Leaflet
1-23
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authentication match
静态 PAT 和 HTTP
对于 HTTP 身份验证,ASA 在配置静态 PAT 时检查实际端口。如果它检测到以实际端口 80 为目
标的流量,则不论映射的端口如何,ASA 都会拦截 HTTP 连接并实施身份验证。
例如,假设将外部 TCP 端口 889 转换为端口 80 (www) 且任何相关的 ACL 均允许流量:
static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 www netmask 255.255.255.255
当用户尝试访问端口 889 上的 10.48.66.155 时,ASA 拦截流量并实施 HTTP 身份验证。在 ASA 允
许 HTTP 连接完成前,用户会在其 Web 浏览器中看到 HTTP 身份验证页面。
如果本地端口与端口 80 不同,如以下示例中所示:
static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 111 netmask 255.255.255.255
用户将无法看到身份验证页面。相反,ASA 将一条错误消息发送给 Web 浏览器,指示必须在使
用请求的服务前对用户进行身份验证。
直接通过 ASA 进行身份验证
如果不想允许 HTTP、HTTPS、Telnet 或 FTP 通过 ASA,但要对其他类型的流量进行身份验证,
则您可以通过配置 aaa authentication listener
命令来使用 HTTP 或 HTTPS 直接通过 ASA 进行身
份验证。
当为接口启用 AAA 时,您可以直接通过位于以下 URL 的 ASA 进行身份验证:
http://interface_ip[:port]/netaccess/connstatus.html
https://interface_ip[:port]/netaccess/connstatus.html
或者,您可以配置虚拟 Telnet(使用 virtual telnet 命令)。使用虚拟 Telnet,用户远程登录到一
个在 ASA 上配置的给定 IP 地址,且 ASA 提供 Telnet 提示。
示例 以下一组示例说明如何使用 aaa authentication match 命令:
ciscoasa(config)# show access-list
access-list mylist permit tcp 10.0.0.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0)
access-list yourlist permit tcp any any (hitcnt=0)
ciscoasa(config)# show running-config aaa
aaa authentication match mylist outbound TACACS+
在此情景下,以下命令:
ciscoasa(config)# aaa authentication match yourlist outbound tacacs
相当于此命令:
ciscoasa(config)# aaa authentication include TCP/0 outbound 0.0.0.0 0.0.0.0 0.0.0.0
0.0.0.0 tacacs
aaa 命令语句列表根据 access-list 命令语句之间的顺序排列。如果您先输入以下命令:
ciscoasa(config)# aaa authentication match mylist outbound TACACS+
再输入此命令:
ciscoasa(config)# aaa authentication match yourlist outbound tacacs
ASA 会在尝试在 yourlist access-list 命令语句组中寻找匹配项前,尝试在 mylist access-list 命令语
句组中找到一个匹配项。
要启用对通过 ASA 的连接的身份验证并将其与身份防火墙功能匹配,请输入以下命令:
ciscoasa(config)# aaa authenticate match access_list_name inside user-identity