.*.*.* 
BGP:BGP Router-ID *.*.*.*

IP Unnumbered Interfaces

無編號地址能夠借用強壯的loopback口地址，來節約網絡IP地址的分配。 
例子： 
interface loopback 0 
ip address 215.17.3.1 255.255.255.255 
! 
interface Serial 5/0 
bandwidth 128 
ip unnumbered loopback 0

Exception Dumps by FTP

當Router 宕機，系統內存中的文件還保留着一份軟件內核的備份，CISCO路由器能夠被配置爲向一臺FTP服務器進行內核導出，做爲路由器診斷和調試處理過程的一部 分，但是，這種內核導出功能必須導向一臺沒有運行公共FTP服務器軟件的系統，而是一臺經過ACLS過濾（TCP地址欺騙）被重點保護的只容許路由器訪問 的FTP服務器。若是Loopback口地址做爲Router的源地址，而且是相應地址塊的一部分，ACLS的過濾功能很容易配置。 
  
Sample IOS configuration: 
ip ftp source-interface Loopback0 
ip ftp username cisco 
ip ftp password 7 045802150C2E 
exception protocol ftp 
exception dump 169.223.32.1

TFTP-SERVER Access

對於TFTP的安全意味着應該常常對IP源地址進行安全方面的配置，CISCO IOS軟件容許TFTP服務器被配置爲使用特殊的IP接口地址，基於Router的固定IP地址，將運行TFTP服務器配置固定的ACLS. 
ip tftp source-interface Loopback0

SNMP-SERVER Access

路由器的Loopback口同樣能夠被用來對訪問安全進行控制，若是從一個路由器送出的SNMP網管數據起源於Loopback口，則很容易在網絡管理中心對SNMP服務器進行保護 
Sample IOS configuration: 
access-list 98 permit 215.17.34.1 
access-list 98 permit 215.17.1.1 
access-list 98 deny any 
! 
snmp-server community 5nmc02m RO 98 
snmp-server trap-source Loopback0 
snmp-server trap-authentication 
snmp-server host 215.17.34.1 5nmc02m 
snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001

TACACS/RADIUS-Server Source Interface

當採用TACACS/RADIUS協議，不管是用戶管理性的接入Router仍是對撥號用戶進行認證，Router都是被配置爲將Loopback口做爲Router發送TACACS/RADIUS數據包的源地址，提升安全性。 
TACACS 
aaa new-model 
aaa authentication login default tacacs+ enable 
aaa authentication enable default tacacs+ enable 
aaa accounting exec start-stop tacacs+ 
! 
ip tacacs source-interface Loopback0 
tacacs-server host 215.17.1.2 
tacacs-server host 215.17.34.10 
tacacs-server key CKr3t# 
! 
RADIUS 
radius-server host 215.17.1.2 auth-port 1645 acct-port 1646 
radius-server host 215.17.34.10 auth-port 1645 acct-port 1646 
ip radius source-interface Loopback0 
!

NetFlow Flow-Export

從一個路由器向NetFlow採集器傳送流量數據，以實現流量分析和計費目的，將路由器的Router的Loopback地址做爲路由器全部輸出流量統計數據包的源地址，能夠在服務器或者是服務器外圍提供更精確，成本更低的過濾配置。 
ip flow-export destination 215.17.13.1 9996 
ip flow-export source Loopback0 
ip flow-export version 5 origin-as 
! 
interface Fddi0/0/0 
description FDDI link to IXP 
ip address 215.18.1.10 255.255.255.0 
ip route-cache flow 
ip route-cache distributed 
no keepalive 
! 
FDDDI 0/0/0 接口被配置成爲進行流量採集。路由器被配置爲輸出第五版本類型的流量信息到IP地址爲215.17.13.1的主機上，採用UDP協議，端口號9996，統計數據包的源地址採用Router的Loopback地址。

