E:基于上下文的通路控制
拓撲圖
IP位址規劃
| 裝置名 | 端口 | IP位址 | 子網路遮罩 | 網關 |
| R1 | S0/1/0 | 10.29.3.2 | 24 | |
| F0/1 | 10.29.2.1 | 24 | ||
| R2 | S0/1/0 | 10.29.3.1 | 24 | |
| S0/1/1 | 10.29.4.1 | 24 | ||
| R3 | S0/1/1 | 10.29.4.2 | 24 | |
| F0/1 | 10.29.1.1 | 24 | ||
| PC-A | F0/0 | 10.29.2.2 | 24 | 10.29.2.1 |
| PC-C | F0/0 | 10.29.1.2 | 24 | 10.29.1.1 |
配置步驟
1配置端口ip位址,并檢測連通性
伺服器 ping pc端
伺服器 telnet R3
2配置指令
R3(config)# ip access-list extended go
R3(config-ext-nacl)# deny ip any any //此ACL目的是隔絕外網流量
R3(config-ext-nacl)# exit
R3(config)# interface s0/1/1
R3(config-if)# ip access-group go in
R3(config)#ip inspect name YS icmp
R3(config)#ip inspect name YS http // 建立一個檢測規則來檢測ICMP和HTTP流量
R3(config)# ip inspect audit-trail
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 10.29.1.2 //開啟時間戳記記錄和CBAC審計跟蹤資訊
R3(config)#int s0/1/1
R3(config-if)# ip inspect YS out
驗證
伺服器 ping pc端
PC端 ping 伺服器
總結:基于上下文ACL原理(個人了解):在在原本的ACL基礎上增加一個檢測機制,用于過濾封包,當封包被允許通過是,檢測機制就會預設其回送的封包也被允許,其他封包則被拒絕.