笔者2014年曾经有幸做为首席网络工程师全程参与了新加坡国家美术馆(Singapore National Arts Gallery)的网络项目的设计、实行和交付。NAGa的无线网方案利用的是Aruba。笔者是做RS出身的,自己当时接手该项目时对无线网的理解还勾留在理论阶段,在公司将我派出参加了一个星期的培训加上自己多次动手实验后,自己终于独立完成了NAGa项目的无线网络部分的支配。
下面是自己当年的一些条记,分为理论和实验两个部分,干货不少,如果你手头恰好有Aruba的活,那我的这篇条记肯定能从理论和实战上助你一臂之力。
理论部分:
1. Aruba 225系列的AP可以支持最新的802.11ac, Aruba 105 AP则只能支持到802.11n。
2. Aruba 的每一款AP都分Campus AP和Instant AP两种类型,前者属于“瘦AP,所有操作在APC上完成,后者属于“胖AP”,有自己的OS,可以直接配置无线网。如果要用APC来掌握Instant AP,则须要先将Instant AP设置成Campus AP,否则在APC上无法detect到该AP。
3. Aruba Controller的controller IP的观点等同于思科的router-id, 设置Controller IP的命令:Controller-ip vlan xx。
4. 目前市场上所有的AP只能运行在半双工模式,即可以把AP本身算作一个hub, 为了避免通一VLAN下用户过多,产生过多的collision,建议每个SSID所在的VLAN的子网掩码不要低于/24。
5. 一个SSID可以包含数个VLAN, APC将通过基于MAC的hash运算来给处在同一SSID的无线网用户分配VLAN,Aruba将该技能称作Vlan Pooling.
6. APC密码规复,用户名:password, 密码:forgetme!。
7. APC规复出厂设置:密码规复后,输入write erase all来删除掉所有配置,然后输入reboot重启。
8. Write erase 和 Write erase all的差异在于,前者删除所有的配置但不包括APC已有的license, 后者将删除所有的配置,包括已经安装好的license.
9. Aruba Mobility Controllr添加license: license add, 删除license: deletelicense. 删除所有license: write erase all.
10. AP规复出厂设置:重启AP,点Enter进入apboot模式,输入purge命令来删除配置,之后再分别输入save和reset来保存和重启AP。
11. Aruba AP启动后,将首先通过DHCP得到自己的IP以及APController的IP (DHCP option 43), 然后通过FTP从Controller下载自己的镜像文件。ArubaAP与APC之间的互换是通过Aruba专有的PAPI(Process Application Programming Interface)协议实现的,AP与APC之间还将建立GRE隧道。综上,如果AP与APC之间有防火墙的话,则须要在防火墙为它们之间开启DHCP,FTP,GRE(TCP/UDP 47)以及PAPI(UDP 8211)等端口。
12. 无线网用户连上SSID后,无线终端设备发出由802.11封装的DHCP Request包,该DHCP Request包(802.11)被AP用802.3封装好,然后通过GRE隧道传到APC, APC再根据AP所在的AP Group里的设定来决定该无线网用户所属的VLAN。在知道用户所属的VLAN id后,APC将该DHCP request(802.3)包forward给上层级联的三层交流机,再由三层交流机forward给DHCP做事器。DHCP做事器根据VLAN id分配好相应的IP地址后,由三层交流机将该DHCPReply包(802.3)传回给APC,APC拿掉该DHCP Reply的802.3包头,将其更换为802.11的包头,再通过GRE隧道(802.3)将其传回给AP,AP随后拿掉GRE隧道的802.3包头,末了将属于802.11的DHCP Reply包传回给无线终端。
13. 一个GRE隧道即是一个SSID。
14. Aruba AP通过具有唯一性的BSSID来指定WLAN, 一个AP可以支持多个WLAN。每个WLAN (SSID)又被叫做Virtual AP,一个Virtual AP下面包含SSID Profile(定义SSID名称)以及AAAProfile(定义encapsulation类型和802.1x等参数)。WLAN=SSID=VAP
15. APC通过创建AP Group来批量管理AP,一个AP只能属于一个AP Group,一个AP Group可以有多个AP。 AP Group下面包含五大Profiles: VAP, RF Management, AP,QOS, IDS,每个Profile都有属于自己的default profile,改动AP Group任一Profile的参数将影响到所有属于该APGroup的AP。
16. AP与APC之间有Tunneled, Decrypt-Tunneled和Bridge三种传输模式
a. Tunneled
Data framesencapsulated/sent within GRE tunnel to the controller
PAPI Control Packetstransported via UDP 8211 (NOT tunneled)
b. Decrypt-Tunneled
AP Encrypts/decryptsclient packets
PAPI packetstransported to the controller with IPSec
c. Bridge
Encryption/Decryptionat the AP
All user traffic locallyrouted/switched
17. 用ClearPass做RADIUS做事器,第一步先要配置NAD(Network Access Device),对无线网用户来讲,NAD永久是APC或者Instant AP。对Wired用户来说,NAD是Wired用户接入的设备,比如2/3层交流机,或者是路由器。
18. Aruba APC里针对无线用户设定好了四种Role: Initial Role(常日是logon, logon只许可身份验证和Captive Portal的流量通过), User Derived Role, Server Derived Role (802.1X) 以及default Role。 前两种Role是在做authentication之前分配给用户的,后面两种Role是在做authentication之后分给user的。
19. 每个Role下含一个或数个策略, 每个策略又包含一个或多个Rule.
