计算机网络AAA (认证、授权和计费)

尽管管理员可以使用控制台访问路由器或其他设备，但如果他离设备位置很远，这样做会非常困难。因此，他最终将需要使用远程访问该设备。

然而，由于可以使用 IP 地址访问远程设备，我们必须将身份验证作为一种安全机制来实施，因为未经授权的用户可能会使用相同的 IP 地址获取访问权限。此外，设备之间传输的数据包应该加密，以防止未经授权访问敏感数据。因此，使用名为 AAA 的框架来增加额外的安全层。

AAA（认证、授权和记账）

AAA 是一个基于标准的框架，用于管理谁被允许访问网络资源，他们被允许做什么，并记录在此过程中采取的行动（通过认证和授权）。 或者我们可以说，AAA 是一个结构化框架，用于访问计算机资源、执行策略、进行审计、提供服务计费所需的重要数据，以及执行其他网络管理和安全任务。

• 此操作的主要目的是授予特定授权用户访问网络和软件应用程序资源的权限。
• AAA 理念广泛应用于网络协议 RADIUS。
• 认证、授权和记账 (AAA) 是一种用于监控和控制用户对基于 IP 的网络上的网络资源访问的技术。通常，AAA 被配置为专用服务器。
• 授权是授予或拒绝特定用户访问计算机网络及其资源的过程。用户可以被授予多个授权级别，从而限制他们对网络及其资源的访问。记账用于监控和记录用户在计算机网络上的活动。

认证 -

它是一种确定想要访问网络资源的用户是否合法的方法，通过请求某些凭据（例如用户名和密码）来完成。认证可以在控制台端口、辅助端口或 vty 行等位置启用。

如果有人想进入网络，我们作为网络管理员可以管理用户如何进行认证。这些技术包括利用路由器的内部数据库或向远程服务器（例如 ACS 服务器）提交认证请求。使用默认或自定义认证方法列表来指定要使用的认证方法。

授权 -

用户通过认证获得网络资源访问权限后，它提供对这些资源实施策略的能力。认证成功后，授权可用于识别用户被允许访问哪些资源和进程。

例如，如果一名初级网络工程师想要访问设备，但不应该访问所有资源，那么管理员可以构建一个视图，只允许他执行某些命令。管理员可以使用授权方法列表（例如通过本地数据库或 ACS 服务器）指定用户如何被授权访问网络资源。

记账 -

它提供用户在使用网络资源时对其操作的跟踪和记录。甚至会跟踪用户网络访问的时长。管理员可以构建一个记账方法列表，以指定应记录哪些内容以及谁应接收记账记录。

AAA 的实现

利用设备的本地数据库或外部 ACS 服务器是实现 AAA 的可行选项。

1. ACS 服务器 - 这种方法经常被采用。对于 AAA，使用外部 ACS 服务器（可以是 ACS 设备或在 VMware 上运行的软件），并且路由器和 ACS 都需要配置。作为配置的一部分，会创建一个用户，以及用于认证、授权和记账的独特定制方法列表。

ACS 服务器在收到客户端或网络接入服务器 (NAS) 的认证请求后，根据用户提供的凭据决定是否向用户授予网络资源访问权限。

注意：管理员必须在 AAA 的实现方法列表中包含使用设备的本地数据库作为备份，以防 ACS 服务器无法进行认证。

2. 本地数据库 - 如果我们想使用路由器或交换机的本地运行配置部署 AAA，我们必须首先创建用于认证的用户，并授予他们授权的特权级别。

AAA 框架的优点

AAA 框架增强了网络的可扩展性。可扩展性是系统通过向系统添加资源来处理不断增加的工作量的能力。AAA 框架的一些主要优点如下所示

• 它使网络更具可控性和适应性。
• 它有助于网络实现协议使用的标准化。
• 每个用户都通过 RADIUS 获得自己的凭据集。
• 对于 IT 管理员来说，用户和系统认证将有一个单一的联系点。

AAA 框架的缺点

AAA 框架的一些主要缺点如下所示

• RADIUS 服务器配置，特别是初始配置，可能具有挑战性且耗时。
• 为您的公司选择最佳的 RADIUS 服务器软件和部署策略可能具有挑战性。
• 现场硬件维护可能困难且耗时。