2010.07.31
2007年10月8日に expire してる文書だから少し古いけど、よくまとまってるからちょっと読んでみた。(author の一人が元同僚だしね)

Edge Marking
エッジで Precedence や DSCP を使ってパケットを種類分けする
  • Precedece が 6,7 とかだったらできれば書き換えちゃった方が良い
  • で、内部では control traffic とかを優先してあげる
Device and Element Protection
個々のデバイスでも ACL を使う
  • エッジでフィルタしてたとしても結局どっかに穴があったりするからね
  • ACL 作るときは aggregate したリスト作ると便利だよ
  • fragment パケットは止めちゃってもいいんじゃない?
Infrastructure Hiding
内部構成を隠す
  • unnumbered link を使う
  • MPLS した上で TTL decrement を止めちゃう
  • IGP に IP を使わない。IS-IS とかね。
  • 外に経路広告しない(とか RFC1918 アドレス使う、とか)
  • サービスをデフォルトじゃないポートで動かす
Edge Infrastructure Access Control Lists (EIACL)
外 → インフラ っていうパケットはエッジで落とそう (あと RFC1918 とか spoofed とかも)

あと、IPv6 に関しては IPv4 と同じなんだけど、
  • 機器によっては IPv4 と同じ機能が無かったりする
  • パフォーマンスが違う場合もある
  • ACL の書き方(特にヘッダのフィールドとか)も違うかもよ
  • 経路広告を操作して内部を隠すのは IPv6 では少し面倒だね
といったとこらに留意しよう。(とはこの文書が書かれたのは2007年なことに注意)

最後にマルチキャストも忘れずに。
この記事へのコメント

この記事へのトラックバック
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力] (画像の中の文字を半角で入力してください。)



※ブログオーナーが承認したコメントのみ表示されます。
Rebuild at 2018/07/16 08:03
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。