3750 确实有一些内部优先级，它在拥塞时更喜欢平底船，但它是不可配置的。

因此，您应该依赖常见的最佳实践，即在您的所有网络边缘上，您都应该拥有 iACL（基础设施 ACL）。在 iACL 中，您将允许 UDP 高端口、ICMP 到基础设施网络地址并丢弃休息。这样可以 ping 和 traceroute 工作，但基础设施不会受到攻击。
iACL 应该通过将允许的流量监管到可接受的小速率来补充。

这样，当外部方攻击您 3750 上的地址时，它会被边缘的网络边界丢弃。

iACL 通常是 100% 静态的，因此维护成本低，因为它只包含基础设施地址（环回、核心链接）。

这仍然会留下您的路由器直接面向客户 LAN 的开放情况，例如当 LAN 是 192.0.2.0/24 并且 3750 具有 192.0.2.1 时，通常 192.0.2.1 不会被 iACL 覆盖并且可能会受到攻击。
这些设备的解决方案要么投资于具有适当 CoPP 功能的设备，要么维护动态 iACL，始终在那里添加路由器的面向客户的地址。

如果您只通过链接网络（/30 或 /31）面对客户，解决方案要干净得多，您只需省略链接网络的广告并为 CPE 端添加静态 /32 路由，这样该路由器外部的各方就无法攻击路由器，因为他们不会有路由。
相同问题的替代解决方案是在 iACL 中使用非连续 ACL 条目，如果您的 CPE 链路网络在 iACL 中为 198.51.100.0/24，您可以执行“拒绝 ip 任何 198.51.100.0 0.0.0.254”，那么所有偶数地址都会被允许而奇数地址被拒绝，因此如果 CPE 是偶数而 3750 是奇数，则所有当前和未来的链接都受到保护，而无需更新 iACL。