HPE6-A84 Prüfung Fragen für die Praxis in 2023 Aktualisiert 60 Fragen [Q33-Q53]

FRAGE 33
Beziehen Sie sich auf das Szenario.
Ein Kunde verfügt über einen Aruba ClearPass-Cluster. Der Kunde verfügt über AOS-CX-Switches, die 802.1X-Authentifizierung für ClearPass Policy Manager (CPPM) implementieren.
Die Switches verwenden lokale Port-Zugriffsrichtlinien.
Der Kunde möchte kabelgebundene Clients, die nur die Benutzerauthentifizierung bestehen, zu einem Aruba-Gateway-Cluster tunneln. Der Gateway-Cluster sollte diese Clients der Rolle "eth-internet" zuweisen. Das Gateway sollte auch die Zuweisung der Clients zu ihrem VLAN, d. h. VLAN 20, übernehmen.
Der Plan für die Durchsetzungspolitik und die Profile ist unten dargestellt:

Der Gateway-Cluster hat zwei Gateways mit diesen IP-Adressen:
* Gateway 1
o VLAN 4085 (System-IP) = 10.20.4.21
o VLAN 20 (Benutzer) = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* Gateway 2
o VLAN 4085 (System-IP) = 10.20.4.22
o VLAN 20 (Benutzer) = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP auf VLAN 20 = 10.20.20.254
Der Kunde benötigt eine hohe Verfügbarkeit für die Tunnel zwischen den Switches und dem Gateway-Cluster. Wenn ein Gateway ausfällt, sollte das andere Gateway dessen Tunnel übernehmen. Außerdem sollte der Switch in der Lage sein, den Gateway-Cluster unabhängig davon zu erkennen, ob eines der Gateways im Cluster ist.
Sie richten die UBT-Zone auf einem AOS-CX-Switch ein.
Welche IP-Adressen sollten Sie in der Zone definieren?

Primärer Controller = 10.20.4.21; Backup-Controller = 10.20.4.22

[Primärer Controller = 198.51.100.14; Backup-Controller = 10.20.4.21

Primärer Controller = 10 20 4 21: Backup-Controller nicht definiert

Primärer Controller = 10.20.20.254; Backup-Controller, nicht definiert

FRAGE 34
Sie richten Aruba ClearPass Policy Manager (CPPM) ein, um die EAP-TLS-Authentifizierung mit Active Directory als Authentifizierungsquelle durchzusetzen. Das Unternehmen möchte verhindern, dass Benutzer mit deaktivierten Konten eine Verbindung herstellen, selbst wenn diese Benutzer noch über gültige Zertifikate verfügen.
Was sollten Sie tun, um CPPM in die Lage zu versetzen, festzustellen, wo Konten in AD aktiviert sind oder nicht?

Fügen Sie dem Domänencontroller einen Endpunkt-Kontextserver mit Aktionen zur Abfrage des Kontostatus am Domänencontroller hinzu.

Aktivieren Sie OCSP in den Einstellungen für die EAP-TLS-Authentifizierungsmethode und konfigurieren Sie einen OCSP-Override für den FQDN des Domänencontrollers.

Fügen Sie ein benutzerdefiniertes Attribut für userAccountControl zu den Filtern in der AD-Authentifizierungsquelle hinzu.

Installieren Sie eine Microsoft Active Directory-Erweiterung in Aruba ClearPass Guest und richten Sie eine HTTP-Authentifizierungsquelle ein, die auf diese Erweiterung verweist.

FRAGE 35
Beziehen Sie sich auf das Szenario.
# Einführung in den Kunden
Sie unterstützen ein Unternehmen beim Hinzufügen von Aruba ClearPass zu seinem Netzwerk, das Aruba-Netzwerkinfrastrukturgeräte verwendet.
Das Unternehmen hat derzeit eine Windows-Domäne und eine Windows-CA. Die Windows-CA stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie Domänencontroller aus. Ein Beispiel für ein von der Windows-CA ausgestelltes Zertifikat ist hier zu sehen.

Das Unternehmen ist dabei, den Microsoft Endpoint Manager (Intune) zur Verwaltung seiner mobilen Clients hinzuzufügen.
Der Kunde behält das On-Prem AD vorerst bei und nutzt Azure AD Connect zur Synchronisierung mit Azure AD.
# Anforderungen für die Ausstellung von Zertifikaten für mobile Clients
Das Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die in Intune angemeldet sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h., die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.
Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.
# Anforderungen für die Authentifizierung von Clients
Der Kunde verlangt, dass alle Arten von Clients eine Verbindung herstellen und sich bei derselben Unternehmens-SSID authentifizieren.
Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:
* EAP-TLS zur Authentifizierung von Benutzern auf in Intune registrierten mobilen Clients
* TEAR, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und deren Benutzern Damit EAP-TLS (allein oder als TEAP-Methode) erfolgreich ist, müssen die Clients diese Anforderungen erfüllen:
Ihr Zertifikat ist gültig und wurde nicht widerrufen, wie durch OCSP bestätigt wurde.
Der Benutzername des Kunden stimmt mit einem Konto in AD überein
# Anforderungen für die Zuweisung von Mandanten zu Rollen
Nach der Authentifizierung möchte der Kunde, dass das CPPM die Clients anhand der folgenden Regeln den ClearPass-Rollen zuweist:
* Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen
* Clients, die die TEAP-Methode 1 bestanden haben, erhalten die Rolle "Domain-Computer" Clients in der AD-Gruppe "Medical" erhalten die Rolle "Medical-Staff" Clients in der AD-Gruppe "Reception" erhalten die Rolle "Reception-Staff" Der Kunde verlangt von CPPM, dass authentifizierte Clients den AOS-Firewall-Rollen wie folgt zugewiesen werden:
* Zuweisung von medizinischem Personal für mobil angeschlossene Kunden zur Firewall-Rolle "medizinisch-mobil".
* Weisen Sie anderen mobilen Clients die Firewall-Rolle "mobile-other" zu.
* Weisen Sie dem medizinischen Personal auf den Domänencomputern die Firewall-Rolle "medical-domain" zu.
* Alle Empfangsmitarbeiter auf Domänencomputern auf die Firewall-Rolle "reception-domain" setzen
* Alle Domänencomputer, bei denen kein gültiger Benutzer mit der Firewall-Rolle "Nur-Computer" angemeldet ist
* Anderen Kunden den Zugang verweigern
# Sonstige Anforderungen
Die Kommunikation zwischen ClearPass-Servern und AD-Domänencontrollern vor Ort muss verschlüsselt werden.
# Netzwerktopologie
Als Netzwerkinfrastruktur verfügt dieser Kunde über Aruba APs und Aruba Gateways, die von Central verwaltet werden. Die APs verwenden getunnelte WLANs, die den Datenverkehr zum Gateway-Cluster tunneln. Der Kunde verfügt außerdem über AOS-CX-Switches, die zu diesem Zeitpunkt nicht von Central verwaltet werden.

