ローカルループバックインターフェイス(またはアドレス)。ループバックアドレスとも呼ばれます。
このタイプのインターフェイスは、最も広く使用されている仮想インターフェイスであり、ほとんどすべてのルーターで使用されています。一般的な用途は次のとおりです
。1ルーターの管理アドレスとして
システム管理者がネットワーク計画を完了した後、管理を容易にするために、ルーターごとにループバックインターフェイスが作成され、個別のIPアドレスが管理アドレスとして指定されます。管理者はこのアドレスを使用してルーター(telnet)にリモートログインします。このアドレスは実際にはデバイス名のように機能します。
しかし、通常、各ルーターには多くのインターフェースとアドレスがあります。それらの中から1つだけ選んでみませんか?
理由は次のとおりです。telnetコマンドはTCPパケットを使用するため、次の状況が発生します。障害のためにルータの特定のインターフェイスがダウンしているが、他のインターフェイスは引き続きtelnetできます。つまり、このルータへのTCP接続です。まだ存在しています。したがって、選択したTelnetアドレスがダウンしてはならず、仮想インターフェイスはそのような要件を満たしています。このタイプのインターフェイスにはピアとの相互接続の要件がないため、アドレスリソースを節約するために、ループバックインターフェイスのアドレスは通常32ビットマスクとして指定されます。
2動的ルーティングプロトコルOSPFおよびBGPのルーターIDとしてインターフェイスアドレスを使用します。動作中、動的ルーティングプロトコルOSPFおよびBGPは、プロトコルのルーターIDをルーターの一意の識別子として指定する必要があります。自律システム全体で一意である。ルーターIDは32ビットの符号なし整数であるため、IPアドレスと非常によく似ています。さらに、IPアドレスの重複がないため、ルーターのルーターIDは通常、デバイス上のインターフェイスのアドレスと同じように指定されます。ループバックインターフェイスのIPアドレスは通常、ルーターの識別子と見なされるため、ルーターIDの最良の選択になっています。
3.インターフェイスアドレスをBGPの送信元アドレスとして使用してTCP接続を確立します
BGPプロトコルでは、BGPを実行している2つのルーター間のネイバー関係はTCP接続を介して確立されます。
ネイバーを設定するときは、通常、TCP接続を確立するための送信元アドレスとしてループバックインターフェイスを指定します(通常はIBGPにのみ使用され、理由は2.1と同じです。すべて、TCP接続の堅牢性を強化するためです)。
設定コマンドは次のとおりです。
router id 61.235.66.1
interface loopback 0
ip address 61.235.66.1 255.255.255.255
router bgp 100
neighbor 61.235.66.7 remote-as 200
neighbor 61.235.66.7 update-source LoopBack0
4. Windowsシステムでは、ローカルループバックとして127.0.0.1を使用します。住所。
5. BGP Update-Source
ルーターがまだ生きている限り、ループバックポートは常にアクティブのままです。このようにして、BGPピアのループバックポートに到達できる限り、BGP応答を確立できます。つまり、ループバックポートはBGPで使用されます。ネットワークの堅牢性を向上させることができます。
ネイバー215.17.1.35update-source loopback 0
6、ルーターID
このインターフェイスアドレスをOSPFおよびBGPのルーターIDとして、このルーターの一意の識別子として使用し、自律システム全体で一意である必要があります。IPv6のBGP / OSPFのルーターIDは32のままです。ビットIPアドレス。OSPFのルーター優先度は、インターフェイスで手動で設定され、OSPFのルーターIDが比較されます(ルーターIDの選択については、ここでは説明しません。PS:ルーターがOSPFルーティングプロトコルを開始すると、最大のものが選択されます。物理インターフェイスのIPアドレスをRouterIDとして使用しますが、ループバックインターフェイスが構成されている場合は、ループバックから最大のIPアドレスをRouterIDとして選択します。さらに、RouterIDを選択すると、OSPFは安定性を確保するために簡単に変更できません。 RouterIDのIPとして使用されていない限り、アドレスが削除されるか、OSPFが再起動されます)、OSPFおよびBGPのRouter-IDは、ルーティング構成モードで手動で設定できます。
OSPF:ルーターID…
BGP:BGPルーターID…
7。IPアンナンバードインターフェースアンナンバード
アドレスは、強力なループバックポートアドレスを借用して、ネットワークIPアドレスの割り当てを節約できます。
例:
インターフェイスループバック
0IPアドレス215.17.3.1255.255.255.255
!
