【IT168专稿】路由器和交换机的管理一般都是通过telnet来完成的，而在登录设备管理界面时进行身份验证的方式主要有以下两种，一种是基于密码的纯密码验证，而另一种则是基于用户名和密码的AAA验证。可以说登录验证方式是确保设备安全的基本手段，那么这两种验证技术到底哪个更好更强呢？究竟我们应该在什么时候选择相应的验证方式呢？今天我们就对这两种验证手段进行PK。

　　一、两种验证手段的前世今生
　　说起两种验证手段的历史就不得不说路由交换设备的鼻祖Cicso公司了，基于密码的身份验证方式是Cisco公司最早采纳和应用的，这也是为什么目前大多数Cisco设备都采取基于密码的身份验证的原因；当然除了Cisco路由交换产品外实达，早期的华为，以前的港湾等厂商的设备也都采取这种基于密码的身份验证方式。不过随着网络设备的安全逐渐被各厂商和用户所重视，基于用户名和密码双重参数验证的AAA验证方式就此诞生。
　　因此从发展历程上讲AAA验证方式在后密码验证方式在前，如果按照技术发展后出现的更有优势的话，AAA验证方式获胜。

　　二、两种验证手段实现方法比较
　　这两种验证手段在配置实现上有哪写区别呢？下面进行简单比较。我们以华为设备为例进行介绍。

　　（1）密码身份验证：
　　首先要在华为设备上启用telnet服务，然后进入vty接口，设置VTY登录的验证方式为密码身份验证并添加相应的口令和权限。这样在远程登录路由交换设备时就会出现密码验证提示（图1）。

　　（2）AAA身份验证：
　　首先要在华为设备上建立相应的帐号即用户名和密码，然后将telnet的权限分配给此帐户，然后启用telnet服务进入vty接口，设置VTY登录模式为AAA验证，如果该设备已经设置了基于密码的身份验证还需要将此密码取消。这样在远程登录路由交换设备时就会出现要求输入用户名和密码的提示信息（图2）。

　　从上面的介绍可以看出，如果从配置命令和步骤上看两种身份验证方式的设置大同小异，基本都是开启服务，设置接口登录权限和指定密码（指定用户名和密码）所以在实现方法上比较两者平分秋色。

　　三、安全性比较
　　基于密码的身份验证实际上是通过密码来划分权限的，例如登录密码输入验证通过后权限比较低，只能执行仅有的几个命令，而要进入系统视图就需要另一个密码，想获得什么权限进入什么视图就必须输入相应的密码。而基于用户名和密码的AAA身份验证则是通过用户名和密码两个参数共同确保身份的合法性的，我们只需要输入相应的用户名和密码就可以获得对应的权限，不需要以后再输入权限访问密码了。也就是说可以一步到位设置自如了。

　　表面上看身份验证通过两个参数验证登录信息，在大家传统观念意识中会觉得更加安全，实际上这要根据企业的管理规范与否来决定。如果一个企业的网络管理员帐户在权限的分配上比较合理，什么用户对应什么样的密码，不存在任何非法越权问题的话，这种基于AAA验证方式无疑是好的，但是一旦权限分配不合理为低权限用户设置了高权限，那么带来的后果将是可怕的。

　　因此本质上AAA验证安全性更好，但是任何安全措施都是和人息息相关的，如果网络管理员没有设置好AAA验证权限的话，还不如老实的通过密码验证方式确保安全呢！因此确保没有权限分配越权事情发生的情况下AAA验证比密码验证更加安全。

　　四、管理方面比较
　　密码验证是通过多级密码来管理权限的，一般对于华为设备来说可以针对level 0，1，2，3四个级别来设置密码；设备记录的日志信息也是针对这些密码登录操作进行的，也就是说在某某时刻记录了level 3级别用户登录到了路由器上进行了哪些操作。我们仅仅能知道有人登录了设备，而登录使用的密码是level 3级别，当企业内部有多人掌握着level 3密码时我们将不知道是哪个人登录的，即使密码被人窃取也不会通过日志发现。这时就体现出基于AAA验证登录方式的好处了，我们可以对每一个具备level 3级别权限的用户分配一个私有帐户，并分配他们对应的权限，这样当有人使用自己帐户登录设备进行管理时设备日志记录信息将显示出他使用的用户名和时间还有IP地址，从而更加方便我们管理设备，提高设备的安全性。

　　而且当企业有人员离开时如果他知道了基于密码验证路由设备的登录密码，我们是需要及时修改此密码的，还需要把修改后的密码告诉其他需要使用该密码登录设备的人员；如果是基于AAA验证登录模式的话，则不会存在此问题，在他离开之后只需要删除他使用的帐号即可，不需要通知别人。

　　由此看来无论从管理路由登录信息，确保设备安全性方面还是从处理离职人员路由登录权限缮后工作方面，基于AAA验证的登录方式更具有优势。

　　五、适用场合对比
　　对于中小企业特别是路由交换设备只由一个人来管理的话，那么我们只需要将路由交换设备的登录方式设置为基于密码验证即可，毕竟密码只保存在网络管理员一个人手上，而且对于网管来说都有一定的安全意识，不会甚至弱口令或空口令的。而对于中小企业路由交换设备需要多人具备登录权限，有人可以修改设置有人只能查看配置的话，通过AAA验证完成登录校验则是必须。

　　另外在实际使用过程中还存在着另外一种验证方式，那就是将AAA和密码验证相互结合的手段，通过AAA验证进入到路由器的普通视图，再通过密码验证方式进入到系统视图，这需要网络管理员设置一个super密码，一方面解决了区分用户的问题，另一方面也将越权问题降到最低，网络管理员只需要保管好super密码即可。如果有其他用户需要临时使用super密码的话，使用完毕及时修改也是没有任何问题的。

　　一个人管理路由交换设备就使用密码验证，如果需要多人都具备管理设备权限，而且权限不同的话，需要通过AAA方式完成登录验证。如果企业情况比较特殊的话，还可以采取两种验证手段结合的方法完成。

　　六、总结
　　本篇文章从多个方面比较了基于密码的身份验证和基于AAA的身份验证在登录路由交换设备上的不同表现，从结果上看基于AAA的身份验证方式无疑获得了先机，更加有利于我们管理设备和提高设备安全性。不过安全技术只是个手段，真正安全级别有多高都是由操作者决定的，在实际使用过程中也是如此，一个资深网络管理员不管他使用密码验证还是AAA验证都可以把设备管理得井井有条安全有加，而一个菜鸟网管就算他采用了可靠性高的AAA登录验证，也会因配置漏洞而造成设备被入侵。所以说关键之处在于各位读者提高自身的安全意识，不断学习掌握更多的安全知识和手段，这样才能更好的管理网络。