HPE6-A84試験問題集2023年 60問更新【Q33-Q53】-無料試験問題集

質問33
シナリオを参照してください。
Aruba ClearPass クラスタがあります。顧客には、ClearPass Policy Manager (CPPM) に 802.1X 認証を実装する AOS-CX スイッチがあります。
スイッチはローカルポートアクセスポリシーを使用している。
ユーザ認証のみを通過する有線クライアントをArubaゲートウェイ・クラスタにトンネリングする必要があります。ゲートウェイ・クラスタは、これらのクライアントを「eth-internet」ロールに割り当てる必要があります。ゲートウェイは、クライアントをVLAN 20であるVLANに割り当てる処理も行う必要があります。
施行方針とプロファイルの計画を以下に示す：

ゲートウェイ・クラスターには、これらのIPアドレスを持つ2つのゲートウェイがある：
* ゲートウェイ1
o VLAN 4085（システムIP） = 10.20.4.21
o VLAN 20（ユーザー） = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* ゲートウェイ2
o VLAN 4085（システムIP） = 10.20.4.22
o VLAN 20（ユーザー） = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP on VLAN 20 = 10.20.20.254
顧客はスイッチとゲートウェイクラスター間のトンネルの高可用性を求めている。一方のゲートウェイが落ちた場合、もう一方のゲートウェイがそのトンネルを引き継ぐ必要がある。また、スイッチは、ゲートウェイの1つがクラスタ内にあるかどうかに関係なく、ゲートウェイクラスタを検出できなければならない。
AOS-CX スイッチで UBT ゾーンを設定しています。
どのIPアドレスをゾーンに定義しますか？

プライマリコントローラ = 10.20.4.21; バックアップコントローラ = 10.20.4.22

[プライマリコントローラ = 198.51.100.14、バックアップコントローラ = 10.20.4.21

プライマリコントローラ = 10 20 4 21: バックアップコントローラが定義されていない

プライマリコントローラ = 10.20.20.254；バックアップコントローラ、未定義

質問34
Aruba ClearPass Policy Manager (CPPM) を設定して、Active Directory を認証ソースとして EAP-TLS 認証を適用しています。会社では、無効なアカウントを持つユーザーが有効な証明書を持っていても接続できないようにしたいと考えています。
これらの条件を満たす最初の部分として、CPPMがADでアカウントが有効になっているかどうかを判断できるようにするには、どうすればよいでしょうか？

エンドポイントコンテキストサーバーをドメインコントローラーに追加し、アカウントステータスをドメインコントローラーに問い合わせるアクションを持つ。

EAP-TLS認証方法の設定でOCSPを有効にし、ドメインコントローラーのFQDNにOCSPオーバーライドを設定する。

AD認証ソースのフィルタにuserAccountControlのカスタム属性を追加する。

Aruba ClearPass GuestにMicrosoft Active Directory拡張機能をインストールし、その拡張機能を指すHTTP認証ソースを設定します。

質問35
シナリオを参照してください。
# 顧客紹介
あなたは、Arubaネットワーク・インフラストラクチャ・デバイスを使用している企業のネットワークにAruba ClearPassを追加するお手伝いをしています。
この会社には現在、WindowsドメインとWindows CAがある。Windows CAは、ドメインコンピュータ、ドメインユーザ、ドメインコントローラなどのサーバに証明書を発行する。Windows CAが発行する証明書の例を以下に示す。

