一般主机环回接口和路由环回接口

 

第

1

页

 

 

一般主机的环回地址

 

127.0.0.0

网段，

留做本机网卡测试的。

ping

通证明网卡正常。

环回地址

(loopback)

不离开主机的数据包

(

也就是说，这些数据包不会通过外部网络接口

)

。例

如

:127.0.0.1

，需要注意的是，它是一个虚拟地址。是

IP

地址

中内部的一种。

  

 

 

有一特殊的

A

类

IP

地址，网络地址是

127

，这类地址称作环回地址。但是我们经

常使用的是

127.0.0.1

这个地址，且赋给它一个名字：

localhost

。

  

 

 

使用环回地址，可以帮助我们在同一台主机上实现

client

和

server

的功能。传

给自己的数据报，能否省略一些传输层和所有网络层逻辑？

  

 

 

在

TCP/IP 

Illustration

中说到对于大多数的实现，在网络层和传输层还是要经

过完整的处理过程，

  

 

 

只有在

IP

数据报离开网络层的时候才返回给自己。

  

 

 

在路由器动态路由协议

OSPF

协议中，

也用到环回地址。

当

OSPF

进程启动时，

IOS

（路由器命令提示）

使用最高的本地

IP

地址作为

OSPF

路由器

ID

，

但如果配置为环回

接口配置

IP

地址，会将使用该环回接口，而不论它的值是大或是小。

 

 

 

路由器的环回地址：

 

本地环回接口

(

或地址

)

，亦称回送地址

(loopbackaddress)

。

此类接口是应用最为广泛

的一种虚接口，几乎在每台路由器上都会使用，

本地环回接口

-

常见用途：

 

1

作为一台

路由器

的管理地址

 

系统管理员完成网络规划之后，为了方便管理，会为每一台路由器创建一个

loopback

接口，并在该接口上单独指定一个

IP

地址作为管理地址，管理员会使用该地址对路由器远

程登录（

telnet

）

，该地址实际上起到了类似设备名称一类的功能。

但是通常每台路由器上

 

第

2

页

 

存在众多接口和地址，为何不从当中随便挑选一个呢

  

 

使用

loopback

接口地址进行地址转换

？

 

 

原因如下：由于

telnet

命令使用

TCP

报文

，会存在如下情况：路由器的某一个接口由

于故障

down

掉了，但是其他的接口却仍旧可以

telnet

，也就是说，到达这台路由器的

TCP

连接依旧存在。

所以选择的

telnet

地址必须是永远也不会

down

掉的，

而虚接口恰好满足此

类要求。由于此类接口没有与对端互联互通的需求，所以为了节约地址资源，

loopback

接

口的地址通常指定为

32

位掩码。

 

2

使用该接口地址作为动态路由协议

OSPF

、

BGP

的

routerid

动态路由协议

OSPF

、

BGP

在

运

行

过

程

中

需

要

为

该

协

议

指

定

一

个

Routerid 

作为此路由器的唯一标识，并要求在整个自治系统内唯一。由于

routerid

是一个

32

位的无符号整数，

这一点与

IP

地址十分相像。

而且

IP

地址是不会出现重复现象的，

所以通

常将路由器的

routerid

指定为与该设备上的某个接口的地址相同。由于

loopback

接口的

IP

地址通常被视为路由器的标识，所以也就成了

routerid

的最佳选择。

 

3

、使用该接口地址作为

BGP

建立

TCP

连接的源地址

 

在

BGP

协议中，两个运行

BGP

的路由器之间建立邻居关系是通过

TCP

建立连接完成的。

 

在配置邻居时通常指定

loopback

接口为建立

TCP

连接的源地址（通常只用于

IBGP

，原因同

2.1

，都是为了增强

TCP

连接的健壮性）

 

 

第

3

页

 

配置命令如下：

 

routerid61.235.66.1 

interfaceloopback0 

ipaddress61.235.66.1255.255.255.255 

routerbgp100 

neighbor61.235.66.7remote-as200 

neighbor61.235.66.7update-sourceLoopBack0 

4

、在

Windows

系统中，采用

127.0.0.1

作为本地环回地址。

 