20. 在APC里,一个用户只能有一个role,在ClearPass里面,一个用户有多个role (LAB2.1)。ClearPass里面的role不即是APC的role,纵然role的名称相同。
21. Aruba无线网络用户认证办法紧张有三种:1 无认证,也便是无需密码就能连上一个SSID。 2 PSK认证,在APC上为SSID预配好一个密匙(即无线用户链接SSID时所提示的无线网密码)。 3. 802.1x认证,须要额外配置一台RADIUS server,Aruba推举利用ClearPass作为RAIDUS认证做事器。
22. 通过上面的实验可以总结出ClearPass策略实行的两个关键成分为:Enforcement profile和Enforcement policy, 大略点来说,Enforcement profile 定义的是“这个策略要做什么?”, 而Enforcement policy定义的是“在什么条件或情形下实行这个策略?”,以是编辑clearpass策略的顺序该当是先做Enforcement profile, 随后再做Enforcement policy,末了再将Enforcement policy 放进Service里实行。
23. 按照OSI layer来分,Aruba的authentication又可分为L2 Authentication和L3 Authentication, 两者的差异是,L2Authentication是在无线用户得到IP之前就做认证,L3Authentication则是在无线用户得到IP之后再做认证。 范例的L2 Authentication包括:SSID (暗藏SSID名字做为安全手段), MAC, 802.1X; 而范例的L3Authentication则包括:Captive Portal以及VPN。
24. 所谓Captive Portal,便是机场,医院,大学校园等等这类大型公共场所供应给用户注册无线网络账号的一个Portal。 举个例子: 用户A用条记本或者手机连上了某个机场里的SSID(常日这些SSID都不加密,用户连上SSID后就可以立时通过DHCP分配到IP,以是CP也叫做L3 Authentication),然后打开浏览器希望浏览某个网页,但是看到的却是http://10.1.1.1/login.php之类的WiFi用户注书页面,事理是由于AP和APC之间建立了GRE隧道,用户A的802.11流量永久都是被AP先通过GRE隧道传到APC,然后APC再重定向用户的流量到CaptivePortal,以是在完成注册前,用户A能看到的只是Captive Portal的页面。 Aruba APC和Clearpass都能做Captive Portal做事器。
25. CoA是RADIUS里的一个术语,全称叫Change of Authorization。 RADIUS常日运行在”pulled mode”,即所有的认证过程都是由用户一方主动发出一个认证要求,然后RADIUS做事器相应当需求。如果不开启CoA,那么在用户的身份得到确认后,RADIUS做事器无法在须要的情形下 (比如RADIUS做事器添加了新的策略须要实行) 断开用户的认证以强行让其进行“重认证”,以是一样平常在利用802.1x作为认证办法的环境下,CoA是建议在RADIUS做事器上开启的,以备时时之需。
26. 在APC上开启Captive Portal步骤:
a. Configuration>Security>Authentication>L3Authentication>Captive Portal Authentication Profile, 创建一个新的Captive Portal profile,命名为Guest-cp_prof
b. 点击Guest-cp_prof进入修正其参数。CP页面下的上岸办法分为User login和Guest Login两种,User Login须要用户在注册时填写上岸id和密码(用户须要找Helpdesk或者Information Counter的事情职员来得到上岸信息),APC再将用户填写的身份信息传给RAIDUS做事器进行验证(验证用户的User数据库在RADIUS做事器上); 如果利用Guest Login的话,用户只需填写一个任意的EMAIL地址就能立即上岸,无需验证,User Login和Guest Login可以同时开启,但是常日处于安全考虑,建议只开启User Login。 Default Role对应的是User Login的用户,Default Guest Role对应的是Guest Login的用户,默认情形下,Default Role和Default Guest Role都是guest。
c. 修正Login Page的URL(默认是/auth/index.html),匹配Captive Portal做事器的IP地址: 如果利用ClearPass做CP做事器,就要添加ClearPass的IP,比如10.1.1.1
d. Configuration>Security>AccessControl>User Roles, 为利用Guest SSID的用户创建一个独立的role,取名为CP-guest-logon, 为该role添加两个firewall policy: logon-control和captiveportal,个中APC已经预配好的logon-control无需修正,直接调用,而Captiveportal则须要把稳:
如果利用APC做CP,无需修正captiveportal这个policy,直接调用即可。如果利用ClearPass做CP,那么须要手动添加两个rule,详细配置如下:
IP Version Source Destination Service Action Log Mirror Queue
