loopback
loopback
loopback指本地環回介面(或地址),亦稱回送地址()。此類介面是應用最為廣泛的一種虛介面,幾乎在每台路由器上都會使用。
迴環(loopback)指將電子信號、數據流等原樣送回發送者的行為。它主要用於對通信功能的測試。
它可以是僅具有一個通信端點的通信通道。由這樣的通道發送的任何消息立即並且僅由該相同通道接收。在電信設備安裝中,環回設備對來自服務交換中心的接入線路進行傳輸測試,這通常不需要所服務終端的人員的協助。環繞是一種在不一定相鄰的站之間測試的方法,其中使用兩條線,測試在一個站完成,兩條線在遠端站互連。當手動或自動,遠程或本地應用時,跳線也可以用作環回,便於環回測試。
在系統(例如數據機)涉及往返模數轉換處理的情況下,區分模擬環回(其中模擬信號直接環回)和數字環回(其中信號在數字域中處理)在重新轉換為模擬信號並返回源之前。
在Windows系統中,採用127.0.0.1作為本地環回地址。
BGP Update-Source
BGP Update-Source
因為Loopback口只要Router還健在,則它就會一直保持Active,這樣,只要BGP的Peer的Loopback口之間滿足路由可達,就可以建立BGP 會話,總之BGP中使用loopback口可以提高網路的健壯性。
neighbor 215.17.1.35 update-source loopback
Router ID
使用該介面地址作為OSPF 、BGP 的Router-ID,作為此路由器的唯一標識,並要求在整個自治系統內唯一,在Ipv6中的BGP/OSPF的Router-ID仍然是32位的IP地址。在OSPF中的路由器優先順序是在介面下手動設置的,接著才是比較OSPF的Router-ID(Router-ID的選舉在這裡就不多說了,PS:一台路由器啟動OSPF路由協議后,將選取物理介面的最大IP地址作為其RouterID,但是如果配置Loopback介面,則從Loopback中選取IP地址最大者為RouterID。另外一旦選取RouterID,OSPF為了保證穩定性,不會輕易更改,除非作為RouterID的IP地址被刪除或者OSPF被重新啟動),在OSPF和BGP中的Router-ID都是可以手動在路由配置模式下設置的。
OSPF: Router-ID *.*.*.*
BGP:BGP Router-ID *.*.*.*
IP Unnumbered Interfaces
無編號地址可以借用強壯的loopback口地址,來節約網路IP地址的分配。
例子:
interface loopback 0
ip address 215.17.3.1 255.255.255.255
!
interface Serial 5/0
bandwidth 128
ip unnumbered loopback
0Exception Dumps by FTP
當Router 宕機,系統內存中的文件還保留著一份軟體內核的備份,CISCO路由器可以被配置為向一台FTP伺服器進行內核導出,作為路由器診斷和調試處理過程的一部分,可是,這種內核導出功能必須導向一台沒有運行公共FTP伺服器軟體的系統,而是一台通過ACLS過濾(TCP地址欺騙)被重點保護的只允許路由器訪問的FTP伺服器。如果Loopback口地址作為Router的源地址,並且是相應地址塊的一部分,ACLS的過濾功能很容易配置。
Sample IOS configuration:
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 045802150C2E
exception protocol ftp
exception dump 169.223.32.1
TFTP-SERVER Access
對於TFTP的安全意味著應該經常對IP源地址進行安全方面的配置,CISCO IOS軟體允許TFTP伺服器被配置為使用特殊的IP介面地址,基於Router的固定IP地址,將運行TFTP伺服器配置固定的ACLS.
ip tftp source-interface
Loopback0 SNMP-SERVER Access
路由器的Loopback口一樣可以被用來對訪問安全進行控制,如果從一個路由器送出的SNMP網管數據起源於Loopback口,則很容易在網路管理中心對SNMP伺服器進行保護
Sample IOS configuration:
access-list 98 permit 215.17.34.1
access-list 98 permit 215.17.1.1
access-list 98 deny any
!