5

、

BGPUpdate-Source 

因为

Loopback

口只要

Router

还健在，则它就会一直保持

Active

，这样，只要

BGP

的

Peer

的

Loopback

口之间满足路由可达，

就可以建立

BGP

回话，

总之

BGP

中使用

loopback

口可以

提高网络的健壮性。

 

neighbor215.17.1.35update-sourceloopback0 

6

、

RouterID 

使用该接口地址作为

OSPF

、

BGP

的

Router-ID

，作为此路由器的唯一标识，并要求在整个自

治系统内唯一，在

Ipv6

中的

BGP/OSPF

的

Router-ID

仍然是

32

位的

IP

地址。在

OSPF

中的

路由器优先级是在接口下手动设置的，

接着才是比较

OSPF

的

Router-ID

（

Router-ID

的选举

在这里就不多说了，

PS

：

一台路由器启动

OSPF

路由协议后，

将选取物理接口的最大

IP

地址

作为其

RouterID

，但是如果配置

Loopback

接口，则从

Loopback

中选取

IP

地址最大者为

RouterID

。

另外一旦选取

RouterID

，

OSPF

为了保证稳定性，

不会轻易更改，

除非作为

RouterID

的

IP

地址被删除或者

OSPF

被重新启动）

，

在

OSPF

和

BGP

中的

Router-ID

都是可以手动在路

由配置模式下设置的。

 

OSPF:Router-ID*.*.*.* 

BGP:BGPRouter-ID*.*.*.* 

7

、

IPUnnumberedInterfaces 

无编号地址可以借用强壮的

loopback

口地址，来节约网络

IP

地址的分配。

 

例子：

 

interfaceloopback0 

ipaddress215.17.3.1255.255.255.255 

! 

 

第

4

页

 

interfaceSerial5/0 

bandwidth128 

ipunnumberedloopback0 

8

、

ExceptionDumpsbyFTP 

当

Router

宕机，

系统内存

中的文件还保留着一份软件内核的备份，

CISCO

路由器可以被配

置为向一台

FTP

服务器进行内核导出，

作为路由器诊断和调试处理过程的一部分，

可是，

这

种内核导出功能必须导向一台没有运行公共

FTP

服务器软件的系统，而是一台通过

ACLS

过

滤

（

TCP

地址欺骗

）被重点保护的只允许路由器访问的

FTP

服务器。如果

Loopback

口地址

作为

Router

的源地址，并且是相应地址块的一部分，

ACLS

的过滤功能很容易配置。

 

SampleIOSconfiguration: 

ipftpsource-interfaceLoopback0 

ipftpusernamecisco 

ipftppassword7045802150C2E 

exceptionprotocolftp 

exceptiondump169.223.32.1 

9

、

TFTP-SERVERAccess 

对于

TFTP

的安全意味着应该经常对

IP

源地址进行安全方面的配置，

CISCOIOS

软件允许

TFTP

服务器

被配置为使用特殊的

IP

接口地址，

基于

Router

的固定

IP

地址，

将运行

TFTP

服务器

配置固定的

ACLS. 

iptftpsource-interfaceLoopback0 

10

、

SNMP-SERVERAccess 

路由器的

Loopback

口一样可以被用来对访问安全进行控制，

如果从一个路由器送出的

SNMP

网管数据起源于

Loopback

口，则很容易在网络管理中心对

SNMP

服务器进行保护

 

SampleIOSconfiguration: 

access-list98permit215.17.34.1 

access-list98permit215.17.1.1 

access-list98denyany 

! 

snmp-servercommunity5nmc02mRO98 

snmp-servertrap-sourceLoopback0 

 

第

5

页

 

snmp-servertrap-authentication 

snmp-serverhost215.17.34.15nmc02m 

snmp-serverhost215.17.1.15nmc02m.Wednesday,June06,2001 

11

、

TACACS/RADIUS-ServerSourceInterface 

当采用

TACACS/RADIUS

协议，无论是用户管理性的接入

Router

还是对拨号用户进行认证，

Router

都是被配置为将

Loopback

口作为

Router

发送

TACACS/RADIUS

数据包的源地址，提

高安全性。

 

TACACS 

aaanew-model 

aaaauthenticationlogindefaulttacacs+enable 

aaaauthenticationenabledefaulttacacs+enable 

aaaaccountingexecstart-stoptacacs+ 

! 

iptacacssource-interfaceLoopback0 

tacacs-serverhost215.17.1.2 

tacacs-serverhost215.17.34.10 

tacacs-serverkeyCKr3t# 

! 

RADIUS 

radius-serverhost215.17.1.2auth-port1645acct-port1646 

radius-serverhost215.17.34.10auth-port1645acct-port1646 

ipradiussource-interfaceLoopback0 

! 

