计算机网络 | AAA（认证、授权和计费）

管理员可以通过控制台来访问路由器或设备，但如果他坐在远离该设备的位置的话，这种方式就会非常不方便。因此，最终他不得不采用远程访问的方式来访问这些设备。
不过，由于远程访问是通过IP地址来实现的，因此，未经授权的用户也有可能使用相同的IP地址来访问系统。为了加强安全性，我们必须实施身份验证机制。此外，设备之间交换的数据包应该被加密处理，这样其他人就无法获取这些敏感信息了。因此，我们采用了一种名为AAA的框架来确保更高的安全性。
AAA（认证、授权、计费） 
AAA是一种基于标准的框架，用于控制谁可以被允许使用网络资源（通过身份验证）、他们被授权可以执行哪些操作（通过授权），以及记录他们在访问网络时所执行的各项操作（通过计费）。
 

1. 身份验证—— 
   这是一种识别用户是否有权限访问网络资源的方法。用户需要输入用户名和密码等身份验证信息来确认自己的身份。常见的验证方式包括在控制台端口、AUX端口或vty线路上进行身份验证。
   作为网络管理员，我们可以控制用户如何被认证，从而决定是否允许其访问网络。这些认证方式包括使用设备的本地数据库，或者向外部服务器（如ACS服务器）发送认证请求。为了指定用于认证的默认或自定义方法，通常会使用一个默认或自定义的认证方法列表。
    
2. 授权/许可 
   它提供了在用户通过身份验证成功访问网络资源之后，对网络资源实施策略的功能。在身份验证成功后，可以通过授权来决定用户可以访问哪些资源以及可以执行哪些操作。
   例如，如果一名初级网络工程师想要访问某个设备，而该工程师不应拥有对所有资源的访问权限，那么管理员可以创建一个视图，只允许用户执行那些在授权列表中被允许的命令。管理员还可以使用授权列表来指定用户如何获得对网络资源的访问权限，比如通过本地数据库还是ACS服务器来实现。
    
3. 会计工作—— 
   它提供了监控和记录用户在使用网络资源时所执行的各项操作的方法。此外，它还能够记录用户使用网络的时长。管理员可以创建一份会计方法列表，以明确需要记录的内容，以及这些记录应该发送给谁。
    

AAA实施方式：AAA功能可以通过使用设备的本地数据库来实现，或者也可以通过使用外部的ACS服务器来实现。
 

• 本地数据库 –如果我们希望利用路由器或交换机的本地运行配置来实现AAA功能，那么首先就需要为认证过程创建用户账户，同时还需要为授权过程为用户分配相应的权限等级。
   
• ACS服务器 –这是一种常见的实现方式。通常会使用外部ACS服务器来进行AAA认证操作（该服务器可以是ACS设备，也可以是在Vmware上安装的软件）。在配置过程中，需要同时完成路由器与ACS的相应设置。这些配置包括创建用户、为认证、授权和计费分别设置专门的自定义方法列表等。
  客户端或网络访问服务器（NAS）会向ACS服务器发送认证请求。服务器会根据用户提供的凭据来决定是否允许该用户访问网络资源。
   

注意：如果ACS服务器无法完成身份验证，那么管理员应在方法列表中注明：使用设备的本地数据库作为备用方案来实施AAA功能。