Назначьте VLAN для каждого пользователя в VPN-соединениях

Question

Назначьте VLAN для каждого пользователя в VPN-соединениях

Мне нужно предоставить удаленный доступ к сети, который ограничен в зависимости от набираемого пользователя (т.е. разные пользователи размещаются в разных VLAN).

Затем я реализую брандмауэр (на отдельном аппаратном брандмауэре) между VLAN, чтобы ограничить доступ пользователей.

Есть ли способ назначить разных пользователей разным VLAN на основе их учетных данных, используемых при инициализации VPN?

0

vpn vlan rras dynamic-vlan-assignment

Источник

g18c 28 май '12 в 06:49

1 ответ

Решение

Другие вопросы по тегам vpn vlan rras dynamic-vlan-assignment

MichelZ 28 май '12 в 09:32 2012-05-28 09:32 · Accepted Answer · 2012-05-28 09:32

Я думаю, что NPS (Network Policy Server / RADIUS) способен сделать это, однако я не уверен, возможно ли это через VPN:

http://technet.microsoft.com/en-us/library/cc754422(WS.10).aspx

Атрибуты VLAN, используемые в сетевой политике
Атрибуты VLAN, используемые в сетевой политике
Когда вы используете сетевое оборудование, такое как маршрутизаторы, коммутаторы и контроллеры доступа, которые поддерживают виртуальные локальные сети (VLAN), вы можете настроить сетевую политику сервера политики сети (NPS), чтобы серверы доступа могли размещать членов групп Active Directory®. Сети VLAN.
Перед настройкой сетевой политики в NPS для VLAN создайте группы пользователей в доменных службах Active Directory (AD DS), которые вы хотите назначить определенным VLAN. Затем при запуске мастера создания сетевой политики добавьте группу Active Directory в качестве условия сетевой политики.
Вы можете создать отдельную сетевую политику для каждой группы, которую вы хотите назначить для VLAN. Для получения дополнительной информации см. Создание группы для сетевой политики.
При настройке сетевой политики для использования с VLAN необходимо настроить стандартные атрибуты RADIUS Tunnel-Medium-Type, Tunnel-Pvt-Group-ID и Tunnel-Type. Некоторые производители оборудования также требуют использования стандартного атрибута RADIUS Tunnel-Tag.
Чтобы настроить эти атрибуты в сетевой политике, используйте мастер New Network Policy для создания сетевой политики. Вы можете добавить атрибуты в параметры сетевой политики во время работы мастера или после успешного создания политики с помощью мастера.
Заметка
Чтобы добавить атрибуты после создания сетевой политики с помощью мастера, найдите политику в консоли NPS и дважды щелкните ее, чтобы открыть ее. Перейдите на вкладку "Настройки" в свойствах политики, убедитесь, что выбраны "Атрибуты RADIUS - Стандарт", и нажмите "Добавить". В диалоговом окне Добавить атрибут добавьте следующие атрибуты.
Tunnel-Medium-Type. Выберите значение, соответствующее предыдущим настройкам, которые вы сделали при запуске мастера создания сетевой политики. Например, если сетевая политика, которую вы настраиваете, является политикой беспроводной связи, в поле "Значение атрибута" выберите "802" (включает все носители 802 плюс канонический формат Ethernet).
Tunnel-Pvt-Group-ID. Введите целое число, представляющее номер VLAN, которому будут назначены члены группы. Например, если вы хотите создать VLAN для продаж для своей группы продаж, назначив членов группы для VLAN 4, введите число 4.
Туннельный Тип. Выберите значение Виртуальные локальные сети (VLAN).
Туннель-Tag. Некоторым аппаратным устройствам этот атрибут не требуется. Если вашему аппаратному устройству требуется этот атрибут, получите это значение из документации по оборудованию.