AAA (认证、授权和计费) 配置 (本地)

认证、授权和记帐（AAA）是一个架构框架，用于实现对计算机资源的访问，审计使用情况，强制执行策略，并为服务计费和其他对网络管理和安全至关重要的流程提供关键数据。此过程主要用于允许特定授权用户访问软件和网络资源。AAA 被广泛用于描述 RADIUS 网络协议。

第一步：认证

认证意味着确定用户的身份。通过将用户的凭据与网络数据库中保存的凭据进行比较，它使用认证凭据来确定用户是否真实，以及他们是否拥有访问网络的权限。一旦认证被接受，用户将被授予访问网络内部资源的权限。

第二步：授权

用户需要授权才能执行特定任务或向网络发出命令。它确定网络访问级别以及已认证用户可以访问的资源和服务的类型。通过授权来执行策略。

第三步：记帐

此时，将跟踪用户登录、发送、接收和退出系统所花费的时间。记帐过程用于资源利用率、授权控制和计费，通过记录会话统计信息和使用数据来完成。

AAA 配置 -

在本例中，我们现在正在路由器上设置 AAA 认证。以下步骤是其中的一部分：

1. 在路由器上启用 AAA。

2. 使认证列表默认为本地。

使用命令“aaa authentication login default local”启用。此命令中的“local”和“default”分别指使用本地数据库和默认方法列表。

3. 使用 vty 线路应用列表。

创建默认方法列表后，必须将其应用于 vty 线路，以便用户在尝试通过 SSH 或 Telnet 访问路由器时始终被提示输入配置的凭据。

4. 在路由器上创建本地用户

创建包含用户名（JTP）、特权级别 15 和密码（sahasra）的本地数据库是最关键的一步。

由于我们在 VTY 线路上的默认方法列表中，希望访问路由器的用户将被要求输入这些凭据才能通过 telnet 或 SSH 进行远程访问。

5. AAA 认证调试 -

使用命令“debug aaa authentication”，我们可以查看 AAA 认证消息。

将从路由器 2（IP 地址：10.1.1.2/24）telnet 到路由器 1（IP 地址：10.1.1.1/24），并请求如图所示的凭据。

输入凭据后，用户的认证消息对我们可见。此外，我们可以使用显示的命令应用横幅，如果我们愿意，可以在要求输入凭据之前这样做。

您可以使用以下命令添加用户名和密码提示。

此外，我们还可以使用以下命令在用户凭据输入错误时显示一条消息。

我们还可以限制用户输入错误凭据的次数。在尝试输入凭据第三次后，会话将自动结束。

AAA 的优点

• AAA 框架增加了网络的**可扩展性**。可扩展性是指系统通过添加更多资源来处理增加的工作负载的能力。
• 它带来了更高的**适应性**和**改进的网络管理**。
• 它有助于维护网络的**标准协议**。
• 使用 Radius，每个用户都可以拥有自己的一组凭据。
• IT 管理员将拥有一个**单一位置**来对用户和系统进行身份验证。

AAA 的缺点

• RADIUS 服务器的**初始设置和配置**可能**复杂且耗时**。
• 决定哪种 RADIUS 服务器软件和实现模型最适合您的组织是一个**非常困难的决定**。
• **本地维护硬件**可能**困难且耗时**。