# ClearPass-Cluster-IP-Adressierung und Hostnamen
Der ClearPass-Cluster eines Kunden hat diese IP-Adressen:
* Herausgeber = 10.47.47.5
* Teilnehmer 1 = 10.47.47.6
* Teilnehmer 2 = 10.47.47.7
* Virtuelle IP mit Teilnehmer 1 und Teilnehmer 2 = 10.47.47.8
Der DNS-Server des Kunden hat diese Einträge
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
Sie können keine Flussattribute für drahtlose Clients sehen.
Was sollten Sie überprüfen?

Deep Packet Inspection ist für die Rolle aktiviert, der die Aruba APs die drahtlosen Clients zuweisen.

Die Sichtbarkeit der Firewall-Anwendung ist auf den Aruba-Gateways aktiviert, und die Gateways wurden neu gestartet.

Gateway IDS/IPS ist auf den Aruba-Gateways aktiviert, und die Gateways wurden neu gebootet.

Deep Packet Inspection ist auf den Aruba-APs aktiviert, und die APs wurden neu gebootet.

FRAGE 36
Beziehen Sie sich auf das Szenario.
Ein Kunde verfügt über einen Aruba ClearPass-Cluster. Der Kunde verfügt über AOS-CX-Switches, die 802.1X-Authentifizierung für ClearPass Policy Manager (CPPM) implementieren.
Die Switches verwenden lokale Port-Zugriffsrichtlinien.
Der Kunde möchte kabelgebundene Clients, die nur die Benutzerauthentifizierung bestehen, zu einem Aruba-Gateway-Cluster tunneln. Der Gateway-Cluster sollte diese Clients der Rolle "eth-internet" zuweisen. Das Gateway sollte auch die Zuweisung der Clients zu ihrem VLAN, d. h. VLAN 20, übernehmen.
Der Plan für die Durchsetzungspolitik und die Profile ist unten dargestellt:

Der Gateway-Cluster hat zwei Gateways mit diesen IP-Adressen:
* Gateway 1
o VLAN 4085 (System-IP) = 10.20.4.21
o VLAN 20 (Benutzer) = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* Gateway 2
o VLAN 4085 (System-IP) = 10.20.4.22
o VLAN 20 (Benutzer) = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP auf VLAN 20 = 10.20.20.254
Der Kunde benötigt eine hohe Verfügbarkeit für die Tunnel zwischen den Switches und dem Gateway-Cluster. Wenn ein Gateway ausfällt, sollte das andere Gateway dessen Tunnel übernehmen. Außerdem sollte der Switch in der Lage sein, den Gateway-Cluster unabhängig davon zu erkennen, ob eines der Gateways im Cluster ist.
Gehen Sie davon aus, dass Sie den Namen "myzone" für die UBT-Zone verwenden.
Was ist eine gültige Minimalkonfiguration für die AOS-CX-Port-Zugriffsrollen?

port-access role eth-internet gateway-zone zone myzone gateway-role eth-user

port-access role internet-only gateway-zone zone myzone gateway-role eth-internet

port-access role eth-internet gateway-zone zone myzone gateway-role eth-internet vlan access 20

port-access role internet-only gateway-zone zone myzone gateway-role eth-internet vlan access 20

FRAGE 37
Beziehen Sie sich auf das Szenario.
Eine Organisation möchte, dass der AOS-CX-Switch einen Alarm auslöst, wenn der RADIUS-Server (cp.acnsxtest.local) eine ungewöhnliche Anzahl von Client-Authentifizierungsanforderungen pro Stunde ablehnt. Nach einigen Diskussionen mit anderen Aruba-Administratoren sind Sie immer noch nicht sicher, wie viele Ablehnungen üblich oder ungewöhnlich sind. Sie vermuten, dass der Wert auf jedem Switch unterschiedlich sein könnte.
Sie helfen dem Entwickler zu verstehen, wie man ein NAE-Skript für diesen Anwendungsfall entwickelt.
Sie helfen dem Entwickler, den richtigen URI für den Monitor zu finden.
Siehe dazu die Abbildung.

Sie haben die REST-API-Referenzschnittstelle verwendet, um einen Testaufruf zu übermitteln. Die Ergebnisse sind in der Abbildung zu sehen.
Welche URI sollten Sie dem Entwickler geben?

