收藏
下载资源

Loopback接口简介

上传人:宝路 文档编号:2733848 上传时间:2017-07-27 格式:DOC 页数:5 大小:46.50KB
返回 下载 相关 举报
Loopback接口简介_第1页
第1页 / 共5页
Loopback接口简介_第2页
第2页 / 共5页
Loopback接口简介_第3页
第3页 / 共5页
Loopback接口简介_第4页
第4页 / 共5页
Loopback接口简介_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《Loopback接口简介》由会员分享,可在线阅读,更多相关《Loopback接口简介(5页珍藏版)》请在金锄头文库上搜索。

1、Loopback 接口Loopback接口是虚拟 接口,大多数平台都支持使用这种接口来模拟真正的接口。这样做的好处是虚拟接口不会像物理接口那样因为各种因素的影响而导致接口被关闭。事实上,将 Loopback 接口和其他物理接口相比较,可以发现 Loopback 接口有以下几条优点:Loopback 接口状态永远是 up 的,即使没有配置地址。这是它的一个非常重要的特性。Loopback 接口可以配置地址,而且可以配置全 1 的掩码-这样做可以节省宝贵的地址空间。Loopback 接口不能封装任何链路层协议。对于目的地址不是 loopback 口,下一跳接口是loopback 口的报文,路由器会

2、将其丢弃。对于 CISCO 路由器来说,可以配置no ip unreachable 命令,来设置是否发送icmp 不可达报文,对于 VRP来说,没有这条命令,缺省不发送icmp 不可达报文 。Loopback接口的应用基于以上所述,决定了 Loopback 接口可以广泛应用在各个方面。其中最主要的应用就是:路由器使用 loopback 接口地址作为该路由器产生的所有 IP 包的源地址,这样使过滤通信量变得非常简单。在远程访问中的应用使用 telnet 实现远程访问。配置 telnet,使从该路由器 始发的报文使用的源地址是 loopback地址。配置命令如下:ip telnet source-

3、interface Loopback0使用 RCMD实现远程访问。配置 RCMD,使从该路由器始发的报文使用的源地址是 loopback 地址。配置命令如下:ip rcmd source-interface Loopback0在安全方面的应用在 TACACS+中的应用。配置 TACACS+,使从该路由器始发的报文使用的源地址是 loopback 地址。配置命令如下:ip tacacs source-interface Loopback0tacacs-server host 215.17.1.1可以通过过滤来保护 TACACS+服务器-只允许从LOOPBACK 地址访问 TACACS+端口,从而

4、使读/写日志变得简单,TACACS+ 日志纪录中只有 loopback 口的地址,而没有出接口的地址。在 RADIUS用户验证中的应用。配置 RADIUS, 使从该路由器始发的报文使用的源地址是 loopback 地址。配置命令如下:ip radius source-interface Loopback0radius-server host 215.17.1.1auth-port 1645 acct-port 1646这样配置是从服务器的安全角度考虑的,可以通过过滤来保护 RADIUS 服务器和代理-只允许从 LOOPBACK 地址访问 RADIUS 端口,从而使读/写日志变得简单,RADIU

5、S日志纪录中只有 loopback口的地址,而没有出接 口的地址。在纪录信息方面的应用输出网络流量纪录。配置网络流量输出,使从该路由器始发的报文使用的源地址是 loopback 地址。配置命令如下:ip flow-export source Loopback0Exporting NetFlow records Exporting NetFlow 这样配置是从服务器的安全角度考虑的,可以通过过滤来保护 网络流量收集-只允许从LOOPBACK 地址访问指定的流量端口。日志信息方面。发送日志信息到 Unix或者 Windows SYSLOG 服务器。路由器发出的日志报文源地址是loopback 接口

6、,配置命令如下:logging source-interface loopback0这样配置是从服务器的安全角度考虑的,可以通过过滤来保护 SYSLOG 服务器和代理-只允许从 LOOPBACK 地址访问 syslog 端口 ,从而使读/ 写日志变得简单,SYSLOG日志纪录中 只有 loopback口的地址作为源地址,而不是出接口的地址。在 NTP中的应用用 NTP(网络时间协议)使所有设备的时间取得同步, 所有源于该路由器的 NTP包都把Loopback 地址作为源地址。配置如下:ntp source loopback0ntp server 169.223.1.1 source loopb

7、ack 1这样做是从 NTP 的安全角度着想,可以通过过滤来保护 NTP 系统-只允许从loopback 地址来访问 NTP 端口。NTP 将 Loopback 接口地址作为源地址,而不是出口地址。在 SNMP中的应用如果使用 SNMP(简单网络管理 协议),发送 traps 时将 loopback 地址作为源地址。配置命令:snmp-server trap-source Loopback0snmp-server host 169.223.1.1 community这样做是为了保障服务器的安全,可以通过过滤来保护 SNMP 的管理系统-只允许从 Loopback接口来访问 SNMP 端口。从而

8、使得读/写 trap 信息变得简单。SNMP traps将 loopback 接口地址作为源地址,而不是出口地址。在 Core Dumps 中的应用如果系统崩溃,有 Core dump 特性的路由器能够将内存的映像上传到指定的 FTP服务器。配置Core dumps使用 loopback地址作为源 地址。配置命令如下:ip ftp source-interface loopback 0exception protocol ftpexception dump 169.223.32.1这样的做的好处是保证了 Core Dump FTP 服务器的安全,通过过滤能够保护用于core dumps 的FT

