计算机网络AAA（认证，授权和计费）

虽然管理员可以使用控制台访问路由器或其他设备，但如果他与设备位于远离的位置，这样做会非常困难。因此，他最终需要使用远程访问该设备。

然而，由于可以使用IP地址访问远程设备，我们必须实施认证作为安全机制，因为未经授权的用户可以使用相同的IP地址获得访问权限。另外，传输设备之间的数据包应进行加密，以防止未经授权访问敏感数据。因此，使用一种称为 AAA 的框架来添加额外的安全层。

AAA（认证，授权和计费）

AAA是一种基于标准的框架，用于管理谁被允许访问网络资源，允许他们做什么，并记录在执行此操作时采取的行动（通过认证和授权）。 或者我们可以说，AAA是一种用于访问计算机资源，执行策略，进行审核，为服务计费提供重要数据以及执行其他网络管理和安全任务的结构框架。

• 此操作的主要目的是授予特定授权用户对网络和软件应用资源的访问权限。
• 关于网络协议 RADIUS ，AAA的思想被广泛使用。
• 验证，授权和计费（AAA）是一种用于在基于IP的网络上监视和控制用户对网络资源的访问权限的技术。经常可以将AAA配置为专用服务器。
• 授权是授予或拒绝特定用户对计算机网络及其资源的访问权限的过程。用户可以被赋予多个授权级别，限制他们对网络及其资源的访问权限。记账被用于监视和记录计算机网络上的用户活动。

  认证 –

这是一种确定想要访问网络资源的用户是否合法的方法，它通过请求特定的凭据（如用户名和密码）来实现。可以在 控制台端口，AUX端口或vty线路等位置 上启用认证。

如果有人想要进入网络，我们作为网络管理员可以管理用户如何进行身份验证。这些技术包括使用路由器的内部数据库或向远程服务器（如ACS服务器）提交身份验证请求。使用默认或自定义的身份验证方法列表来指定要使用的身份验证方法。

授权 –

在用户通过认证获得对网络资源的访问权限后，授权可以用于识别用户被允许访问的资源和进程。

例如，如果一名初级网络工程师想要访问设备，但不应该拥有对所有资源的访问权限，管理员可以创建一个仅允许他执行某些命令的视图。管理员可以使用授权方法列表指定用户被授权访问网络资源的方式，例如通过本地数据库或ACS服务器。

计费 –

它提供了跟踪和记录用户在使用网络资源时的操作。甚至还会跟踪用户的网络访问时间。管理员可以创建一个计费方法列表，指定应计费的内容以及应该接收计费记录的对象。

AAA的实施

使用设备的本地数据库或外部ACS服务器是实施AAA的可行选项。

1. ACS服务器 - 这种方法经常被使用。对于AAA，使用外部ACS服务器（可以是ACS设备或在VMware上运行的软件）并且需要配置路由器和ACS。在配置的过程中，创建一个用户，以及一个用于认证，授权和计费的唯一定制方法列表。

根据用户提供的凭证，ACS服务器在接收来自客户端或网络访问服务器（NAS）的认证请求后决定是否为用户提供网络资源访问权。

注意：在实施AAA时，管理员必须将使用设备的本地数据库作为备份纳入方法列表，以防ACS服务器无法进行身份验证

2. 本地数据库 - 如果我们想要使用路由器或交换机的本地运行配置部署AAA，则必须首先为认证创建用户并授予他们的授权级别。

AAA框架的优势：

AAA框架提高了网络的可扩展性。可扩展性是系统通过添加资源来处理越来越多的工作的能力。以下是AAA框架的一些主要优势：

• 它使网络更具可控性和适应性。
• 它帮助网络标准化其协议使用。
• 使用RADIUS为每个用户分配自己的一组凭证。
• 对于用户和系统身份验证，将有一个联系点。

AAA框架的缺点：

AAA框架的一些主要缺点如下：

• RADIUS服务器配置，特别是初始配置，可能具有挑战性和耗时。
• 选择最佳RADIUS服务器软件和部署策略可能具有挑战性。
• 现场硬件维护可能具有困难和耗时。