网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 3673|回复: 2

CISCO网络架构中Loopback和Null接口的配置

[复制链接]
发表于 2007-8-17 15:56:33 | 显示全部楼层 |阅读模式
  环回接口本质上是个虚拟接口,始终处于up状态
  环回接口可以用作诸如BGP、RSRB和DLSW+这样协议的终点。即使其他接口down了,这些接口也始终可用。
  环回接口也可以用来为OSPF路由提供一个已知的稳定的ID.
  环回接口还能在数据需要一个中间输出接口的任何时候使用。
  空接口也是个虚拟接口,始终处于up状态。
  空接口从来不转发或者接收通信流量;路由到空接口的分组会被丢弃。
  配置
  1、(可选)定义一个环回接口
  (global)interface loopback *
  2、(可选)指定空接口
  (global)interface null 0
  实例:
interface loopback 0  ip address 10.1.1.1 255.255.255.0interface loopback 1        ip address 192.168.17.1 255.255.255.0
 楼主| 发表于 2007-8-17 15:58:33 | 显示全部楼层

CISCO路由器设备Loopback口的作用集合汇总

Loop口在实际中有非常广泛的应用,这个文章是是关于Loopback口使用的大全。  BGP Update-Source
  因为Loopback口只要Router还健在,则它就会一直保持Active,这样,只要BGP的Peer的Loopback口之间满足路由可达,就可以建立BGP 回话,总之BGP中使用loopback口可以提高网络的健壮性。
neighbor 215.17.1.35 update-source loopback 0

  Router ID
  使用该接口地址作为OSPF 、BGP 的Router-ID,作为此路由器的唯一标识,并要求在整个自治系统内唯一,在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器优先级是在接口下手动设置的,接着才是比较OSPF的Router-ID(Router-ID的选举在这里就不多说了,PS:一台路由器启动OSPF路由协议后,将选取物理接口的最大IP地址作为其RouterID,但是如果配置Loopback接口,则从Loopback中选取 IP地址最大者为RouterID.另外一旦选取RouterID,OSPF为了保证稳定性,不会轻易更改,除非作为RouterID的IP地址被删除或者OSPF被重新启动),在OSPF和BGP中的Router-ID都是可以手动在路由配置模式下设置的。
OSPF: Router-ID *.*.*.*
BGP:BGP Router-ID *.*.*.*

  IP Unnumbered Interfaces
  无编号地址可以借用强壮的loopback口地址,来节约网络IP地址的分配。例子:
interface loopback 0
ip address 215.17.3.1 255.255.255.255
!
interface Serial 5/0
bandwidth 128
ip unnumbered loopback 0

  Exception Dumps by FTP
  当Router 宕机,系统内存中的文件还保留着一份软件内核的备份,CISCO路由器可以被配置为向一台FTP服务器进行内核导出,作为路由器诊断和调试处理过程的一部分,可是,这种内核导出功能必须导向一台没有运行公共FTP服务器软件的系统,而是一台通过ACLS过滤(TCP地址欺骗)被重点保护的只允许路由器访问的FTP服务器。如果Loopback口地址作为Router的源地址,并且是相应地址块的一部分,ACLS的过滤功能很容易配置。
Sample IOS configuration:
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 045802150C2E
exception protocol ftp
exception dump 169.223.32.1
 楼主| 发表于 2007-8-17 15:59:17 | 显示全部楼层
TFTP-SERVER Access  对于TFTP的安全意味着应该经常对IP源地址进行安全方面的配置,CISCO IOS软件允许TFTP服务器被配置为使用特殊的IP接口地址,基于Router的固定IP地址,将运行TFTP服务器配置固定的ACLS.
ip tftp source-interface Loopback0

  SNMP-SERVER Access
  路由器的Loopback口一样可以被用来对访问安全进行控制,如果从一个路由器送出的SNMP网管数据起源于Loopback口,则很容易在网络管理中心对SNMP服务器进行保护。
Sample IOS configuration:
access-list 98 permit 215.17.34.1
access-list 98 permit 215.17.1.1
access-list 98 deny any
!
snmp-server community 5nmc02m RO 98
snmp-server trap-source Loopback0
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001

  TACACS/RADIUS-Server Source Interface
  当采用TACACS/RADIUS协议,无论是用户管理性的接入Router还是对拨号用户进行认证,Router都是被配置为将Loopback口作为Router发送TACACS/RADIUS数据包的源地址,提高安全性。
TACACS
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa accounting exec start-stop tacacs+
!
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t#
!
RADIUS
radius-server host 215.17.1.2 auth-port 1645 acct-port 1646
radius-server host 215.17.34.10 auth-port 1645 acct-port 1646
ip radius source-interface Loopback0
!

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-10-23 13:50 , Processed in 0.124800 second(s), 22 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表