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics?attributes=a

/rest/v1/system/vrfs/mgmt/radius/_servers/cp.acnsxtest.local/2083/tcp

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics.access_rejec

FRAGE 38
Ein Unternehmen besitzt Aruba-Gateways und möchte mit der Implementierung von Gateway-IDS/IPS beginnen. Der Kunde hat Block für die Fail-Strategie ausgewählt.
Was würden Sie empfehlen, um unerwartete Ausfälle, die durch die Verwendung dieser speziellen Fallstrategie verursacht werden, zu minimieren?

Konfigurieren eines relativ hohen Schwellenwerts für die Gateway-Bedrohungsmeldungen

Sicherstellen, dass die Gateways einen Cluster gebildet haben und im Standard-Gateway-Modus arbeiten

Einstellen der IDS- oder IPS-Richtlinie auf die am wenigsten restriktive Option "Lenient

Aktivieren von Warnungen und E-Mail-Benachrichtigungen für Ereignisse im Zusammenhang mit der Nutzung der IPS-Engine des Gateways und Fehlern

Erläuterung
Die richtige Antwort ist D. Aktivieren von Warnungen und E-Mail-Benachrichtigungen für Ereignisse im Zusammenhang mit der Nutzung der Gateway-IPS-Engine und Fehlern.
Gateway IDS/IPS ist eine Funktion, mit der die Aruba-Gateways bösartigen oder unerwünschten Datenverkehr auf der Grundlage vordefinierter oder benutzerdefinierter Regeln überwachen und blockieren können. 1. Die Fail Strategy ist eine Einstellung, die festlegt, wie die Gateways den Datenverkehr behandeln, wenn die IPS-Engine ausfällt oder abstürzt 2. Die Option Blockieren bedeutet, dass die Gateways die Weiterleitung des Datenverkehrs stoppen, bis die IPS-Engine wiederhergestellt ist, während die Option Umgehen bedeutet, dass die Gateways den Datenverkehr ohne Prüfung weiterleiten 2.
Die Option "Blockieren" bietet mehr Sicherheit, erhöht aber auch das Risiko von Netzwerkausfällen, wenn die IPS-Engine häufig oder über einen längeren Zeitraum ausfällt 2. Um dieses Risiko zu minimieren, empfiehlt es sich, Warnungen und E-Mail-Benachrichtigungen für Ereignisse im Zusammenhang mit der Nutzung der IPS-Engine des Gateways und für Fehler zu aktivieren 3. Auf diese Weise können die Netzwerkadministratoren über alle Probleme mit der IPS-Engine informiert werden und geeignete Maßnahmen zur Wiederherstellung oder Fehlerbehebung ergreifen 3.
Die anderen Optionen sind nicht korrekt oder relevant für dieses Thema:
Option A ist nicht korrekt, da die Konfiguration eines relativ hohen Schwellenwerts für die Gateway-Bedrohungszählungswarnungen nicht dazu beitragen würde, unerwartete Ausfälle zu minimieren, die durch die Verwendung der Option Blockieren verursacht werden. Die Gateway-Bedrohungszählungswarnungen werden verwendet, um die Netzwerkadministratoren über die Anzahl der von der IPS-Engine erkannten Bedrohungen zu informieren, aber sie haben keinen Einfluss darauf, wie die Gateways den Datenverkehr behandeln, wenn die IPS-Engine ausfällt 4.
Option B ist nicht richtig, da die Sicherstellung, dass die Gateways einen Cluster gebildet haben und im Standard-Gateway-Modus arbeiten, nicht dazu beitragen würde, unerwartete Ausfälle zu minimieren, die durch die Verwendung der Option Blockieren verursacht werden.
Der Gateway-Cluster-Modus dient der Hochverfügbarkeit und dem Lastausgleich für die Gateways, hat aber keinen Einfluss darauf, wie die Gateways den Datenverkehr bei einem Ausfall der IPS-Engine verarbeiten. Der Standard-Gateway-Modus wird verwendet, um Routing- und NAT-Funktionen auf den Gateways zu aktivieren, hat aber keinen Einfluss darauf, wie die Gateways den Datenverkehr behandeln, wenn die IPS-Engine ausfällt.
Option C ist nicht korrekt, da die Einstellung der IDS- oder IPS-Richtlinie auf die am wenigsten restriktive Option "Lenient" nicht dazu beitragen würde, unerwartete Ausfälle zu minimieren, die durch die Verwendung der Option "Block" verursacht werden. Die IDS- oder IPS-Richtlinie wird verwendet, um festzulegen, welche Regeln von der IPS-Engine angewendet werden, um den Datenverkehr zu untersuchen und zu blockieren, aber sie hat keinen Einfluss darauf, wie die Gateways den Datenverkehr behandeln, wenn die IPS-Engine ausfällt. Die Option "Lenient" enthält weniger und ältere Regeln als die Optionen "Moderate" oder "Strict", was bedeutet, dass sie weniger Sicherheit und mehr falsch-negative Ergebnisse bietet.

FRAGE 39
Beziehen Sie sich auf das Szenario.
# Einführung in den Kunden
Sie unterstützen ein Unternehmen beim Hinzufügen von Aruba ClearPass zu seinem Netzwerk, das Aruba-Netzwerkinfrastrukturgeräte verwendet.
Das Unternehmen hat derzeit eine Windows-Domäne und eine Windows-CA. Die Windows-CA stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie Domänencontroller aus. Ein Beispiel für ein von der Windows-CA ausgestelltes Zertifikat ist hier zu sehen.