IPv4 any host 10.1.1.1(CP’s IP) svc-http permit Low (手动添加)
IPv4 any host 10.1.1.1(CP’s IP) svc-https permit Low (手动添加)
IPv4 user controller svc-https dst-nat 8081 Low (系统预配)
IPv4 user any svc-http dst-nat 8080 Low (系统预配)
IPv4 user any svc-https dst-nat 8081 Low (系统预配)
IPv4 user any svc-http-proxy1 dst-nat 8088 Low (系统预配)
IPv4 user any svc-http-proxy2 dst-nat 8088 Low (系统预配)
IPv4 user any svc-http-proxy3 dst-nat 8088 Low (系统预配)
e. 做好firewall policy后,将CP-guest-logon的Captive Portal Profile改为步骤a创建好的 Guest-cp_prof. (关键步骤!
)
f. Configuration>Security>Authentication,进入为AP做provisioning时就已创建好的guest aaa profile(比如Naga_guest-aaa_prof),将它的Initial role 改为步骤d创建的CP-guest-logon,关键步骤!
如果不修正的话,用户将得到logon这个默认的Initial Role, 将无法进入Captive Portal,由于logon这个role下没有captiveportal这个firewall policy!
27. APC的WEB GUI的默认端口为4343,ClearPass的WEB GUI的默认端口为443,而guest这个预配role开了any to any的http和https的firewall rule,这就阐明了为什么guest用户上岸后能够打开ClearPass的WEBGUI,却不能打开APC的WEB GUI的缘故原由。
28. ClearPass虽然可以创建多个Enforcement Policy,但是每个Service一次只能调用一个EnforcementPolicy。
实验部分:
实验1:A公司哀求利用ClearPass来辨别连入公司SSID的每个无线用户的终端设备类型,如果用户利用的是苹果手机(iOS),将它们的流量路由到Proxy做事器 (192.168.10.1),如果用户利用的是Android操作系统的手机,则丢弃它们所有的流量。
思路:
1. Clearpass通过辨别MAC地址里的OUI部分来识别厂商,从而达到识别终端用户类型目的的,为了使ClearPass得到用户的MAC地址,有个非常奥妙的方法:在APC上的所有SVI都开启DHCP relay,把ip helper地址设为ClearPass的IP,这样无论如何用户从哪个SSID连入进来,APC都能把用户的DHCP Request包丢给ClearPass,而ClearPass就可以从DHCP Request包里获取用户的MAC地址。 这个方法巧就巧在ClearPass本身是不具备DHCP做事器的功能的,只管APC的SVI都配了ip helper address,并且这个ip helper指向的是Clearpass, 用户无法从Clearpass得到IP,但是这并不影响终端用户从APC(如果开启了DHCP service的话)或者其他DHCP做事器获取IP地址,我们的目的只是让ClearPass得到用户的MAC地址,从而来识别用户终端设备类型。
2.在Clearpass上的Wireless 802.1x Service 做Enforcement,让APC给苹果和安卓手机的用户分配不同的role,然后在APC上针对这两个role做策略,已达到流控的目的。
实现步骤:
1. APC上,Configuration>Network>IP,编辑每个SVI,在DHCP Helper Address这里加上ClearPass的IP地址,然后创建两个role,分别叫ios和android,把这两个role的firewall policy参照实验需求分别配置好(ios用户流量丢给proxy, Android用户流量直接丢弃), 配置步骤略。
2. ClearPass上,首先创建两个Local Role,分别叫做apple和android, 然后两个Enforcement Profile分别取名Apple Profile和Android Profile, 在Apple Profile里面,把Value设为ios(匹配APC里的role),在Android Profile里面,把Value设为android (同样匹配APC里的role), 随后创建一个Enforcement Policy, 规定在Local Role = apple的时候,匹配Apple Profile,在Local Role = android的时候, 匹配Android Profile。然后把这个Enforcement Policy 运用在Secure1-14 Wireless 802.1x Service里。
3. ClearPass上,Configuration>Serivces>Secure1-14Wireless 802.1x Service, 在Service Tab下,把More Options里的Profile Endpoints打上勾后,页面上会多出Profiler这个tab, 进入Profiler Tab, 在Endpoint Classification下拉菜单里选中”Any Category / OS Family / Name”,然后保存配置。
