Aruba OS的頻寬限制是設定在「Role」上,又分為「Per Role」、「Per User」及「Per AP Group」,假設有一個Role取名為「R1」、有兩個AP Group取名為「A1」、「A2」,有三個User取名為「U1」、「U2」與「U3」。
以Bandwidth 30M為標準:
若用Per Role,則三個User共享30M頻寬。
若用AP Group,則A1、A2分別有30M頻寬,連在A1的使用者共享一個30M頻寬,連在A2的共享另外一個頻寬。
若用User,則U1、U2與U3都享有獨自的30M頻寬。
接著,想要讓Client受到頻寬限制,就只需要讓Client能拿到有頻寬限制的Role。
使用者連到SSID,過程中所有的角色分配都是依該SSID的AAA Profile去決定。
Initial Role是連上後,如果有PreshareKey需要輸入正確,後續沒有符合別的條件,所拿到預設的Role。
MAC Authentication Default Role,是通過MAC Auth的角色。
802.1X Authentication Default Role,是通過802.1X的角色。
網頁認證會有兩個Role,一個是進行網頁認證的Role,另一個是通過網頁認證的Role。進行網頁認證的Role會放在Initial Role,而通過網頁認證的Role會設定在L3 Authentication > Captive Porta Authenticationl 的 Default Role。
Client會不會去做網頁認證,取決於Client所拿到的Role,在Role中,可以找到要使用哪一個Captival Portal。
接下來,針對需要特別做頻寬限制的部分,起一個新的Profile,其設定與原來的相同,只有Role的部分不同。
一般的SSID,包含Open、PreshareKey、MAC Auth、802.1x,都是起一個AAA Profile,甚至是新SSID Profile。
而網頁認證的SSID,除了AAA、SSID之外,需要再起一個Captive Portal Authentication Profile。
以上是基礎的設定方式,接下來有進階的設定方法,在AAA Profile找到「User derivation rules」:
當使用者「通過驗證」之後,就會從這個選項所指定的規則清單,再重新分配一次角色。
在 Configuration > Authentication > User Rules 可以新增一個規則清單。
要局部化調整,我們可以針對:
- Client MAC:只要Client MAC等於條件設定,就設定另外的角色。
- AP BSSID:只要從某個AP BSSID連線的,就設定另外的角色。
如果VIP的MAC為11:22:33:44:55:66,可以用條件1,設定MAC Equal 11:22:33:44:55:66設定角色為VIP。
如果VIP習慣連線特定AP特定SSID,可以用條件2,設定BSSID Equal BSSID設定角色為VIP。
像是高層都在某間會議室連線,就能推測出會連線到哪一顆AP跟SSID,就能以條件2去做細部調整。
如果知道高層的MAC,就能用條件1去調整。
要查詢BSSID,從Dashboard進入特定AP,看到
如果是8版WebUI,可以從Client,調整顯示欄位,把BSSID顯示出來。
或者從 Security > Detected Radios 篩選Classification等於Authorized,就能看到被控管AP的各個BSSID。
