Usługi zabezpieczenia sieci: uwierzytelnianie, autoryzacja i rozliczenie (AAA lub "Potrójne A") dostarczają strukturę pozwalającą skonfigurować kontrolę dostępu do urządzenia sieciowego. AAA jest sposobem kontroli, która sprawdza kto ma pozwolenie na dostęp do sieci (uwierzytelnienie), co może zrobić, gdy tam jest (autoryzacja) oraz obserwować działania, jakie zostały wykonane podczas uzyskiwania dostępu do sieci (rozliczanie). AAA zapewnia wyższy poziom skalowalności niż uwierzytelnienie dostępu do konsoli, AUX, VTY czy uwierzytelnianie poleceń trybu uprzywilejowanego EXEC.
Uwierzytelnianie
Użytkownicy i administratorzy muszą udowodnić, że są tymi za których się podają. Uwierzytelnienie może być ustanowione za pomocą nazwy użytkownika i hasła, połączonego pytania i odpowiedzi, karty tokenów czy innej metody. Na przykład: "Jestem użytkownikiem 'student'. Znam hasło, aby udowodnić, że jestem użytkownikiem 'student'."
W małej sieci często jest używane uwierzytelnianie lokalne. W uwierzytelnieniu lokalnym, każde urządzenie posiada własną bazę kombinacji użytkownik / hasło. Jednak, gdy jest więcej niż kilka kont użytkowników w lokalnej bazie danych urządzenia, zarządzanie kontami tych użytkowników staje się trudne. Dodatkowo, w trakcie rozwoju sieci coraz więcej urządzeń jest dodawanych do sieci i lokalnym uwierzytelnieniem trudno jest zarządzać - jest nieskalowalne. Na przykład, jeżeli jest 100 urządzeń sieciowych, wszystkie konta użytkowników muszą być dodane do wszystkich 100 urządzeń.
Dla większych sieci, bardziej skalowalnym rozwiązaniem jest autoryzacja zewnętrzna. Uwierzytelnianie zewnętrzne umożliwia wszystkim użytkownikom uzyskanie uwierzytelnienia poprzez zewnętrzny serwer. Dwie najbardziej popularne opcje zewnętrznego uwierzytelnienia użytkowników to: RADIUS oraz TACACS+:
- RADIUS jest otwartym standardem z niskim zapotrzebowaniem na zasoby w postaci mocy procesora i wielkości pamięci. Jest używany przez wielu urządzeń sieciowych, takich jak przełączniki, routery i urządzenia bezprzewodowe.
- TACACS + jest mechanizmem bezpieczeństwa, który umożliwia modułowe uwierzytelnienie, autoryzację i rozliczanie. Używa demona TACACS+ działającego na serwerze zabezpieczeń.
Autoryzacja
Po uwierzytelnieniu użytkownika, usługa autoryzacji określa, do jakich zasobów użytkownik może uzyskać dostęp i które czynności użytkownik może wykonywać. Na przykład "Użytkownik 'student' ma dostęp do hosta serverXYZ tylko przy użyciu Telnet."
Rozliczenie
Rozliczanie dokumentuje co robił użytkownik, w tym co zostało udostępnione, czas dostępu do zasóbu oraz wszelkie zmiany, które zostały wprowadzone. Rozliczanie śledzi, jak wykorzystywane są zasoby sieci. Przykładowo "Użytkownik 'student' uzyskał dostęp do serwera XYZ używając Telnet przez 15 minut".
Pojęcie AAA jest podobne do użycia karty kredytowej. Karta kredytowa określa, kto może jej używać, jak wiele użytkownik może wydać i rozlicza na jakie rzeczy użytkownik wydał pieniądze, tak jak pokazano na rysunku.