12

、

NetFlowFlow-Export 

从一个路由器向

NetFlow

采集器传送流量数据，以实现流量分析和计费目的，将路由器的

Router

的

Loopback

地址作为路由器所有输出流量统计数据包的源地址，

可以在服务器或者

是服务器外围提供更精确，成本更低的过滤配置。

 

ipflow-exportdestination215.17.13.19996 

ipflow-exportsourceLoopback0 

ipflow-exportversion5origin-as 

 
第6页 
! 
interfaceFddi0/0/0 descriptionFDDIlinktoIXP 
ipaddress215.18.1.10255.255.255.0 iproute-cacheflow iproute-cachedistributed nokeepalive ! 
FDDDI0/0/0接口被配置成为进行流量采集。路由器被配置为输出第五版本类型的流量信息到IP地址为215.17.13.1的主机上，采用UDP协议，端口号9996，统计数据包的源地址采用Router的Loopback地址。 13、NTPSourceInterface 
NTP用来保证一个网络内所有Rdouter的时钟同步，确保误差在几毫秒之内，如果在NTP的Speaker之间采用Loopback地址作为路由器的源地址，会使得地址过滤和认证在某种程度上容易维护和实现，许多ISP希望他们的客户只与他们的客户只与ISP自己的而不是世界上其他地方的时间服务器同步。 clocktimezoneSST8 ! 
access-list5permit192.36.143.150 access-list5permit169.223.50.14 !.CiscoISPEssentials 39 
ntpauthentication-key1234md5104D000A06187 ntpauthenticate ntptrusted-key1234 ntpsourceLoopback0 ntpaccess-grouppeer5 ntpupdate-calendar ntppeer192.36.143.150 ntppeer169.223.50.14 






  




 
第7页 
! 
14、SYSLOGSourceInterface 
系统日志服务器同样也需要在ISP骨干网络中被妥善保护。许多ISP只希望采集他们自己的而不是外面网络发送来的昔日日志信息。对系统日志服务器的DDOS攻击并不是不知道，如果系统信息数据包的源地址来自于被很好规划了的地址空间，例如，采用路由器的Loopback口地址，对系统日志服务器的安全配置同样会更容易。 Aconfigurationexample: loggingbuffered16384 loggingtrapdebugging 
loggingsource-interfaceLoopback0 loggingfacilitylocal7 logging169.223.32.1 ! 
15、TelnettotheRouter 
远程路由器才用Loopback口做远程接入的目标接口，这个一方面提高网络的健壮性，另一方面，如果在DNS服务器做了Router的DNS映射条目，则可以在世界上任何路由可达的地方Telnet到这台Router，ISP会不断扩展，增加新的设备 
由于telnet命令使用TCP报文，会存在如下情况：路由器的某一个接口由于故障down掉了，但是其他的接口却仍旧可以telnet，也就是说，到达这台路由器的TCP连接依旧存在。所以选择的telnet地址必须是永远也不会down掉的，而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求，所以为了节约地址资源，loopback接口的地址通常指定为32位掩码。 
DNS前向和反向转发区域文件的例子： ;net.galaxyzonefile 
net.galaxy.INSOAns.net.galaxy.hostmaster.net.galaxy.( 1998072901;version==date(YYYYMMDD)+serial 10800;Refresh(3hours) 900;Retry(15minutes) 172800;Expire(48hours) 43200);Mimimum(12hours) 






  




 
第8页 
INNSns0.net.galaxy. INNSns1.net.galaxy. INMX10mail0.net.galaxy. INMX20mail1.net.galaxy. ; 
localhostINA127.0.0.1 gateway1INA215.17.1.1 gateway2INA215.17.1.2 gateway3INA215.17.1.3 ; ;etcetc 
;1.17.215.in-addr.arpazonefile ; 
1.17.215.in-addr.arpa.INSOAns.net.galaxy.hostmaster.net.galaxy.( 1998072901;version==date(YYYYMMDD)+serial 10800;Refresh(3hours) 900;Retry(15minutes) 172800;Expire(48hours) 43200);Mimimum(12hours) INNSns0.net.galaxy. INNSns1.net.galaxy. 1INPTRgateway1.net.galaxy. 
2INPTRgateway2.net.galaxy..Wednesday,June06,2001 3INPTRgateway3.net.galaxy. ; ;etcetc 
Ontherouter,setthetelnetsourcetotheloopbackinterface: iptelnetsource-interfaceLoopback0 16、RCMDtotherouter 
RCMD要求网络管理员拥有UNIX的rlogin/rsh客户端来访问路由器。某些ISP采用RCMD来






  




 第9页 
捕获接口统计信息，上载或下载路由器配置文件，或者获取Router路由选择表的简易信息，Router可以被配置采用Loopback地址作为源地址，使得路由器发送的所有数据包的源地址都采用Loopback地址来建立RCMD连接： iprcmdsource-interfaceLoopback0