所谓，AAA就是认证（Authentication），授权（Authorization），审计（Accounting）这三个英文单词的缩写。（在国内，审计常被称为计费。一切向“钱”看啊！）。简单讲AAA的基本工作原理就是，一个事件先必须通过认证才能接入进来；然后根据相应的授权策略，下发相应的权限；审计则记录发生的每件事情。

本次试验重点讲解AAA。

实验拓扑：

左下角的AAA服务器配置如下：

双击服务器图标，选择Config，在选择AAA：

AAA服务器配置简单说明：Clientname是随意的，Client IP是你所要管理的路由器或交换机等网络设备的IP地址。Secret是AAA服务器与管理的网络设备之间的密钥。ServiceType是协议内型，Radius是国际标准，Tacacs是cisco专有协议。本实验使用的Radius。配置用户名和密码如图所示，点“+”添加。

总部路由的AAA Easy ×××配置：

aaa new-model

aaa authentication login eza group radius（使用AAA认证）

aaa authorization network ezo group radius

radius-server host 192.168.1.1 auth-port 1645 key 123（指点AAA服务器的IP地址和密钥，1645是Radius的默认端口号）

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

exit

crypto ipsec transform-set tim esp-3des esp-md5-hmac

ip local pool ez 192.168.3.1 192.168.3.100

crypto isakmp client configuration group myez

key 123

pool ez

crypto dynamic-map ezmap 10

set transform-set tim

reverse-route

exit

crypto map tom client authentication list eza

crypto map tom isakmp authorization list ezo

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic ezmap

interface fa 0/1

crypto map tom

exit

测试：

在远端笔记本的×××中输入如下信息：

GroupName：myez

Group key：123

Host IP(server IP)：100.1.1.2

Username：xiaoT

Password：123

点击connect，就会提示连接上去，此时会显示下发的IP地址。（若没马上连上去，在配置没错的前提下，Ipsec ×××协商时，前面几个包是不通的，解决方法，在ping一下100.1.1.2，再连接Easy ×××）。Easy ×××接入后，就可ping总部的任何地址了！