AAA（身份验证、授权和记帐）配置（本地）

先决条件—— AAA（认证、授权和记帐） 为了提供访问网络资源的安全性，使用了AAA。AAA是一个基于标准的框架，用于控制谁被允许使用网络资源（通过身份验证），他们被授权做什么（通过授权），并捕获访问网络时执行的操作（通过计费）。

AAA可以通过使用本地数据库（运行设备配置）或使用外部ACS服务器来实现。这里，我们将只讨论本地设备上的AAA配置。

AAA配置- 现在，在这个例子中，我们正在路由器上配置AAA身份验证。它包括以下步骤：- 1.在路由器上启用AAA

router1(config)#aaa new-model

AAA由命令AAA new model启用。

2.创建默认身份验证列表-

router1(config)#aaa authentication 
                     login default local

它由aaa认证登录默认本地命令启用。 在这个命令中，默认意味着我们将使用默认方法列表，本地意味着我们将使用本地数据库。

3.将列表应用于vty线路-

router1(config)#line vty 0 4
router1(config)#login authentication default
router1(config)#exit

在创建默认方法列表后，我们必须将其应用于vty线路，以便每当有用户试图通过SSH或telnet访问路由器时，用户必须提供已配置的凭据。

4.在路由器上创建本地用户-

router1(config)#username GeeksforGeeks 
           privilege 15 password saurabh 

这是最重要的一步，因为我们必须创建一个本地数据库，在其中提供用户名（作为Geeksforgeks）、权限级别15和密码（作为saurabh）。

注—— 我们在vty线路上应用的默认方法列表将强制用户（想要访问路由器的用户）在想要通过telnet或ssh进行远程访问时输入这些凭据。

5.调试aaa身份验证- 我们可以通过“debug AAA authentication”命令查看AAA身份验证消息。

router1#debug aaa authentication 

 router2# telnet 10_1_1_1
Trying 10_1_1_1 .... Open
User Access Verification
Username: geeksforgeeks
Password:
router1> 

现在，我们将从router2（ip地址–10.1.1.2/24）远程登录router1（ip地址-10.1.1/24），它将要求提供如图所示的凭据。

一旦用户输入凭据，我们就可以看到身份验证消息。除此之外，如果我们想在请求凭据之前应用横幅，我们可以使用显示的命令应用它。

router1(config)#aaa authentication 
        banner " welcome to our network" 

如果我们想添加用户名和密码提示，我们可以使用下面的命令应用它。

router1(config)#aaa authentication 
       username-prompt "enter your username" 
router1(config)#aaa authentication 
       password-prompt "enter your password" 

此外，如果我们想在用户输入的凭据错误时显示消息，那么我们可以使用下面显示的命令来显示。

router1(config)#aaa authentication 
 fail-message "wrong username or password. 
  Please try again..." 

此外，我们还可以限制用户输入错误凭据的尝试次数。第三次尝试输入凭据后，会话将自动终止。

router1(config)#aaa authentication 
       attempts login 3