snmp-server community 5nmc02m RO 98
snmp-server trap-source Loopback0
snmp-server trap-authentication
snmp-server host 215.17.34.1 5nmc02m
snmp-server host 215.17.1.1 5nmc02m.Wednesday, June 06, 2001
TACACS/RADIUS-Server Source Interface
當採用TACACS/RADIUS協議,無論是用戶管理性的接入Router還是對撥號用戶進行認證,Router都是被配置為將Loopback口作為Router發送TACACS/RADIUS數據包的源地址,提高安全性。
TACACS
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa accounting execstart-stoptacacs+
!
ip tacacs source-interface Loopback0
tacacs-server host 215.17.1.2
tacacs-server host 215.17.34.10
tacacs-server key CKr3t#
!
RADIUS
radius-server host 215.17.1.2 auth-port 1645 acct-port 1646
radius-server host 215.17.34.10 auth-port 1645 acct-port 1646
ip radius source-interface Loopback0
!
NetFlow Flow-Export
從一個路由器向NetFlow採集器傳送流量數據,以實現流量分析和計費目的,將路由器的Router的Loopback地址作為路由器所有輸出流量統計數據包的源地址,可以在伺服器或者是伺服器外圍提供更精確,成本更低的過濾配置。
ip flow-export destination 215.17.13.1 9996
ip flow-export source Loopback0
ip flow-export version 5 origin-as
!
interface Fddi0/0/0
description FDDI link to IXP
ip address 215.18.1.10 255.255.255.0
ip route-cache flow
ip route-cache distributed
no keepalive
!
FDDDI 0/0/0 介面被配置成為進行流量採集。路由器被配置為輸出第五版本類型的流量信息到IP地址為215.17.13.1的主機上,採用UDP協議,埠號9996,統計數據包的源地址採用Router的Loopback地址。
NTP Source Interface
NTP用來保證一個網路內所有Rdouter的時鐘同步,確保誤差在幾毫秒之內,如果在NTP的Speaker之間採用Loopback地址作為路由器的源地址,會使得地址過濾和認證在某種程度上容易維護和實現,許多ISP希望他們的客戶只與ISP自己的而不是世界上其他地方的時間伺服器同步。
clock timezone SST 8
!
access-list 5 permit 192.36.143.150
access-list 5 permit 169.223.50.14
!.Cisco ISP Essentials
39
ntp authentication-key 1234 md5 104D000A0618 7
ntp authenticate
ntp trusted-key 1234
ntp source Loopback0
ntp access-group peer 5
ntp update-calendar
ntp peer 192.36.143.150
ntp peer 169.223.50.14
!
SYSLOG Source Interface
系統日誌伺服器同樣也需要在ISP骨幹網路中被妥善保護。許多ISP只希望採集他們自己的而不是外面網路發送來的昔日日誌信息。對系統日誌伺服器的DDOS攻擊並不是不知道,如果系統信息數據包的源地址來自於被很好規劃了的地址空間,例如,採用路由器的Loopback口地址,對系統日誌伺服器的安全配置同樣會更容易。
A configuration example:
logging buffered 16384
logging trap debugging
logging source-interface Loopback0
logging facility local7
logging 169.223.32.1
!
Telnet to the Router
遠程路由器才用Loopback口做遠程接入的目標介面,這個一方面提高網路的健壯性,另一方面,如果在DNS伺服器做了Router的DNS映射條目,則可以在世界上任何路由可達的地方Telnet到這台Router,ISP會不斷擴展,增加新的設備
由於telnet 命令使用TCP 報文,會存在如下情況:路由器的某一個介面由於故障down 掉了,但是其他的介面卻仍舊可以telnet ,也就是說,到達這台路由器的TCP 連接依舊存在。所以選擇的telnet 地址必須是永遠也不會down 掉的,而虛介面恰好滿足此類要求。由於此類介面沒有與對端互聯互通的需求,所以為了節約地址資源,loopback 介面的地址通常指定為32 位掩碼。
DNS前向和反向轉發區域文件的例子:
; net.galaxy zone file
net.galaxy. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
IN MX 10 mail0.net.galaxy.
