>>> на Cisco ASA ACL крепится к group-policy
>> Вот нарыл сегодня такую штуку.
>> Associating an ACL attribute for an individual user must be performed as
>> part of a AAA operation.
>> Получается что можно. Хотя пока остается загадой как.
> А зачем на каждого пользователя? Хотя конечно, можно наверное и так. У
> меня вешается на группу. Пользователи принадлежат разным группам и в зависимости
> от того какая группа, такой ACL и вешается. Правда ACL вешается
> не через Radius

Суть в том, что управление доступом происходит на радиусе и не требует переконфигурации циско. Там где создаются виртуальные интерфейсы проблем вообще нет. На радиусе создаются группи там через Cisco-AVPair определяются ACL. Пользователь входит в несколько груп где ACL плюсуется и в конечном итоге получается полный списко правил что можно, а что нельзя. И все это дело прикрепляется в его персональному интерфейсу динамически. Очень удобно в администрировании. Так как АЦЛ’ы меняются часто важно сделать так что бы не надо было постоянно заходить на циску и менять правила.