配置基于上下文的访问控制
拓扑以及地址规划
验证网络的联通性
server-0pingPC-0
1.在R2配置一个命名IP ACl阻隔所有外网产生的流量
R2(config)# ip access-list extended OUT-IN
R2(config-ext-nacl)# deny ip any any
R2(config-ext-nacl)# exit
R2(config)# interface s1/1
R2(config-if)# ip access-group OUT-IN in
在PC-0命令提示符ping service-0服务器。ICMP回送响应会被ACL阻隔。
2.创建一个CBAC检测规则
R2(config)# ip inspect name in-out-in icmp
R2(config)# ip inspect name in-out-in telnet
R2(config)# ip inspect name in-out-in http
R2(config)# ip inspect audit-trail
R2(config)# service timestamps debug datetime msec
R2(config)# logging host 192.99.1.3
R2(config)# interface s1/1
R2(config-if)# ip inspect in-out-in out
验证审计跟踪信息正被syslog服务器记录
在PC-0 成功通过ping、telnet访问service-0
在service-0无法通过ping,Telnet 访问PC-0
回顾在服务器service-0的syslog信息,在配置窗口点击syslog