设备是华为的9303
外网地址 -----暴力破解三层核心-由于我们是二级运营商所有的网关都是公网的地址落在设备上,经常遭遇国外和黑客的攻击,尝试了一下可以用如下的策略阻止
acl number 3030 # 定义一个acl
rule 5 deny ip destination 64.62.197.122 0
traffic classifier gongji operator or precedence 5 # 流分类
if-match acl 3030
#
traffic behavior gongji # 流行为
deny
#
traffic policy gongji match-order config # 流策略
classifier gongji behavior gongji
#
traffic-policy gongji global outbound #在全具应用流策略
#
只能用traffic-policy gongji global outbound 这个策略的 outbound的方向来实现 用 in不行
traffic-policy gongji global 这个 匹配的 acl 不分deny 和 permit 只要 能被 acl 匹配 然后就看 流行为的动作
但是在接口 下traffic-filter 或者 traffic-policy 1 inbound 则 需要看 acl的动作
因为9303 这个设备版本 比较老 没有traffic-filter outbound acl 3030这个
别的设备 可以直接
acl number 3030 # 定义一个acl
rule 5 deny ip destination 64.62.197.122 0
interface GigabitEthernet0/0/28
port link-type access
port default vlan 900
traffic-filter outbound acl 3030
在接口下用traffic-filter outbound acl 3030 来实现阻断