9、P 服务器-只允许从 loopback地址访问 FTP 端口。这个 FTP 服务器必须是不可见 的。在 TFTP 中的 应用通过TFTP 从 TFTP 服务器配置路 由器,可以将路由器的配置保存在TFTP 服务器,配置TFTP, 将 loopback 地址作为源于该路由器的 包的源地址。配置命令如下:ip tftp source-interface Loopback0这样做对 TFTP 服务器的安全是很有好处的:通过过滤来保护存储配置和 IOS映像的 TFTP 服务器 -只允许从 loopback 地址来访问 TFTP 端口,TFTP 服务器必须是不可见的。在 IP unnumbered 中的

10、应用应用 IP Unnumbered 在点到点链路上就不需要再配置地址了。配置举例:interface loopback 0ip address 215.17.3.1 255.255.255.255interface Serial 5/0ip unnumbered loopback 0ip route 215.34.10.0 255.255.252.0 Serial 5/0在 Router ID 中的应用如果 loopback 接口存在、有 IP 地址,在路由协议中就会将其用作 Router ID,这样比较稳定-loo pback接口一直都是 up 的。如果 loopback 接口不存在、或者

11、没有 IP 地址,Rout er ID就是最高的IP 地址,这样就比较危险-只要是物理地址就有可能down 掉。对于 CISCO 来说,Router ID 是不能配置的,对于 VRP 来说,Rout er ID可以配置,那麽我们也可以将 Loopback 接口地址配成 Router ID。配置BGP在IBGP 配置中使用 loopback 接口,可以使会话一直进行,即使通往外部的接口关闭了也不会停止。配置举例:interface loopback 0ip address 215.17.1.34 255.255.255.255router bgp 200neighbor 215.17.1.35

12、remote-as 200neighbor update-source loopback 0Null0 接口Null0 接口简介Null0 口是个伪接口(pseudo-inte rface),不能配地址,也不 能被封装,它总是 up的,但从不转发或接收任何通信量。Null0 的配置命令为指定空接口,在全局配置模式下使用下面命令:interface null 0任何命令,只要有接口类型这个参数的都可以使用null0接口。 对于 CISCO 路由器来说,Null 接口唯一一条配置命令是no ip unrechable,该命令的作用是设置是否发送 icmp不可达报文,对于 VRP 来说,没有这条命令

13、,缺省不发送 icmp不可达报文 。 Null0 接口的应用Null0接口从不转发或接收任何通信量,对于所有发 到该接口的通信量都直接丢弃,由于它的这个特征,使它被广泛应用。防止路由环null 接口最典型的使用是用来防止路由环。例如,EIGRP 在聚合一组路由时,总是创建一条到 NULL 接口的路由。举例如下:如图所示,一台 CISCO AS5200 通过 ISDN为多个远端站点路由器提供接入服务。在 ISDN 连接期间通过 RADIUS 创建到远端局域网的路由。在 CISCO AS5200 有一条到网关路由器的静态路由,网关路由器通过 CISCO AS5200 有静态路由到远端局域网,还有到

14、 Internet 的连接。当 ISDN 连接 down 掉时,从 Internet向远端站点传送的包就 会走静态路由到CISCO AS5200,而 CISCO AS5200 会将流量再返回 给网关路由器- 因为CISCO AS5200 已经没有到远端局域网的路由了。网关路由器再将包发给 CISCO AS5200。这个过程会一直重复到TTL 计数器超时。由 此产生的“ 包洪水”会使 CPU极为繁忙,利用率达到 98%以上,从而使远端路由器不能再建连接,直到“风暴” 停止。配置下一跳是 null0,目的地址是远端局域网的浮动静态路由命令如下:ip route 192.168.10.0 255.2

15、55.255.0 Null0 200 除非 ISDN 连接是 UP 的, 否则从网关转发到 Cisco AS5200的包会被丢弃。如果连接是 UP 的,通过 RADIUS 会创建一条更优的路由,流量也会正常。CPU的负担会骤然降低,路由器能够正常工作。用于安全方面null0 接口提供了过滤通信量的一个可选的方法,可以通过将不想要的通信量引到空接口,来避免过分涉及访问列表的使用。下面对访问列表和 null0 做一下比较。null0 和访问列表都可以用于过滤通信量,这两种用法相比,各有裨益。1、使用 null0 配置简单,只要将不想要的通信量的下一跳接口配制成 null0 就可以了,当路由器收到报

16、文时,直接查找转发表,发现下一跳是 null0,不做任何处理,直接丢弃。而如果使用访问列表,首先要配置规则,然后将它应用到接口,当路由器收到报文时,要首先查找访问列表的队列,如果是 deny 的,就直接扔掉,如果是 permit 的,还要查找 转发表。所以对比起来,应用 null0 效率要高,速度要快。举例如下:某路由器不希望收到目的是 131.1.0.0/16 的通信量。用 null0 实现,只要配置 ip route 131.1.0.0 255.255.0.0 null 0就可以了。如果用访问列表实现,就要先配置一条 acl规则如下:access-list 100 deny any 131.1.0.0 0.0.255.255,然后将这条规则在路由器的所有接口上应用。2、null0不能细化通信量,它面向的对象是整个路由器,而访问列表是可以面向接口的,如果细致到面向接口的通信量,null0 就不能做到了。举例如下:某路由器不希望在接口 s3/1/0 收到目的是 131.1.0.0/16 的通信量。用 n

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号