Leaflet
1-34
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authorization include, exclude
默认值 IP 地址为 0 表示 “all hosts(所有主机)”。将本地 IP 地址设置为 0 将允许授权服务器决定对哪
些主机进行授权。
默认情况下禁用回退至本地数据库用以授权。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 要为 ACL 指定的流量启用授权,请使用 aaa authorization match 命令。您无法在与 include 和
exclude 命令相同的配置中使用 match 命令。我们建议您使用 match 命令而非 include 和 exclude
命令; ASDM 不支持 include 和 exclude 命令。
您无法在具有相同安全性的接口之间使用 aaa authorization include 和 exclude 命令。对于该情
况,您必须使用 aaa authorization match 命令。
您可以使用 TACACS+ 配置 ASA 以执行网络访问授权。身份验证和授权语句无关;但是,会拒绝
与授权语句匹配的任何未经身份验证的流量。要使授权成功,用户必须首先通过 ASA 进行身份
验证。由于位于给定 IP 地址的用户仅需对所有规则和类型进行一次身份验证,如果身份验证会话
未到期,则会发生授权,即使该流量与身份验证语句匹配。
用户进行身份验证后,ASA 检查用于匹配流量的授权规则。如果流量与授权语句匹配,则 ASA
将用户名发送到 TACACS+ 服务器。TACACS+ 服务器根据用户简档以允许或拒绝该流量来对
ASA 予以响应。ASA 在响应中实施授权规则。
请参阅您的 TACACS+ 服务器的文档,了解有关为用户配置网络访问授权的信息。
对于每个 IP
地址,允许一个 aaa authorization include 命令。
如果首次尝试授权失败,且第二次尝试导致超时,请使用 service resetinbound 命令重置授权失
败的客户端,以便其不会重新传输任何连接。在 Telnet 中的示例授权超时消息如下。
Unable to connect to remote host: Connection timed out
注 指定端口范围可能在授权服务器上生成意外结果。ASA 将端口范围作为字符串发送到服务器,期
望服务器将其解析成特定端口。并非所有服务器都执行此操作。此外,您可能想就特定服务对用
户进行授权,如果接受范围,则这种情况不会发生。
示例 以下示例使用 TACACS+ 协议:
ciscoasa(config)# aaa-server tplus1 protocol tacacs+
ciscoasa(config)# aaa-server tplus1 (inside) host 10.1.1.10 thekey timeout 20
ciscoasa(config)# aaa authentication include any inside 0 0 0 0 tplus1
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
exclude 参数允许用户指定将某端口排除在某个或某些特定主机之外。