Das Unternehmen ist dabei, den Microsoft Endpoint Manager (Intune) zur Verwaltung seiner mobilen Clients hinzuzufügen.
Der Kunde behält das On-Prem AD vorerst bei und nutzt Azure AD Connect zur Synchronisierung mit Azure AD.
# Anforderungen für die Ausstellung von Zertifikaten für mobile Clients
Das Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die in Intune angemeldet sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h., die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.
Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.
# Anforderungen für die Authentifizierung von Clients
Der Kunde verlangt, dass alle Arten von Clients eine Verbindung herstellen und sich bei derselben Unternehmens-SSID authentifizieren.
Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:
EAP-TLS zur Authentifizierung von Benutzern auf in Intune registrierten mobilen Clients
TEAR, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und den darauf befindlichen Benutzern Damit EAP-TLS (allein oder als TEAP-Methode) erfolgreich ist, müssen die Clients diese Anforderungen erfüllen:
Ihr Zertifikat ist gültig und wurde nicht widerrufen, wie durch OCSP bestätigt wurde.
Der Benutzername des Kunden stimmt mit einem Konto in AD überein
# Anforderungen für die Zuweisung von Mandanten zu Rollen
Nach der Authentifizierung möchte der Kunde, dass das CPPM die Clients anhand der folgenden Regeln den ClearPass-Rollen zuweist:
Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen Clients, die TEAP-Methode 1 bestanden haben, wird die Rolle "domain-computer" zugewiesen Clients in der AD-Gruppe "Medical" wird die Rolle "medical-staff" zugewiesen Clients in der AD-Gruppe "Reception" werden der Rolle "reception-staff" zugewiesen Der Kunde verlangt von CPPM, dass authentifizierte Clients den AOS-Firewall-Rollen wie folgt zugewiesen werden:
Medizinisches Personal auf mobilen Clients der Firewall-Rolle "medical-mobile" zuweisen Andere mobile Clients der Firewall-Rolle "mobile-other" zuweisen Medizinisches Personal auf Domänencomputern der Firewall-Rolle "medical-domain" zuweisen Alle Empfangsmitarbeiter auf Domänencomputern der Firewall-Rolle "reception-domain" zuweisen Alle Domänencomputer, auf denen kein gültiger Benutzer angemeldet ist, der Firewall-Rolle "computer-only" zuweisen Anderen Clients den Zugriff verweigern
# Sonstige Anforderungen
Die Kommunikation zwischen ClearPass-Servern und AD-Domänencontrollern vor Ort muss verschlüsselt werden.
# Netzwerktopologie
Als Netzwerkinfrastruktur verfügt dieser Kunde über Aruba APs und Aruba Gateways, die von Central verwaltet werden. Die APs verwenden getunnelte WLANs, die den Datenverkehr zum Gateway-Cluster tunneln. Der Kunde verfügt außerdem über AOS-CX-Switches, die zu diesem Zeitpunkt nicht von Central verwaltet werden.

# ClearPass-Cluster-IP-Adressierung und Hostnamen
Der ClearPass-Cluster eines Kunden hat diese IP-Adressen:
Herausgeber = 10.47.47.5
Teilnehmer 1 = 10.47.47.6
Teilnehmer 2 = 10.47.47.7
Virtuelle IP mit Teilnehmer 1 und Teilnehmer 2 = 10.47.47.8
Der DNS-Server des Kunden hat diese Einträge
cp.acnsxtest.com = 10.47.47.5
cps1.acnsxtest.com = 10.47.47.6
cps2.acnsxtest.com = 10.47.47.7
radius.acnsxtest.com = 10.47.47.8
onboard.acnsxtest.com = 10.47.47.8
Der Kunde benötigt eine sichere Möglichkeit für Benutzer, ihre neuen drahtlosen Clients in Intune zu registrieren. Sie empfehlen ein neues WLAN, das den Benutzern einen eingeschränkten Zugang für die Registrierung bietet.
Sie haben ein Captive Portal für Clients in diesem WLAN eingerichtet, das eine Webseite mit Anweisungen zur Registrierung von Geräten enthält.
Sie müssen mehrere Hostnamen manuell zur Zulassungsliste des unverschlüsselten Portals hinzufügen.
Wie lautet einer dieser Hostnamen?

Der von den RADIUS-Diensten von ClearPass Policy ManaGer verwendete Hostname

Der ClearPass Onboard-Hostname, auf den in einem Onboard-Bereitstellungsprofil verwiesen wird

Der ClearPass Onboard-Hostname, auf den in Intune SCEP-Profilen verwiesen wird

Der von den Domänencontrollern vor Ort verwendete Hostname

FRAGE 40
Sie arbeiten mit einem Entwickler zusammen, um ein benutzerdefiniertes NAE-Skript für einen Kunden zu entwerfen. Der NAE-Agent soll einen Alarm auslösen, wenn die ARP-Überprüfung Pakete in einem VLAN fallen lässt. Der Kunde möchte, dass die Administratoren bei der Erstellung des Agenten die richtige VLAN-ID für die Überwachung durch den Agenten auswählen können.
Was sollten Sie dem Entwickler sagen?

Verwenden Sie diese Variable, %{vlan-id}, wenn Sie den Monitor-URI im Skript des NAE-Agenten definieren.

Definieren Sie einen VLAN-ID-Parameter; verweisen Sie auf diesen Parameter, wenn Sie den Monitor-URI definieren.

Erstellen Sie mehrere Monitore innerhalb des Skripts, aus denen Administratoren bei der Erstellung des Agenten auswählen können.

Verwenden Sie eine Rückrufaktion, um die ID des VLANs zu erfassen, auf dem die Administratoren die NAE-Überwachung aktiviert haben.

FRAGE 41
Beziehen Sie sich auf das Szenario.
Ein Kunde verwendet eine AOS 10-Architektur mit Aruba-APs und Aruba-Gateways (zwei pro Standort). Die Administratoren haben Auto-Site-Clustering für Gateways implementiert, wobei der Standard-Gateway-Modus deaktiviert ist. Die WLANs verwenden den getunnelten Modus zu den Gateways.
Die WLAN-Sicherheit ist WPA3-Enterprise mit Authentifizierung an einem Aruba ClearPass Policy Manager (CPPM)-Cluster-VIP. Die RADIUS-Kommunikation erfolgt über RADIUS, nicht über RadSec.
CPPM nutzt den in den Abbildungen gezeigten Dienst.