IN MX 20 mail1.net.galaxy.
;
localhost IN A127.0.0.1
gateway1 IN A 215.17.1.1
gateway2 IN A 215.17.1.2
gateway3 IN A 215.17.1.3
;
;etc etc
; 1.17.215.in-addr.arpa zone file
;
1.17.215.in-addr.arpa. IN SOA ns.net.galaxy. hostmaster.net.galaxy. (
1998072901 ; version == date(YYYYMMDD)+serial
10800 ; Refresh (3 hours)
900 ; Retry (15 minutes)
172800 ; Expire (48 hours)
43200 ) ; Mimimum (12 hours)
IN NS ns0.net.galaxy.
IN NS ns1.net.galaxy.
1 IN PTR gateway1.net.galaxy.
2 IN PTR gateway2.net.galaxy..Wednesday, June 06, 2001
3 IN PTR gateway3.net.galaxy.
;
;etc etc
On the router, set the telnet source to the loopback interface:
ip telnet source-interface Loopback0
RCMD to the router
RCMD 要求網路管理員擁有UNIX的rlogin/rsh客戶端來訪問路由器。某些ISP採用RCMD來捕獲介面統計信息,上載或下載路由器配置文件,或者獲取Router路由選擇表的簡易信息,Router可以被配置採用Loopback地址作為源地址,使得路由器發送的所有數據包的源地址都採用Loopback地址來建立RCMD連接:
ip rcmd source-interface Loopback0
1.系統管理員完成網路規劃之後,為了方便管理,會為每一台路由器創建一個loopback 介面,並在該介面上單獨指定一個IP 地址作為管理地址,管理員會使用該地址對路由器遠程登錄(telnet ),該地址實際上起到了類似設備名稱一類的功能。
但是通常每台路由器上存在眾多介面和地址,為何不從當中隨便挑選一個呢?
原因如下:由於telnet 命令使用TCP報文,會存在如下情況:路由器的某一個介面由於故障down 掉了,但是其他的介面卻仍舊可以telnet ,也就是說,到達這台路由器的TCP 連接依舊存在。所以選擇的telnet 地址必須是永遠也不會down 掉的,而虛介面恰好滿足此類要求。由於此類介面沒有與對端互聯互通的需求,所以為了節約地址資源,loopback 介面的地址通常指定為32 位掩碼。
使用該介面地址作為動態路由協議OSPF 、BGP 的router id 動態路由協議OSPF 、BGP 在運行過程中需要為該協議指定一個Router id ,作為此路由器的唯一標識,並要求在整個自治系統內唯一。由於router id 是一個32 位的無符號整數,這一點與IP 地址十分相像。而且IP 地址是不會出現重複現象的,所以通常將路由器的router id 指定為與該設備上的某個介面的地址相同。由於loopback 介面的IP 地址通常被視為路由器的標識,所以也就成了router id 的最佳選擇。
使用該介面地址作為BGP 建立TCP 連接的源地址
在BGP 協議中,兩個運行BGP 的路由器之間建立鄰居關係是通過TCP 建立連接完成的。
在配置鄰居時通常指定loopback 介面為建立TCP 連接的源地址(通常只用於IBGP ,原因同2.1 ,都是為了增強TCP 連接的健壯性)
配置命令如下:
router id 61.235.66.1
interface loopback 0
ip address 61.235.66.1 255.255.255.255
router bgp 100
neighbor 61.235.66.7 remote-as 200
neighbor 61.235.66.7 update-source LoopBack0
