计算机网络| AAA（认证、授权和计费）

管理员可以通过控制台访问路由器或设备，但如果他坐在远离该设备的地方，则非常不方便。因此，最终，他必须远程访问该设备。

因此，我们可以使用IP地址进行未经授权的访问，但我们可以使用IP地址进行未经授权的访问。此外，设备之间交换的数据包应加密，以便任何其他人都不能捕获该敏感信息。因此，一个名为AAA的框架被用来提供额外的安全级别。

AAA（认证、授权、会计）—— AAA是一个基于标准的框架，用于控制谁被允许使用网络资源（通过身份验证），他们被授权做什么（通过授权），并捕获访问网络时执行的操作（通过计费）。

1. 认证—— 通过询问用户名和密码等凭据，可以识别想要访问网络资源的用户是否有效的过程。常用的方法是在控制台端口、辅助端口或vty线路上进行身份验证。

   作为网络管理员，如果有人想访问网络，我们可以控制用户的身份验证方式。其中一些方法包括使用该设备（路由器）的本地数据库，或向ACS服务器等外部服务器发送身份验证请求。要指定用于身份验证的方法，请使用默认或自定义的身份验证方法列表。

2. 授权—— 它提供了在用户通过身份验证获得对网络资源的访问权限后对网络资源强制执行策略的功能。身份验证成功后，可以使用授权来确定允许用户访问哪些资源以及可以执行哪些操作。

   例如，如果初级网络工程师（不应该访问所有资源）想要访问设备，那么管理员可以创建一个视图，该视图只允许用户执行特定命令（方法列表中允许的命令）。管理员可以使用授权方法列表来指定如何授权用户访问网络资源，即通过本地数据库或ACS服务器。

3. 会计- 它提供了在访问网络资源时监视和捕获用户所做事件的方法。它甚至监控用户访问网络的时间。管理员可以创建会计方法列表，以指定应核算的内容以及会计记录应发送给谁。

AAA实施： AAA可以通过使用设备的本地数据库或使用外部ACS服务器来实现。

• 本地数据库- 如果我们想使用路由器或交换机的本地运行配置来实现AAA，我们应该首先创建用户以进行身份验证，并为用户提供权限级别以进行授权。

• ACS服务器- 这是常用的方法。AAA使用外部ACS服务器（可以是安装在Vmware上的ACS设备或软件），需要在路由器和ACS上进行配置。该配置包括创建一个用户、用于身份验证、授权和记帐的单独自定义方法列表。

  客户端或网络访问服务器（NAS）向ACS服务器发送身份验证请求，服务器根据用户提供的凭据决定是否允许用户访问网络资源。

注—— 如果ACS服务器无法进行身份验证，管理员应在方法列表中提及使用设备的本地数据库作为备份，以实现AAA。