Welche Maßnahmen können Sie ergreifen, um den Betrieb während eines möglichen Gateway-Failover-Ereignisses zu verbessern?

Chanqe die WLANs auf Mixed-Mode-Forwardinq, so dass vou mehrere qatewav-Cluster auswählen kann.

Richten Sie qatewav-Cluster manuell ein und legen Sie VRRP-IP-Adressen für die dynamische Autorisierung fest.

Verwenden Sie für die Gateways Auto-Group-Clustering anstelle von Auto-Site-Clustering.

Aktivieren Sie den Standard-Gateway-Modus für die Gateway-Cluster.

FRAGE 42
Beziehen Sie sich auf das Szenario.
Ein Kunde verfügt über einen Aruba ClearPass-Cluster. Der Kunde verfügt über AOS-CX-Switches, die 802.1X-Authentifizierung für ClearPass Policy Manager (CPPM) implementieren.
Die Switches verwenden lokale Port-Zugriffsrichtlinien.
Der Kunde möchte kabelgebundene Clients, die nur die Benutzerauthentifizierung bestehen, zu einem Aruba-Gateway-Cluster tunneln. Der Gateway-Cluster sollte diese Clients der Rolle "eth-internet" zuweisen. Das Gateway sollte auch die Zuweisung der Clients zu ihrem VLAN, d. h. VLAN 20, übernehmen.
Der Plan für die Durchsetzungspolitik und die Profile ist unten dargestellt:

Der Gateway-Cluster hat zwei Gateways mit diesen IP-Adressen:
* Gateway 1
o VLAN 4085 (System-IP) = 10.20.4.21
o VLAN 20 (Benutzer) = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* Gateway 2
o VLAN 4085 (System-IP) = 10.20.4.22
o VLAN 20 (Benutzer) = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP auf VLAN 20 = 10.20.20.254
Der Kunde benötigt eine hohe Verfügbarkeit für die Tunnel zwischen den Switches und dem Gateway-Cluster. Wenn ein Gateway ausfällt, sollte das andere Gateway dessen Tunnel übernehmen. Außerdem sollte der Switch in der Lage sein, den Gateway-Cluster unabhängig davon zu erkennen, ob eines der Gateways im Cluster ist.
Welche Änderung sollten Sie an der Lösung vornehmen?

Ändern Sie das ubt-client-vlan in VLAN 13.

Konfigurieren Sie die Edge-Ports im VLAN-Trunk-Modus.

Entfernen Sie VLAN-Zuweisungen aus Rollenkonfigurationen auf den Gateways.

Konfigurieren Sie die UBT-Lösung für die Verwendung des VLAN-Erweiterungsmodus.

FRAGE 43
Sie müssen ein Zertifikat auf einem eigenständigen Aruba Mobility Controller (MC) installieren. Der MC muss das Zertifikat für die Web-UI und für die Implementierung von RadSec mit Aruba ClearPass Policy Manager verwenden. Sie haben ein Zertifikat mit diesen Einstellungen erhalten:
Betreff: CN=mc41.site94.example.com
* Keine SANs
* Aussteller: CN=ca41.example.com
EKUs: Server-Authentifizierung, Client-Authentifizierung
Welche Bedeutung hat dieses Zertifikat für die Zwecke, für die es bestimmt ist?

Sie hat widersprüchliche EKUs.

Sie wird von einer privaten Zertifizierungsstelle ausgestellt.

Sie gibt die Domäneninformationen im CN-Feld statt im DC-Feld an.

Es fehlt ein DNS-SAN.

FRAGE 44
Sie arbeiten mit einem Entwickler zusammen, um ein benutzerdefiniertes NAE-Skript für einen Kunden zu entwerfen. Sie helfen dem Entwickler, die richtige REST-API-Ressource für die Überwachung zu finden.
Siehe dazu die nachstehende Abbildung.

Was sollten Sie tun, bevor Sie fortfahren?

Wechseln Sie zur Schnittstelle der v1-API-Dokumentation anstelle der Schnittstelle von v10.10.

Verwenden Sie Ihr Aruba Passport-Konto und sammeln Sie ein Token, um API-Aufrufe auszuprobieren.

Aktivieren Sie den Switch, um REST-API-Aufrufe auf der Standard-VRF abzuhören.

Vergewissern Sie sich, dass Ihr Browser so eingestellt ist, dass er Authentifizierungstoken und Cookies speichert.

FRAGE 45
Sie entwerfen eine Aruba ClearPass Policy Manager (CPPM)-Lösung für einen Kunden. Sie erfahren, dass der Kunde über eine Palo Alto-Firewall verfügt, die den Datenverkehr zwischen Clients auf dem Campus und dem Rechenzentrum filtert.
Welche Integration können Sie vorschlagen?

Senden von Syslogs von der Firewall an CPPM, um CPPM zu signalisieren, den Authentifizierungsstatus für fehlbare Clients zu ändern

Importieren von MAC-Adressen von Clients zur schnelleren Konfiguration bekannter Clients für die MAC-Authentifizierung

Einrichtung einer doppelten Authentifizierungsschicht sowohl am Campusrand als auch in der DMZ des Rechenzentrums

Importieren der Firewall-Regeln zur schnelleren Programmierung von herunterladbaren Benutzerrollen für AOS-CX-Switches

FRAGE 46
Beziehen Sie sich auf das Szenario.
# Einführung in den Kunden
Sie unterstützen ein Unternehmen beim Hinzufügen von Aruba ClearPass zu seinem Netzwerk, das Aruba-Netzwerkinfrastrukturgeräte verwendet.
Das Unternehmen hat derzeit eine Windows-Domäne und eine Windows-CA. Die Windows-CA stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie Domänencontroller aus. Ein Beispiel für ein von der Windows-CA ausgestelltes Zertifikat ist hier zu sehen.