同社は、モバイルクライアントを管理するためにMicrosoft Endpoint Manager（Intune）を追加しようとしている。
顧客は今のところオンプレミスのADを維持しており、Azure AD Connectを使ってAzure ADと同期している。
# モバイルクライアントへの証明書発行要件
同社は、ClearPass Onboard を使用して、Intune に登録されたモバイルクライアントに証明書を自動的に配備したいと考えています。このプロセス中、Onboard は Azure AD と通信してクライアントを検証する必要があります。このシナリオでは、高可用性も提供する必要があります。言い換えると、サブスクライバ 1 がダウンしている場合でも、クライアントはサブスクライバ 2 から証明書を取得できる必要があります。
Intuneの管理者は、デバイスを登録したユーザーのUPN SANを含む証明書プロファイルを作成する予定です。
# クライアントを認証するための要件
この顧客は、すべてのタイプのクライアントが同じ企業のSSIDで接続し、認証することを要求している。
同社は、CPPMがこれらの認証方法を使用することを望んでいる：
* Intune に登録されたモバイル・クライアントのユーザーを認証する EAP-TLS
* EAP-TLS（スタンドアロンまたはTEAPメソッドとして）クライアントを成功させるには、以下の要件を満たす必要がある：
その証明書は有効であり、OCSPによって検証されたように失効していない。
クライアントのユーザー名がADのアカウントと一致する。
# クライアントをロールに割り当てるための要件
認証後、顧客は CPPM が以下のルールに基づいてクライアントを ClearPass のロールに割り当てることを望んでいます：
* Onboardが発行した証明書を持つクライアントには、"mobile-onboarded "ロールが割り当てられる。
* TEAP Method 1に合格したクライアントには「domain-computer」ロールが割り当てられる ADグループ「Medical」に属するクライアントには「medical-staff」ロールが割り当てられる ADグループ「Reception」に属するクライアントには「reception-staff」ロールが割り当てられる顧客は、認証されたクライアントをAOSファイアウォールのロールに割り当てるために、CPPMに以下のように要求する：
* モバイルオンボードされたクライアントの医療スタッフを "医療モバイル "ファイアウォールの役割に割り当てる。
* 他のモバイルオンボードクライアントを "mobile-other "ファイアウォールの役割に割り当てる。
* ドメインコンピューター上の医療スタッフを "medical-domain "ファイアウォールの役割に割り当てる。
* ドメインコンピュータ上のすべての受付スタッフを "reception-domain "ファイアウォールの役割にする。
* コンピュータ専用」ファイアウォールの役割に有効なユーザーがログインしていないすべてのドメインコンピュータ
* 他のクライアントのアクセスを拒否する
# その他の要件
ClearPass サーバとオンプレム AD ドメインコントローラ間の通信は暗号化する必要があります。
# ネットワーク・トポロジー
ネットワーク・インフラとして、この顧客はセントラルが管理するAruba APとArubaゲートウェイを使用しています。AP はトンネル型 WLAN を使用し、ゲートウェイ・クラスタにトラフィックをトンネルします。また、この顧客には AOS-CX スイッチがありますが、この時点では Central によって管理されていません。

# ClearPassクラスタのIPアドレスとホスト名
顧客の ClearPass クラスタにはこれらの IP アドレスがあります：
* 発行者 = 10.47.47.5
* 加入者1 = 10.47.47.6
* 加入者2 = 10.47.47.7
* 加入者1と加入者2のバーチャルIP = 10.47.47.8
顧客のDNSサーバーには以下のエントリーがある。
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
ワイヤレスクライアントのフロー属性を見ることはできません。
何をチェックすべきか？

ディープ・パケット・インスペクションは、Aruba APがワイヤレス・クライアントを割り当てる役割で有効になります。

ファイアウォール・アプリケーションの可視性が Aruba ゲートウェイで有効になり、ゲートウェイが再起動されました。

ゲートウェイIDS/IPSはArubaゲートウェイで有効になっており、ゲートウェイは再起動されています。

Aruba Aps で Deep Packet Inspection が有効になり、AP が再起動されました。

質問36
シナリオを参照してください。
Aruba ClearPass クラスタがあります。顧客には、ClearPass Policy Manager (CPPM) に 802.1X 認証を実装する AOS-CX スイッチがあります。
スイッチはローカルポートアクセスポリシーを使用している。
ユーザ認証のみを通過する有線クライアントをArubaゲートウェイ・クラスタにトンネリングする必要があります。ゲートウェイ・クラスタは、これらのクライアントを「eth-internet」ロールに割り当てる必要があります。ゲートウェイは、クライアントをVLAN 20であるVLANに割り当てる処理も行う必要があります。
施行方針とプロファイルの計画を以下に示す：

ゲートウェイ・クラスターには、これらのIPアドレスを持つ2つのゲートウェイがある：
* ゲートウェイ1
o VLAN 4085（システムIP） = 10.20.4.21
o VLAN 20（ユーザー） = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* ゲートウェイ2
o VLAN 4085（システムIP） = 10.20.4.22
o VLAN 20（ユーザー） = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP on VLAN 20 = 10.20.20.254
顧客はスイッチとゲートウェイクラスター間のトンネルの高可用性を求めている。一方のゲートウェイが落ちた場合、もう一方のゲートウェイがそのトンネルを引き継ぐ必要がある。また、スイッチは、ゲートウェイの1つがクラスタ内にあるかどうかに関係なく、ゲートウェイクラスタを検出できなければならない。
UBTゾーンに "myzone "という名前を使用していると仮定する。
AOS-CXポートアクセスロールの有効な最小構成はどれか。

ポートアクセスロール eth-internet ゲートウェイゾーン zone myzone ゲートウェイロール eth-user

ポートアクセス・ロール・インターネットオンリー・ゲートウェイゾーン・ゾーン・マイゾーン・ゲートウェイ・ロール・eth-internet

ポートアクセスロール eth-internet ゲートウェイゾーン zone myzone ゲートウェイロール eth-internet vlan access 20

