大家好，我是IT售前工程師Bernie.

如果企業的某個分支機構要訪問總部網絡，總部網絡肯定不是任何人都能訪問的，只有通過認證的才可以訪問。比如訪問OA系統、報賬系統、ERP系統等等。

這個時候AAA認證、授權服務就派上用場了。

AAA是一種提供認證(Authentication )、授權(Authorization)和計費(Accounting )的安全服務。它可以用於驗證某個用戶賬號是否合法、是否被授權訪問服務，並且記錄訪問網絡資源的情況。

關於認證

認證就是說：驗證用戶是否具備某個網絡的訪問權限。

AAA中的認證方式可以分為：不認證、本地認證和遠端認證三種情況。

不認證

很簡單，就是指服務器端完全信任用戶，不對訪問的用戶做任何身份檢查。實際上絕大多數網絡不會採用不認證的方式，因為太簡單粗暴了，不安全。

本地認證

就是將用戶的本地信息作為參數配置在NAS存儲上。本地認證處理速度快、認證成本低。但是，由於認證信息是存儲在本地的，所以往往存儲的數據量比較少。

遠端認證

這種方式高大上一點，它是將認證信息配置在遠端的服務器上，通過認證服務器來配合輔助認證。

這裡需要特別說明一點，如果一個認證方案採用的是複合的認證方式，即多種認證方式並存。比如：先配置了本地認證，再配置了遠端認證。那麼，在本地認證失敗或者無響應的時候，就會轉入遠端認證。

關於授權

授權是指規定用戶被授權可以訪問網絡上的哪幾項服務。AAA的授權方式支持：不授權、本地授權和遠端授權。

不授權

就是不對用戶進行任何的授權處理。用戶訪問沒有限制，想訪問哪項服務就能訪問到。

本地授權

根據NAS存儲上配置的相關授權屬性進行授權。

遠端授權

根據遠端服務器配置授權信息，配置授權級別等等。

特別說明：如果一個授權方案採用了多種的授權方式，也是跟認證一樣，按照配置順序生效的。比如：先配置遠端授權，再配置本地授權，那麼如果遠端授權方式有問題就會轉為請求本地授權。

關於計費

計費，就是記錄某個用戶使用某項服務的情況，或者訪問某項資源的情況。跟認證和授權有所不同，計費沒有本地計費方式。只有：不計費和遠端計費。

不計費

上網全免費，服務全免費，比如某個企業的門戶、政府門戶等等。

遠端計費

通過遠端的服務器記錄用戶的上網時長或者服務時長，以計算服務所產生的費用情況。比如我們可以記錄某台主機的主機名、開始上線時間、服務時長，以及服務期間的上下行流量等。這樣我們就可以計算流量的費用或者服務的費用了。

AAA域

說完了認證、授權和計費，接下來我們進一步了解下AAA域的概念。實際上，AAA是根據域來管理用戶的，即：不同的域可以關聯不同的認證、授權和計費方案。

在計算機網絡中，每台主機屬於自己的域。如下圖，PC1屬於areaA，PC2則屬於areaB。如果不配置設備所在域，則默認缺省域default。

總結

以上是關於AAA認證的全部分享，具體的認證配置，可以先配置域的認證方案，然後再配置域的授權方案和授權方式。如下圖

文章出自：​ ​IT一指禪​​，如有轉載本文請聯繫【IT一指禪】今日頭條號。