La interfaz de bucle invertido local (o dirección), también conocida como dirección de bucle invertido.
Este tipo de interfaz es la interfaz virtual más utilizada, que se utiliza en casi todos los enrutadores. Los usos comunes son los siguientes:
1 Como dirección de administración de un enrutador Después de que el
administrador del sistema completa la planificación de la red, para facilitar la administración, se creará una interfaz de bucle invertido para cada enrutador y se designará una dirección IP separada como dirección de administración. en esta interfaz. El administrador utilizará esta dirección para iniciar sesión de forma remota en el enrutador (telnet). Esta dirección en realidad funciona como un nombre de dispositivo.
Pero generalmente hay muchas interfaces y direcciones en cada enrutador, ¿por qué no elegir una de ellas?
La razón es la siguiente: debido a que el comando telnet usa paquetes TCP, se producirá la siguiente situación: cierta interfaz del enrutador está inactiva debido a una falla, pero otras interfaces aún pueden hacer telnet, es decir, la conexión TCP a este enrutador todavía existe. Por lo tanto, la dirección telnet seleccionada nunca debe estar inactiva y la interfaz virtual simplemente cumple con esos requisitos. Dado que este tipo de interfaz no requiere la interconexión con el par, para ahorrar recursos de dirección, la dirección de la interfaz de bucle invertido generalmente se designa como una máscara de 32 bits.
2 Utilice la dirección de interfaz como la identificación del enrutador de los protocolos de enrutamiento dinámico OSPF y BGP. Durante el funcionamiento, los protocolos de enrutamiento dinámico OSPF y BGP necesitan especificar una identificación de enrutador para el protocolo como el identificador único del enrutador, y es necesario para Ser único en todo el sistema autónomo. Dado que la identificación del enrutador es un entero sin signo de 32 bits, es muy similar a una dirección IP. Además, no hay duplicación de direcciones IP, por lo que la identificación del enrutador del enrutador generalmente se especifica como la misma que la dirección de una interfaz en el dispositivo. Dado que la dirección IP de la interfaz de bucle invertido generalmente se considera como el identificador del enrutador, se ha convertido en la mejor opción para la identificación del enrutador.
3. Utilice la dirección de la interfaz como dirección de origen para que BGP establezca una conexión TCP.
En el protocolo BGP, la relación de vecino entre dos enrutadores que ejecutan BGP se establece a través de una conexión TCP.
Al configurar vecinos, generalmente especifique la interfaz loopback como la dirección de origen para establecer una conexión TCP (generalmente solo se usa para IBGP, el motivo es el mismo que 2.1, todo para mejorar la solidez de la conexión TCP) El
comando de configuración es el siguiente:
id del router 61.235.66.1
interface loopback 0
dirección ip 61.235.66.1 255.255.255.255
router bgp 100
vecino 61.235.66.7 remoto como
vecino 200 61.235.66.7 update-source LoopBack0
4. En el sistema Windows, use 127.0.0.1 como loopback local dirección.
5. Fuente de actualización de BGP
Debido a que el puerto de bucle invertido mientras el enrutador esté activo, siempre permanecerá activo. De esta manera, siempre que los puertos de bucle invertido de los pares de BGP estén accesibles, se puede establecer la respuesta de BGP. En resumen, el puerto de bucle invertido se utiliza en BGP y puede mejorar la robustez de la red.
vecino 215.17.1.35 bucle de retorno de fuente de actualización 0
6, ID de enrutador
Utilice esta dirección de interfaz como el ID de enrutador de OSPF y BGP, como el identificador único de este enrutador, y se requiere que sea único en todo el sistema autónomo. El ID de enrutador de BGP / O SPF en IPv6 sigue siendo un 32- bit dirección IP. La prioridad del enrutador en OSPF se establece manualmente en la interfaz, y luego se compara la ID del enrutador de OSPF (la elección de la ID del enrutador no se menciona aquí, PS: después de que un enrutador inicia el protocolo de enrutamiento OSPF, seleccionará el más grande La dirección IP de la interfaz física como su RouterID, pero si la interfaz Loopback está configurada, seleccione la dirección IP más grande del Loopback como RouterID. Además, una vez que se selecciona el RouterID, OSPF no lo cambiará fácilmente para garantizar la estabilidad, a menos que se utilice como la IP del RouterID (La dirección se elimina o OSPF se reinicia), el Router-ID en OSPF y BGP se puede configurar manualmente en el modo de configuración de enrutamiento.
OSPF: ID de enrutador ...
