為 VPN 連接上的每個使用者憑據分配 VLAN
我需要提供受限於撥入使用者的遠端網路訪問(即不同的使用者被放置在不同的 VLAN 上)。
然後,我將在 VLAN 之間實施防火牆安全(在單獨的硬體防火牆上)以限制使用者可以訪問的內容。
有沒有辦法根據在 VPN 啟動期間使用的使用者憑據將不同的使用者分配到不同的 VLAN?
我認為 NPS(網路策略伺服器/RADIUS)能夠做到這一點,但是,我不確定是否可以通過 VPN:
http://technet.microsoft.com/en-us/library/cc754422(WS.10).aspx
網路策略中使用的 VLAN 屬性
網路策略中使用的 VLAN 屬性
當您使用支持虛擬區域網路 (VLAN) 的路由器、交換機和訪問控制器等網路硬體時,您可以配置網路策略伺服器 (NPS) 網路策略以指示訪問伺服器將 Active Directory® 組的成員置於VLAN。
在 NPS 中為 VLAN 配置網路策略之前,請在 Active Directory 域服務 (AD DS) 中創建要分配給特定 VLAN 的使用者組。然後,當您執行新建網路策略嚮導時,將 Active Directory 組添加為網路策略的條件。
您可以為要分配給 VLAN 的每個組創建單獨的網路策略。有關詳細資訊,請參閱為網路策略創建組。
配置用於 VLAN 的網路策略時,必須配置 RADIUS 標準屬性 Tunnel-Medium-Type、Tunnel-Pvt-Group-ID 和 Tunnel-Type。一些硬體供應商還要求使用 RADIUS 標準屬性 Tunnel-Tag。
要在網路策略中配置這些屬性,請使用新建網路策略嚮導創建網路策略。您可以在執行嚮導時或在使用嚮導成功創建策略後將屬性添加到網路策略設置。
筆記
- 要在使用嚮導創建網路策略後添加屬性,請在 NPS 控制台中找到該策略並點兩下該策略將其打開。點擊策略屬性中的設置選項卡,確保選中 RADIUS 屬性 - 標準,然後點擊添加。在“添加屬性”對話框中,添加以下屬性。
**隧道中型。**選擇一個適合您在執行新建網路策略嚮導時所做的先前選擇的值。例如,如果您正在配置的網路策略是無線策略,則在屬性值中選擇 802(包括所有 802 媒體和乙太網規範格式)。
隧道-Pvt-Group-ID。輸入表示將分配組成員的 VLAN 號的整數。例如,如果您想通過將團隊成員分配到 VLAN 4 來為您的銷售團隊創建銷售 VLAN,請鍵入數字 4。
隧道式。選擇值虛擬 LAN (VLAN)。
**隧道標籤。**某些硬體設備不需要此屬性。如果您的硬體設備需要此屬性,請從您的硬體文件中獲取此值。