Leaflet
1-14
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authentication include, exclude
aaa authentication include, exclude
要启用对通过 ASA 的连接的身份验证,请在全局配置模式下使用 aaa authentication include 命
令。要禁用身份验证,请使用此命令的 no 形式。要将地址从身份验证中排除,请使用 aaa
authentication exclude 命令。要不将地址从身份验证中排除,请使用此命令的 no 形式。
aaa authentication {include | exclude} service interface_name inside_ip inside_mask [outside_ip
outside_mask] {server_tag | LOCAL}
no aaa authentication {include | exclude} service interface_name inside_ip inside_mask
[outside_ip outside_mask] {server_tag | LOCAL}
语法说明 exclude
将指定的服务和地址从身份验证中排除(如果已由 include 命令指定)。
include
指定需要身份验证的服务和 IP 地址。不处理未由 include 语句指定的
流量。
inside_ip
指定较高安全接口上的 IP 地址。此地址可以是源地址或目标地址,具
体取决于要应用此命令的接口。如果将命令应用于较低安全接口,则此
地址是目标地址。如果将命令应用于较高安全接口,则此地址是源地
址。使用 0 表示所有主机。
inside_mask
指定内部 IP 地址的网络掩码。如果 IP 地址是 0,请使用 0。对一个主机
使用 255.255.255.255。
interface_name
指定用户需要从中进行身份验证的接口名称。
LOCAL
指定本地用户数据库。
outside_ip
(可选)指定较低安全接口上的 IP 地址。此地址可以是源地址或目标
地址,具体取决于要应用此命令的接口。如果将命令应用于较低安全接
口,则此地址是源地址。如果将命令应用于较高安全接口,则此地址是
目标地址。使用 0
表示所有主机。
outside_mask
(可选)指定外部 IP 地址的网络掩码。如果 IP 地址是 0,请使用 0。对
一个主机使用 255.255.255.255。
server_tag
指定 aaa-server 命令定义的 AAA 服务器组。
service
指定需要进行身份验证的服务。您可以指定以下值之一:
• any 或 tcp/0(指定所有 TCP 流量)
• ftp
• http
• https
• ssh
• telnet
• tcp/port[-port]
• udp/port[-port]
• icmp/type
• protocol[/port[-port]]
虽然您可以将 ASA 配置为需要针对对任何协议或服务的网络访问进行
身份验证,但用户可以直接使用 HTTP、HTTPS、Telnet 或仅使用 FTP
进行身份验证。用户必须首先使用上述服务之一进行身份验证,ASA 才
允许其他需要身份验证的流量。有关详细信息请参阅 “ 使用指南 ”。