配置工业路由器连接到IX时需要考虑的5个重要提示
停止发送ICMP重定向 - 禁用用于连接IX的工业路由器上的ICMP重定向功能。这将确保您不会污染连接到同一IX的其他路由器的路由表。
禁止转发目的地址为IX段的定向广播地址的数据包 - 在路由器上禁用此功能,因为它可能有助于对IX段的Smurf攻击,这对IX上的所有路由器都有害。
禁用代理ARP - 这样做会阻止路由器通过IX关闭所有BGP会话和流量。
最大前缀限制 - 为所有对等体配置最大前缀限制,因为这是对等路由泄漏或路由器配置错误的有效防御措施。
不要公布IX段的前缀 - 如果这样做,互联网的更广泛部分的IX段的可达性将促进对IX段的更多攻击,其应该专用于对等流量。