Здравствуйте.
Подскажите, пожалуйста.
Настраиваю с877 для подключения удалённых клиентов с помощью Cisco software VPN клиента.
Подключение происходит. Удалённый клиент, пройдя аутентификацию по локальному пользователю и авторизацию в сети по назначенной группе, получает IP адрес из определённого пула. При каждом новом подключении IP адрес определённого удалённого клиента меняется.
Вопрос такой: можно ли, не прибегая к использованию внешнего RADIUS/TACACS сервера, настроить aaa на с877 таким образом, что бы каждому пользователю из одной  группы был назначен строго определённый IP адрес?
Почему без RADIUS/TACACS сервера? Так пока нет надобности. Клиентов не больше трёх десятков.
Можно, конечно, попробовать завести три десятка групп, три дестяка IP пулов и подготовить три десятка конфигов для клиентов, но, желательно, использовать один конфиг для всех софтварных VPN клиентов, да и конфиг на cisco не хочется "раздувать" без необходимости.
Может по MAC можно привязать?

куски конфига
...
aaa new-model
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
....
username extuser1 password 7 testpassword
!
crypto isakmp client configuration group mygroup1
key mygroup1key1
pool ippool89
acl 109

crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto ipsec transform-set myset1 esp-3des esp-sha-hmac
!
crypto dynamic-map mydynmap 10
set transform-set myset1
!
!
crypto map mycryptmap1 client authentication list userauthen
crypto map mycryptmap1 isakmp authorization list groupauthor
crypto map mycryptmap1 client configuration address respond
crypto map mycryptmap1 10 ipsec-isakmp dynamic mydynmap1
....
ip local pool ippool89 192.168.89.1 192.168.89.254
....
access-list 109 permit ip 192.168.83.0 0.0.0.255 192.168.89.0 0.0.0.255
....
interface Dialer0
....
crypto map mycryptmap1

Спасибо.

• Настроится сisco AAA и постоянный IP без использования RADIU...,Ночной админ, 17:42 , 02-Авг-08
  • Настроится сisco AAA и постоянный IP без использования RADIU...,igmikor, 21:53 , 07-Авг-08

>Почему без RADIUS/TACACS сервера? Так пока нет надобности. Клиентов не больше трёх
>десятков.

Неужели RADIUS настолько сложен в администрировании что проще что то городить?
Настройте RADIUS и не надо будет мучатся независимо от того сколько у вас клиентов 30 или  300.

Дело в том, что RADIUS я не настраивал, пока еще.
Думал, есть решение проще. Я посмотрел-почитал о настройке Радиуса - тут сложностей хватает.
1. В RFС описана только концепция. Реализация - на совести разработчика. Толкового описания я не нашел, к сожалению.
2. Примеры настройки касаются случая подключения dial-up пользователей. У меня другая ситуация. В моем случае - software VPN client. Это уже другой тип сервиса - не ppp.
Примера на этот случай не нашел.

Пришлось настроить cisco на работу с локальной аутоидетификацией и авторизацией.
Несколько пользователей. Каждому пользователю назначена своя собственная группа и свой собственный пул адресов. В результате, при подключении через cisco software VPN client, пользователь всегда получает только выделенный для него IP адрес.
Есть проблема при VPN подключении - SA достаточно долго хранится (3600с по умолчанию). Но это можно настройкой security-association idle-time подрегулировать, если нужно. Я проверял с одного хоста (один постоянный внешний IP) - так в этом случае если я заходил одним пользователем, дисконнектился и пытался подключиться другим пользователем - VPN канал не поднимался, пока не удалишь старые SA.

В итоге: у меня не получилось сделать одну группы для всех пользователей так, что бы пользователи всегда получали чётко назначенные им IP адреса. Может быть кто-то занает как это без Радиуса сделать на cisco, используя только aaa local? На форуме видел упоминание про  
aaa attribute list xxx / attribute type ... / username USER attribute list xxx
но я не смог настроить ...