Привет,
наверно, возможностей несколько - я бы обдумал следующее:
1. При связывании абонента система опознает его принадлежность к одной из заданных групп, согласно которой выделяет ему IP адрес из определенной подсети.
2. Отдельные подсети для разных групп абонентов имеют разные права в локальной сети. Самый простой способ - фильтры на базе acccess lists, расположенные на Fast Ethernet-е.
Пункт 1 легче всего организовать именно через RADIUS или TACACS+. Теоретически возможно прописать всех абонентов прямо на Cisco, но если их будет много, то потом управление ими (типа, заменить пароль и все такое) будет довольно хлопотно. К тому же, и RADIUS, и TACACS+ помогут вывести статистику для каждого пользователя и облегчат решение проблем (типа, "система отказывает абоненту доступ - в чем причина?"). Определить групповую принадлежность абонента можно либо прописав каждого в отдельности в конфиге RADIUS или TACACS+, либо при помощи т.наз. hints - опознавание абонента по первой букве его username. Это работает на RADIUS, насчет TACACS+ - не уверен.
WWell,
WWell,