《网络安全》学生实验报告

《CCNA Security》Experiment Report

一、基本信息
Name of ACL
experiment
Course Name Cyber Security Student
undergraduate
level
Major Network engineering grade 22302
CLASS Network Student 22010530211
engineering2022 id
Student Name Fengxiaoyi Date 2023/4/11
Teacher LIQIUTONG Grade

二、Purpose and requirement of experiment

Verify connectivity among devices before firewall configuration.
Use ACLs to ensure remote access to the routers is available only from
management station PC-C.
Configure ACL’s on R1 and R3 to mitigate attacks.
Verify ACL functionality

三、Experiment Results and Analysis

1、From the PC-C command prompt, SSH to the router R2 Lo0 interface. After the
remote login is successful, Place the screenshot of successfully remote login here.

2、From PC-C, open a web browser to the PC-A server to display the web page. Place
the screenshot 2 here.
 《网络安全》学生实验报告

3、After finishing Task 2 , SSH to 192.168.2.1 from PC-C (should be successful).

SSH to 192.168.2.1 from PC-A (should fail). Place the screenshot 3 and 4 here.

4、After configuring ACL 100, From the PC-C command prompt, ping the PC-A
server. Place the screenshot 5 here.

答： 因为 acl 条目 100deny 拒绝了 192.16.0.0 网段所以导致无法通信，所以

最后再输入 no ip access-group 100 in
5、After configuring Task 5，from PC-C, open a web browser to the PC-A server to
display the http web page and https web page. Place the screenshot 6 and 7 here.
 《网络安全》学生实验报告

From the PC-A command prompt, ping the R2 192.168.2.1, Place the screenshot 8
here

6、After configuring Task 6，From the PC-A command prompt, ping the R2
192.168.2.1, Place the screenshot 9 here
 《网络安全》学生实验报告

7. On R1, using show access-lists 120 to display ACL 120, and explain every ACE.
On R3, using show access-lists 100 to display ACL 100, and explain every ACE.

permit udp any host 192.168.1.3 eq domain：允许来自任何源 IP 地址的 UDP 协议数据包通

过防火墙，目标 IP 地址为 192.168.1.3，端口为域名服务（DNS）的端口。
permit tcp any host 192.168.1.3 eq smtp：允许来自任何源 IP 地址的 TCP 协议数据包通过防
火墙，目标 IP 地址为 192.168.1.3，端口为邮件传输代理（SMTP）的端口。
permit tcp any host 192.168.1.3 eq ftp：允许来自任何源 IP 地址的 TCP 协议数据包通过防火
墙，目标 IP 地址为 192.168.1.3，端口为文件传输协议（FTP）的端口。
deny tcp any host 192.168.1.3 eq 443：禁止来自任何源 IP 地址的 TCP 协议数据包通过防火
墙，目标 IP 地址为 192.168.1.3，端口为 HTTPS（安全 HTTP）的端口。
permit tcp host 192.168.3.3 host 10.1.1.1 eq 22：允许来自源 IP 地址为 192.168.3.3 的 TCP 协
议数据包通过防火墙，目标 IP 地址为 10.1.1.1，端口为 SSH 的端口。
permit icmp any any echo-reply (4 match(es))：允许来自任何源 IP 地址的 ICMP 协议数据
包通过防火墙，允许 ICMP 回显应答消息。
permit icmp any any unreachable：允许来自任何源 IP 地址的 ICMP 协议数据包通过防火墙，
允许 ICMP 目标不可达消息。
deny icmp any any：禁止来自任何源 IP 地址的 ICMP 协议数据包通过防火墙。
permit ip any any：允许来自任何源 IP 地址的 IP 协议数据包通过防火墙，无限制。

deny ip 10.0.0.0 0.255.255.255 any：拒绝来自 IP 地址范围 10.0.0.0-10.255.255.255 的任何 IP

 《网络安全》学生实验报告

协议的数据包的访问。
deny ip 172.16.0.0 0.15.255.255 any：拒绝来自 IP 地址范围 172.16.0.0-172.31.255.255 的任何
IP 协议的数据包的访问。
deny ip 192.168.0.0 0.0.255.255 any：拒绝来自 IP 地址范围 192.168.0.0-192.168.255.255 的任
何 IP 协议的数据包的访问。
deny ip 127.0.0.0 0.255.255.255 any：拒绝来自 IP 地址范围 127.0.0.0-127.255.255.255 的任何
IP 协议的数据包的访问。这个 IP 地址范围代表本地回环地址，即指向本地计算机本身的地
址。
deny ip 224.0.0.0 15.255.255.255 any：拒绝来自 IP 地址范围 224.0.0.0-239.255.255.255 的任
何 IP 协议的数据包的访问。这个 IP 地址范围用于多播，用于一次传输数据到多个接收器。
permit ip any any：允许除了以上所有范围外的 IP 地址访问该网络。这条规则是必须的，因
为前面所有的规则都是拒绝规则，如果没有允许规则，那么所有的数据包都将被拒绝，网
络将无法正常工作。