Be very careful about the sorts of enforcing suggested... They can cause issues with certain types of authentication. .. eg EAP-TLS where there is no innerID... or eduroam where you don't know the real innerID of visitors.  I'd only do VLAN assignments on the inner ID ... Either in the inner tunnel or set an internal attribute based on inner ID and base outer VLAN assignment on that hint.  <br>
<br>
Alan<br>
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.