三层交换机上配建loopback口。lookback地址最大的好处是:它是虚拟的。
也就是说只要你这个设备上有一个端口/一条线路是好的,就能被访问到;避免了你/或者别的设备直接访问实际端口ip(或者建立连接)而正好这条线路挂了的问题。
另外就是,很多协议都要对router-ID进行定义的,有loopback地址的话他是优先选用Lo作为router-ID的。这样可以使协议进程处于可控状态。
Loopback是路由器里面的一个逻辑接口。逻辑接口是指能够实现数据交换功能,但是物理上不存在、需要通过配置建立的接口。Loopback接口一旦被创建,其 物理状态和链路协议状态永远是Up,即使该接口上没有配置IP地址。正是因为这个特性,Loopback 接口具有 特殊的用途。下 面介绍Loopback接口的常见应用场景。
一、提高可靠性
1、在IP地址借用中的应用
当某接口不是长期使用IP地址时,为了节省IP地址,可以配置该接口借用其他接口的IP地址。通常配置为借用Loopback接口的地址,以保持接口的稳定性。
2、在Router ID中的应用
一些动态路由协议要求路由器必须有Router ID,它是一台路由器在自治系统中的唯一标识。
例如,OSPF和BGP在没有手工配置Router ID时,系统需要从本地接口的IP地址中选一个最大的IP地址作为Router ID。如果选择的是物理接口的IP地址,当这个物理接口状态变为Down时,系统也不会重新选择Router ID,除非这个被选择的IP地址被删除。
因此建议使用Loopback接口的IP地址作为路由器的Router ID。因为Loopback接口稳定,它一直都处于Up状态。
3、在BGP中的应用
为了使BGP会话不受物理接口故障的影响,可将发送BGP报文的源接口配置成Loopback接口。
在使用Loopback接口作为BGP报文的源接口时,必须注意以下事项:
确认BGP对等体的Loopback接口的地址是可达的。
如果是EBGP连接,还要允许EBGP通过非直连建立邻居关系。
4、在MPLS LDP中的应用
在MPLS LDP中,为了保持网络的稳定性,通常使用Loopback接口的IP地址作为传输地址。这个Loopback接口的IP地址可能是公网地址。
5、在VPN中的应用
在L2TP中,建议用户指定LAC端发起隧道请求时使用的隧道源接口类型是Loopback接口。这样是为了当LAC访问LNS时,提高LAC与LNS通信的可靠性。
在配置GRE和IPv6 over IPv4隧道时,需要创建Tunnel接口。同时可配置该隧道接口的源IP地址或源接口。即,指定该隧道的承载协议的源IP地址或源接口。此时一般选用的也是Loopback接口的IP地址或Loopback接口。
二、对信息分类
1、在SNMP中的应用
如果使用简单网络管理协议SNMP(Simple Network Management Protocol),可以设置发送trap报文时的源IP地址是Loopback接口的IP地址。
为了保障服务器的安全,SNMP trap将Loopback接口的IP地址作为源IP地址,而不是出接口的IP地址。这样可以使用过滤来保护SNMP的管理系统。系统只允许来自Loopback接口IP地址的报文访问SNMP端口,从而使得读写trap信息变得简单。
2、在NTP中的应用
网络时间协议NTP(Network Time Protocol)可以使所有设备的时间取得同步。NTP可以把Loopback接口的IP地址作为所有从本路由器发出的NTP报文的源地址。
出于对NTP的安全考虑,NTP将Loopback接口的IP地址(而不是出接口的IP地址)作为源地址。系统只允许Loopback接口地址的报文访问NTP端口。这样可以使用过滤来保护NTP系统。
3、在记录信息方面的应用
输出网络流量记录时,可以配置网络流量输出时的源IP地址是Loopback接口的IP地址。
这是从服务器的安全角度考虑的。这样可以使用过滤来保护网络流量收集,因为只允许Loopback接口地址的报文访问指定的端口。
4、在安全方面的应用
在用户日志服务器端,通过识别日志的源IP地址,可以迅速定位日志信息的来源。建议配置Loopback地址作为日志报文的源IP地址。
5、在HWTACACS中的应用
配置HWTACACS,使从该路由器始发的报文使用的源地址是Loopback地址。这样可以使用过滤来保护HWTACACS服务器。
因为这样只允许从Loopback接口的地址发送的报文访问HWTACACS服务器,从而使读写日志变得简单。HWTACACS日志记录中只有Loopback接口的地址,而没有出接口的地址。
6、在RADIUS用户验证中的应用
配置RADIUS服务器时,使从该路由器始发的报文使用的源IP地址是Loopback接口的IP地址。
和在HWTACACS中的应用类似,这样配置是从服务器的安全角度考虑的。它可以使用过滤来保护RADIUS服务器和代理。这样只允许Loopback接口地址的报文访问RADIUS服务器的端口,从而使读写日志变得简单。RADIUS日志记录中只有Loopback接口的地址,而没有出接口的地址