身份验证、授权和记帐(AAA 或“三 A”)网络安全服务提供了设置网络设备访问控制的主要框架。 AAA 方法用于控制可以访问网络的用户(身份验证)、用户可以执行的操作(授权),同时观察用户在访问网络时的行为(记帐)。 AAA 比只用控制台、AUX、VTY 和特权 EXEC 身份验证命令提供更高的可扩展性。

身份验证

用户和管理员必须证明他们身份的真实性。 身份验证可以结合使用用户名和密码组合、提示问题和响应问题、令牌卡以及其他方法。 例如:“我是用户‘student’。 我知道密码,可以证明我是用户‘student’”。

在小型网络中,通常使用本地身份验证。 使用本地身份验证时,每台设备维护自己的用户名/密码组合数据库。 但是,当本地设备数据库中有更多用户帐户时,管理这些用户帐户就会变得复杂。 另外,随着网络的扩大,更多设备添加到网络中,本地身份验证就变得难以维护而且不能扩展。 例如,如果有 100 台网络设备,则所有用户帐户都必须添加到这 100 台设备上。

对于较大型网络,一个更易扩展的解决方案就是外部身份验证。 外部身份验证允许所有用户通过一个外部网络服务器进行身份验证。 用户外部身份验证的两个最常用选项是 RADIUS 和 TACACS+:

授权

在完成用户身份验证后,授权服务将确定该用户可以访问哪些资源,能够执行哪些操作。 例如,“用户‘student’只能使用 Telnet 访问主机 serverXYZ。”

账目管理

账目中会记录用户行为,包括访问的内容、访问资源的时间及所做的任何更改。 记账用于跟踪网络资源的使用情况。 例如,“用户‘student’使用 Telnet 访问主机 serverXYZ 15 分钟”。

AAA 的概念类似于信用卡的使用。 信用卡会确定谁可以使用它、消费限额是多少,并记录使用者的消费项目,如图所示。