NTP Source Interface

NTP 用來保證一個網絡內全部Rdouter的時鐘同步，確保偏差在幾毫秒以內，若是在NTP的Speaker之間採用Loopback地址做爲路由器的源地 址，會使得地址過濾和認證在某種程度上容易維護和實現，許多ISP但願他們的客戶只與他們的客戶只與ISP本身的而不是世界上其餘地方的時間服務器同步。 
clock timezone SST 8 
! 
access-list 5 permit 192.36.143.150 
access-list 5 permit 169.223.50.14 
!.Cisco ISP Essentials 
39 
ntp authentication-key 1234 md5 104D000A0618 7 
ntp authenticate 
ntp trusted-key 1234 
ntp source Loopback0 
ntp access-group peer 5 
ntp update-calendar 
ntp peer 192.36.143.150 
ntp peer 169.223.50.14 
!

SYSLOG Source Interface

系 統日誌服務器一樣也須要在ISP骨幹網絡中被妥善保護。許多ISP只但願採集他們本身的而不是外面網絡發送來的昔日日誌信息。對系統日誌服務器的DDOS 攻擊並非不知道，若是系統信息數據包的源地址來自於被很好規劃了的地址空間，例如，採用路由器的Loopback口地址，對系統日誌服務器的安全配置同 樣會更容易。 
A configuration example: 
logging buffered 16384 
logging trap debugging 
logging source-interface Loopback0 
logging facility local7 
logging 169.223.32.1 
!

Telnet to the Router

遠程路由器才用Loopback口作遠程接入的目標接口，這個一方面提升網絡的健壯性，另外一方面，若是在DNS服務器作了Router的DNS映射條目，則能夠在世界上任何路由可達的地方Telnet到這臺Router，ISP會不斷擴展，增長新的設備 
  
由 於telnet 命令使用TCP 報文，會存在以下狀況：路由器的某一個接口因爲故障down 掉了，可是其餘的接口卻仍舊能夠telnet ，也就是說，到達這臺路由器的TCP 鏈接依舊存在。因此選擇的telnet 地址必須是永遠也不會down 掉的，而虛接口剛好知足此類要求。因爲此類接口沒有與對端互聯互通的需求，因此爲了節約地址資源，loopback 接口的地址一般指定爲32 位掩碼。

DNS前向和反向轉發區域文件的例子： 
; net.galaxy zone file 
net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. ( 
1998072901 ; version == date(YYYYMMDD)+serial 
10800 ; Refresh (3 hours) 
900 ; Retry (15 minutes) 
172800 ; Expire (48 hours) 
43200 ) ; Mimimum (12 hours) 
IN NS ns0.net.galaxy. 
IN NS ns1.net.galaxy. 
IN MX 10 mail0.net.galaxy. 
IN MX 20 mail1.net.galaxy. 
; 
localhost IN A 127.0.0.1 
gateway1 IN A 215.17.1.1 
gateway2 IN A 215.17.1.2 
gateway3 IN A 215.17.1.3 
; 
;etc etc 
; 1.17.215.in-addr.arpa zone file 
; 
1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. ( 
1998072901 ; version == date(YYYYMMDD)+serial 
10800 ; Refresh (3 hours) 
900 ; Retry (15 minutes) 
172800 ; Expire (48 hours) 
43200 ) ; Mimimum (12 hours) 
IN NS ns0.net.galaxy. 
IN NS ns1.net.galaxy. 
1 IN PTR gateway1.net.galaxy. 
2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001 
3 IN PTR gateway3.net.galaxy. 
; 
;etc etc 
On the router, set the telnet source to the loopback interface: 
ip telnet source-interface Loopback0

RCMD to the router

RCMD 要求網絡管理員擁有UNIX的rlogin/rsh客戶端來訪問路由器。某些ISP採用RCMD來捕獲接口統計信息，上載或下載路由器配置文件，或者獲取 Router路由選擇表的簡易信息，Router能夠被配置採用Loopback地址做爲源地址，使得路由器發送的全部數據包的源地址都採用 Loopback地址來創建RCMD鏈接： ip rcmd source-interface Loopback0