4. ClearPass上,Configuration>Serivces>Secure1-14Wireless 802.1x Service,在Roles Tab下,”Add new Role Mapping Policy”,在Policy Tab配置如下:
Policy Name: Apple (Ios)
Description: <any description>
Default Role: <any default role>
然后在Mapping Roles Tab下Add Rule,配置如下:
Type: Authorization:[Endpoints Repository]
Name: OS Family
Operator: EQUALS
Value: Apple
随后做Role Mapping, 把Actions下面的Role Name选为apple(把稳这个是步骤2创建的ClearPass的Local Role,和APC上的role无关),然后保存。
5. 重复步骤4,
Policy Tab:
Policy Name: Samsung(android)
Description: <any description>
Default Role: <any default role>
Mapping Roles Tab:
Type: Authorization:[Endpoints Repository]
Name: OS Family
Operator: EQUALS
Value: Android
Role Name:android
实验2: 在APC上为Guest 这个SSID开启和利用Captive Portal的步骤:
a. Configuration>WIRELESS>APConfiguration>AP Group>,编辑已经创建好的NAGA-Guest这个AP Group,然后再进入WirelessLAN>VAP>Guest-vap_prof>SSID Profile,将802.11Securit的认证和Encryption分别选为None和Open.
b. Configuration>Security>Authentication>L3Authentication>Captive Portal Authentication Profile, 创建一个新的Captive Portal profile,命名为Guest-cp_prof
c. 点击Guest-cp_prof进入修正其参数。CP页面下的上岸办法分为User login和Guest Login两种,User Login须要用户在注册时填写上岸id和密码(用户须要找Helpdesk或者Information Counter的事情职员来得到上岸信息),APC再将用户填写的身份信息传给RAIDUS做事器进行验证(验证用户的User数据库在RADIUS做事器上); 如果利用Guest Login的话,用户只需填写一个任意的EMAIL地址就能立即上岸,无需验证,User Login和Guest Login可以同时开启,但是常日处于安全考虑,建议只开启User Login。 Default Role对应的是User Login的用户,Default Guest Role对应的是Guest Login的用户,默认情形下,Default Role和Default Guest Role都是guest。
d. 修正Login Page的URL(默认是/auth/index.html),匹配Captive Portal做事器的IP地址: 如果利用ClearPass做CP做事器,就要添加ClearPass的IP,比如10.1.1.1
e. Configuration>Security>AccessControl>User Roles, 为利用Guest SSID的用户创建一个独立的role,取名为CP-guest-logon, 为该role添加两个firewall policy: logon-control和captiveportal,个中APC已经预配好的logon-control无需修正,直接调用,而Captiveportal则须要把稳:
如果利用APC做CP,无需修正captiveportal这个policy,直接调用即可。如果利用ClearPass做CP,那么须要手动添加两个rule,详细配置如下:
IP Version Source Destination Service Action Log Mirror Queue
IPv4 any host 10.1.1.1(CP’s IP) svc-http permit Low (手动添加)
IPv4 any host 10.1.1.1(CP’s IP) svc-https permit Low (手动添加)
IPv4 user controller svc-https dst-nat 8081 Low (系统预配)
IPv4 user any svc-http dst-nat 8080 Low (系统预配)
IPv4 user any svc-https dst-nat 8081 Low (系统预配)
IPv4 user any svc-http-proxy1 dst-nat 8088 Low (系统预配)
IPv4 user any svc-http-proxy2 dst-nat 8088 Low (系统预配)
IPv4 user any svc-http-proxy3 dst-nat 8088 Low (系统预配)
f. 做好firewall policy后,将CP-guest-logon的Captive Portal Profile改为步骤a创建好的 Guest-cp_prof. (关键步骤!
