金信润天教育技术文档A

在 Cisco 设备中，许多接口，许多地方，为了安全，都需要开启认证服务，比如我们通常配置的 console 下的密码，进入 Privileged EXEC 模式的 enable 密码，VTY线路下的密码，以及其它二层接口的认证密码等等。这些密码配置在哪里，那里就开启了相应的认证服务。并且这些认证服务方式是单一的，也没有备份认证方式，更重要的是，这些密码只能读取本地，却不可以通过读取远程服务器的认证方式来给自己提供认证服务。要想将一个接口的认证方式调用到另外一个接口，或者让某接口使用远程服务器的认证方式，那就需要 AAA 中的认证来实现。

AAA 中的认证可以给设备提供更多的认证方式，AAA 认证就相当于一个装有认证方式的容器一样，里面可以有多个认证方式，当这个容器被安装在某个接口，那么这个接口也就拥有了容器中所有的认证方式。而几乎所有的认证方式都可以被放入这个容器中，包含远程服务器的认证方式。

AAA 认证中，这个装有多个认证方式的容器，被称为列表，即 list，这个 list 加载到某个接口，那么这个接口就拥有 list 中所有的认证方式。List 中的多个认证方式是排列有序的，当前一个认证方式不可用时，才能使用第二个，以此类推。如果第一个可以使用，绝不会开启第二个，所以这样就提供了认证备份。那么何时 AAA 才认为第一个认证方式不可用呢？何时才使用第二个呢，这是当 AAA 询问一个认证方式时，如果认证数据库没有返回信息，即认证数据丢失或失败了，那么才使用下一

个认证方式，如果某个认证方式是可用的，但用户提供了错误的用户名或密码，这样的情况是不会使用下一个认证方式的。

AAA 中的认证方式除了调用设备本地的认证方式之外，还可以调用远程服务器的认证方式，比如 radius、tacacs+。而一个 AAA list 中多可以有四个认证方式，当第一个无法响应了，便使用第二个，第二个如果同样不响应，才使用第三个。但是如果前面的认证方式是在设备本地的，如本地用户数据库，当数据库中没有用户名时，IOS 可能并不认为是认证不响应，所以很难使用下一个认证方式，只有当前一个是远程服务器时，远程服务器不响应，才会使用下一个，这是 IOS 的不足之处。如果 list 中所有认证方式全部没有响应，那么 IOS 是不会让用户登陆的，除非后有 none 指示放弃认证。

想了解网络华为/思科/红帽/锐捷考证，安全，系统，数据库，云计算，虚拟化相关课程，大学生精英腾飞就业课程，详情请咨询金信润天教育：，咨询咨询