Leaflet
1-17
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authentication include, exclude
如果本地端口与端口 80 不同,如以下示例中所示:
static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 111 netmask 255.255.255.255
用户将无法看到身份验证页面。相反,ASA 将一条错误消息发送给 Web 浏览器,指示在使用请
求的服务前必须对用户进行身份验证。
直接通过 ASA 进行身份验证
如果不想允许 HTTP、HTTPS、Telnet 或 FTP 通过 ASA,但要对其他类型的流量进行身份验证,
则您可以通过配置 aaa authentication listener
命令来使用 HTTP 或 HTTPS 直接通过 ASA 进行身
份验证。
当为接口启用 AAA 时,您可以直接通过位于以下 URL 的 ASA 进行身份验证:
http://interface_ip[:port]/netaccess/connstatus.html
https://interface_ip[:port]/netaccess/connstatus.html
或者,您可以配置虚拟 Telnet(使用 virtual telnet 命令)。使用虚拟 Telnet,用户远程登录到一
个在 ASA 上配置的给定 IP 地址,且 ASA 提供 Telnet 提示。
示例 以下示例在外部接口上包括身份验证 TCP 流量,其中包含内部 IP 地址 192.168.0.0、网络掩码
255.255.0.0 和所有主机的外部 IP 地址,且使用名为 TACACS+ 的服务器组。第二个命令行在外部
接口上排除 Telnet 流量,其中包括内部地址 192.168.38.0 和所有主机的外部 IP 地址:
ciscoasa(config)# aaa authentication include tcp/0 outside 192.168.0.0 255.255.0.0 0 0
tacacs+
ciscoasa(config)# aaa authentication exclude telnet outside 192.168.38.0 255.255.255.0 0 0
tacacs+
以下示例展示使用 interface-name 参数的方式。ASA 具有内部网络 192.168.1.0、外部网络
209.165.201.0(子网掩码 255.255.255.224)和外围网络 209.165.202.128(子网掩码
255.255.255.224)。
此示例启用对从内部网络向外部网络发起的连接的身份验证:
ciscoasa(config)# aaa authentication include tcp/0 inside 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224 tacacs+
此示例启用对从内部网络向外围网络发起的连接的身份验证:
ciscoasa(config)#aaa authentication include tcp/0 inside 192.168.1.0 255.255.255.0
209.165.202.128 255.255.255.224 tacacs+
此示例启用对从外部网络向内部网络发起的连接的身份验证:
ciscoasa(config)# aaa authentication include tcp/0 outside 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224 tacacs+
此示例启用对从外部网络向外围网络发起的连接的身份验证:
ciscoasa(config)# aaa authentication include tcp/0 outside 209.165.202.128 255.255.255.224
209.165.201.0 255.255.255.224 tacacs+
此示例启用对从外围网络向外部网络发起的连接的身份验证:
ciscoasa(config)#aaa authentication include tcp/0 perimeter 209.165.202.128
255.255.255.224 209.165.201.0 255.255.255.224 tacacs+