Мне нужно предоставить удаленный доступ к сети, который ограничен в зависимости от пользователя, который набирает номер (т.е. разные пользователи размещаются в разных VLAN).
Затем я буду реализовывать безопасность межсетевого экрана (на отдельном аппаратном межсетевом экране) между виртуальными локальными сетями, чтобы ограничить доступ пользователей.
Есть ли способ назначить разных пользователей разным VLAN на основе их учетных данных, используемых при инициации VPN?
Я думаю, что NPS (Network Policy Server / RADIUS) способен на это, однако я не уверен, возможно ли это через VPN:
http://technet.microsoft.com/en-us/library/cc754422(WS.10).aspx
Атрибуты VLAN, используемые в сетевой политике
Атрибуты VLAN, используемые в сетевой политике
Когда вы используете сетевое оборудование, такое как маршрутизаторы, коммутаторы и контроллеры доступа, которые поддерживают виртуальные локальные сети (VLAN), вы можете настроить сетевую политику сервера политики сети (NPS), чтобы дать указание серверам доступа размещать членов групп Active Directory® на VLAN.
Перед настройкой сетевой политики в NPS для VLAN создайте группы пользователей в доменных службах Active Directory (AD DS), которые вы хотите назначить определенным VLAN. Затем, когда вы запустите мастер новой сетевой политики, добавьте группу Active Directory в качестве условия сетевой политики.
Вы можете создать отдельную сетевую политику для каждой группы, которую хотите назначить VLAN. Дополнительные сведения см. В разделе Создание группы для сетевой политики.
При настройке сетевой политики для использования с VLAN необходимо настроить стандартные атрибуты RADIUS Tunnel-Medium-Type, Tunnel-Pvt-Group-ID и Tunnel-Type. Некоторые поставщики оборудования также требуют использования стандартного атрибута RADIUS Tunnel-Tag.
Чтобы настроить эти атрибуты в сетевой политике, используйте мастер New Network Policy для создания сетевой политики. Вы можете добавить атрибуты в параметры сетевой политики во время работы мастера или после того, как вы успешно создали политику с помощью мастера.
Заметка
- Чтобы добавить атрибуты после создания сетевой политики с помощью мастера, найдите политику в консоли NPS и дважды щелкните политику, чтобы открыть ее. Перейдите на вкладку «Параметры» в свойствах политики, убедитесь, что выбран параметр «Атрибуты RADIUS - стандартные», а затем нажмите «Добавить». В диалоговом окне «Добавить атрибут» добавьте следующие атрибуты.
Туннельный-средний-тип. Выберите значение, соответствующее предыдущему выбору, сделанному вами при запуске мастера новой сетевой политики. Например, если сетевая политика, которую вы настраиваете, является беспроводной политикой, в поле «Значение атрибута» выберите 802 (включает все носители 802 плюс канонический формат Ethernet).
Tunnel-Pvt-Group-ID. Введите целое число, представляющее номер VLAN, к которому будут назначены члены группы. Например, если вы хотите создать VLAN для продаж для своей группы продаж, назначив членов группы VLAN 4, введите число 4.
Тип туннеля. Выберите значение Virtual LANs (VLAN).
Туннель-Тег. Некоторым аппаратным устройствам этот атрибут не требуется. Если для вашего аппаратного устройства требуется этот атрибут, получите это значение из документации по оборудованию.