在具有多个网络接入设备（NAD）的大型部署中，我们经常需要根据 NAD 设备返回不同的 VLAN。位置 X 的企业 VLAN 可能与位置 Y 不同。这可能导致我们创建不同的服务以区分不同的 NAD，从而应用不同的执行策略。然而，还有一些其他选项可以帮助我们简化策略和操作。

这两个小技巧将展示两种简单的方法，帮助您构建一个非常可扩展的策略，而无需基于每个 NAD 制定不同的服务策略。我能想到许多其他方法来实现相同的目标，但这些是我更喜欢使用的方法。

方法一：使用 VLAN 名称而不是 VLAN 编号

如果我们查看下图，我们可能需要为企业用户创建 3 个不同的服务。

• 如果企业用户来自位置 1，则应用 VLAN 10。
• 如果企业用户来自位置 2，则应用 VLAN 20。
• 如果企业用户来自位置 3，则应用 VLAN 30。

然而，更具可扩展性的方法是应用命名的 VLAN，而不是返回 VLAN 编号。这样，我们可以拥有一个策略。

• 如果企业用户来自任何位置，则应用命名为“Corporate”的 VLAN。

在每个站点，这里的技巧是我们将 vlan 名称映射到与之关联的 vlan 编号，作为 NAD 配置的一部分。在下面的例子中，我们将 vlan 99 映射到 vlan 名称 Corporate。

在 ClearPass 端，我们只返回 vlan 名称而不是 vlan 编号。请注意，不同的 NAD 设备需要不同的 Radius 属性来接受 vlan 名称，因此请查阅相应的文档。

下文显示了所有企业用户所需的执行配置文件。

因此，一旦用户通过 ClearPass 进行身份验证，它将返回带有指定 vlan 名称的 radius 属性。

如果用户从其他位置进行身份验证，他仍将获得相同名称的 vlan，但在该控制器上它将映射到不同的 vlan 编号。