Câu lệnh:
aaa authentication {include | exclude} <authen_service> {inside | outside
| <interface>} <local_ip> <local_mask> <foreign_ip> <foreign_mask>
<group_tag>
include: tạo ra một quy tắc mới cho dịch vụ cụ thể nào đó.
exclude: chỉ ra host nào đó được bỏ qua các quy tắc mà ta đã định nghĩa trước đó
authen_service: dịch vụ mà user muốn access vào. Tham số này có thể là ftp, telnet, http, hay là cả 3 dịch vụ trên (any).
inbound: xác thực các kết nối inbound. Inbound có nghĩa là kết nối đó được khởi tạo từ interface outside đến interface inside.
outbound: xác thực các kết nối outbound. Outbound có nghĩa là kết nối được khởi tạo từ inside interface đến outside interface.
if_name: tên của interface mà ở đó user cần xác thực. Sử dụng if_name, cộng với local_ip và foreign_ip để biết được kết nối được khởi tạo từ đâu đến đâu.
local_ip: địa chỉ IP của host hoặc mạng được xác thực. Địa chỉ này có thể được set đến 0, có nghĩa là tất cả các host được xác thực. Local_ip luôn luôn nằm ở interface có mức bảo mật cao nhất.
local_mask: network mask của local_ip. Sử dụng 0 nếu địa chỉ IP là 0. Sử dụng 255.255.255.255 nếu IP là dành cho một host.
foreign_ip: là địa chỉ IP của các host mà local_ip có khả năng truy cập đến. Sử dụng 0 cho tất cả các host.
foreign_mask: giống local_mask
group_tag: là tag group trong lệnh aaa-server
PIX firewall chỉ cho phép chỉ một giao thức authentication cho một mạng. Ví dụ, nếu một mạng kết nối inbound thông qua PIX firewall sử dụng TACACS +, thì cùng mạng đó không thể kết nối inbound thông qua PIX sử dụng RADIUS. Tuy nhiên, nếu một mạng kết nối inbound thông qua pix sử dụng TACACS+, một mạng khác có thể kết nối inbound qua PIX sử dụng RADIUS.