Das Unternehmen ist dabei, den Microsoft Endpoint Manager (Intune) zur Verwaltung seiner mobilen Clients hinzuzufügen.
Der Kunde behält das On-Prem AD vorerst bei und nutzt Azure AD Connect zur Synchronisierung mit Azure AD.
# Anforderungen für die Ausstellung von Zertifikaten für mobile Clients
Das Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die in Intune angemeldet sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h., die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.
Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.
# Anforderungen für die Authentifizierung von Clients
Der Kunde verlangt, dass alle Arten von Clients eine Verbindung herstellen und sich bei derselben Unternehmens-SSID authentifizieren.
Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:
* EAP-TLS zur Authentifizierung von Benutzern auf in Intune registrierten mobilen Clients
* TEAR, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und deren Benutzern Damit EAP-TLS (allein oder als TEAP-Methode) erfolgreich ist, müssen die Clients diese Anforderungen erfüllen:
Ihr Zertifikat ist gültig und wurde nicht widerrufen, wie durch OCSP bestätigt wurde.
Der Benutzername des Kunden stimmt mit einem Konto in AD überein
# Anforderungen für die Zuweisung von Mandanten zu Rollen
Nach der Authentifizierung möchte der Kunde, dass das CPPM die Clients anhand der folgenden Regeln den ClearPass-Rollen zuweist:
* Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen
* Clients, die die TEAP-Methode 1 bestanden haben, erhalten die Rolle "Domain-Computer" Clients in der AD-Gruppe "Medical" erhalten die Rolle "Medical-Staff" Clients in der AD-Gruppe "Reception" erhalten die Rolle "Reception-Staff" Der Kunde verlangt von CPPM, dass authentifizierte Clients den AOS-Firewall-Rollen wie folgt zugewiesen werden:
* Zuweisung von medizinischem Personal für mobil angeschlossene Kunden zur Firewall-Rolle "medizinisch-mobil".
* Weisen Sie anderen mobilen Clients die Firewall-Rolle "mobile-other" zu.
* Weisen Sie dem medizinischen Personal auf den Domänencomputern die Firewall-Rolle "medical-domain" zu.
* Alle Empfangsmitarbeiter auf Domänencomputern auf die Firewall-Rolle "reception-domain" setzen
* Alle Domänencomputer, bei denen kein gültiger Benutzer mit der Firewall-Rolle "Nur-Computer" angemeldet ist
* Anderen Kunden den Zugang verweigern
# Sonstige Anforderungen
Die Kommunikation zwischen ClearPass-Servern und AD-Domänencontrollern vor Ort muss verschlüsselt werden.
# Netzwerktopologie
Als Netzwerkinfrastruktur verfügt dieser Kunde über Aruba APs und Aruba Gateways, die von Central verwaltet werden. Die APs verwenden getunnelte WLANs, die den Datenverkehr zum Gateway-Cluster tunneln. Der Kunde verfügt außerdem über AOS-CX-Switches, die zu diesem Zeitpunkt nicht von Central verwaltet werden.

# ClearPass-Cluster-IP-Adressierung und Hostnamen
Der ClearPass-Cluster eines Kunden hat diese IP-Adressen:
* Herausgeber = 10.47.47.5
* Teilnehmer 1 = 10.47.47.6
* Teilnehmer 2 = 10.47.47.7
* Virtuelle IP mit Teilnehmer 1 und Teilnehmer 2 = 10.47.47.8
Der DNS-Server des Kunden hat diese Einträge
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
Sie haben das Stammzertifikat für die Windows-CA in die ClearPass-CA-Vertrauensliste importiert.
Welche Verwendungen sollten Sie je nach den Anforderungen des Szenarios hinzufügen?

EAP und AD/LDAP-Server

LDAP und Aruba-Infrastruktur

Radsec- und Aruba-Infrastruktur

EAP und Radsec

FRAGE 47
Beziehen Sie sich auf das Szenario.
Dieser Kunde setzt 802.1X auf AOS-CX-Switches gegenüber Aruba ClearPass Policy Manager (CPPM) durch. Der Kunde möchte, dass die Switches die Rolleneinstellungen von CPPM herunterladen. Die Rolle "reception-domain" muss diese Einstellungen haben:
- Weist die Clients VLAN 14 auf Switch 1, VLAN 24 auf Switch 2 usw. zu.
- Filtert den Client-Datenverkehr wie folgt:
- Die Clients haben vollen Zugriff auf 10.1.5.0/24 und das Internet
- Clients wird der Zugriff auf 10.1.0.0/16 verweigert
Die Switch-Topologie ist hier dargestellt:

Wie sollten Sie die VLAN-Einstellung für die Empfangsrolle konfigurieren?

Weisen Sie VLAN 14, 24 oder 34 auf jedem Switch der Zugriffsebene einen einheitlichen Namen zu und verweisen Sie auf diesen Namen in den VLAN-Einstellungen des Durchsetzungsprofils.

Konfigurieren Sie das Durchsetzungsprofil als herunterladbare Rolle, geben Sie aber nur den Rollennamen an und lassen Sie das VLAN undefiniert. Definieren Sie dann eine "Empfangsrolle" mit der richtigen VLAN-Einstellung auf jedem einzelnen Switch der Zugriffsschicht.