在電信,迴環是將接收的信號或數據反饋給發送器的硬體或軟體方法。它用於幫助調試物理連接問題。作為測試,許多數據通信設備可以配置為在介面上發送特定模式(例如全部模式),並且可以檢測在同一埠上接收該信號。這稱為環回測試,可以通過將其輸出連接到自己的輸入,在數據機或收發器中執行。可以通過在一個位置在電路上施加測試信號來測試不同位置中的兩個點之間的電路,並且使網路設備在另一個位置處通過電路發回信號。如果該設備接收到自己的信號,則證明該電路正在運行。
硬體環路是一種簡單的設備,它將接收器通道物理連接到發送器通道。在網路終端連接器(例如X.21)的情況下,這通常通過簡單地將連接器中的引腳連接在一起來完成。具有單獨的發射和接收連接器的諸如光纖或同軸電纜的介質可以簡單地與單股適當的介質一起環繞。
數據機可以配置為循環來自遠程數據機或本地終端的輸入信號。這稱為環回或軟體循環。
迴環網卡(Loopback adaptor),是一種特殊的網路介面,不與任何實際設備連接,而是完全由軟體實現。與迴環地址(127.0.0.0/8 或::1/128)不同,迴環網卡對系統“顯示”為一塊硬體。任何發送到該網卡上的數據都將立刻被同一網卡接收到。例子有Linux下的 lo 介面和Windows下的 Microsoft Loopback Interface 網卡。
串列通信收發器可以使用環回來測試其功能。例如,設備的發送引腳連接到其接收引腳將導致設備接收到它發送的確切內容。將此循環連接移動到電纜的遠端可將電纜添加到此測試中。將其移動到數據機鏈路的遠端可進一步擴展測試。這是一種常見的故障排除技術,通常與專門的測試設備結合使用,該設備可發送特定模式並計算返回的任何錯誤(請參閱誤碼率測試)。一些設備包括內置環回功能。
一個簡單的串列介面環回測試,稱為回形針測試,有時用於識別計算機的串列埠並驗證操作。它利用終端模擬器應用程序將流量控制設置為關閉的字元發送到串列埠並接收相同的後端。為此,使用回形針將標準RS-232介面上的引腳2至引腳3(接收和發送引腳)短接,使用D-subminiatureDE-9或DB-25連接器。
Internet協議套件的實現包括虛擬網路介面,網路應用程序在同一台計算機上執行時可以通過該介面進行通信。它完全在操作系統的網路軟體中實現,並且不將任何數據包傳遞給任何網路介面控制器。計算機程序發送到環回IP地址的任何流量都可以簡單地立即傳回網路軟體堆棧,就像從另一個設備接收一樣。
類Unix系統通常將此環回介面命名為lo或lo0。
各種網際網路工程任務組(IETF)標準以CIDR表示法保留IPv4地址塊127.0.0.0/8,為此目的保留IPv6地址:: 1/128。最常用的IPv4地址是127.0.0.1。通常,這些環回地址映射到主機名,localhost或loopback。
使用127.0.0.0/8網路地址的一個值得注意的例外是它們在多協議標籤交換(MPLS)traceroute錯誤檢測中的使用,其中它們不可路由的屬性提供了避免向最終用戶傳送錯誤數據包的便利方法。
火星包
將源地址或目標地址設置為環回地址的任何IP數據報都不得出現在計算系統之外,也不得由任何路由設備路由。必須刪除在具有環回目標地址的介面上接收的數據包。這種分組有時被稱為火星分組。與其他偽造數據包一樣,它們可能是惡意的,並且可以通過應用bogon過濾來避免它們可能導致的任何問題。
管理界面
一些計算機網路設備將術語“環回”用於用於管理目的的虛擬介面。與適當的環回介面不同,這種類型的環回設備不用於與自身通信。
為這樣的介面分配一個地址,該地址可以通過網路從管理設備訪問,但不分配給設備上的任何物理介面。這種環回設備還用於源自設備的管理數據報,例如警報。使此虛擬介面特殊的屬性是使用它的應用程序將使用分配給虛擬介面的地址發送或接收流量,而不是通過流量通過的物理介面上的地址。
這種環回介面通常用於路由協議的操作,因為它們具有有用的屬性,與物理埠不同,它們不會在物理埠出現故障時關閉。
音頻系統Open Sound System(OSS),Advanced Linux Sound Architecture(ALSA)和PulseAudio具有環回模塊,用於記錄應用程序的音頻輸出以進行測試。與物理環回不同,這不涉及雙模擬/數字轉換,並且不會因硬體故障而導致中斷。
