Здравствуйте. Подскажите, пожалуйста. Настраиваю с877 для подключения удалённых клиентов с помощью Cisco software VPN клиента. Подключение происходит. Удалённый клиент, пройдя аутентификацию по локальному пользователю и авторизацию в сети по назначенной группе, получает IP адрес из определённого пула. При каждом новом подключении IP адрес определённого удалённого клиента меняется. Вопрос такой: можно ли, не прибегая к использованию внешнего RADIUS/TACACS сервера, настроить aaa на с877 таким образом, что бы каждому пользователю из одной группы был назначен строго определённый IP адрес? Почему без RADIUS/TACACS сервера? Так пока нет надобности. Клиентов не больше трёх десятков. Можно, конечно, попробовать завести три десятка групп, три дестяка IP пулов и подготовить три десятка конфигов для клиентов, но, желательно, использовать один конфиг для всех софтварных VPN клиентов, да и конфиг на cisco не хочется "раздувать" без необходимости. Может по MAC можно привязать?куски конфига ... aaa new-model ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common .... username extuser1 password 7 testpassword ! crypto isakmp client configuration group mygroup1 key mygroup1key1 pool ippool89 acl 109 crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto ipsec transform-set myset1 esp-3des esp-sha-hmac ! crypto dynamic-map mydynmap 10 set transform-set myset1 ! ! crypto map mycryptmap1 client authentication list userauthen crypto map mycryptmap1 isakmp authorization list groupauthor crypto map mycryptmap1 client configuration address respond crypto map mycryptmap1 10 ipsec-isakmp dynamic mydynmap1 .... ip local pool ippool89 192.168.89.1 192.168.89.254 .... access-list 109 permit ip 192.168.83.0 0.0.0.255 192.168.89.0 0.0.0.255 .... interface Dialer0 .... crypto map mycryptmap1 Спасибо.
|