>Как вариант -
>Весь траф ВПН-овцев заворачиваешь в лупбек, нужной группе пользователей выдаешь либо жестко
>ип-ы либо из отдельного пула и на лупе вешаешь рейт-лимит для
>этого пула адресов, получаешь ограничение на группу вцелом.

в условии задачи нет пула адресов... адреса статические, при том есть варианты как реально зарученные в инет, так и локальные через нат. Т.е. группы требующих "обрезания" не выделяются. :-( (иначе - просто)

Видимо, можно единственным способом решить задачу - отдельным скриптом добавлять IPадрес клиента в лист "зарезанных". Правда, не смог я сходу придумать такую удаленную процедуру,
rsh не заработал. Может кто-нибудь подскажет конкретно как реализовать подобную процедуру удаленно на циску?

Еще. Для клиентов, которые через нат ходят. Как организовать такое? Возможно ли?
Т.е. на внешнем интерфейсе - ip nat outside и шейпер для участников acl. На виртуальном
интерфейсе ip nat inside установленный Cisco-AVPair-ом. Если в лист записать локальный адрес
клиента, будет ли работать шейпер? Или клиент в шейпере будет участвовать под IP ната и ничего не выйдет?

Спасибо за помощь!