morleyc Asked: 2012-05-28 22:49:38 +0800 CST2012-05-28 22:49:38 +0800 CST 2012-05-28 22:49:38 +0800 CST 在 VPN 连接上为每个用户凭据分配 VLAN 772 我需要根据拨入的用户提供受限的远程网络访问(即不同的用户位于不同的 VLAN 上)。 然后,我将在 VLAN 之间实施防火墙安全(在单独的硬件防火墙上)以限制用户可以访问的内容。 有没有办法根据 VPN 启动期间使用的用户凭据将不同用户分配到不同的 VLAN? vpn rras vlan dynamic-vlan-assignment 1 个回答 Voted Best Answer MichelZ 2012-05-29T01:32:02+08:002012-05-29T01:32:02+08:00 我认为 NPS(网络策略服务器/RADIUS)能够做到这一点,但是,我不确定是否可以通过 VPN: http://technet.microsoft.com/en-us/library/cc754422(WS.10).aspx 网络策略中使用的 VLAN 属性 网络策略中使用的 VLAN 属性 当您使用支持虚拟局域网 (VLAN) 的路由器、交换机和访问控制器等网络硬件时,您可以配置网络策略服务器 (NPS) 网络策略以指示访问服务器将 Active Directory® 组的成员放在VLAN。 在 NPS 中为 VLAN 配置网络策略之前,请在要分配给特定 VLAN 的 Active Directory 域服务 (AD DS) 中创建用户组。然后,当您运行新建网络策略向导时,将 Active Directory 组添加为网络策略的条件。 您可以为要分配给 VLAN 的每个组创建单独的网络策略。有关详细信息,请参阅为网络策略创建组。 配置用于 VLAN 的网络策略时,必须配置 RADIUS 标准属性 Tunnel-Medium-Type、Tunnel-Pvt-Group-ID 和 Tunnel-Type。一些硬件供应商还要求使用 RADIUS 标准属性 Tunnel-Tag。 要在网络策略中配置这些属性,请使用新建网络策略向导来创建网络策略。您可以在运行向导时或在使用向导成功创建策略后将属性添加到网络策略设置。 笔记 要在使用向导创建网络策略后添加属性,请在 NPS 控制台中找到该策略并双击该策略将其打开。单击策略属性中的设置选项卡,确保选中 RADIUS 属性 - 标准,然后单击添加。在“添加属性”对话框中,添加以下属性。 隧道中型。选择一个适合您在运行新建网络策略向导时所做的先前选择的值。例如,如果您配置的网络策略是无线策略,请在属性值中选择 802(包括所有 802 媒体以及以太网规范格式)。 隧道列队组 ID。输入代表组成员将分配到的 VLAN 编号的整数。例如,如果您要通过将团队成员分配到 VLAN 4 来为您的销售团队创建销售 VLAN,请键入数字 4。 隧道型。选择值虚拟 LAN (VLAN)。 隧道标签。某些硬件设备不需要此属性。如果您的硬件设备需要此属性,请从您的硬件文档中获取此值。
我认为 NPS(网络策略服务器/RADIUS)能够做到这一点,但是,我不确定是否可以通过 VPN:
http://technet.microsoft.com/en-us/library/cc754422(WS.10).aspx