ポート-アクセスロールインターネット専用ゲートウェイ-ゾーンゾーン myzone ゲートウェイ-ロール eth-internet vlan access 20

質問37
シナリオを参照してください。
ある組織では、RADIUSサーバー(cp.acnsxtest.local)が1時間あたり異常な数のクライアント認証要求を拒否した場合に、AOS-CXスイッチがアラートをトリガーすることを望んでいます。他のAruba管理者と議論した後、どのくらいの数の拒否が通常か異常かはまだわかりません。この値はスイッチごとに異なる可能性があります。
あなたは、開発者がこのユースケースのNAEスクリプトを開発する方法を理解する手助けをしているのです。
あなたは、開発者がモニターに適したURIを見つける手助けをしているのだ。
展示を参照。

REST API リファレンス・インターフェースを使用して、テスト・コールを送信しました。その結果を図に示します。
どのURIを開発者に渡すべきか？

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics?attributes=a

/rest/v1/system/vrfs/mgmt/radius/_servers/cp.acnsxtest.local/2083/tcp

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics.access_rejec

質問38
ある企業は Aruba ゲートウェイを持っており、ゲートウェイ IDS/IPS の実装を開始しようとしています。顧客は、フェイル戦略にブロックを選択しています。
この特別な秋季戦略によって引き起こされる予期せぬ停電を最小限に抑えるために、どのようなことをお勧めしますか？

ゲートウェイ脅威カウントアラートに比較的高いしきい値を設定する。

ゲートウェイがクラスタを形成し、デフォルトゲートウェイモードで動作していることを確認する。

IDSまたはIPSポリシーを最も制限の少ないオプション、Lenientに設定する。

ゲートウェイIPSエンジンの使用率やエラーに関連するイベントに対するアラートと電子メール通知を有効にします。

説明
正解は D です。ゲートウェイ IPS エンジンの使用率とエラーに関連するイベントのアラートと電子メール通知を有効にします。
ゲートウェイ IDS/IPS は、Aruba ゲートウェイが事前に定義されたルールまたはカスタムのルールに基づいて、悪意のあるトラフィックまたは不要なトラフィックを監視およびブロックする機能です 1.フェイルストラテジーは、IPSエンジンが故障またはクラッシュしたときにゲートウェイがトラフィックを処理する方法を決定する設定です 2。Blockオプションは、IPSエンジンが回復するまでゲートウェイがトラフィックの転送を停止することを意味し、Bypassオプションは、ゲートウェイが検査なしでトラフィックの転送を継続することを意味する2。
Block オプションは、より高いセキュリティを提供するが、IPS エンジンが頻繁に、または長時間に渡って故障した場合、ネットワーク停止のリスクも増大する 2.このリスクを最小化するために、ゲートウェイ IPS エンジンの利用状況やエラーに関連するイベントに対するアラートと電子メール通知を有効にすることを推奨する 3。こうすることで、ネットワーク管理者は、IPS エンジンの問題を通知され、復旧やトラブルシューティングのために適切な対応をとることができる。
他の選択肢は、この問題には正しくも適切でもない：
ゲートウェイ脅威カウントアラートに比較的高いしきい値を設定しても、Block オプションの使用による予期せぬ停止を最小限に抑えることはできないため、オプション A は正しくない。ゲートウェイ脅威カウントアラートは、IPS エンジンによって検出された脅威の数をネットワーク管理者に通知するために使用されますが、IPS エンジンに障害が発生したときにゲートウェイがトラフィックを処理する方法には影響しません 4。
ゲートウェイがクラスターを形成し、デフォルトゲートウェイモードで動作していることを確認することは、ブロックオプションを使用することによって引き起こされる予期せぬ停止を最小限に抑える助けにはならないので、オプションBは正しくない。
ゲートウェイクラスターモードは、ゲートウェイに高可用性とロードバランシングを提供するために使用されるが、IPS エンジンに障害が発生した場合にゲートウェイがトラフィックを処理する方法には影響しない。デフォルト・ゲートウェイ・モードは、ゲートウェイ上でルーティングと NAT 機能を有効にするために使用されますが、IPS エンジンに障害が発生した場合のゲートウェイのトラフィック処理方法には影響しません。
IDS または IPS ポリシーを最も制限の少ないオプションである Lenient に設定しても、Block オプションの使用による予期せぬ停止を最小限に抑えることはできないため、オプション C は正しくない。IDS または IPS ポリシーは、トラフィックを検査およびブロックするために IPS エンジンによって適用されるルールを定義するために使用されますが、IPS エンジンが失敗したときにゲートウェイがトラフィックを処理する方法には影響しません 2。Lenient オプションは、Moderate または Strict オプションよりもルールの数が少なく、ルールが古いため、セキュリティが低くなり、偽陰性が高くなります。

質問39
シナリオを参照してください。
# 顧客紹介
あなたは、Arubaネットワーク・インフラストラクチャ・デバイスを使用している企業のネットワークにAruba ClearPassを追加するお手伝いをしています。
この会社には現在、WindowsドメインとWindows CAがある。Windows CAは、ドメインコンピュータ、ドメインユーザ、ドメインコントローラなどのサーバに証明書を発行する。Windows CAが発行する証明書の例を以下に示す。

