它提供了認證、授權、計費三種安全功能,可以驗證用戶帳戶是否合法，授權用戶可以訪問的服務，并記錄用戶使用網絡資源的情況。AAA可以通過多種協議來實現，目前思科設備支持基于RADIUS協議或TACACS協議來實現AAA。

總結：NAS是網絡接入服務器，負責集中收集和管理用戶的訪問請求。

認證：驗證用戶是否可以獲得網絡訪問的權限（AAA支持三種認證方式）

不認證：完全信任用戶，不對用戶身份進行合法性檢查。鑒于安全考慮，這種認證很少使用

本地認證：将本地用戶信息（包括用戶名、密碼和各種屬性）配置在NAS上。本地認證的優點是處理速度快、運營成本低；缺點是存儲信息量受設備硬件條件限制。

遠端認證：将用戶信息（包括用戶名、密碼和各種屬性）配置在認證服務器上。AAA支持通過RADIUS協議或HWTACACS協議進行遠端認證。NAS作為客戶端，與RADIUS服務器或HWTACACS服務器進行通信。

如果采用多種認證方式，這些認證方式按配置順序生效。比如，先配置了遠端認證，随後配置了本地認證，那麼在遠端認證服務器無響應時，會轉入本地認證方式。

授權：授權用戶可以訪問或使用網絡上的哪些服務（AAA支持三種授權方式）

不授權：不對用戶進行授權處理。

本地授權：根據NAS上配置的本地用戶賬号的相關屬性進行授權。

遠端授權：HWTACACS授權，使用TACACS服務器對用戶授權。RADIUS授權，對通過RADIUS服務器認證的用戶授權。RADIUS協議的認證和授權是綁定在一起的，不能單獨使用RADIUS進行授權。

如果在一個授權方案中使用多種授權方式，這些授權方式按照配置順序生效。

審計：記錄用戶使用網絡資源的情況（AAA支持不計費，遠端計費）

不計費：為用戶提供免費上網服務，不産生相關活動日志。

遠端計費：通過RADIUS服務器或HWTACACS服務器進行遠端計費。RADIUS服務器或HWTACACS服務器具備充足的儲存空間，可以儲存各授權用戶的網絡訪問活動日志，支持計費功能。

AAA域：

default域為普通用戶的缺省域。

default_admin域為管理用戶的缺省域。

用戶可以修改但不能删除這兩個缺省域。默認設備最多支持32個域，包括兩個缺省域。

▶RADIUS：公有協議，基于UDP封裝；

*原認證授權端口号1645，審計端口号1646（未被公有化之前）

*現認證授權端口号1812，審計端口号1813（公有化之後）

*密碼使用密文，其他使用明文交互，功能強大。

▶TACACS ：思科私有協議，基于TCP封裝，端口号49；

*密碼和其他報文均使用密文交互，支持基于角色的用戶權限RBAC

AAA服務器軟件：

▶ACS 5.2

▶ISE 2.2

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!