Интерфейс Loopback

Loopback-интерфейс в система ARMA Стена представляет собой виртуальное сетевое устройство, реализованное полностью в программном обеспечении. Данный интерфейс обеспечивает внутреннюю маршрутизацию сетевого трафика без его выхода за пределы системы.

Loopback-интерфейс всегда находится в активном состоянии (up), что позволяет использовать его для управляющего трафика, а также в качестве источника или назначения для протоколов IGP, таких как BGP. Это обеспечивает независимость внутренних BGP-соединений от состояния физических интерфейсов и позволяет выбирать несколько маршрутов к цели.

Для создания дополнительных виртуальных интерфейсов рекомендуется использовать интерфейс Dummy, поскольку он является более предпочтительным решением для подобных задач.

Примечание

В системе ARMA Стена существует только один loopback-интерфейс, который обозначается как «lo». Если требуется наличие нескольких интерфейсов, то следует использовать интерфейс «Dummy».

Настройка loopback-интерфейса

  1. Назначить loopback-интерфейсу IP-адрес и префикс сети:

set interfaces loopback lo address <address>

где:

  • <address> – IPv4-адрес или IPv6-адрес для интерфейса в формате <x.x.x.x/x> и <h:h:h:h:h:h:h:h/x> соответственно. Возможно указать несколько адресов для интерфейса.

В протоколе IPv4 для loopback-интерфейса зарезервирован адресный диапазон «127.0.0.1 – 127.255.255.255». В протоколе IPv6 для loopback-интерфейса определен единственный адрес «::1». Адресами по умолчанию для loopback являются 127.0.0.1/8 для IPv4 и ::1/128 для IPv6.

  1. Установить описания для loopback-интерфейса:

set interfaces loopback lo description <description>

где:

  • <description> – описание интерфейса.

Дополнительные настройки loopback-интерфейса

  1. Включить политику проверки источника по обратному пути, как указано в RFC 3704:

set interfaces loopback lo ip source-validation <strict | loose | disable>

где <strict | loose | disable> - режим проверки источника. Возможно указать следующие значения:

  • strict - каждый входящий пакет проверяется по FIB, и принимается только если пришёл через оптимальный (наилучший) обратный путь, определенный в таблице маршрутизации. Все пакеты, не удовлетворяющие этому условию, автоматически отбрасываются.

  • loose - адрес источника каждого входящего пакета также проверяется по FIB, и если адрес источника не достижим ни через один интерфейс, проверка пакета будет неудачной.

  • disable - нет проверки источника.

В настоящее время в RFC 3704 рекомендуется включать «strict» режим для предотвращения подмены IP адресов в результате DDos атак. При использовании асимметричной или другой сложной маршрутизации рекомендуется использовать «loose» режим.

  1. Перенаправить входящий трафик с loopback-интерфейса на другой интерфейс:

set interfaces loopback lo redirect <интерфейс>

где <интерфейс> - имя интерфейса, на который будет перенаправляться весь входящий трафик. Интерфейс должен быть определён в системе.

SPAN

Функция зеркалирования интерфейсов в ARMA Стена позволяет копировать входящий и исходящий трафик интерфейса на другой интерфейс. Функция используется для анализа трафика и должна поддерживаться принимающим устройством, например, коммутатором.

Для настройки зеркалирования loopback-интерфейса для входящего трафика необходимо ввести команду:

set interfaces loopback lo mirror ingress eth1

Входящий трафик на интерфейсе «lo» копируется на интерфейс «eth1». Интерфейсы приведены в качестве примера.

Для настройки зеркалирования loopback-интерфейса для исходящего трафика необходимо ввести команду:

set interfaces loopback lo mirror egress eth1

Исходящий трафик на интерфейсе «lo» копируется на интерфейс «eth1». Интерфейсы приведены в качестве примера.

Мониторинг loopback-интерфейса

  1. Вывести информацию о loopback-интерфейсе:

admin@ngfwos:~$ show interfaces loopback

Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                                         S/L  Description
---------        ----------                                         ---  -----------
lo               127.0.0.1/8                                        u/u
                 ::1/128

admin@ngfwos:~$

  1. Вывести подробную информацию о loopback-интерфейсе:

admin@ngfwos:~$ show interfaces loopback lo

lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 fe80::200:ff:fe00:0/64 scope link
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever

    RX:      bytes  packets  errors  dropped  overrun       mcast
         133810617   618831       0        0        0           0
    TX:      bytes  packets  errors  dropped  carrier  collisions
         133810617   618831       0        0        0           0

admin@ngfwos:~$