但是通常每臺路由器上存在眾多接口和地址，為何不從當中隨便挑選一個呢？ 原因如下：由于telnet 命令使用TCP 報文，會存在如下情況：路由器的某一個接口由于故障down 掉了，但是其他的接口卻仍舊可以telnet ，也就是說，到達這臺路由器的TCP 連接依舊存在。所以選擇的telnet 地址必須是永遠也不會down 掉的，而虛接口恰好滿足此類要求。由于此類接口沒有與對端互聯互通的需求，所以為了節約地址資源，loopback 接口的地址通常指定為32 位掩碼。

　　2 、使用該接口地址作為動態路由協議OSPF 、BGP 的router id

　　動態路由協議OSPF 、BGP 在運行過程中需要為該協議指定一個Router id ，作為此路由器的唯一標識，并要求在整個自治系統內唯一。由于router id 是一個32 位的無符號整數，這一點與IP 地址十分相像。而且IP 地址是不會出現重復現象的，所以通常將路由器的router id 指定為與該設備上的某個接口的地址相同。由于loopback 接口的IP 地址通常被視為路由器的標識，所以也就成了router id 的 佳選擇。

　　3、使用該接口地址作為BGP 建立TCP 連接的源地址

　　在BGP 協議中，兩個運行BGP 的路由器之間建立鄰居關系是通過TCP 建立連接完成的。

　　在配置鄰居時通常指定loopback 接口為建立TCP 連接的源地址（通常只用于IBGP ，原因同2.1 ，都是為了增強TCP 連接的健壯性）配置命令如下：

　　router id 61.235.66.1

　　interface loopback 0

　　ip address 61.235.66.1 255.255.255.255

　　router bgp 100

　　neighbor 61.235.66.7 remote-as 200

　　neighbor 61.235.66.7 update-source LoopBack0

　　另：

　　Loopback0作用匯總

　　BGP Update-Source

　　因為Loopback口只要Router還健在，則它就會一直保持Active，這樣，只要BGP的Peer的Loopback口之間滿足路由可達，就可以建立BGP 回話，總之BGP中使用loopback口可以提高網絡的健壯性。

　　neighbor 215.17.1.35 update-source loopback 0

　　Router ID

　　使用該接口地址作為OSPF 、BGP 的Router-ID，作為此路由器的唯一標識，并要求在整個自治系統內唯一，在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器優先級是在接口下手動設置的，接著才是比較OSPF的Router-ID（Router-ID的選舉在這里就不多說了，PS：一臺路由器啟動OSPF路由協議后，將選取物理接口的 大IP地址作為其RouterID，但是如果配置Loopback接口，則從Loopback中選取IP地址 大者為RouterID。另外一旦選取RouterID，OSPF為了保證穩定性，不會輕易更改，除非作為RouterID的IP地址被刪除或者OSPF被重新啟動），在OSPF和BGP中的Router-ID都是可以手動在路由配置模式下設置的。

　　OSPF: Router-ID *.*.*.*

　　BGP:BGP Router-ID *.*.*.*

　　IP Unnumbered Interfaces

　　無編號地址可以借用強壯的loopback口地址，來節約網絡IP地址的分配。

　　例子：

　　interface loopback 0

　　ip address 215.17.3.1 255.255.255.255

　　!

　　interface Serial 5/0

　　bandwidth 128

　　ip unnumbered loopback 0

　　Exception Dumps by FTP

　　當Router 宕機，系統內存中的文件還保留著一份軟件內核的備份，CISCO路由器可以被配置為向一臺FTP服務器進行內核導出，作為路由器診斷和調試處理過程的一部分，可是，這種內核導出功能必須導向一臺沒有運行公共FTP服務器軟件的系統，而是一臺通過ACLS過濾（TCP地址欺騙）被重點保護的只允許路由器訪問的FTP服務器。如果Loopback口地址作為Router的源地址，并且是相應地址塊的一部分，ACLS的過濾功能很容易配置。

　　Sample IOS configuration:

　　ip ftp source-interface Loopback0

　　ip ftp username cisco

　　ip ftp password 7 045802150C2E

　　exception protocol ftp

　　exception dump 169.223.32.1

　　TFTP-SERVER ACCess

　　對于TFTP的安全意味著應該經常對IP源地址進行安全方面的配置，CISCO IOS軟件允許TFTP服務器被配置為使用特殊的IP接口地址，基于Router的固定IP地址，將運行TFTP服務器配置固定的ACLS.

　　ip tftp source-interface Loopback0

　　SNMP-SERVER Access

　　路由器的Loopback口一樣可以被用來對訪問安全進行控制，如果從一個路由器送出的SNMP網管數據起源于Loopback口，則很容易在網絡管理中心對SNMP服務器進行保護

　　Sample IOS configuration:

　　access-list 98 permit 215.17.34.1

　　access-list 98 permit 215.17.1.1

　　access-list 98 deny any

　　!

　　snmp-server community 5nmc02m RO 98

　　snmp-server trap-source Loopback0

　　snmp-server trap-authentICation

　　snmp-server host 215.17.34.1 5nmc02m

　　snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001

　　TACACS/RADIUS-Server Source Interface

　　當采用TACACS/RADIUS協議，無論是用戶管理性的接入Router還是對撥號用戶進行認證，Router都是被配置為將Loopback口作為Router發送TACACS/RADIUS數據包的源地址，提高安全性。

　　TACACS

　　aaa new-model

　　aaa authentication login default tacacs+ enable

　　aaa authentication enable default tacacs+ enable

　　aaa accounting exec start-stop tacacs+

　　!

　　ip tacacs source-interface Loopback0

　　tacacs-server host 215.17.1.2

　　tacacs-server host 215.17.34.10

　　tacacs-server key CKr3t#

　　!