)
g. Configuration>Security>Authentication,进入为AP做provisioning时就已创建好的guest aaa profile(比如Naga_guest-aaa_prof),将它的Initial role 改为步骤d创建的CP-guest-logon,关键步骤!
如果不修正的话,用户将得到logon这个默认的Initial Role, 将无法进入Captive Portal,由于logon这个role下没有captiveportal这个firewall policy!
实验3: A公司规定将公司内的无线网用户分为Employee和Contractor以及Guest三种, AP将广播三个名称对应的SSID。哀求利用ClearPass做RAIDUS做事器,Employee利用employee做为上岸id, Contractor利用contractor做为上岸id, Guest利用guest做为上岸id, 三种用户的密码均为aruba123。 在无线用户登录后,给Employee用户分配名称为full-access的role, 给Contractor和Guest用户分配名称为limited-access的role。
步骤:
APC上的配置
1) 配置RADIUS server (ClearPass), 创建Server group,将RADIUS server加入 Server group, 配置CoA (Change of Authorization)
a. Configuration>Security >Authentication > Servers>Radius Server,创建名为”Clearpass”的Instance, 设置ClearPass的IP后, 将APC和Clearpass之间的验证密匙设为aruba123。
b. Configuration>Security >Authentication > Servers>Servers Group, 创建三个名为Employee, Guest, Contractor的server group, 每个server group配置一样:Server 都为步骤a里创建好的”Clearpass”, Server Rule则都设置为,Attribute:Filter-ID, Operation: value-of, Operand:空,Type: String,Action: set role, Value:空,Validated: Yes.
c. Configuration>Security>Authentication>Servers>RFC3576 Server, 创建一个新的RFC 3576 Server, 该Server的IP为Clearpass的IP。
2) 创建AP Group,配置VAP, SSID profile以及AAA Profile。
a. Configuration>Wireless>AP Configuration > AP Group, 创建名为Company A的AP Group,在该AP Group里创建三个VAP,SSID名字分别为Employee, Contractor和Guest,在每个VAP下面的SSIDprofile里,将802.11 Security的Network authentication认证办法改为Mixed: wpa-tkip, wpa2-aes。
b. Configuration>Security>Authentication>Profiles>AAAProfile, 分别配置AP Group (Company A)下VAP正在利用的employee-aaa-profile, contractor-aaa-profile, guest-aaa-profile这三个AAA profiles,将它们的Initial Role和802.1X Autentication Default Role分别设为”logon”和”authenticated”
3) 在AAA Profile里设置802.1x Authentication Profile, 802.1x Authentication Server Group和RADIUS Accounting Server Group(注:实际项目中,Contractor和Guest利用CP上岸,无需配置这一步,他们的802.1x Authentication Profile, 802.1x Authentication Server Group和RADIUS Accounting Server Group均为空!
)
a. Configuration>Security>Authentication>Profiles>AAAProfile, 分别选中之前创建好的三个AAA Profile,将它们的802.1X Authentication Server Group以及RADIUS Accounting Server Group下拉菜单分别对应选择为在步骤1b时创建好的3个server group (Employee, Guest, Contractor),在802.1x Authentication Profile的下拉菜单里选择dox1x_prof-vth54(待确认是否是pre-configured的还是manually created的)
4) 自定义Role (full-access和limited-access), 给AP做provisioning
b. Configuration>Security>AccessControl> User Roles, 创建两个role, 分别名为full-access和limited-access, 给full-access分配系统已经预配好的名为”allowall”的策略,给limlited-access分配系统已经预配好的名为”logon-control”和”captiveportal”的策略。
c. Configuration>WIRELESS>APInstallation,为AP做好provisioning, 步骤略。
ClearPass上的配置
1) 配置NAD
a. Configuration>Network>Devices>AddDevice
Name: AP Controller of Company A
IP Address: APC的IP
Description: Aruba Controller
RADIUS Shared Secret: aruba123 (须和APC配置步骤1a里配置的shared secret同等)
选中Enable RADIUS CoA
2) 创建ClearPass Role 和Local Users, 给Local Users分配相应的Role
a. Configuration>identity>Roles>AddRoles, 创建三个Role, 分别叫做Company Employee, Company Contractor和Company Guest
b. Configuration>Identity>LocalUsers>Add Users, 创建三个Local Users, 即三个上岸id,给这三个上岸id授予不同的Role。
User ID = employee
Name = <any name>
Password = aruba123
Enable User
Role = Company Employee
User ID = contractor
Name = <any name>
Password = aruba123
Enable User
Role = Company Contractor
User ID = guest
Name = <any name>
Password = aruba123
Enable User
Role= Company Guest
3) 创建Aruba 802.1X Wireless Service, 即开启ClearPass针对Aruba无线网络的802.1x认证做事.
