BGP Updmte-Source
因为Loopback口只要Router还健在,则它就会一直保持Active,这样,只要BGP的Peer的Loopback口之间满足路由可达,就可以建立BGP回话,总之BGP中使用Loopback口可以提高网络的健壮性。
| Neighbor 215.17.1.35 update-source loopback 0 |
使用该接口地址作为OSPF、BGP的Router-ID,作为此路由器的唯一标识,并要求在整个自治系统内唯一,在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器优生级是在接口下手动设置的,接着才是比较OSPF的Router-ID(Router-ID的选举在这里就不多说了,PS:一台路由器启动OSPF路由协议后,将选取物理接口的最大IP地址作为其RouterID,但是如果配置Loopback接口,则从Loopback中选取IP地址最大者为RouterID。另外一旦选取RouterID,OSPF为了保证稳定性,不会轻易更改,除非作为RouterID的IP地址补删除或者OSPF被重新启动),在OSPF和BGP中的Router-ID都是可以手动在路由配置模式下设置的。
| OSPF:Router-ID *.*.*.* BGP:BGP Router-ID *.*.*.* |
无编号地址可以借用强壮的loopback口地址,来节约网络IP的地址的分配。例子:
| Interface loopback 0 Ip address 215.17.3.1 255.255.255.255 ! Interface Serial 5/0 Bandwidth 128 ip unnumbered loopback 0 |
当Router宕机,系统内存中的文件还保留着一份软件内核的备份,CISCO路由器可以被配置为向一台FTP服务器进行内核导出,作为路由器诊断和调试处理过和的一部分,可是,这种内核导出功能必须导向一台没有运行公共FTP服务器软件的系统,而是一台通过ACLS过滤(TCP地址欺骗)被重点保护的只允许路由器访问的FTP服务器。如果Loopback口地址作为Routerr的源地址,并且是相应地址块的一部分,ACLS的过滤功能很容易配置。
| Sample IOS configuration; ip ftp source-interface Loopback0 ip ftp username cisco ip ftp password 7 045802150C2E exception protocol ftp exception dunp 169.233.32.1 |
对于TFTP的安全意味着应该经常对IP源地址进行安全方面的配置,CISCO IOS软件允许TFTP服务器被配置为使用特殊的IP接口地址,基于Router的固定IP地址,将运行TFTP服务器配置固定的ACLS。
| Ip tftp source-interface Loopback0 |
路由器的Loopback口一样可以被用来对访问安全进行控制,如果从一个路由器送出的SNMP网管数据起源于Loopback口,则很容易在网络管理中心对SNMP服务器进行保护。
| Sample IOS configuration; access-list 98 permit 215.17.34.1 access-list 98 permit 215.17.34.1 access-list 98 deny any ! snmp-server conn unity 5nmc RO 98 snmp-server trap-source Loopback0 snmp-server trap-authentication snmp-server host 215.17.34.1 5nmc02m snmp-server host 215.17.1.1 5nmc02m. Wednesday,June 06,2001 |
当采用TACACS/RADIUS协议,无论是用户管理性的接入Router还是对 号用户进行认证,Router都是被配置为将Loopback口作为Router发送TACACS/RADIUS数据包的源地址,提高安全性。
| TACACS aaa new-model aaa authentication login default tacacs+ enable aaa authentication enable default tacacs+ enable aaa accounting exec start-stop tacacs+ ! ip tacacs source-interface Loopback0 tacacs-server host 215.17.1.2 tacacs-server host 215.17.34.10 tacacs-server key CKr3t# ! RADIUS tacacs-server host 215.17.1.2 auth-port 1645 acct-port 1646 tacacs-server host 215.17.34.10 auth-port 1645 acct-port 1646 ip tacacs source-interface Loopback0 ! |
从一个路由器向NentFlow 采集器传送流量数据,以实现流量分析和计费目的,将路由器的Router的Loopback地址作为路由器所有输出流量统计数据包的源地址,可以在服务器或者是服务器外围提供更精确,成本更低的过滤配置。