同社は、モバイルクライアントを管理するためにMicrosoft Endpoint Manager（Intune）を追加しようとしている。
顧客は今のところオンプレミスのADを維持しており、Azure AD Connectを使ってAzure ADと同期している。
# モバイルクライアントへの証明書発行要件
同社は、ClearPass Onboard を使用して、Intune に登録されたモバイルクライアントに証明書を自動的に配備したいと考えています。このプロセス中、Onboard は Azure AD と通信してクライアントを検証する必要があります。このシナリオでは、高可用性も提供する必要があります。言い換えると、サブスクライバ 1 がダウンしている場合でも、クライアントはサブスクライバ 2 から証明書を取得できる必要があります。
Intuneの管理者は、デバイスを登録したユーザーのUPN SANを含む証明書プロファイルを作成する予定です。
# クライアントを認証するための要件
この顧客は、すべてのタイプのクライアントが同じ企業のSSIDで接続し、認証することを要求している。
同社は、CPPMがこれらの認証方法を使用することを望んでいる：
Intuneに登録されたモバイルクライアントのユーザーを認証するEAP-TLS
TEAR、EAP-TLSをWindowsドメインコンピュータとその上のユーザーを認証する内部メソッドとする EAP-TLS（スタンドアロンまたはTEAPメソッドとして）クライアントを成功させるには、以下の要件を満たす必要がある：
その証明書は有効であり、OCSPによって検証されたように失効していない。
クライアントのユーザー名がADのアカウントと一致する。
# クライアントをロールに割り当てるための要件
認証後、顧客は CPPM が以下のルールに基づいてクライアントを ClearPass のロールに割り当てることを望んでいます：
Onboardによって発行された証明書を持つクライアントには、「mobile-onboarded」ロールが割り当てられる TEAP Method 1に合格したクライアントには、「domain-computer」ロールが割り当てられる ADグループ「Medical」のクライアントには、「medical-staff」ロールが割り当てられる ADグループ「Reception」のクライアントには、「reception-staff」ロールが割り当てられる顧客は、認証されたクライアントをAOSファイアウォールのロールに割り当てるために、CPPMに以下のように要求する：
モバイルオンボードされたクライアントの医療スタッフを「medical-mobile」ファイアウォールの役割に割り当てるその他のモバイルオンボードされたクライアントを「mobile-other」ファイアウォールの役割に割り当てるドメインコンピュータ上の医療スタッフを「medical-domain」ファイアウォールの役割に割り当てるドメインコンピュータ上のすべての受付スタッフを「reception-domain」ファイアウォールの役割に割り当てる有効なユーザーがログインしていないすべてのドメインコンピュータを「computer-only」ファイアウォールの役割に割り当てる他のクライアントのアクセスを拒否する
# その他の要件
ClearPass サーバとオンプレム AD ドメインコントローラ間の通信は暗号化する必要があります。
# ネットワーク・トポロジー
ネットワーク・インフラとして、この顧客はセントラルが管理するAruba APとArubaゲートウェイを使用しています。AP はトンネル型 WLAN を使用し、ゲートウェイ・クラスタにトラフィックをトンネルします。また、この顧客には AOS-CX スイッチがありますが、この時点では Central によって管理されていません。

# ClearPassクラスタのIPアドレスとホスト名
顧客の ClearPass クラスタにはこれらの IP アドレスがあります：
発行者 = 10.47.47.5
加入者1 = 10.47.47.6
加入者2 = 10.47.47.7
加入者1と加入者2の仮想IP = 10.47.47.8
顧客のDNSサーバーには以下のエントリーがある。
cp.acnsxtest.com = 10.47.47.5
cps1.acnsxtest.com = 10.47.47.6
cps2.acnsxtest.com = 10.47.47.7
radius.acnsxtest.com = 10.47.47.8
onboard.acnsxtest.com = 10.47.47.8
この顧客は、ユーザーが新しいワイヤレスクライアントを Intune に登録するための安全な方法を必要としています。あなたは、ユーザーに登録のための限定的なアクセスを提供する新しい WLAN を推奨しています。
この WLAN のクライアント用にキャプティブポータルを設定し、デバイスの登録方法が記載された Web ページにアクセスできるようにしました。
いくつかのホスト名をキャプティブポータルの許可リストに手動で追加する必要があります。
そのホスト名の1つは何ですか？

ClearPass Policy ManaGer の RADIUS サービスが使用するホスト名。

オンボードプロビジョニングプロファイルで参照される ClearPass Onboard ホスト名

Intune SCEPプロファイルで参照されるClearPass Onboardホスト名

オンプレミ・ドメイン・コントローラーが使用するホスト名

質問40
あなたは開発者と協力して、顧客のためにカスタムNAEスクリプトを設計しています。NAEエージェントは、ARP検査がVLAN上のパケットをドロップしたときにアラートをトリガーする必要があります。顧客は、管理者がエージェントを作成するときに、エージェントが監視する正しいVLAN IDを選択できるようにしたいと考えています。
開発者に何をするように言うべきか？

