AAA（认证、授权和计费）配置（本地设置）

先决条件：AAA（认证、授权和计费）
为了提供对网络资源的访问安全性，采用了AAA机制。AAA是一种基于标准的框架，用于控制谁可以被允许使用网络资源（通过身份验证），以及他们被授权可以执行哪些操作（通过授权）。此外，该机制还负责记录用户在访问网络时所执行的各项操作（通过计费功能）。
AAA功能的实现可以通过使用本地数据库（即设备的运行配置）来实现，也可以通过使用外部的ACS服务器来实现。在这里，我们将仅讨论在设备本地进行的AAA配置相关操作。
AAA配置 – 
现在，在这个示例中，我们正在路由器上配置AAA认证功能。具体步骤如下：
在路由器上启用AAA功能。
 

router1(config)#aaa new-model

通过执行命令“aaa new-model”可以启用AAA功能。
2. 创建默认的认证列表—— 
 

router1(config)#aaa authentication                      login default local

该命令的作用是启用“aaa authentication login default local”这一认证方式。
在这个命令中，“默认”意味着我们将使用默认的列表方法；而“本地”则意味着我们将使用本地的数据库。
将这份列表应用到虚拟终端线路上。 
 

router1(config)#line vty 0 4router1(config)#login authentication defaultrouter1(config)#exit

在创建默认的方法列表之后，我们还需要将其应用到各个vty线路上。这样，每当有用户尝试通过SSH或telnet访问路由器时，用户就需要提供已配置好的凭据。
4. 在路由器上创建本地用户—— 
 

router1(config)#username GeeksforGeeks            privilege 15 password saurabh 

这是最重要的一步，因为我们需要创建一个本地数据库。在数据库中，需要填写用户名（即geeksforgeeks）、权限级别为15，以及密码（即saurabh）。
注意：我们在vty线路上应用的默认方法，会强制用户（即那些想要访问路由器的人）在通过telnet或ssh进行远程访问时，必须输入这些凭据。
5. AAAA认证的调试方法 – 
我们可以通过执行“debug aaa authentication”命令来查看AAA认证的相关信息。
 

router1#debug aaa authentication 

 router2# telnet 10_1_1_1Trying 10_1_1_1 .... OpenUser Access VerificationUsername: geeksforgeeksPassword:router1> 

现在，我们将从路由器2（IP地址：10.1.1.2/24）通过Telnet连接到路由器1（IP地址：10.1.1.1/24）。此时，系统会要求输入相应的凭据，具体步骤如下如图所示。
 

一旦用户输入了认证信息，我们就能看到相关的认证消息。此外，如果我们希望在请求认证信息之前显示一些提示信息，可以使用所展示的命令来实现这一功能。
 

router1(config)#aaa authentication         banner " welcome to our network" 

如果我们希望添加用户名和密码提示功能，可以使用下面的命令来实现。
 

router1(config)#aaa authentication        username-prompt "enter your username" router1(config)#aaa authentication        password-prompt "enter your password" 

此外，如果我们希望在用户输入的凭据不正确时显示一条消息，那么可以使用下面所示的命令来实现这一点。
 

router1(config)#aaa authentication  fail-message "wrong username or password.   Please try again..." 

此外，我们还可以限制用户尝试输入错误凭据的次数。当用户第三次尝试输入错误的凭据时，该会话将会被自动终止。
 

router1(config)#aaa authentication        attempts login 3