BGP: ID de enrutador BGP ...
7. Interfaces IP no numeradas Las
direcciones no numeradas pueden tomar prestadas direcciones de puerto de bucle invertido fuertes para ahorrar la asignación de direcciones IP de red.
Ejemplo:
interfaz loopback 0
dirección ip 215.17.3.1 255.255.255.255
!
Interfaz serial 5/0
ancho de banda 128
ip loopback no numerado 0
8. Excepción volcados por FTP
Cuando el enrutador está inactivo, los archivos en la memoria del sistema aún conservan una copia del kernel del software. El enrutador CISCO se puede configurar para exportar el kernel a un servidor FTP como parte del proceso de diagnóstico y depuración del enrutador. La función de exportación debe dirigirse a un sistema que no ejecute software de servidor FTP público, sino a un servidor FTP que esté específicamente protegido por filtrado ACLS (suplantación de direcciones TCP) que solo permita el acceso al enrutador. Si la dirección del puerto Loopback se usa como la dirección de origen del enrutador y es parte del bloque de direcciones correspondiente, la función de filtrado de ACLS es fácil de configurar.
Ejemplo de configuración de IOS:
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 045802150C2E
exception protocol ftp
exception dump 169.223.32.1
9.
La seguridad del acceso TFTP-SERVER significa que la seguridad de la dirección IP de origen debe configurarse con frecuencia CISCO El software IOS permite configurar el servidor TFTP para usar una dirección de interfaz IP especial. Basado en la dirección IP fija del enrutador, el servidor TFTP se ejecutará con una ACLS fija.
Ip tftp source-interface Loopback0
10,
el puerto Loopback del SNMP-SERVER El enrutador de acceso es el mismo. Se puede usar para controlar la seguridad del acceso. Si los datos de administración de red SNMP enviados desde un enrutador se originan en el puerto Loopback, es fácil proteger el servidor SNMP en el centro de administración de red.
Ejemplo de configuración de IOS :
lista de acceso 98 permiso 215.17.34.1
lista de acceso 98 permiso 215.17.1.1
lista de acceso 98 ¡deny any
!
comunidad snmp-server 5nmc02m RO 98
snmp-server trap-source Loopback0
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m. Wednesday, June 06, 2001
11. Cuando TACACS / RADIUS-Server Source Interface
adopta el protocolo TACACS / RADIUS, independientemente de la administración de usuarios. el acceso al enrutador aún autentica a los usuarios de acceso telefónico, y el enrutador está configurado para usar el puerto Loopback como la dirección de origen del enrutador para enviar paquetes de datos TACACS / RADIUS para mejorar la seguridad.
TACACS
aaa nuevo modelo
autenticación aaa inicio de sesión tacacs predeterminado + habilitar
autenticación aaa habilitar tacacs predeterminado + habilitar
contabilidad aaa exec start-stop tacacs +
!
Ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t #
!
RADIO
host de servidor radius 215.17.1.2 puerto de autenticación 1645 puerto de acct 1646
host de servidor de radius 215.17.34.10 puerto de autenticación 1645 puerto de acct 1646
ip radius interfaz de fuente Loopback0
!
12. NetFlow Flow-Export
desde un enrutador a un colector de NetFlow Para transmitir datos de tráfico con fines de análisis de tráfico y facturación, la dirección de bucle invertido del enrutador se utiliza como la dirección de origen de todos los paquetes de estadísticas de tráfico de salida del enrutador, lo que puede proporcionar una configuración de filtrado más precisa y de menor costo en el servidor o en el periferia del servidor.
ip flow-export destination 215.17.13.1 9996
ip flow-export source Loopback0
ip flow-export versión 5 origin-as
!
interface Fddi0 / 0/0 descripción
Enlace FDDI a la
dirección IP del IXP 215.18.1.10 255.255.255.0
ip route-cache flow
ip route-cache distribuido
sin keepalive
!
La interfaz FDDDI 0/0/0 está configurada para la recopilación de tráfico. El enrutador está configurado para enviar información de tráfico del quinto tipo de versión a un host con una dirección IP 215.17.13.1, utilizando el protocolo UDP, número de puerto 9996 y la dirección de origen del paquete de datos estadísticos utilizando la dirección de bucle invertido del enrutador. .