NAEエージェントスクリプトでモニターURIを定義するときは、この変数%{vlan-id}を使用する。

VLAN IDパラメータを定義し、モニターURIを定義するときにそのパラメータを参照する。

スクリプト内に複数のモニタを作成し、管理者がエージェントの作成時に選択できるようにします。

コールバックアクションを使用して、管理者がNAEのモニタリングを有効にしたVLANのIDを収集します。

質問41
シナリオを参照してください。
ある顧客は、Aruba APとArubaゲートウェイ（サイトごとに2台）を備えたAOS 10アーキテクチャを使用しています。管理者は、デフォルト・ゲートウェイ・モードを無効にして、ゲートウェイに自動サイト・クラスタリングを実装しました。WLAN はゲートウェイへのトンネル・モードを使用しています。
WLAN セキュリティは WPA3-Enterprise で、Aruba ClearPass Policy Manager（CPPM）クラスタ VIP に対する認証があります。RADIUS 通信は RadSec ではなく RADIUS を使用します。
CPPMは展示品に示されたサービスを利用している。

ゲートウェイのフェイルオーバーが発生する可能性がある場合、運用を改善するためにどのような対策を講じることができますか？

WLANをミックスモード転送に切り替え、vouが複数のqatewavクラスタを選択できるようにする。

qatewavクラスタを手動で設定し、動的認可のためにVRRP IPアドレスを設定する。

ゲートウェイにオートサイトクラスタリングの代わりにオートグループクラスタリングを使用します。

ゲートウェイクラスターのデフォルトゲートウェイモードを有効にする。

質問42
シナリオを参照してください。
Aruba ClearPass クラスタがあります。顧客には、ClearPass Policy Manager (CPPM) に 802.1X 認証を実装する AOS-CX スイッチがあります。
スイッチはローカルポートアクセスポリシーを使用している。
ユーザ認証のみを通過する有線クライアントをArubaゲートウェイ・クラスタにトンネリングする必要があります。ゲートウェイ・クラスタは、これらのクライアントを「eth-internet」ロールに割り当てる必要があります。ゲートウェイは、クライアントをVLAN 20であるVLANに割り当てる処理も行う必要があります。
施行方針とプロファイルの計画を以下に示す：

ゲートウェイ・クラスターには、これらのIPアドレスを持つ2つのゲートウェイがある：
* ゲートウェイ1
o VLAN 4085（システムIP） = 10.20.4.21
o VLAN 20（ユーザー） = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* ゲートウェイ2
o VLAN 4085（システムIP） = 10.20.4.22
o VLAN 20（ユーザー） = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP on VLAN 20 = 10.20.20.254
顧客はスイッチとゲートウェイクラスター間のトンネルの高可用性を求めている。一方のゲートウェイが落ちた場合、もう一方のゲートウェイがそのトンネルを引き継ぐ必要がある。また、スイッチは、ゲートウェイの1つがクラスタ内にあるかどうかに関係なく、ゲートウェイクラスタを検出できなければならない。
解決策に加えるべき変更点は？

ubt-client-vlan を VLAN 13 に変更します。

エッジポートをVLANトランクモードに設定します。

ゲートウェイのロール構成からVLAN割り当てを削除します。

UBT ソリューションが VLAN エクステンドモードを使用するように設定する。

質問43
スタンドアロンのAruba Mobility Controller（MC）に証明書をインストールする必要があります。MCは、Web UIおよびAruba ClearPass Policy Managerを使用したRadSecの実装に証明書を使用する必要があります。以下の設定の証明書が提供されています：
件名CN=mc41.site94.example.com
* SANなし
* 発行者：CN=ca41.example.com
EKUs：サーバー認証、クライアント認証
証明書が意図する目的に対して、本証明書はどのような問題を有するか。

相反するEKUがある。

プライベートCAによって発行される。

DCフィールドの代わりにCNフィールドでドメイン情報を指定する。

DNS SANを欠いている。

質問44
あなたは開発者と協力して、顧客向けのカスタムNAEスクリプトを設計しています。あなたは、開発者が監視する正しい REST API リソースを見つけるのを手伝っています。
以下の展示を参照。

その前にすべきことは？

v10.10のインターフェイスではなく、v1のAPIドキュメンテーションのインターフェイスに移動します。

アルバパスポートアカウントを使用し、APIコールを試す際に使用するトークンを収集します。

デフォルトの VRF で REST API 呼び出しをリッスンするようにスイッチを有効にします。

ブラウザが認証トークンとクッキーを保存するように設定されていることを確認してください。

質問45
あなたは、ある顧客のために Aruba ClearPass Policy Manager (CPPM) ソリューションを設計しています。その顧客には、キャンパス内のクライアントとデータセンター間のトラフィックをフィルタするパロアルトのファイアウォールがあることを知りました。
どの統合がお勧めですか？

