E:基於上下文的訪問控制
拓撲圖
IP地址規划
| 設備名 |
端口 |
IP地址 |
子網掩碼 |
網關 |
| R1 |
S0/1/0 |
10.29.3.2 |
24 |
|
|
|
F0/1 |
10.29.2.1 |
24 |
|
| R2 |
S0/1/0 |
10.29.3.1 |
24 |
|
|
|
S0/1/1 |
10.29.4.1 |
24 |
|
| R3 |
S0/1/1 |
10.29.4.2 |
24 |
|
|
|
F0/1 |
10.29.1.1 |
24 |
|
| PC-A |
F0/0 |
10.29.2.2 |
24 |
10.29.2.1 |
| PC-C |
F0/0 |
10.29.1.2 |
24 |
10.29.1.1 |
配置步驟
1配置端口ip地址,並檢測連通性
服務器 ping pc端
服務器 telnet R3
2配置命令
R3(config)# ip access-list extended go
R3(config-ext-nacl)# deny ip any any //此ACL目的是隔絕外網流量
R3(config-ext-nacl)# exit
R3(config)# interface s0/1/1
R3(config-if)# ip access-group go in
R3(config)#ip inspect name YS icmp
R3(config)#ip inspect name YS http // 創建一個檢測規則來檢測ICMP和HTTP流量
R3(config)# ip inspect audit-trail
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 10.29.1.2 //開啟時間戳記記錄和CBAC審計跟蹤信息
R3(config)#int s0/1/1
R3(config-if)# ip inspect YS out
驗證
服務器 ping pc端
PC端 ping 服務器
總結:基於上下文ACL原理(個人理解):在在原本的ACL基礎上增加一個檢測機制,用於過濾報文,當報文被允許通過是,檢測機制就會默認其回送的報文也被允許,其他報文則被拒絕.