13. Interfaz de origen
NTP NTP se utiliza para garantizar que todos los relojes Rdouter de una red estén sincronizados para garantizar que el error se produzca en unos pocos milisegundos. Si la dirección de bucle invertido se utiliza como dirección de origen del enrutador entre los altavoces NTP, la dirección El filtrado y la autenticación serán, hasta cierto punto, fáciles de mantener e implementar, muchos ISP esperan que sus clientes solo se sincronicen con sus clientes y solo con los propios servidores de tiempo del ISP y no con los servidores de tiempo de otras partes del mundo.
reloj zona horaria SST 8
!
lista de acceso 5 permiso 192.36.143.150
lista de acceso 5 permiso 169.223.50.14
!. Cisco ISP Essentials
39
clave de autenticación ntp 1234 md5 104D000A0618 7
autenticación
ntp clave confiable
ntp 1234 fuente
ntp Loopback0 grupo de acceso ntp par 5
ntp update-calendar
ntp peer 192.36.143.150
ntp peer 169.223.50.14
!
14. El
servidor de registro del sistema de interfaz de origen SYSLOG también debe estar protegido adecuadamente en la red troncal del ISP. Muchos ISP solo desean recopilar sus propios registros y no la información de registro anterior enviada desde la red externa. El ataque DDOS al servidor syslog no es desconocido. Si la dirección de origen del paquete de información del sistema proviene de un espacio de direcciones bien planificado, por ejemplo, utilizando la dirección del puerto de bucle invertido del enrutador, la configuración de seguridad del servidor syslog también ser mejorado fácil.
Un ejemplo de configuración:
logging buffer 16384
logging trap debugging
logging source-interface Loopback0
logging Facility local7
logging 169.223.32.1
!
15. Solo Telnet al enrutador
remoto usa el puerto Loopback como la interfaz de destino para el acceso remoto, que por un lado mejora la robustez de la red Por otro lado, si realiza una entrada de mapeo DNS del enrutador en el servidor DNS, puede hacer Telnet a este enrutador desde cualquier lugar enrutable del mundo, y el ISP continuará expandiéndose y agregando nuevos dispositivos.
Debido a que el comando telnet usa paquetes TCP, se producirá la siguiente situación: cierta interfaz del enrutador está inactiva debido a una falla, pero otras interfaces aún pueden hacer telnet, es decir, la conexión TCP a este enrutador aún existe. Por lo tanto, la dirección telnet seleccionada nunca debe estar inactiva y la interfaz virtual simplemente cumple con esos requisitos. Dado que este tipo de interfaz no requiere la interconexión con el par, para ahorrar recursos de dirección, la dirección de la interfaz de bucle invertido generalmente se designa como una máscara de 32 bits.
Ejemplos de archivos de zona de reenvío hacia adelante y hacia atrás de DNS
:; archivo de zona
net.galaxy net.galaxy. IN SOA ns.net.galaxy. Hostmaster.net.galaxy. (
1998072901; versión == fecha (AAAAMMDD) + serie
10800; Actualizar ( 3 horas)
900; Reintentar (15 minutos)
172800; Caducar (48 horas)
43200); Mínimo (12 horas)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
IN MX 10 mail0.net. Galaxy.
IN MX 20 mail1.net.galaxy
;.
Un localhost 127.0.0.1 EN
UN GATEWAY1 EN 215.17.1.1
Un gateway2 EN 215.17.1.2
Un gateway3 EN 215.17.1.3
;
; etc, etc
; archivo de zona 1.17.215.in-addr.arpa
;
1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. Hostmaster.net.galaxy. (
1998072901; versión == fecha (AAAAMMDD) + serial
10800; Actualizar (3 horas)
900; Reintentar (15 minutos)
172800; Caducar (48 horas)
43200); Mínimo (12 horas)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
1 EN PTR gateway1.net.galaxy.
2 EN PTR gateway2.net.galaxy… Miércoles, 06 de junio de 2001
3 EN PTR gateway3.net.galaxy
. ;;
etc etc
En el enrutador, configure el telnet fuente a la interfaz loopback:
ip telnet source-interface Loopback0
16. RCMD al enrutador
RCMD requiere que el administrador de red tenga un cliente rlogin / rsh UNIX para acceder al enrutador. Algunos ISP usan RCMD para capturar estadísticas de la interfaz, cargar o descargar archivos de configuración del enrutador u obtener información simple sobre la tabla de enrutamiento del enrutador. El enrutador se puede configurar para usar la dirección de bucle invertido como dirección de origen, de modo que la dirección de origen de todos los paquetes enviados por el enrutador es Use la dirección de bucle invertido para establecer la conexión RCMD:
ip rcmd interfaz de origen Loopback0