Weisen Sie den Switches der Zugriffsschicht eine nummernbasierte ID zu. Verwenden Sie diese Variable dann in den VLAN-Einstellungen des Durchsetzungsprofils: %(NAS-ID]4.

Erstellen Sie für jeden Switch ein separates Durchsetzungsprofil mit einer anderen VLAN-ID. Fügen Sie alle Profile zur Profilliste in der entsprechenden Durchsetzungsregel hinzu.

FRAGE 48
Beziehen Sie sich auf das Szenario.
Ein Kunde benötigt diese Rechte für Clients in der AOS-Firewall-Rolle "medical-mobile" auf Aruba Mobility Controllern (MCs):
Erlaubt, IP-Adressen mit DHCP zu erhalten
Erlaubter Zugriff auf DNS-Dienste von 10.8.9.7 und keinem anderen Server
Erlaubter Zugang zu allen Subnetzen im Bereich 10.1.0.0/16 mit Ausnahme des verwehrten Zugangs zu 10.1.12.0/22 Verweigerter Zugang zu anderen 10.0.0.0/8-Subnetzen Erlaubter Zugang zum Internet Verweigerter Zugang zum WLAN für eine gewisse Zeit, wenn sie SSH-Verkehr senden Verweigerter Zugang zum WLAN für eine gewisse Zeit, wenn sie Telnet-Verkehr senden Verweigerter Zugang zu allen risikoreichen Websites Externe Geräte sollten keine Sitzungen mit "medical-mobile"-Clients initiieren dürfen, sondern nur Rückverkehr senden.
Die folgenden Abbildungen zeigen die Konfiguration für die Rolle.

Es gibt mehrere Probleme mit der Konfiguration.
Welche Änderungen müssen Sie an den Richtlinien vornehmen, um die Anforderungen des Szenarios zu erfüllen? (In den Optionen werden die Regeln in einer Richtlinie von oben nach unten referenziert. Beispiel: "medical-mobile" Regel 1 ist "ipv4 any any svc-dhcp permit" und Regel 8 ist "ipv4 any any any permit").

Ändern Sie in der Richtlinie "medical-mobile" die Quelle in Regel 1 in "Benutzer".

Ändern Sie in der Richtlinie "medical-mobile" die Subnetzmaske in Regel 3 auf 255.255.248.0.

In der Police "medizinisch-mobil" werden die Regeln 6 und 7 an den Anfang der Liste gesetzt.

Verschieben Sie die Regel in der Richtlinie "apprf-medical-mobile-sacl" zwischen die Regeln 7 und 8 in der Richtlinie "medical-mobile".

FRAGE 49
Beziehen Sie sich auf das Szenario.
Ein Kunde migriert von On-Prem AD zu Azure AD als einzige Domänenlösung. Der Kunde verwaltet außerdem sowohl kabelgebundene als auch drahtlose Geräte mit Microsoft Endpoint Manager (Intune).
Der Kunde möchte die Sicherheit am Netzwerkrand verbessern. Sie unterstützen den Kunden bei der Entwicklung einer ClearPass-Bereitstellung für diesen Zweck. Aruba-Netzwerkgeräte werden drahtlose und kabelgebundene Clients bei einem Aruba ClearPass Policy Manager (CPPM)-Cluster (Version 6.10) authentifizieren.
Der Kunde hat mehrere Anforderungen an die Authentifizierung. Die Clients sollten die EAP-TLS-Authentifizierung nur bestehen, wenn eine Abfrage bei Azure AD zeigt, dass sie über Konten in Azure AD verfügen. Um die Berechtigungen der Clients weiter zu verfeinern, sollte ClearPass auch die von Intune gesammelten Informationen verwenden, um Entscheidungen zur Zugriffskontrolle zu treffen.
Sie planen die Verwendung von Azure AD als Authentifizierungsquelle in 802.1X-Diensten.
Worauf sollten Sie achten, damit der Kunde versteht, dass dies erforderlich ist?

Eine App-Registrierung in Azure AD, die auf den FQDN des CPPM verweist

Windows 365-Abonnements

Das RADIUS-Zertifikat von CPPM wurde als vertrauenswürdig in das Azure AD-Verzeichnis importiert

Azure AD-Domänendienste

FRAGE 50
Beziehen Sie sich auf das Szenario.
Ein Kunde verfügt über einen Aruba ClearPass-Cluster. Der Kunde verfügt über AOS-CX-Switches, die 802.1X-Authentifizierung für ClearPass Policy Manager (CPPM) implementieren.
Die Switches verwenden lokale Port-Zugriffsrichtlinien.
Der Kunde möchte kabelgebundene Clients, die nur die Benutzerauthentifizierung bestehen, zu einem Aruba-Gateway-Cluster tunneln. Der Gateway-Cluster sollte diese Clients der Rolle "eth-internet" zuweisen. Das Gateway sollte auch die Zuweisung der Clients zu ihrem VLAN, d. h. VLAN 20, übernehmen.
Der Plan für die Durchsetzungspolitik und die Profile ist unten dargestellt:

Der Gateway-Cluster hat zwei Gateways mit diesen IP-Adressen:
* Gateway 1
o VLAN 4085 (System-IP) = 10.20.4.21
o VLAN 20 (Benutzer) = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* Gateway 2
o VLAN 4085 (System-IP) = 10.20.4.22
o VLAN 20 (Benutzer) = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP auf VLAN 20 = 10.20.20.254
Der Kunde benötigt eine hohe Verfügbarkeit für die Tunnel zwischen den Switches und dem Gateway-Cluster. Wenn ein Gateway ausfällt, sollte das andere Gateway dessen Tunnel übernehmen. Außerdem sollte der Switch in der Lage sein, den Gateway-Cluster unabhängig davon zu erkennen, ob eines der Gateways im Cluster ist.
Gehen Sie davon aus, dass Sie den Namen "myzone" für die UBT-Zone verwenden.
Was ist eine gültige Minimalkonfiguration für die AOS-CX-Port-Zugriffsrollen?

