在上一篇文章中，我展示了如何使用命名 VLAN 来简化我们的 VLAN 分配。在这篇文章中，我将通过使用自定义 NAD 属性来实现相同的结果。

方法二：使用自定义 NAD 属性

如果我们查看下图，我们可能需要为企业用户创建 3 个不同的服务。

• 如果企业用户来自位置 1，则应用 VLAN 10。
• 如果企业用户来自位置 2，则应用 VLAN 20。
• 如果企业用户来自位置 3，则应用 VLAN 30。

然而，更具可扩展性的方法是将 VLAN 编号与每个 NAD 设备关联，并返回相应的 NAD 属性。

• 如果企业用户来自任何位置，那么我们返回与企业 VLAN 对应的 NAD 属性

这里的技巧是，在 ClearPass 上定义的每个 NAD 设备中，我们创建一个自定义属性并设置相关的值。例如，在下面的例子中，我为 NAD 设备创建了两个自定义属性。CORPORATE_VLAN 设置为 99，而 GUEST_VLAN 设置为 100。

在 ClearPass 端，我们只返回 vlan 编号，但我们根据 NAD 设备属性填充值。在下面的例子中，我们返回与我们在上面定义的 CORPORATE_VLAN 相关的值。

所有企业用户所需的执行配置文件如下所示。它使用%{Device:Attribute}表示法，其中 Attribute 是我们在 NAD 设备上定义的属性。

因此，一旦用户通过 ClearPass 进行身份验证，它将返回此 radius 属性。

如果用户从其他位置进行身份验证，他仍将获得与该 NAD 设备关联的 vlan。