AAA Authentication（认证）、Authorization（授权）、Accounting（）

它提供了认证、授权、计费三种安全功能,可以验证用户帐户是否合法，授权用户可以访问的服务，并记录用户使用网络资源的情况。AAA可以通过多种协议来实现，目前思科设备支持基于RADIUS协议或TACACS协议来实现AAA。

总结：NAS是网络接入服务器，负责集中收集和管理用户的访问请求。

认证：验证用户是否可以获得网络访问的权限（AAA支持三种认证方式）

不认证：完全信任用户，不对用户身份进行合法性检查。鉴于安全考虑，这种认证很少使用

本地认证：将本地用户信息（包括用户名、密码和各种属性）配置在NAS上。本地认证的优点是处理速度快、运营成本低；缺点是存储信息量受设备硬件条件限制。

远端认证：将用户信息（包括用户名、密码和各种属性）配置在认证服务器上。AAA支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端，与RADIUS服务器或HWTACACS服务器进行通信。

如果采用多种认证方式，这些认证方式按配置顺序生效。比如，先配置了远端认证，随后配置了本地认证，那么在远端认证服务器无响应时，会转入本地认证方式。

授权：授权用户可以访问或使用网络上的哪些服务（AAA支持三种授权方式）

不授权：不对用户进行授权处理。

本地授权：根据NAS上配置的本地用户账号的相关属性进行授权。

远端授权：HWTACACS授权，使用TACACS服务器对用户授权。RADIUS授权，对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。

如果在一个授权方案中使用多种授权方式，这些授权方式按照配置顺序生效。

审计：记录用户使用网络资源的情况（AAA支持不计费，远端计费）

不计费：为用户提供免费上网服务，不产生相关活动日志。

远端计费：通过RADIUS服务器或HWTACACS服务器进行远端计费。RADIUS服务器或HWTACACS服务器具备充足的储存空间，可以储存各授权用户的网络访问活动日志，支持计费功能。

AAA域：

default域为普通用户的缺省域。

default_admin域为管理用户的缺省域。

用户可以修改但不能删除这两个缺省域。默认设备最多支持32个域，包括两个缺省域。

AAA协议：

▶RADIUS：公有协议，基于UDP封装；

*原认证授权端口号1645，审计端口号1646（未被公有化之前）

*现认证授权端口号1812，审计端口号1813（公有化之后）

*密码使用密文，其他使用明文交互，功能强大。

▶TACACS+：思科私有协议，基于TCP封装，端口号49；

*密码和其他报文均使用密文交互，支持基于角色的用户权限RBAC

AAA服务器软件：

▶ACS 5.2

▶ISE 2.2