インターフェイスシリアル5/0
帯域幅128ip
アンナンバードループバック08.FTP
による例外ダンプ
ルータがダウンしている場合でも、システムメモリ内のファイルはソフトウェアカーネルのコピーを保持します。CISCOルータは、ルータの診断およびデバッグプロセスの一部としてカーネルをFTPサーバにエクスポートするように設定できます。ただし、このカーネルはエクスポート機能は、パブリックFTPサーバーソフトウェアを実行しないシステムに送信する必要がありますが、ルーターアクセスのみを許可するACLSフィルタリング(TCPアドレススプーフィング)によって特別に保護されているFTPサーバーに送信する必要があります。ループバックポートアドレスがルーターの送信元アドレスとして使用され、対応するアドレスブロックの一部である場合、ACLSフィルタリング機能は簡単に構成できます。
IOS構成の例:
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 045802150C2E
exception protocol ftp
exception dump 169.223.32.1
9. TFTP-SERVER Access
のセキュリティは、IP送信元アドレスのセキュリティを頻繁に構成する必要があることを意味しますCISCO IOSソフトウェアを使用すると、TFTPサーバーが特別なIPインターフェイスアドレスを使用するように構成できます。ルーターの固定IPアドレスに基づいて、TFTPサーバーは固定ACLSで実行され
ます。iptftpsource-interface Loopback0
10、
のループバックポートSNMP-SERVERアクセスルーターは同じです。アクセスセキュリティの制御に使用できます。ルーターから送信されるSNMPネットワーク管理データがループバックポートから発信されている場合、ネットワーク管理センターでSNMPサーバーを簡単に保護できます
。IOS構成の例:
アクセスリスト98の許可215.17.34.1
access-リスト215.17.1.1 98許可
アクセスリスト98は、任意の拒否
!
のsnmp-serverコミュニティ5nmc02m RO 98
のsnmp-serverトラップ・ソースLOOPBACK0を
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m.Wednesday、June 06、2001
11. TACACS / RADIUS-Serverソースインターフェイス
がユーザー管理に関係なくTACACS / RADIUSプロトコルを採用する場合ルーターへのアクセスは引き続きダイヤルアップユーザーを認証し、ルーターはループバックポートをルーターの送信元アドレスとして使用してTACACS / RADIUSデータパケットを送信してセキュリティを向上させるように構成されています。
TACACS
aaa new-model
aaa authentication login default tacacs + enable
aaa authentication enable default tacacs + enable
aaa Accounting exec start-stop tacacs +
!
Ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t #
!
RADIUS
半径サーバホスト215.17.1.2のauth-port 1645 ACCT-ポート1646
は、radius-server host 215.17.34.10のauth-port 1645 ACCT-ポート1646
IP半径ソース・インタフェースLOOPBACK0
!
12 NetFlowのフローのエクスポート
NetFlowコレクタへのルータからトラフィック分析と請求の目的でトラフィックデータを送信するために、ルーターのループバックアドレスは、ルーターのすべての出力トラフィック統計パケットの送信元アドレスとして使用されます。これにより、サーバー上またはサーバー上でより正確で低コストのフィルタリング構成を提供できます。サーバーの周辺。
ip flow-export destination 215.17.13.1 9996
ip flow-export source Loopback0
ip flow-export version 5 origin-as
!
interface Fddi0 / 0/0
des cription FDDI link to IXP
ip address 215.18.1.10 255.255.255.0
ip route-cache flow
ip route-cache Distributed
no keepalive
!
FDDDI 0/0/0インターフェイスは、トラフィック収集用に構成されています。ルーターは、UDPプロトコル、ポート番号9996を使用して、IPアドレス215.17.13.1のホストに、ルーターのループバックアドレスを使用して統計データパケットの送信元アドレスに、5番目のバージョンタイプのトラフィック情報を出力するように構成されています。 。
13. NTPソースインターフェイス
NTPは、ネットワーク内のすべてのRdouterクロックが同期され、エラーが数ミリ秒以内であることを確認するために使用されます。ループバックアドレスがNTPスピーカー間のルーターの送信元アドレスとして使用される場合、アドレスフィルタリングと認証は、保守と実装がある程度簡単になります。多くのISPは、顧客が顧客とのみ同期し、ISP独自のタイムサーバーとのみ同期し、世界の他の場所のタイムサーバーとは同期しないことを期待しています。
clock timezone SST 8
!
access-list 5 permit 192.36.143.150
access-list 5 permit 169.223.50.14
!.Cisco ISP Essentials
39
ntp authentication-key 1234 md5 104D000A0618 7
ntp authenticate
ntp trusted-key 1234
ntp source Loopback0
ntp access-group peer 5
ntp update-calendar
ntp peer 192.36.143.150
ntp peer 169.223.50.14
!
