路由器Loopback口的作用汇总

1、路由器Loopback 口的作用汇总  Loop 口在实际中有非常广泛的应用，这个文章是是关于Loopback 口使用的大全。   BGP Update-SourceRouter IDIP Unnumbered Interfaces无编号地址可以借用强壮的loopback 口地址，来节约网络IP 地址的分配。例子： interface loopback 0!interface Serial 5/0bandwidth 128ip unnumbered loopback 0Exception Dumps by FTP当Router 宕机，系统内存中的文件还保

2、留着一份软件内核的备份，CISCO路由器可以被配置为向一台FTP 服务器进行内核导出，作为路由器诊断和调试处理过程的一部 分，可是，这种内核导出功能必须导向一台没有运行公共FTP 服务器软件的系统，而是一台通过ACLS 过滤（TCP地址欺骗）被重点保护的只允许路由器访问 的FTP 服务器。如果Loopback 口地址作为Router 的源地址，并且是相应地址块的一部分，ACLS的过滤功能很容易配置。 Sample IOS configuration:ip ftp source-interface Loopback0ip ftp username ciscoip ftp password 7 0

3、45802150C2Eexception protocol ftpTFTP SERVER  Access   对于TFTP 的安全意味着应该经常对IP 源地址进行安全方面的配置，CISCO IOS 软件允许TFTP 服务器被配置为使用特殊的IP 接口地址，基于Router 的固定IP 地址，将运行TFTP 服务器配置固定的ACLS.ip tftp source-interface Loopback0SNMP-SERVER Access路由器的Loopback 口一样可以被用来对访问安全进行控制，如果从一个路由器送出的SNMP 网管数据起源于Loopback 口，则

4、很容易在网络管理中心对SNMP 服务器进行保护。 Sample IOS configuration:access-list 98 deny any!snmp-server community 5nmc02m RO 98snmp-server trap-source Loopback0snmp-server trap-authentication2001TACACS/RADIUS-Server Source Interface当采用TACACS/RADIUS协议，无论是用户管理性的接入Router 还是对拨号用户进行认证，Router都是被配置为将Loopback 口作为Router 发送TAC

5、ACS/RADIUS数据包的源地址，提高安全性。TACACSaaa new-modelaaa authentication login default tacacs+ enableaaa authentication enable default tacacs+ enableaaa accounting exec start-stop tacacs+!ip tacacs source-interface Loopback0tacacs-server key CKr3t#!RADIUS16461646ip radius source-interface Loopback0!NetFlow

6、60;Flow Export   从一个路由器向NetFlow 采集器传送流量数据，以实现流量分析和计费目的，将路由器的Router 的Loopback 地址作为路由器所有输出流量统计数据包的源地址，可以在服务器或者是服务器外围提供更精确，成本更低的过滤配置。ip flow-export source Loopback0ip flow-export version 5 origin-as!interface Fddi0/0/0description FDDI link to IXPip route-cache flowip route-cache distributedno

7、 keepalive!NTP Source InterfaceNTP 用来保证一个网络内所有 Rdouter的时钟同步，确保误差在几毫秒之内，如果在NTP 的Speaker 之间采用Loopback 地址作为路由器的源地址，会使得地址过滤和认证 在某种程度上容易维护和实现，许多ISP 希望他们的客户只与他们的客户只与ISP 自己的而不是世界上其他地方的时间服务器同步。clock timezone SST 8!.Cisco ISP Essentials39ntp authentication-key 1234 md5 104D000A0618 7ntp authenticatentp trust

8、ed-key 1234ntp source Loopback0ntp access-group peer 5ntp update-calendar!SYSLOG Source Interface系统日志服务器同样也需要在ISP 骨干网络中被妥善保护。许多ISP 只希望采集他们自己的而不是外面网络发送来的昔日日志信息。对系统日志服务 器的DDOS 攻击并不是不知道，如果系统信息数据包的源地址来自于被很好规划了的地址空间，例如，采用路由器的Loopback 口地址，对系统日志服务器 的安全配置同样会更容易。A configuration example:logging buffered 16384

9、logging trap debugginglogging source-interface Loopback0logging facility local7!Telnet  to  the  Router   远程路由器才用Loopback 口做远程接入的目标接口，这个一方面提高网络的健壮性，另一方面，如果在DNS 服务器做了Router 的DNS 映射条目，则可以在世界上任何路由可达的地方Telnet 到这台Router，ISP会不断扩展，增加新的设备。由于telnet 命令使用TCP 报文，会存在如下情况：路由器的某一个接口由于故障dow

10、n 掉了，但是其他的接口却仍旧可以telnet ，也就是说，到达这台路由器的TCP 连接依旧存在。所以选择的telnet 地址必须是永远也不会down 掉的，而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求，所以为了节约地址资源，loopback 接口的地址通常指定为32 位掩码。 DNS 前向和反向转发区域文件的例子：; net.galaxy zone file(1998072901 ; version = date(YYYYMMDD+serial10800 ; Refresh (3 hours900 ; Retry (15 minutes172800 ; Expire (48

11、 hours43200 ; Mimimum (12 hours;etc etc;1998072901 ; version = date(YYYYMMDD+serial10800 ; Refresh (3 hours900 ; Retry (15 minutes172800 ; Expire (48 hours43200 ; Mimimum (12 hours;etc etcOn the router, set the telnet source to the loopbackinterface:ip telnet source-interface Loopback0RCMD to the routerRCMD 要求网络管理员拥有UNIX 的rlogin/rsh客户端来访问路由器。