HPE Aruba Gateway俗稱Controller，一般用於無線網路，因此，服務主要搭配ESSID，每個SSID都有一套相關的Profiles。

然而，HPE Aruba Gateway Wired就只能套一個AAA Profile，不管VLAN多少，都對應同一個AAA Profile。所以萬一出現2個以上VLAN需要搭配不同的驗證服務流程，只靠簡單的Auth Server就做不到了。

ClearPass厲害之處在於可以設定非常多元的條件，這使得細節能被運用到，在多態樣的驗證服務需求環境能組出適合的配置。

雖然Gateway上是同一套AAA，但VLAN ID不同就能所差異的話就可以做到這個需求。

環境需求

假設今天在學校內，學生與教職員屬於不同VLAN，都是使用有線做Captive Portal驗證。
HPE Aruba Gateway即作為兩VLAN的Gateway，流量必須經過Aruba Gateway進行NAT才能正常上網。

基於Captive Portal是將使用者連線後的偵測網頁進行Redirect，此外，Aruba的Redirect機制必須讓流量經由設備上才能正常運作，因此此架構具備理論上可行必須條件。

有線驗證環境：
VLAN100：學生有線上網驗證畫面
VLAN101：教職員有線上網驗證畫面

設計

運作流程

Aruba Gateway針對各需要有線驗證VLAN送給CPPM做MAC驗證，而送給CPPM時會帶VLAN ID。
CPPM根據VLAN ID，進行精準的服務配置，然後使用UR讓Aruba Gateway使用對應的權限控制。

條列細節

VLAN100：使用192.168.100.0/24，Gateway IP為192.168.100.254，使用NAT Inside。由Aruba Gateway作為DHCP Server。

VLAN101：使用192.168.101.0/24，Gateway IP為192.168.101.254，使用NAT Inside。由Aruba Gateway作為DHCP Server。

VLAN10：使用10.10.10.0/24，Gateway IP為10.10.10.254。

Aruba Gateway Auth Server：將Called Station ID Type改成VLAN ID。

Aruba Gateway Wired AAA Profile：使用MAC Auth，Server Group指向ClearPass，順便使用Accounting與RFC3576。

Aruba Gateway Port：針對要做有線驗證VLAN，使用「untrusted」。

ClearPass Service：針對Called Station ID作為VLAN ID依據，配置各VLAN對應的服務。

Aruba Gateway與ClearPass User Role：在ClearPass Enforcement Profile帶入User Role值，在Aruba Gateway新增User Role，並且配置Captive Portal功能，使User會被Redirect到Captive Portal進行驗證。

Aruba Gateway

在Auth Server中，在CALLED STATION ID改成「VLAN ID」。

Wired Authtication 改成 自制的AAA Profile。

Interfaces中，將有線驗證VLAN(即100、101)，使用untrusted。

ClearPass

因為Gateway使用Called-Station-ID帶VLAN ID，因此ClearPass的Service以此為條件。

因為是Captive Portal驗證，所以驗證方法要搭配「Allow All MAC AUTH」，再運用Default Enforcement Profile，讓User取得Captive Portal Logon角色。

測試

有線連上後，使用者能順利拿到DHCP IP，並且Redirect至Aruba Gateway中Captive Portal Profile指定的URL，看到正確畫面，即大功告成！

缺點

由於Aruba Gateway的Cache機制，因為AAA Profile都相同，因此短時間(5分鐘內)快速從VLAN100與VLAN101切換時，Aruba Gateway仍會使用先前的Role，減少驗證並優化短暫斷線恢復體驗。

出現此情況，可以使用指令「aaa user delete 」去刪除特定使用者的Cache，讓驗證流程完整重來。

此外，可以改短「Logon user lifetime」，現實之中，除了測試人員，如果能連通，基本上不太會出現來回切換。