一、AAA介绍

         AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是一种管理框架，它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS （Remote Authentication Dial-In User Service）协议。

认证：验证用户是否可以获得网络访问权限。

授权：授权用户可以使用哪些服务。

计费：记录用户使用网络资源的情况。

用户可以使用AAA提供的一种或多种安全服务。例如：公司仅仅想让员工在访问某些特定资源的时候进行身份认证，那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。

二、AAA实验

1、实验组网

2、 实验要求

R1模拟一台客户端设备，R2为一台网络设备。现在需要在R2上对管理R2的用户进行资源控制，只有通过认证的用户才能访问特定的资源，因此需要在R1和R2两台路由器上配置本地AAA认证，并基于域来对用户进行管理，并配置已认证用户的权限级别。

3、配置路由器

配置R1和R2 IP地址：

# R1
int g0/0/0
ip add 10.0.12.1 24

# R2
int g0/0/0
ip add 10.0.12.2 24

R2配置认证授权方案：

#进入AAA视图
aaa
#创建名为datacom的认证方案
authentication-scheme datacom
#设置认证方案的认证方式为本地认证
authentication-mode local
#创建名为datacom的授权方案
q
authorization-scheme datacom
#设置授权方案的授权方式为本地授权
authorization-mode local
q
#创建域并在域下应用AAA方案
domain datacom 
authentication-scheme datacom
authorization-scheme datacom
#创建本地用户和密码，@前是用户名，@后面是域名
local-user hcia@datacom password cipher hcia@123
local-user hcia@datacom privilege level 3
local-user hcia@datacom service-type telnet

R2开启telnet功能：

#开启telnet功能
telnet server enable
#设置登录用户界面的验证方式
user-interface vty 0 4
authentication-mode aaa

4、登录验证

5、R2配置文件

[V200R003C00]
#
 sysname R2
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authentication-scheme datacom
 authorization-scheme default
 authorization-scheme datacom
 accounting-scheme default
 domain default 
 domain default_admin 
 domain datacom  
  authentication-scheme datacom
  authorization-scheme datacom
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
 local-user hcia@datacom password cipher %$%$spj9NYWqT#&pA(/A('C3>.oW%$%$
 local-user hcia@datacom privilege level 3
 local-user hcia@datacom service-type telnet
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 10.0.12.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
 authentication-mode aaa
user-interface vty 16 20
#
wlan ac
#
return