ファイアウォールからCPPMにSyslogを送信し、CPPMに不正なクライアントの認証ステータスを変更するよう信号を送る。

クライアントのMACアドレスをインポートして、既知のクライアントをより迅速にMAC認証用に設定する。

キャンパス・エッジとデータセンターDMZの両方で二重の認証を確立する。

ファイアウォールのルールをインポートして、AOS-CXスイッチ用のダウンロード可能なユーザーロールをより迅速にプログラムする。

質問46
シナリオを参照してください。
# 顧客紹介
あなたは、Arubaネットワーク・インフラストラクチャ・デバイスを使用している企業のネットワークにAruba ClearPassを追加するお手伝いをしています。
この会社には現在、WindowsドメインとWindows CAがある。Windows CAは、ドメインコンピュータ、ドメインユーザ、ドメインコントローラなどのサーバに証明書を発行する。Windows CAが発行する証明書の例を以下に示す。

同社は、モバイルクライアントを管理するためにMicrosoft Endpoint Manager（Intune）を追加しようとしている。
顧客は今のところオンプレミスのADを維持しており、Azure AD Connectを使ってAzure ADと同期している。
# モバイルクライアントへの証明書発行要件
同社は、ClearPass Onboard を使用して、Intune に登録されたモバイルクライアントに証明書を自動的に配備したいと考えています。このプロセス中、Onboard は Azure AD と通信してクライアントを検証する必要があります。このシナリオでは、高可用性も提供する必要があります。言い換えると、サブスクライバ 1 がダウンしている場合でも、クライアントはサブスクライバ 2 から証明書を取得できる必要があります。
Intuneの管理者は、デバイスを登録したユーザーのUPN SANを含む証明書プロファイルを作成する予定です。
# クライアントを認証するための要件
この顧客は、すべてのタイプのクライアントが同じ企業のSSIDで接続し、認証することを要求している。
同社は、CPPMがこれらの認証方法を使用することを望んでいる：
* Intune に登録されたモバイル・クライアントのユーザーを認証する EAP-TLS
* EAP-TLS（スタンドアロンまたはTEAPメソッドとして）クライアントを成功させるには、以下の要件を満たす必要がある：
その証明書は有効であり、OCSPによって検証されたように失効していない。
クライアントのユーザー名がADのアカウントと一致する。
# クライアントをロールに割り当てるための要件
認証後、顧客は CPPM が以下のルールに基づいてクライアントを ClearPass のロールに割り当てることを望んでいます：
* Onboardが発行した証明書を持つクライアントには、"mobile-onboarded "ロールが割り当てられる。
* TEAP Method 1に合格したクライアントには「domain-computer」ロールが割り当てられる ADグループ「Medical」に属するクライアントには「medical-staff」ロールが割り当てられる ADグループ「Reception」に属するクライアントには「reception-staff」ロールが割り当てられる顧客は、認証されたクライアントをAOSファイアウォールのロールに割り当てるために、CPPMに以下のように要求する：
* モバイルオンボードされたクライアントの医療スタッフを "医療モバイル "ファイアウォールの役割に割り当てる。
* 他のモバイルオンボードクライアントを "mobile-other "ファイアウォールの役割に割り当てる。
* ドメインコンピューター上の医療スタッフを "medical-domain "ファイアウォールの役割に割り当てる。
* ドメインコンピュータ上のすべての受付スタッフを "reception-domain "ファイアウォールの役割にする。
* コンピュータ専用」ファイアウォールの役割に有効なユーザーがログインしていないすべてのドメインコンピュータ
* 他のクライアントのアクセスを拒否する
# その他の要件
ClearPass サーバとオンプレム AD ドメインコントローラ間の通信は暗号化する必要があります。
# ネットワーク・トポロジー
ネットワーク・インフラとして、この顧客はセントラルが管理するAruba APとArubaゲートウェイを使用しています。AP はトンネル型 WLAN を使用し、ゲートウェイ・クラスタにトラフィックをトンネルします。また、この顧客には AOS-CX スイッチがありますが、この時点では Central によって管理されていません。

# ClearPassクラスタのIPアドレスとホスト名
顧客の ClearPass クラスタにはこれらの IP アドレスがあります：
* 発行者 = 10.47.47.5
* 加入者1 = 10.47.47.6
* 加入者2 = 10.47.47.7
* 加入者1と加入者2のバーチャルIP = 10.47.47.8
顧客のDNSサーバーには以下のエントリーがある。
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
Windows CA のルート証明書を ClearPass CA トラストリストにインポートしました。
シナリオの要件に基づいて、どのような使い方を追加するべきか？

