はい御座います。
ArubaではRoleと呼ばれる識別子にACLを割り当て、
認証後そのRoleをユーザに割り当てることが可能です。
制御できるものとしては通常のFirewallと同様に、
・送出元IPアドレス
・宛先IPアドレス
・プロトコル(HTTPやメール、FTPなど)
となります。
Roleの役割としては、
・User Group名を定義する
・使用するACLを定義する
・VLAN IDを割り振る
・(RADIUSの場合)指定したAttributeをRole名と一致させる
となります。
たとえば、
Userが認証をする
→Aruba ControllerがRADIUSサーバにForwardする
→RADIUSサーバは「認証成功」とともにAttribute内に値を追加して送出
→Aruba ControllerはAttribute内の値をもとに Role名を検索し、Roleを割り当てる、
という流れになります。