Leaflet
1-33
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authorization include, exclude
aaa authorization include, exclude
要启用对通过 ASA 的连接的授权,请在全局配置模式下使用 aaa authorization include 命令。要
禁用授权,请使用此命令的 no 形式。要将地址从授权中排除,请使用 aaa authorization exclude
命令。要不将地址从授权中排除,请使用此命令的 no 形式。
aaa authorization {include | exclude} service interface_name inside_ip inside_mask [outside_ip
outside_mask] server_tag
no aaa authorization {include | exclude} service interface_name inside_ip inside_mask
[outside_ip outside_mask] server_tag
语法说明 exclude
将指定的服务和地址从授权中排除(如果已由 include 命令指定)。
include
指定需要授权的服务和 IP 地址。不处理未由 include 语句指定的流量。
inside_ip
指定较高安全接口上的 IP 地址。此地址可以是源地址或目标地址,具
体取决于要应用此命令的接口。如果将命令应用于较低安全接口,则此
地址是目标地址。如果将命令应用于较高安全接口,则此地址是源地
址。使用 0 表示所有主机。
inside_mask
指定内部 IP 地址的网络掩码。如果 IP 地址是 0,请使用 0。对一个主机
使用 255.255.255.255。
interface_name
指定用户需要从中授权的接口名称。
outside_ip
(可选)指定较低安全接口上的 IP 地址。此地址可以是源地址或目标
地址,具体取决于要应用此命令的接口。如果将命令应用于较低安全接
口,则此地址是源地址。如果将命令应用于较高安全接口,则此地址是
目标地址。使用 0 表示所有主机。
outside_mask
(可选)指定外部 IP 地址的网络掩码。如果 IP 地址是 0,请使用 0。对
一个主机使用
255.255.255.255。
server_tag
指定 aaa-server 命令定义的 AAA 服务器组。
service
指定需要授权的服务。您可以指定以下值之一:
• any 或 tcp/0(指定所有 TCP 流量)
• ftp
• http
• https
• ssh
• telnet
• tcp/port[-port]
• udp/port[-port]
• icmp/type
• protocol[/port[-port]]
注 指定端口范围可能在授权服务器上生成意外结果。ASA 将端口
范围作为字符串发送到服务器,期望服务器将其解析成特定端
口。并非所有服务器都执行此操作。此外,您可能想就特定服
务对用户进行授权,如果接受范围,则这种情况不会发生。