Hola Juan,
Ya que las IPs se reparten aleatoriamente y no estáticamente por defecto con AnyConnect, tienes varias opciones:
- Que Radius tenga el atributo de IP para el cliente, y que permitas en el ASA dicho atributo entonces cuando el cliente se conecte siempre sea con una IP en especifico por ejemplo 192.168.1.15, y puedes crear un VPN-Filter en el group policy y crear una ACL que permite el acceso de esa IP a esas otras IPs que acabas de comentarnos.
- Crear un group policy diferente con un tunnel group, para estos clientes que quieres limitar las IPs, y en el split tunnel dentro del group policy le incluyes la ACL con los recursos que debería acceder, acá te recomiendo usar URL - ALIAS o drop-down alias para que el usuario seleccione a cual VPN se debe conectar. Y en el ASA configuras un Group Policy to AD-Group mapping.
Por favor califica todas las respuestas de ayuda y marca como correcta si esta respuesta respondió tu post,
Saludos,
David Castro,