Зарезервировать IP для VPN пользователя на Cisco ASA5520

[skf]

Для удаленного доступа используется VPN Cisco ASA5520 и Microsoft RADIUS сервер.
Возможно-ли зарезервировать получение клиентом постоянного IP при подсоединении к VPN? Заранее благодарен.

[kstogov]

http://www.cisco.com/en/US/products/ps6 ... afb2.shtml

[skf]

Ну честно говоря это не много не то, вернее совсем не то. Для авторизауии пользователей используется Microsoft Radius server. Соответственно и IP должны раздаваться для пользователей из AD

[Kot-II]

По моему, штатные средства вполне работают (по быстому попробовал на 5505 и IAS от Server 2003):
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD

[kstogov]

Я продукцию МС плохо знаю, ACS ковыряется для таких вещей и если надо интегрируется с eDir, AD и т.п.
Смотрите AAA и DHCP адреса.
http://www.cisco.com/en/US/docs/securit ... vpnadd.pdf

[skf]

По моему, штатные средства вполне работают (по быстому попробовал на 5505 и IAS от Server 2003):
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD

Огромное спасибо, можно-ли немного по подробнее?

[Kot-II]

По моему, штатные средства вполне работают (по быстому попробовал на 5505 и IAS от Server 2003):
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD

Огромное спасибо, можно-ли немного по подробнее?

Вариант 2:
Открыть Active Directory Users and Computers, найти нужного пользователя, Propertires, закладка Dial-In, поставить галочку Assign a Static IP Address, вписать адрес
Вариант 1:
Тут я немного ввел в заблуждние, IAS не дает назначить policy на индивидуального юзера, только на группу. Впрочем, никто не мешает создать группу и поместить в нее одного юзера.
Соответсвенно: в оснастке IAS создаем новую Remote Access Policy, указываем, что она для VPN, для группы, выбираем группу. Потом в свойствах новой policy убеждаемся, что выбрано Grant remote access permissions, нажимаем Edit profile, на закладке IP выбираем Assign a Static IP Address, вписываем IP

Прверяем: в консоли ASA debug radius all, делаем test aaa-server authorization (или из ASDM Test на страничке конфигурации AAA), смотрим трейс пакетов, убеждаемся, что IAS отдал атррибут с правильным адресом.

[skf]

По моему, штатные средства вполне работают (по быстому попробовал на 5505 и IAS от Server 2003):
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD

Огромное спасибо, можно-ли немного по подробнее?

Вариант 2:
Открыть Active Directory Users and Computers, найти нужного пользователя, Propertires, закладка Dial-In, поставить галочку Assign a Static IP Address, вписать адрес
Вариант 1:
Тут я немного ввел в заблуждние, IAS не дает назначить policy на индивидуального юзера, только на группу. Впрочем, никто не мешает создать группу и поместить в нее одного юзера.
Соответсвенно: в оснастке IAS создаем новую Remote Access Policy, указываем, что она для VPN, для группы, выбираем группу. Потом в свойствах новой policy убеждаемся, что выбрано Grant remote access permissions, нажимаем Edit profile, на закладке IP выбираем Assign a Static IP Address, вписываем IP

Прверяем: в консоли ASA debug radius all, делаем test aaa-server authorization (или из ASDM Test на страничке конфигурации AAA), смотрим трейс пакетов, убеждаемся, что IAS отдал атррибут с правильным адресом.

Огромное спасибо, буду разбираться