1、ip inspect { on | off }：此命令用于打开/关闭报文过滤功能；缺省状态是OFF的，但一旦启用NAT后，因为NAT是依赖于连接状态检测的，故相应此状态也将立即切换成ON；

常使用的调试及查看命令：

1、show ip inspect [A.B.C.D]：查看连接状态信息；既可以针对具体IP主机，也可以直接回车查看所有连接信息；

2、clear ip inspect host-bytes-count [A.B.C.D]：清除连接状态记录中的流量统计；

3、debug ip inspect [access-list-num]：查看连接状态检测功能模块的工作情况，可以使用debug ip inspect命令来实现；

举例：

1、若要单独控制主机192.168.0.4的SESSION数目为20条：

Router(config)#ip inspect host-flows 192.168.0.4 20

2、若要设置192.168.0.0网段内所有主机的连接SESSION数目为20条：

Router(config)#ip inspect per-host-flows 20

3、若要设备整个路由器的SESSION数目为5000条：

Router(config)#ip inspect total-flows 5000

4、也可以通过ACL来对符合条件的主机进行SESSION限制

 (例如：限制192.168.0.—192.168.0.31段内的主机SESSION数目为20)：

Router(config)# access-list 1 permit 192.168.0.0/27

Router(config)# ip inspect net 1

Router(config)#ip inspect per-host-flows 20

注意事项：

1、所有SESSION统计都是针对每一个流的源IP进行的，即对应着NAT INSIDE内的一个主机；

2、ip inspect net access-list-num  此处的ACL限为标准ACL（1－99），扩展的ACL不支持；

3、M系列路由器2.0版本一旦启用NAT，IP INSPECT功能将自动打开，并且限制每台主机连接SESSION数目为100，但SHOW RUN里没有显示。