EAPとAD/LDAPサーバー

LDAPとArubaインフラストラクチャ

RadsecとArubaのインフラ

EAPとRadsec

質問47
シナリオを参照してください。
このお客様は、Aruba ClearPass Policy Manager (CPPM) に AOS-CX スイッチの 802.1X を適用しています。顧客は、スイッチが CPPM から役割設定をダウンロードすることを望んでいます。reception-domain "ロールには、以下の設定が必要です：
- クライアントをスイッチ1のVLAN 14、スイッチ2のVLAN 24などに割り当てる。
- クライアントのトラフィックを以下のようにフィルタリングする：
- クライアントは10.1.5.0/24とインターネットへのフルアクセスが許可されている。
- クライアントは10.1.0.0/16へのアクセスを拒否される
スイッチのトポロジーをここに示す：

受信ロールのVLAN設定はどのようにすればよいですか？

各アクセスレイヤスイッチのVLAN 14、24、または34に一貫した名前を割り当て、実施プロファイルのVLAN設定でその名前を参照します。

実施プロファイルをダウンロード可能なロールとして構成するが、ロール名のみを指定し、VLANは未定義のままにする。次に、各アクセスレイヤスイッチに正しいVLAN設定の「受信」ロールを定義します。

アクセスレイヤスイッチに番号ベースの ID を割り当てます。次に、この変数をエンフォースメントプロファイルの VLAN 設定で使用します：%(nas-id]4.

スイッチごとに異なるVLAN IDを持つ別のエンフォースメントプロファイルを作成します。すべてのプロファイルを適切な実施ポリシールールのプロファイルリストに追加します。

質問48
シナリオを参照してください。
あるお客様は、Arubaモビリティ・コントローラ(MC)上の「医療モバイル」AOSファイアウォールの役割のクライアントにこれらの権限を要求しています：
DHCPによるIPアドレスの受信許可
10.8.9.7からのDNSサービスへのアクセスを許可。
10.1.12.0/22へのアクセスを拒否された場合を除き、10.1.0.0/16範囲のすべてのサブネットへのアクセスを許可その他の10.0.0.0/8サブネットへのアクセスを拒否インターネットへのアクセスを許可 SSHトラフィックを送信した場合、一定期間WLANへのアクセスを拒否 Telnetトラフィックを送信した場合、一定期間WLANへのアクセスを拒否すべてのハイリスクウェブサイトへのアクセスを拒否外部デバイスは、「メディカルモバイル」クライアントとのセッションを開始することを許可されるべきではなく、リターントラフィックの送信のみが許可されるべきである。
以下の図は、その役割のコンフィギュレーションを示している。

コンフィギュレーションには複数の問題がある。
シナリオの要件を満たすためにポリシーに加えなければならない変更は何ですか？(オプションでは、ポリシーのルールは上から下に参照されます。たとえば、「medical-mobile」のルール1は「ipv4 any any svc-dhcp permit」、ルール8は「ipv4 any any permit」です)。

medical-mobile」ポリシーで、ルール1のソースを「user」に変更する。

medical-mobile」ポリシーで、ルール3のサブネットマスクを255.255.248.0に変更する。

メディカル・モバイル」ポリシーでは、ルール6と7をリストの一番上に移動させる。

apprf-medical-mobile-sacl」ポリシーのルールを、「medical-mobile」ポリシーのルール7と8の間に移動する。

質問49
シナリオを参照してください。
ある顧客が、唯一のドメインソリューションとして、オンプレミスADからAzure ADに移行しようとしている。また、Microsoft Endpoint Manager (Intune) を使用して、有線デバイスと無線デバイスの両方を管理しています。
顧客はネットワーク・エッジのセキュリティを改善したいと考えています。この目的のために、顧客が ClearPass 導入を設計するのを支援します。Arubaネットワークデバイスは、Aruba ClearPass Policy Manager（CPPM）クラスタ（バージョン6.10を使用）に対して無線クライアントと有線クライアントを認証します。
この顧客には、認証に関するいくつかの要件がある。クライアントは、Azure AD へのクエリによって Azure AD にアカウントがあることが示された場合にのみ、EAP-TLS 認証をパスする必要があります。クライアントの権限をさらに絞り込むために、ClearPass は Intune が収集した情報を使用してアクセス制御を決定する必要があります。
802.1X サービスの認証ソースとして Azure AD を使用する予定です。
顧客は何を要求されているのか？

CPPMのFQDNを参照するAzure ADへのアプリ登録

Windows 365サブスクリプション

CPPM の RADIUS 証明書が Azure AD ディレクトリで信頼済みとしてインポートされた。

Azure ADドメインサービス

質問50
シナリオを参照してください。
Aruba ClearPass クラスタがあります。顧客には、ClearPass Policy Manager (CPPM) に 802.1X 認証を実装する AOS-CX スイッチがあります。
スイッチはローカルポートアクセスポリシーを使用している。
ユーザ認証のみを通過する有線クライアントをArubaゲートウェイ・クラスタにトンネリングする必要があります。ゲートウェイ・クラスタは、これらのクライアントを「eth-internet」ロールに割り当てる必要があります。ゲートウェイは、クライアントをVLAN 20であるVLANに割り当てる処理も行う必要があります。
施行方針とプロファイルの計画を以下に示す：

