工控安全职业证书技能实践：交换机安全权限配置实战.docxVIP

PAGE 2 交换机安全权限配置实战 课程级别 信息安全专业工业互联网安全方向 实验概述 此实验主要内容是掌握交换机的安全权限配置，熟练使用Packet Tracer, 理解交换机的各个功能。 实验目标 掌握交换机的安全权限配置 熟练使用Packet Tracer 理解交换机的各个功能 预备知识 熟悉Packet Tracer的使用 熟悉常见的交换机功能和配置命令 建议课时数 4个课时 实验环境准备 实验时硬件环境：12核CPU、16G内存、1T硬盘 需要能够支持系统连接网络的网络环境 Packet Tracer 6 实验步骤 任务一 交换机的基础配置 1. 配置主机名和密码 （1）建立网络拓扑如下图所示，进入到交换机的CLI界面。 （2）输入如下命令： Switchen Switch#conftSwitch(config)#hostnameS1S1(config)#enablese123456 #设置加密特权密码S1(config)#linevty015 S1(config-line)#password123456 #设置远程登录密码 2.配置接口 （1）输入如下命令： S1(config)#intf0/1 S1(config-if)#duplex? #接口的双工模式，通常设为auto即可 S1(config-if)#speed? #接口的速率，通常设为auto即可 任务二 交换机的安全权限配置 1.特权级别 （1）在Cisco交换机中内建了16级特权级别,?权限等级的范围是从0到15，每个级别可单独配置其口令；级别15拥有最高级别的权限，提供对交换机完全的访问权限；而级别0能使用的命令和配置非常有限。在0-15级别中，数字越大，权限越高，权限高的级别继承低权限级别的所有权限。级别0-1级的提示符号为：?级别2-15的提示符号为：#? 设置特权级别密码的方法：(在全局配置模式下) Switch(config)#enablesecretlevel 特权级别 特权级别密码 2.用户 （1）Cisco交换机允许建立本地用户，即创建本地用户名和密码。默认情况下，交换机内没有本地用户。建立的用户信息可以本地存储在交换机的数据库中，也可以远程存储在一个特定的安全服务器上。 创建用户名和密码的方法：(在全局设置模式下) Switch(config)#username 用户名 password/secert 用户密码 3.权限管理方法 （1）多级权限配置 特权级别15级可执行所有命令，而默认情况下1—14级仅能执行一些只读性质的Exec命令，并且他们的的权限是一样的，而0级的权限更小。可以对Cisco交换机的0—14特权级别进行多级权限配置，即赋予不同级别以不同的权限和功能，使其只允许使用某些给定的命令。通过多级权限配置，可以根据管理要求，授 予相关的人员、相应的工作以相应的权限。 配置的方法：(在全局配置模式下) Switch(config)#privilege 模式 level 特权级别 命令关键字 （2）用户授权 为了使每个用户具有特定的权限，必须对用户进行授权。在Cisco交换机，授权的方法就是指定用户的特权级别。即设置用户属于某一个特权级别使其具有相应特权级别的权限。 默认情况下，新建用户属于level 1特权级别。 设置用户属于某个特权级别的方法（在全局配置模式下） Switch(config)#username 用户名 privilege 特权级别 也可以在创建用户时一次完成创建和设置的全过程：（在全局配置模式下） Switch(config)# username 用户名 privilege 特权级别 password 用户密码 另外必须注意：每个用户只能属于某一个特权级别，不能同时属于两个或两个以上特权级别。 4.配置实例 （1）输入如下命令： Switch#cont f S1(config)#username user privilege 11 passwprd 123456 #新建用户user，密码为123456，赋予level 11特权级别 S1(config)#privilege EXEClevel11vlandatabase #可建立VLAN,可进行基于端口的VLAN划分 S1(config)#privilege EXEClevel11configureterminal S1(config)#privilege configurelevel11interface S1(config)#privilegeinterfacelevel11switchportmodeaccess S1(config)#privilegeinterfacelevel11switchportaccessvla