IP INSPECT命令详解！

shekelan

1、ip inspect { on | off }：此命令用于打开/关闭报文过滤功能；缺省状态是OFF的，但一旦启用NAT后，因为NAT是依赖于连接状态检测的，故相应此状态也将立即切换成ON；
2、ip inspect host-flows A.B.C.D limit：此命令是单独为某台主机设置最大会话数（即指NAT  SESSION数）；
3、ip inspect net access-list-num：此命令的含义是对符合此ACL的连接进行连接状态统计；此处只支持标准ACL；
4、ip inspect per-host-flows limit：此命令用来设置每台主机的最大会话数目；一旦执行此命令，所有连接上来的主机（NAT INSIDE内用户）将都生效；缺省状态是100个；
5、ip inspect total-flows limit:设置系统总的会话数的最大限制；缺省的连接数上限为：

  其他一些命令就是是对IP INSPECT存活时间的一些设备，一般大家不需要更改，使用默认状态参数即可。
IP INSPECT”是对IP流先进行监控检测，然后再根据条件执行相关过滤操作,下面我们通过命令来熟悉“IP INSPECT”的用途以及相关配置情况：
IP INSPECT”是对IP流先进行监控检测，然后再根据条件执行相关过滤操作,下面我们通过命令来熟悉“IP INSPECT”的用途以及相关配置情况
常使用的调试及查看命令：
1、show ip inspect [A.B.C.D]：查看连接状态信息；既可以针对具体IP主机，也可以直接回车查看所有连接信息；
2、clear ip inspect host-bytes-count [A.B.C.D]：清除连接状态记录中的流量统计；
3、debug ip inspect [access-list-num]：查看连接状态检测功能模块的工作情况，可以使用debug ip inspect命令来实现；

举例：

1、若要单独控制主机192.168.0.4的SESSION数目为20条：
Router(config)#ip inspect host-flows 192.168.0.4 20
2、若要设置192.168.0.0网段内所有主机的连接SESSION数目为20条：
Router(config)#ip inspect per-host-flows 20
3、若要设备整个路由器的SESSION数目为5000条：
Router(config)#ip inspect total-flows 5000
4、也可以通过ACL来对符合条件的主机进行SESSION限制
(例如：限制192.168.0.—192.168.0.31段内的主机SESSION数目为20)：
Router(config)# access-list 1 permit 192.168.0.0/27
Router(config)# ip inspect net 1
Router(config)#ip inspect per-host-flows 20
注意事项：
1、所有SESSION统计都是针对每一个流的源IP进行的，即对应着NAT INSIDE内的一个主机；
2、ip inspect net access-list-num  此处的ACL限为标准ACL（1－99），扩展的ACL不支持；
3、M系列路由器2.0版本一旦启用NAT，IP INSPECT功能将自动打开，并且限制每台主机连接SESSION数目为100，但SHOW RUN里没有显示。
4、开局时碰到路由器下面再接路由器或代理服务器时（由于它们将转换成同一个IP出来，造成此IP的SESSION数目超过100的话，将会出现丢包），要考虑默认100个SESSION是否够用的问题，若出现丢包也可以从此处进行分析着手


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/45117/showart_682715.html