Leaflet
1-66
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
access-list extended
默认值 • 用于拒绝 ACE 的默认日志记录仅为拒绝的数据包生成系统日志消息 106023。
• 指定 log 关键字时,系统日志消息 106100 的默认级别是 6(信息性),且默认间隔为 300 秒。
命令模式 下表展示可输入此命令的模式:
命令历史
user_argument
为与身份防火墙功能结合使用,除源地址外还指定要将流量与其匹
配的用户或组。可用参数包括:
• object-group-user user_obj_grp_id - 指定使用 object-group user
命令创建的用户对象组。
• user {[domain_nickname\]name | any | none} - 指定用户名。指定
any 以将所有用户与用户凭证匹配,或指定 none 以匹配未映射
到用户名的地址。这些选项对于将 access-group 与 aaa
authentication match 策略结合特别有用。
• user-group [domain_nickname\\]user_group_name - 指定用户组名
称。请注意双反斜线 \\ 将域名与组名称隔开。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。
8.3(1)
使用 NAT 或 PAT 时,在用于几种功能的 ACL 中不再需要映射的地址和
端口。现在,您应始终将未转换的实际地址和端口用于这些功能。使用
实际地址和端口意味着,如果 NAT 配置更改,您无需更改 ACL。有关
详细信息,请参阅第 1-67 页上的 “ 使用实际 IP 地址的功能 ” 一节。
8.4(2)
除源 IP 地址或目标 IP 地址外,您现在还可以将身份防火墙用户和组用于
源和目标。为源和目标增加了对 user、user-group 和 object-group-user
的支持。
9.0(1)
除源 IP 地址或目标 IP 地址外,您现在还可以将 TrustSec 安全组用于源
和目标。为源或目标增加了对 security-group 和 object-group-security
的支持。
9.0(1)
增加了对 IPv6 的支持。更改了 any 关键字以表示 IPv4 和 IPv6 流量。添
加了 any4 和 any6 关键字以分别表示纯 IPv4 和纯 IPv6 流量。您可以为
源和目标指定 IPv4 和 IPv6 地址的组合。如果使用 NAT 在 IPv4 和 IPv6
之间转换,则实际数据包不会包括 IPv4 和 IPv6 地址的组合;但是,对
于许多功能,
ACL 始终使用实际 IP 地址,且不会考虑 NAT 映射的地
址。特定于 IPv6 的 ACL 已弃用。将现有 IPv6 ACL 迁移到扩展的
ACL。请参阅版本说明,了解有关迁移的更多信息。有关 ACL 迁移的
信息,请参阅 9.0 版本说明。
9.0(1)
增加了对 ICMP 代码的支持。将 icmp 指定为协议时,您可以输入
icmp_type [icmp_code]。