SecPath F1030 配置l2tp vpn。想根据拨号ip动态分配固定ip地址

目前l2tp配置完成，拥有两类用户，一种用户拨号成功后通过 ip pool自动下发ip地址。另一种用户是设置固定ip。通过acl来管理ip地址段，达到访问权限管理的目的。现在这部分功能完好且正常。

但新问题是用户有可能在公网拨入l2tp 也可以通过机构内网拨入。可一旦用户名确定后拨入成功后下发的ip也会固定。这样就给这两种拨入方式的访问管理带来困难和一定的冲突。我想要达到的目的是，公网拨入时分配固定ip，只能访问机构内部网络；而在机构内部拨入l2tp时，分配另一个ip，这个ip既能访问机构内网资源，也能通过机构内部的外网出口访问互联网。这样的功能如何实现呢？

具体应用场景说明

1.在机构内部网通过电脑或路由器拨入l2tp vpn，此时下发一个ip地址，该地址拥有完全访问权限。即通过建立的l2tp vpn能访问机构内部数据资源，也能通过f1030防火墙上的外网接口访问互联网（这部分功能是通过策略路由实现的，已经写好且运行稳定可靠）。

2.在机构外的公共网络拨入l2tp vpn 此时希望下发另一个ip地址，用此ip时不能通过f1030防火墙的外网接口访问公网，该下发的ip只能访问机构内网的资源。这时如果按用户拨号后下发的ip则不能实现这种功能。

所以希望在拨号时区分公网和机构内网（机构内网网段已知），在非机构内网网段发起的拨号连接成功后下发一种ip地址，此ip只能访问机构内网。当拨号在机构内网时，F1030获知后下发另一个ip，此ip的访问将不受限制。

希望得到解答。谢谢