a. Configuration>Start Here>选中”Aruba 802.1X Wireless” (如果是APC和AP其他厂商的,选下面的“802.1X Wireless”)
b. 在Service tab下进行如下配置:
Type:Aruba 802.1X Wireless
Name:Company A Wireless 802.1X Service
Description:<any description>
c. 在Authentication tab下进行如下配置:
Authentication Methods: [EAP PEAP],[EAP TLS], [EAP MSCHAPv2]
Authentication Sources: [Local UserRepository], [Local SQL DB]
d. 保存配置后,在Configuration>Services>ReorderServices页面下把刚刚创建的 “Company A Wireless 802.1X Service”重新排序,将其排在servicelist里的第一位。
4) 验证802.1x
a. 开启条记本电脑,任意加入Employee, Contractor, Guest这三个SSID中的一个(把稳条记本上的无线网的加密办法要改为WPA2-Enterprise +AES,并要开启802.1x的认证),这时系统会提示输入用户id和密码,(这表示了802.1x认证办法和只须要输入共享密匙,而不须要用户id的PSK认证办法的不同),如果加入的是Employee SSID, 上岸id即为employee, 如果加入的是Contractor SSID的话,上岸id即为contractor,Guest SSID同理,密码均为aruba123.
b. 成功通过802.1x 认证后,在APC上进入Monitoring>Clients 既可以瞥见通过身份验证的用户信息,把稳这时用户的User Role为authenticated,这是默认的User derived role,要实现需求的employee用户为full-accesss role, contractor和 guest为limited-access role的话,还须要在ClearPass上做enforcement。
5) 创建Enforcement profile,将其加入Enforcement policy, 再在Company A Wireless 802.1X Service的Enforcement tab下实行Enforcement policy,以达到让employee用户得到full-access的role, contractor和guest得到limited-access的role的目的.
a. Configuration>Enforcement>Profiles>AddEnforcement Profile, 在Profile tab下做如下配置:
Template: Aruba RADIUS Enforcement
Name: Company A Employee profile
Description: <any description>
Action: Accept
b. 在Attribute tab下做如下配置:
Type: Radius:Aruba
Name: Aruba-User-Role
Value: = full-access
c. 重复步骤5a,5b,创建其余两个名字分别为Company A Contractor profile和Company A Guest profile的Enforcement profile,并在Attribute tab下面将它们的value都设为limited-access
d. Configuration>Enforcement>Policies>AddEnforcement Policy, 在Enforcement tab下做如下配置:
Name: Aruba Enforcement Policy
Description: <any description>
Enforcement Type: RADIUS
Default Profle: [Deny Access Profile]
e. 在Rules tab下点击Add Rule,前后分3次创建3个Rule,配置如下:
Type: Tips (Tips即为Clearpass)
Name: Role
Operator: EQUALS
Value: Company Employee -----> 这个即为步骤2)b创建的Clearpass Role
Enforcement Profiles: [RADIUS] Company A Employee Profile -----> 这个即为步骤5)a创建的employee profile
Type: Tips
Name: Role
Operator: EQUALS
Value: Company Contractor
Enforcement Profiles: [RADIUS]Company A Contractor Profile
Type: Tips
Name: Role
Operator: EQUALS
Value: Company Guest
Enforcement Profiles: [RADIUS]Company A Guest Profile
f. Configuration>Services,选择在步骤3)创建好的Company A Wireless 802.1x Service, 进入该Service之后,点击Enforcement Tab并选中步骤5)d和5)e创建好的Aruba Enforcement Policy,然后点击“Modify”后按Save保存配置。