我需要提供根据拨入用户进行限制的远程网络访问(即,不同的用户被放置在不同的 VLAN 上)。
然后,我将在 VLAN 之间实施防火墙安全(在单独的硬件防火墙上)来限制用户可以访问的内容。
有没有办法根据 VPN 启动期间使用的用户凭据将不同的用户分配到不同的 VLAN?
答案1
我认为 NPS(网络策略服务器/RADIUS)能够做到这一点,但是我不确定是否可以通过 VPN 实现:
http://technet.microsoft.com/en-us/library/cc754422(WS.10).aspx
网络策略中使用的 VLAN 属性
网络策略中使用的 VLAN 属性
当您使用支持虚拟局域网 (VLAN) 的网络硬件(例如路由器、交换机和访问控制器)时,您可以配置网络策略服务器 (NPS) 网络策略来指示访问服务器将 Active Directory® 组的成员放置在 VLAN 上。
在 NPS 中为 VLAN 配置网络策略之前,请在 Active Directory 域服务 (AD DS) 中创建要分配给特定 VLAN 的用户组。然后,在运行新建网络策略向导时,将 Active Directory 组添加为网络策略的条件。
您可以为要分配给 VLAN 的每个组创建单独的网络策略。有关更多信息,请参阅为网络策略创建组。
配置用于 VLAN 的网络策略时,必须配置 RADIUS 标准属性 Tunnel-Medium-Type、Tunnel-Pvt-Group-ID 和 Tunnel-Type。某些硬件供应商还要求使用 RADIUS 标准属性 Tunnel-Tag。
要在网络策略中配置这些属性,请使用新建网络策略向导创建网络策略。您可以在运行向导时或使用向导成功创建策略后将这些属性添加到网络策略设置中。
笔记
- 若要在使用向导创建网络策略后添加属性,请在 NPS 控制台中找到该策略,然后双击该策略将其打开。单击策略属性中的“设置”选项卡,确保已选择“RADIUS 属性 - 标准”,然后单击“添加”。在“添加属性”对话框中,添加以下属性。
隧道中型。选择与您在运行“新网络策略”向导时所做的先前选择相符的值。例如,如果您正在配置的网络策略是无线策略,则在“属性值”中选择“802(包括所有 802 媒体以及以太网规范格式)”。
隧道私人群组 ID。输入表示将分配组成员的 VLAN 编号的整数。例如,如果您要通过将团队成员分配到 VLAN 4 来为销售团队创建销售 VLAN,请输入数字 4。
隧道式. 选择值虚拟局域网 (VLAN)。
隧道标签。某些硬件设备不需要此属性。如果您的硬件设备需要此属性,请从硬件文档中获取此值。