有时候，我们在进行远程登陆的时候，有没有思考过一个问题，有些配置，究竟是在起到了什么作用，究竟是做什么呢？

我们拿一个环境来举例

配置

[Huawei]aaa

[Huawei-aaa]local-user chenleilei service-type telnet

[Huawei-aaa]local-user thinkmo123 privilege level 3 password cipher 123456

[Huawei]user-interface vty 0 4 // 进入vty

[Huawei-ui-vty0-4]authentication-mode aaa //接入到vty中

<Huawei>telnet 192.168.10.1 Trying 192.168.10.1 ...

Press CTRL+K to abort Connected to 192.168.10.1 ...

Login authentication

Username:thinkmo123

Password: 123456

查看配置：

<Huawei>dis cu int e0/0/0

interface Ethernet0/0/0

ip address 192.168.10.1 255.255.255.0

看到没 这个地址就是显示的已经连接路由器的地址 同时在R1上也能看到登录用户：

[Huawei]dis access-user

---------------------UserID Username IP address MAC

----------------------1 thinkmo123 192.168.10.10 —

--------------Total 1,1 printed

看，这就运用到了我们的3A认证!

AAA。

认证(Authentication)：验证用户的身份与可使用网络服务；

授权(Authorization)：依据认证结果开放网络服务给用户；

计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。整个系统在网络管理与安全问题中十分有效。

3A认证，即AAA认证

AAA：分别为Authentication、Authorization、Accounting

认证(Authentication)：验证用户的身份与可使用的网络服务；

授权(Authorization)：依据认证结果开放网络服务给用户；

计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

AAA 的基本构架 AAA 通常采用"客户端—服务器"结构。这种结构既具有良好的可扩展性，又便于集中管理用户 信息。

认证

不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。

本地认证：将用户信息配置在网络接入服务器上。本地认证的优点是速度快，可以为运营降 低成本，缺点是存储信息量受设备硬件条件限制。

远端认证：将用户信息配置在认证服务器上。支持通过 RADIUS（Remote Authentication Dial In User Service）协议或 HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进行远端认证。

授权

AAA 支持以下授权方式：

不授权：不对用户进行授权处理。

本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权。

HWTACACS 授权：由 HWTACACS 服务器对用户进行授权。

if-authenticated 授权：如果用户通过了认证，而且使用的认证模式是本地或远端认证，则用户 授权通过。

RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独使用 RADIUS 进行授权。

计费

AAA 支持以下计费方式：

不计费：不对用户计费。

远端计费：支持通过 RADIUS 服务器或 HWTACACS 服务器进行远端计费。

RADIUS 协议

远程认证拨号用户服务 RADIUS（Remote Authentication Dial-In User Service）是一种分布式的、客 户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

该协议定义了基于 UDP 的 RADIUS 帧格式及其消息 传输机制，并规定 UDP 端口 1812、1813 分别作为认证、计费端口。

RADIUS 最初仅是针对拨号用户的 AAA 协议，后来随着用户接入方式的多样化发展，RADIUS 也 适应多种用户接入方式，如以太网接入、ADSL 接入。它通过认证授权来提供接入服务，通过计费 来收集、记录用户对网络资源的使用。

RADIUS 服务器

RADIUS 服务器一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负 责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。

RADIUS 客户端

RADIUS 客户端一般位于网络接入服务器 NAS（Network Access Server）设备上，可以遍布整个网 络，负责传输用户信息到指定的 RADIUS 服务器，然后根据从服务器返回的信息进行相应处理（如 接受/拒绝用户接入）。