ゲートウェイ・クラスターには、これらのIPアドレスを持つ2つのゲートウェイがある：
* ゲートウェイ1
o VLAN 4085（システムIP） = 10.20.4.21
o VLAN 20（ユーザー） = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* ゲートウェイ2
o VLAN 4085（システムIP） = 10.20.4.22
o VLAN 20（ユーザー） = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP on VLAN 20 = 10.20.20.254
顧客はスイッチとゲートウェイクラスター間のトンネルの高可用性を求めている。一方のゲートウェイが落ちた場合、もう一方のゲートウェイがそのトンネルを引き継ぐ必要がある。また、スイッチは、ゲートウェイの1つがクラスタ内にあるかどうかに関係なく、ゲートウェイクラスタを検出できなければならない。
UBTゾーンに "myzone "という名前を使用していると仮定する。
AOS-CXポートアクセスロールの有効な最小構成はどれか。

ポートアクセスロール eth-internet ゲートウェイゾーン zone myzone ゲートウェイロール eth-user

ポートアクセス・ロール・インターネットオンリー・ゲートウェイゾーン・ゾーン・マイゾーン・ゲートウェイ・ロール・eth-internet

ポートアクセスロール eth-internet ゲートウェイゾーン zone myzone ゲートウェイロール eth-internet vlan access 20

ポート-アクセスロールインターネット専用ゲートウェイ-ゾーンゾーン myzone ゲートウェイ-ロール eth-internet vlan access 20

質問51
シナリオを参照してください。
あるお客様は、Arubaモビリティ・コントローラ(MC)上の「医療モバイル」AOSファイアウォールの役割のクライアントにこれらの権限を要求しています：
* DHCPによるIPアドレスの受信許可
* 10.8.9.7からのDNSサービスへのアクセスを許可。
* 10.1.12.0/22へのアクセス拒否を除く、10.1.0.0/16範囲のすべてのサブネットへのアクセスを許可その他の10.0.0.0/8サブネットへのアクセスを拒否
* インターネットへのアクセス許可
SSHトラフィックを送信した場合、一定期間WLANへのアクセスを拒否する Telnetトラフィックを送信した場合、一定期間WLANへのアクセスを拒否するすべてのハイリスクウェブサイトへのアクセスを拒否する外部デバイスは、「メディカルモバイル」クライアントとのセッションを開始することを許可されるべきではなく、リターントラフィックの送信のみが許可されるべきである。
以下の図は、その役割のコンフィギュレーションを示している。

シナリオの要件が満たされていることを確認するために、展示に示されていないどの設定をチェックする必要がありますか？

MCのファイアウォールでグローバルに拒否リストが有効になっていること

トラフィックのステートフル処理は、MCのファイアウォールとメディカル・モバイルの役割でグローバルに有効になっている。

AppRFとWebCCがグローバルに、そして医療モバイルの役割で有効であること

MCにRFプロテクト・ライセンスが割り当てられていること

質問52
ある企業には、10.47.47.8、FQDN radius.acnsxtest.localにAruba ClearPassサーバがあります。この図は、Arubaモビリティコントローラ（MC）のClearPass Policy Manager（CPPM）の設定を示しています。

MCはすでにCPPM用のRADIUS認証設定で構成されており、MCとCPPM間のRADIUS要求は機能しています。ネットワーク管理者がこのコマンドを入力してコミットすると、MC で動的認証が有効になります：
aaa rfc-3576-server 10.47.47.8
しかし、CPPMがMCにCoAリクエストを送信しても、動作しません。この図は、MCのRFC 3576サーバー統計を示しています：

どうすればこの問題を解決できますか？

MCのRFC 3576サーバー・コンフィグのUDPポートを3799に変更する。

MCのRFC3676サーバーコンフィグでRadSecを有効にする。

有効な NTP サーバーから時刻を取得するように MC を設定します。

CPPM が ArubaOS ワイヤレス RADIUS CoA 実施プロファイルを使用していることを確認します。

質問53
シナリオを参照してください。
ある病院には、Aruba Centralで管理されるAOS10アーキテクチャがあります。この顧客は、Securityライセンス付きのAruba 9000シリーズ・ゲートウェイのペアを各診療所に導入しました。ゲートウェイはIDSモードでIDS/IPSを実装しています。
セキュリティ・ダッシュボードには、以下のように、同じシグネチャを持つ最近のイベントがいくつか表示される：

どのステップを踏めば、その事件に関する貴重な情報が得られるのか？