将用户流量与管理平面接口和流量分开也是一个好主意。

如果可用，请使用专用管理端口，或确保您的交换机在用于用户流量的同一 VLAN 或路由实例 (VRF) 中没有其管理接口（通常也以 SVI 的形式出现）。确保您的路由器根本不会在面向用户的接口/IP 地址上公开服务（SSH/Telnet、HTTP/HTTPS、SNMP 等）。将这些管理服务绑定到您希望它们使用的接口/端口/ip。

哎呀，一路走来，在第 2 层转发（“交换”）的上下文中的非默认 VLAN 和 L3 转发的上下文中的非默认路由表（阅读：在 VRF 中）上传输用户流量（ “路由”）。

仅此一项就大大减少了攻击面。

然后遵循 Ron Trunk 的建议，确保您的基础设施链接（例如两个路由器之间的点对点子网）无法从您不信任的网络访问，并且路由器/L3-Switch 仅公开所需的一组这些接口（例如 BGP 的端口 tcp/179，如果需要）上的侦听器（通俗地说：“开放端口”）。

向路由协议添加通常的强身份验证机制，无论它们是否与用户流量共享接口（这有时是不可避免的）。

最后，您仍然可以使用 CoPP 来确保 L3 交换机或路由器的 CPU 不会一直忙于生成 ICMP 无法访问/回复或分段数据包。

当你在它的时候：针对你的基础设施的 DoS 攻击也可能来自第 2 层。恶意创建 STP 拓扑更改通知（导致给定 MAC 地址表的刷新），尝试成为给定生成树的根，或淹没交换机的 CAM 表直到它们溢出，当然还有更多。

因此，在您通往服务器的边缘端口上，根据给定的信任级别，使用（受过良好教育！）portfast、bpduguard、bpdufilter、storm-control。

还要对边缘交换端口上学习/接受的 MAC 地址数量设置限制，并制定策略，在它们进入您的网络时处理带有 QoS 标记的数据包 (ToS/DSCP)。

此问题的一种解决方案是阻止用户或外部访问您的基础设施地址。您可以应用 ACL 来阻止对基础架构接口 IP 的访问。例如，您可以寻址特定 IP 范围之外的所有基础设施地址（第 3 层接口），然后拒绝来自用户或外部来源的该范围。

当然，这在新安装中更容易做到，而事后很难做到，但这是防止此类攻击的好方法。