Arubaでは、VAPのfoward-modeからBridge modeを選ぶことで、全ての無線パケットがローカル経由で通信されます。 Bridge modeで運用時の注意点を以下に記載します。

【Bridge modeの注意点】

• すべてのパケットがAPから出力されるため、管理VlanIDとSSIDで使用するVlanIDが違う場合、接続されるスイッチはTagg設定である必要があります。
•  デフォルトではPAPIは暗号化されません、暗号化されるのはRAP modeです。
•  CAPの場合、CPsecを有効化する必要があります。CPsecを無効から有効にする場合、すべての帰属しているAPが再起動します。RAP modeではCPsecは不要です。
•  Bridge modeのときのみ検閲する「Session ACL」が存在します。Session ACLはapのuplink in側で適用され、無線クライアントから開始されたパケット以外を検閲します。 
• Session ACLはap system profileで設定し、以下のコマンドで変更可能です。Tunnel mode相当にするのであれば、全て許可する「allowall」にします。 

・(config)ap system profile <Profile name>
  (AP system profile "Profile name")#session-acl <acl-name>