port-access role eth-internet gateway-zone zone myzone gateway-role eth-user

port-access role internet-only gateway-zone zone myzone gateway-role eth-internet

port-access role eth-internet gateway-zone zone myzone gateway-role eth-internet vlan access 20

port-access role internet-only gateway-zone zone myzone gateway-role eth-internet vlan access 20

FRAGE 51
Beziehen Sie sich auf das Szenario.
Ein Kunde benötigt diese Rechte für Clients in der AOS-Firewall-Rolle "medical-mobile" auf Aruba Mobility Controllern (MCs):
* Erlaubt den Empfang von IP-Adressen mit DHCP
* Erlaubter Zugriff auf DNS-Dienste von 10.8.9.7 und keinem anderen Server
* Erlaubter Zugang zu allen Subnetzen im Bereich 10.1.0.0/16 mit Ausnahme des verwehrten Zugangs zu 10.1.12.0/22 Verweigerter Zugang zu anderen Subnetzen 10.0.0.0/8
* Erlaubter Zugang zum Internet
Verweigerung des Zugriffs auf das WLAN für eine bestimmte Zeit, wenn sie SSH-Datenverkehr senden Verweigerung des Zugriffs auf das WLAN für eine bestimmte Zeit, wenn sie Telnet-Datenverkehr senden Verweigerung des Zugriffs auf alle Websites mit hohem Risiko Externe Geräte sollten keine Sitzungen mit "medical-mobile"-Clients initiieren dürfen, sondern nur Rückverkehr senden.
Die folgenden Abbildungen zeigen die Konfiguration für die Rolle.

Welche nicht in der Abbildung gezeigte Einstellung müssen Sie überprüfen, um sicherzustellen, dass die Anforderungen des Szenarios erfüllt sind?

dass das Denylisting auf den Firewalls der MCs global aktiviert ist

Diese zustandsbehaftete Behandlung des Datenverkehrs ist in den Firewalls der MCs und in der Medical-Mobile-Rolle global aktiviert.

dass AppRF und WebCC weltweit und in der medizinisch-mobilen Rolle aktiviert sind

dass den MCs RF Protect-Lizenzen zugewiesen werden

FRAGE 52
Ein Unternehmen hat einen Aruba ClearPass-Server unter 10.47.47.8, FQDN radius.acnsxtest.local. Diese Abbildung zeigt die Einstellungen von ClearPass Policy Manager (CPPM) für einen Aruba Mobility Controller (MC).

Der MC ist bereits mit RADIUS-Authentifizierungseinstellungen für CPPM konfiguriert, und RADIUS-Anfragen zwischen dem MC und CPPM funktionieren. Ein Netzwerkadministrator gibt diesen Befehl ein und bestätigt ihn, um die dynamische Autorisierung auf dem MC zu aktivieren:
aaa rfc-3576-server 10.47.47.8
Wenn CPPM jedoch CoA-Anfragen an den MC sendet, funktionieren sie nicht. Diese Abbildung zeigt die RFC 3576-Serverstatistiken auf dem MC:

Wie können Sie dieses Problem beheben?

Ändern Sie den UDP-Port in der RFC 3576-Serverkonfiguration der MCs auf 3799.

Aktivieren Sie RadSec für die RFC 3676-Serverkonfiguration der MCs.

Konfigurieren Sie den MC so, dass er die Zeit von einem gültigen NTP-Server bezieht.

Stellen Sie sicher, dass CPPM ein ArubaOS Wireless RADIUS CoA Enforcement-Profil verwendet.

FRAGE 53
Beziehen Sie sich auf das Szenario.
Ein Krankenhaus verfügt über eine AOS10-Architektur, die von Aruba Central verwaltet wird. Der Kunde hat in jeder Klinik ein Paar Gateways der Serie Aruba 9000 mit Sicherheitslizenzen implementiert. Die Gateways implementieren IDS/IPS im IDS-Modus.
Das Security Dashboard zeigt diese verschiedenen jüngsten Ereignisse mit der gleichen Signatur an, wie unten dargestellt:

Welcher Schritt könnte Ihnen wertvolle Informationen über den Vorfall liefern?

Zeigen Sie Firewall-Sitzungen auf den APs an und erfassen Sie den Typ und das Betriebssystem der Bedrohungsquellen.

Sehen Sie sich die Benutzertabelle der APs an und notieren Sie die 802.11-Einstellungen der Bedrohungsquellen.

Sehen Sie sich das RAPIDS Security Dashboard an und prüfen Sie, ob die Bedrohungsquellen als Schurken aufgeführt sind.

Suchen Sie das zentrale Kundenprofil für die Bedrohungsquellen und notieren Sie deren Kategorie und Familie.

HPE6-A84 Prüfung Fragen für die Praxis im Jahr 2023 aktualisiert 60 Fragen [Q33-Q53]

Eine Antwort hinterlassen Antworten abbrechen

HPE6-A84 Prüfung Fragen für die Praxis im Jahr 2023 aktualisiert 60 Fragen [Q33-Q53]

Eine Antwort hinterlassen Antworten abbrechen

Verwandter Beitrag

Verifizierte HPE2-W11 Dumps Q&As - HPE2-W11 Test Engine mit korrekten Antworten [Q12-Q27]

Kostenlose Dec-2023 HPE6-A73 Zertifizierung Probe Fragen Zertifizierung Prüfung [Q65-Q79]

2024 Aktualisierte HP HPE6-A72 Dumps PDF - Wollen Sie HPE6-A72 schnell bestehen [Q47-Q68]