AAA可以通过多种协议来实现，目前设备支持基于RADIUS或HWTACACS协议来实现AAA，在实际应用中，最常使用RADIUS协议。

图1中所示的AAA服务器，用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。用户也可以只使用AAA提供的一种或两种安全服务。例如，公司仅仅想让员工在访问某些特定资源时进行身份认证，那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。

目的

提供对用户进行认证、授权和计费等安全功能，防止非法用户登录设备，增强设备系统安全性。

实验需求

如图中所示，企业希望管理员能简单方便并且安全地远程管理设备，可以配置通过Telnet登录设备时使用AAA本地认证：

1. 管理员输入正确的用户名和密码才能通过Telnet登录设备。
2. 管理员通过Telnet登录设备后，可以执行命令级别为0～15的所有命令行。

配置思路

采用如下思路配置用户通过Telnet登录设备的身份认证：

1. 配置Switch的接口IP地址。
2. 使能Telnet服务器功能。
3. 配置VTY用户界面的验证方式为aaa。
4. 配置AAA本地认证：创建用户名和密码、配置用户的接入类型、配置用户级别。

实验步骤

1. 配置S1的接口IP地址

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]sysname S1[S1]undo info-center enable 
Info: Information center is disabled.[S1]vlan batch 100
Info: This operation may take a few seconds. Please wait for a moment...done.[S1]interface Vlanif 100	
[S1-Vlanif100]ip address 10.1.2.10 24	
[S1-Vlanif100]quit [S1]interface GigabitEthernet 0/0/1	
[S1-GigabitEthernet0/0/1]port link-type hybrid 	
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 100	
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 100	
[S1-GigabitEthernet0/0/1]quit 

    2. 使能Telnet服务器功能

[S1]telnet server enable

    3. 配置VTY用户界面的验证方式为aaa

[S1]user-interface maximum-vty 15[S1]user-interface vty 0 14	
[S1-ui-vty0-14]authentication-mode aaa	
[S1-ui-vty0-14]protocol inbound telnet 	
[S1-ui-vty0-14]quit

    4. 配置AAA本地认证

[S1]aaa	
[S1-aaa]local-user user1 password cipher huawei@123
Info: Add a new user.	
[S1-aaa]local-user user1 service-type telnet 	
[S1-aaa]local-user user1 privilege level 15	
[S1-aaa]quit 

5. 验证配置结果

<PC>telnet 10.1.2.10

PC 配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]sysname PC[PC]undo info-center enable 
Info: Information center is disabled.[PC]interface GigabitEthernet 0/0/0	
[PC-GigabitEthernet0/0/0]ip address 10.1.2.5 24	
[PC-GigabitEthernet0/0/0]quit 	
[PC]quit <PC>telnet 10.1.2.10