PIX可以使用AAA對(duì)進(jìn)站連接和出站連接進(jìn)行控制。下圖就是某單位使用PIX對(duì)用戶訪問(wèn)Internet進(jìn)行控制的例子，當(dāng)圖中172.16.254.0/24網(wǎng)段中的用戶訪問(wèn)Internet時(shí)，pix會(huì)彈出對(duì)話框提示用戶輸入用戶名和密碼。用戶輸入正確的用戶名和密碼后，PIX將允許用戶的訪問(wèn)。實(shí)現(xiàn)步驟：

第一步，配置PIX接口地址以及NAT。
pixfirewall(config)# interface e0
pixfirewall(config-if)# ip address 218.1.1.1 255.255.255.0
pixfirewall(config-if)# no shutdown
pixfirewall(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
pixfirewall(config-if)# interface e1
pixfirewall(config-if)# ip address 172.16.254.1 255.255.255.0
pixfirewall(config-if)# no shutdown
pixfirewall(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# exit
pixfirewall(config)# nat (inside) 1 172.16.254.0 255.255.255.0
pixfirewall(config)# global (outside) 1 interface
第二步，配置AAA服務(wù)器參數(shù)。
pixfirewall(config)# aaa-server test protocol radius
pixfirewall(config)# aaa-server test (inside) host 172.16.254.10 cisco
第三步，配置AAA認(rèn)證。
pixfirewall(config)# access-list access-internet extended permit ip any any
pixfirewall(config)# aaa authentication match access-internet inside test
pixfirewall(config)# access-list access-internet extended permit ip any any
pixfirewall(config)# aaa authentication match access-internet inside test
第四步，測(cè)試。
當(dāng)用戶訪問(wèn)Internet上的服務(wù)器218.1.1.2時(shí)，PIX會(huì)彈出下圖所示的對(duì)話框提示用戶輸入用戶名和密碼。

如果管理員在配置時(shí)還輸入了aaa authentication secure-http-client命令，pix則會(huì)使用web頁(yè)面對(duì)用戶進(jìn)行認(rèn)證，
如下圖所示：