我的边缘路由器连接到一个中转 ISP 完整路由表和 IXP。我想知道保护与 IXP 的连接免于成为不情愿的中转 ISP 的最佳方法是什么。例如,如果 IXP 成员之一将静态路由指向我的下一跳网络,该网络不是我的前缀之一,他将能够到达它,因为边缘路由器具有完整的路由表,这样我将成为不情愿的 ISP。我发现在 IXP 的入口端口上配置 ACL 以允许仅指定给我的网络前缀的流量。有没有其他方法可以做到?
谢谢
互联网交换点
网络工程
bgp
最佳实践
2021-07-14 16:45:36
1个回答
ACL 是阻止此类行为的好主意。您还应该过滤掉任何不属于 IXP 网络的源地址以防止欺骗。RFC 2827 也谈到了这一点,尽管他们的重点是 DoS 攻击。
如果您不向您的 ISP 宣传 IXP 网络,则返回流量将永远不会通过您返回 IXP。因此,在最坏的情况下,您将成为非对称路径的一部分。如果路径中某处有状态防火墙,则应该会丢弃流量。
其它你可能感兴趣的问题