　　RADIUS

　　radius-server host 215.17.1.2 auth-port 1645 acct-port 1646

　　radius-server host 215.17.34.10 auth-port 1645 acct-port 1646

　　ip radius source-interface Loopback0

　　!

　　NetFlow Flow-Export

　　從一個路由器向NetFlow采集器傳送流量數據，以實現流量分析和計費目的，將路由器的Router的Loopback地址作為路由器所有輸出流量統計數據包的源地址，可以在服務器(server網絡資源下載)或者是服務器(server網絡資源下載)外圍提供更精確，成本更低的過濾配置。

　　ip flow-export destination 215.17.13.1 9996

　　ip flow-export source Loopback0

　　ip flow-export version 5 origin-as

　　!

　　interface Fddi0/0/0

　　description FDDI link to IXP

　　ip address 215.18.1.10 255.255.255.0

　　ip route-cache flow

　　ip route-cache distributed

　　no keepalive

　　!

　　FDDDI 0/0/0 接口被配置成為進行流量采集。路由器被配置為輸出第五版本類型的流量信息到IP地址為215.17.13.1的主機上，采用UDP協議，端口號9996，統計數據包的源地址采用Router的Loopback地址。

　　NTP Source Interface

　　NTP用來保證一個網絡內所有Rdouter的時鐘同步，確保誤差在幾毫秒之內，如果在NTP的Speaker之間采用Loopback地址作為路由器的源地址，會使得地址過濾和認證在某種程度上容易維護和實現，許多ISP希望他們的客戶只與他們的客戶只與ISP自己的而不是世界上其他地方的時間服務器(server網絡資源下載)同步。

　　cLOCk timezone SST 8

　　!

　　access-list 5 permit 192.36.143.150

　　access-list 5 permit 169.223.50.14

　　!.Cisco ISP Essentials

　　39

　　ntp authentication-key 1234 md5 104D000A0618 7

　　ntp authenticate

　　ntp trusted-key 1234

　　ntp source Loopback0

　　ntp access-group peer 5

　　ntp update-calendar

　　ntp peer 192.36.143.150

　　ntp peer 169.223.50.14

　　!

　　SYSLOG Source Interface

　　系統日志服務器(server網絡資源下載)同樣也需要在ISP骨干網絡中被妥善保護。許多ISP只希望采集他們自己的而不是外面網絡發送來的昔日日志信息。對系統日志服務器(server網絡資源下載)的DDOS攻擊并不是不知道，如果系統信息數據包的源地址來自于被很好規劃了的地址空間，例如，采用路由器的Loopback口地址，對系統日志服務器(server網絡資源下載)的安全配置同樣會更容易。

　　A configuration example:

　　logging buffered 16384

　　logging trap debugging

　　logging source-interface Loopback0

　　logging facility local7

　　logging 169.223.32.1

　　!

　　Telnet to the Router

　　遠程路由器才用Loopback口做遠程接入的目標接口，這個一方面提高網絡的健壯性，另一方面，如果在DNS服務器做了Router的DNS映射條目，則可以在世界上任何路由可達的地方Telnet到這臺Router，ISP會不斷擴展，增加新的設備

　　由于telnet 命令使用TCP 報文，會存在如下情況：路由器的某一個接口由于故障down 掉了，但是其他的接口卻仍舊可以telnet ，也就是說，到達這臺路由器的TCP 連接依舊存在。所以選擇的telnet 地址必須是永遠也不會down 掉的，而虛接口恰好滿足此類要求。由于此類接口沒有與對端互聯互通的需求，所以為了節約地址資源，loopback 接口的地址通常指定為32 位掩碼。

　　DNS前向和反向轉發區域文件的例子：

　　; net.galaxy zone file

　　net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (

　　1998072901 ; version == date(YYYYMMDD)+serial

　　10800 ; Refresh (3 hours)

　　900 ; Retry (15 minutes)

　　172800 ; Expire (48 hours)

　　43200 ) ; Mimimum (12 hours)

　　IN NS ns0.net.galaxy.

　　IN NS ns1.net.galaxy.

　　IN MX 10 mail0.net.galaxy.

　　IN MX 20 mail1.net.galaxy.

　　;

　　localhost IN A 127.0.0.1

　　gateway1 IN A 215.17.1.1

　　gateway2 IN A 215.17.1.2

　　gateway3 IN A 215.17.1.3

　　;

　　;etc etc

　　; 1.17.215.in-addr.arpa zone file

　　;

　　1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (

　　1998072901 ; version == date(YYYYMMDD)+serial

　　10800 ; Refresh (3 hours)

　　900 ; Retry (15 minutes)

　　172800 ; Expire (48 hours)

　　43200 ) ; Mimimum (12 hours)

　　IN NS ns0.net.galaxy.

　　IN NS ns1.net.galaxy.

　　1 IN PTR gateway1.net.galaxy.

　　2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001

　　3 IN PTR gateway3.net.galaxy.

　　;

　　;etc etc

　　On the router, set the telnet source to the loopback interface:

　　ip telnet source-interface Loopback0

　　RCMD to the router

　　RCMD 要求網絡管理員擁有UNIX的rlogin/rsh客戶端來訪問路由器。某些ISP采用RCMD來捕獲接口統計信息，上載或下載路由器配置文件，或者獲取Router路由選擇表的簡易信息，Router可以被配置采用Loopback地址作為源地址，使得路由器發送的所有數據包的源地址都采用Loopback地址來建立RCMD連接：

　　ip rcmd source-interface Loopback0

相關文章

• 上一篇： 淺談電腦一體機的概況
• 下一篇： 電腦XP系統的優勢