_2e_ писал(а):
Кстати на isr тоже можно с локальной бд юзеров эниконнект фильтровать acl при помощи aaa attribute list без радиусов.
Можно, да. Логика та же, только с локальной авторизацией.
Полезно как резерв, чтобы самому зайти, если RADIUS отвалится.
Или если юзеров мало и не хочется RADIUS поднимать.
aaa authentication login SSL-Login group radius local
aaa authorization network SSL group radius local
aaa attribute list Users_SSL-VPN
attribute type user-vpn-group "Users" mandatory
attribute type inacl "150" mandatory
!
username User10 secret 5 xxxxx
username User10 aaa attribute list Users_SSL-VPN