- Edge Marking
- エッジで Precedence や DSCP を使ってパケットを種類分けする
- Precedece が 6,7 とかだったらできれば書き換えちゃった方が良い
- で、内部では control traffic とかを優先してあげる
- Device and Element Protection
- 個々のデバイスでも ACL を使う
- エッジでフィルタしてたとしても結局どっかに穴があったりするからね
- ACL 作るときは aggregate したリスト作ると便利だよ
- fragment パケットは止めちゃってもいいんじゃない?
- Infrastructure Hiding
- 内部構成を隠す
- unnumbered link を使う
- MPLS した上で TTL decrement を止めちゃう
- IGP に IP を使わない。IS-IS とかね。
- 外に経路広告しない(とか RFC1918 アドレス使う、とか)
- サービスをデフォルトじゃないポートで動かす
- Edge Infrastructure Access Control Lists (EIACL)
- 外 → インフラ っていうパケットはエッジで落とそう (あと RFC1918 とか spoofed とかも)
あと、IPv6 に関しては IPv4 と同じなんだけど、
- 機器によっては IPv4 と同じ機能が無かったりする
- パフォーマンスが違う場合もある
- ACL の書き方(特にヘッダのフィールドとか)も違うかもよ
- 経路広告を操作して内部を隠すのは IPv6 では少し面倒だね
最後にマルチキャストも忘れずに。