| Ip flow-export destination 215.17.13.1 9996 Ip flow-export source Loopback0 Ip flow-export version 5 origin-as ! Interface Fddi0/0/0 Description FDDI link to IXP Ip address 2155.18.1.10 255.255.255.0 Ip route-cache flow Ip route-cache distributed No keepalive ! |
NTP Source Interface
NTP用来保证一个网络内所有Router的时钟同步,确保误差在几毫秒之人,如果在NTP的Speaker之间采用Loopback地址作为路由器的源地址,会使得地址过滤和认证在某种程度上容易维护和实现,许多ISP希望他们的客户只与他们的客户只与ISP自己的而不是世界上其他地方的时间服务器同步。
| Clock timezone SST 8 ! access-list 5 permit 192.36.143.150 access-list 5 permit 169.233.50.14 !.Cisco ISP Essentials 39 ntp authentication-key 1234 md5 104DOOOA0618 7 ntp authenticate ntp source Loopback0 ntp update-group peer 5 ntp update-calendar ntp peer 192.36.143.150 ntp peer 169.233.50.14 ! |
系统日志服务器同样也需要在ISP骨干网络中被妥善保护。许多ISP只希望采集他们自己的而不是外面网络发磅来的昔日日志的信息。对系统日志服务器DDOS攻击并不是不知道,如果系统信息数据包的源地址来自于被很好规划了的地址空间,例如,采用路由器的Loopback口的地址,对系统日志服务器的安全配置同样会更容易。
| A configuration example; Logging buffered 16384 Logging trap debugging Logging source-interface Loopback0 Logging facility loca17 Logging 169.223.32.1 ! |
远程路由器才用Loopback口做远程接入的目标接口,这个一方面提高网络的健壮性,另一方面,如果在DNS服务器做了Router的DNS映射条目,则可以在世界上任何路由可达的地方Telne到这台Router,ISP会不断扩展,增加新的设备。
由于telnet命令使用TCP报文,会存在如下情况:路由器的某一个接口由于故障down掉下了,但是其他的接口却仍旧可以down,也就是说,到达这台路由器的TCP连接依旧丰在。所在选择的down地址必须是永远也不会down掉的,而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求,所以为了节约地址资源,loopback接口的地址通常指定为32位掩码。
DNS前向和反向转发区域文件的例子:
| ;net.galaxy zone file Net.galaxy.IN SOA ns.net.galaxy.hostmaster.net.galaxy.( 1998072901;version==date(YYYYMMDD)+serial 108800;Refresh(3 hours) 900;Retry (15 minutes) 172800;Expire (48 hours) 43200 );Miminum (12 hours) IN NS ns0.net.galaxy. IN NS nsl.net.galaxy. IN MX 10 mai10.net.galaxy. IN MX 11 mai10.net.galaxy. ; Localhost IN A 127.0.0.1 Gateway1 IN A 215.17.1.1 Gateway1 IN A 215.17.1.2 Gateway1 IN A 215.17.1.3 ; ;etc etc ;1.17.215.in-addr.arpa zone file ; 1.17.215.in-addr.arps. IN SOA ns.net.galaxy.hostmaster.net.galaxy.( 1998072901;version==date(YYYYMMDD)+serial 108800;Refresh(3 hours) 900;Retry (15 minutes) 172800;Expire (48 hours) 43200 );Miminum (12 hours) IN NS ns0.net.galaxy. IN NS nsl.net.galaxy. 1 IN PTR gateway1.net.galaxy. 2 IN PTR gateway2.net.galaxy..Wednesday,June 06,2001 2 IN PTR gateway3.net.galaxy. ; ;etc etc On the router,set the telnet source to the loopback interface: Ip telnet source-interface Loopback0 |
RCMD要求网络管理员拥有UNLX的rlogin/rsh客户端来访问路由器。某些ISP采用RCMD来捕获接口统计信息,上载或下载路由器配置文件,或者获取Router路由选择表的简易信息,Router可以被配置采用Loopback地址作为源地址,使得路由器发送的所有数据包的源地址采用Loopback地址来建立RCMD连接:
| Ip rcmd source-interface Loopback0 |
责任编辑:小草
您现在的位置: 