14. SYSLOGソースインターフェイス
システムログサーバーも、ISPバックボーンネットワークで適切に保護する必要があります。多くのISPは、外部ネットワークから送信された古いログ情報ではなく、独自のログのみを収集したいと考えています。Syslogサーバーに対するDDOS攻撃は不明ではありません。システム情報パケットの送信元アドレスが、ルーターのループバックポートアドレスを使用するなど、適切に計画されたアドレススペースからのものである場合、Syslogサーバーのセキュリティ構成も不明になります。改善されます。簡単です。
設定例:
ロギングバッファ16384
ロギングトラップデバッグ
ロギングソースインターフェイスLoopback0
ロギングファシリティlocal7
ロギング169.223.32.1
!
15。ルータへのTelnet
リモートルータのみが、リモートアクセスのターゲットインターフェイスとしてループバックポートを使用します。一方、ネットワークの堅牢性が向上します。一方、DNSサーバーでルーターのDNSマッピングエントリを作成すると、世界中のルーティング可能な場所からこのルーターにTelnetでき、ISPは拡張を続けて新しいものを追加します。デバイス。
telnetコマンドはTCPパケットを使用するため、次の状況が発生します。障害のためにルータの特定のインターフェイスがダウンしているが、他のインターフェイスは引き続きtelnetできます。つまり、このルータへのTCP接続はまだ存在します。したがって、選択したTelnetアドレスがダウンしてはならず、仮想インターフェイスはそのような要件を満たしています。このタイプのインターフェイスにはピアとの相互接続の要件がないため、アドレスリソースを節約するために、ループバックインターフェイスのアドレスは通常32ビットマスクとして指定されます。
DNS順方向および逆方向転送ゾーンファイルの例
:; net.galaxyゾーンファイル
net.galaxy。INSOAns.net.galaxy。hostmaster.net.galaxy。(
1998072901;バージョン==日付(YYYYMMDD)+シリアル
10800;更新( 3時間)
900、再試行(15分間)
172800; 48時間(有効期限)
43200); Mimimum(12時間)
IN NSのns0.net.galaxy。
IN NSのns1.net.galaxy。
IN MX 10 mail0.net銀河。
MXで20 mail1.net.galaxy
;。
ローカルホストのA 127.0.0.1
gateway1、IN A 215.17.1.1
ゲートウェイ2、IN A 215.17.1.2
gateway3、IN A 215.17.1.3
;
;などなど
、1.17.215.in-addr.arpaゾーンファイル
;
1.17.215.in-addr.arpa。INSOAns.net.galaxy。hostmaster.net.galaxy。(
1998072901;バージョン==日付(YYYYMMDD)+シリアル
10800;リフレッシュ(3時間)
900、再試行(15分間)
172800;(48時間)有効期限
43200); Mimimum(12時間)
IN NSのns0.net.galaxy。
IN NS ns1.net.galaxy。
IN 1 PTRのgateway1.net.galaxy。
IN 2 PTRのgateway2.net.galaxy ... 2001年6月6日(水曜日)
3、IN PTRのgateway3.net.galaxy
;。
;などなど
ルータでは、Telnetを設定しますソースからループバックインターフェイスへ:
ip telnet source-interface Loopback0
16.ルーターへの
RCMD RCMDでは、ネットワーク管理者がルーターにアクセスするためにUNIX rlogin / rshクライアントを持っている必要があります。一部のISPは、RCMDを使用して、インターフェイス統計のキャプチャ、ルーター構成ファイルのアップロードまたはダウンロード、またはルータールーティングテーブルに関する簡単な情報の取得を行います。ルーターは、ループバックアドレスを送信元アドレスとして使用するように構成できるため、すべてのパケットの送信元アドレスが送信されます。ルーターによって、RCMD接続を確立するためにループバックアドレスを使用します。
ip rcmd source-interface Loopback0