2023 년 연습을위한 HPE6-A84 시험 문제 60 개 질문 업데이트 [Q33-Q53]-무료 시험 덤프 자료

질문 33
시나리오를 참조하세요.
고객에게 아루바 클리어패스 클러스터가 있습니다. 고객이 CPPM(ClearPass Policy Manager)에 대한 802.1X 인증을 구현하는 AOS-CX 스위치를 보유하고 있습니다.
스위치가 로컬 포트 액세스 정책을 사용하고 있습니다.
고객이 사용자 인증을 아루바 게이트웨이 클러스터로만 전달하는 유선 클라이언트 터널링을 시작하려고 합니다. 게이트웨이 클러스터는 이러한 클라이언트를 "eth-internet" 역할에 할당해야 합니다. 또한 게이트웨이는 클라이언트를 VLAN 20에 할당하는 작업도 처리해야 합니다.
시행 정책 및 프로필에 대한 계획은 아래와 같습니다:

게이트웨이 클러스터에는 이러한 IP 주소를 가진 두 개의 게이트웨이가 있습니다:
* 게이트웨이 1
o VLAN 4085(시스템 IP) = 10.20.4.21
o VLAN 20(사용자) = 10.20.20.1
o VLAN 4094(WAN) = 198.51.100.14
* 게이트웨이 2
o VLAN 4085(시스템 IP) = 10.20.4.22
o VLAN 20(사용자) = 10.20.20.2
o VLAN 4094(WAN) = 198.51.100.12
* VLAN 20의 VRRP = 10.20.20.254
고객은 스위치와 게이트웨이 클러스터 사이의 터널에 고가용성을 요구합니다. 한 게이트웨이가 다운되면 다른 게이트웨이가 해당 터널을 이어받아야 합니다. 또한 게이트웨이 중 하나가 클러스터에 있는지 여부에 관계없이 스위치가 게이트웨이 클러스터를 검색할 수 있어야 합니다.
AOS-CX 스위치에서 UBT 구역을 설정하고 있습니다.
영역에 어떤 IP 주소를 정의해야 하나요?

기본 컨트롤러 = 10.20.4.21; 백업 컨트롤러 = 10.20.4.22

[기본 컨트롤러 = 198.51.100.14, 백업 컨트롤러 = 10.20.4.21

기본 컨트롤러 = 10 20 4 21: 백업 컨트롤러가 정의되지 않았습니다.

기본 컨트롤러 = 10.20.20.254; 백업 컨트롤러, 정의되지 않음

질문 34
Active Directory를 인증 소스로 사용하여 EAP-TLS 인증을 적용하도록 Aruba ClearPass Policy Manager(CPPM)를 설정하고 있습니다. 회사에서는 비활성화된 계정을 가진 사용자가 유효한 인증서를 가지고 있더라도 연결할 수 없도록 하려고 합니다.
이러한 기준을 충족하기 위한 첫 번째 단계로, CPPM이 AD에서 계정을 사용하도록 설정할지 여부를 확인하려면 어떻게 해야 할까요?

도메인 컨트롤러에 계정 상태를 쿼리하는 작업을 사용하여 도메인 컨트롤러에 엔드포인트 컨텍스트 서버를 추가합니다.

EAP-TLS 인증 방법 설정에서 OCSP를 사용하도록 설정하고 도메인 컨트롤러 FQDN에 대한 OCSP 재정의가 구성됩니다.

AD 인증 소스의 필터에 사용자 계정 컨트롤에 대한 사용자 지정 속성을 추가합니다.

아루바 클리어패스 게스트에 Microsoft Active Directory 확장을 설치하고 해당 확장을 가리키는 HTTP 인증 소스를 설정합니다.

질문 35
시나리오를 참조하세요.
# 고객 소개
귀하는 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 아루바 클리어패스를 추가하는 것을 돕고 있습니다.
회사에는 현재 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.

이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 작업을 진행 중입니다.
고객은 현재 온-프레미스 AD를 유지 관리하고 있으며 Azure AD Connect를 사용하여 Azure AD와 동기화합니다.
# 모바일 클라이언트에 인증서를 발급하기 위한 요구 사항
이 회사는 ClearPass Onboard를 사용하여 Intune에 등록된 모바일 클라이언트에 인증서를 자동으로 배포하려고 합니다. 이 프로세스 중에 Onboard는 Azure AD와 통신하여 클라이언트의 유효성을 검사해야 합니다. 즉, 구독자 1이 다운된 경우 클라이언트가 구독자 2에서 인증서를 받을 수 있어야 합니다.
Intune 관리자는 장치를 등록한 사용자의 UPN을 사용하여 UPN SAN을 포함하는 인증서 프로필을 만들려고 합니다.
# 클라이언트 인증을 위한 요구 사항
고객은 모든 유형의 클라이언트가 동일한 회사 SSID로 연결하고 인증해야 합니다.
회사는 CPPM이 이러한 인증 방법을 사용하기를 원합니다:
* Intune에 등록된 모바일 클라이언트에서 사용자를 인증하는 EAP-TLS
* Windows 도메인 컴퓨터 및 해당 컴퓨터의 사용자를 인증하는 내부 방법으로 EAP-TLS를 사용하는 TEAR 성공하려면 EAP-TLS(독립 실행형 또는 TEAP 방법) 클라이언트가 이러한 요구 사항을 충족해야 합니다:
그들의 인증서는 유효하며 취소되지 않았으며 OCSP에서 확인했습니다.
클라이언트의 사용자 이름이 AD의 계정과 일치합니다.
# 클라이언트를 역할에 할당하기 위한 요구 사항
인증 후 고객은 CPPM이 다음 규칙에 따라 클라이언트를 ClearPass 역할에 할당하기를 원합니다:
* Onboard에서 발급한 인증서가 있는 클라이언트에게는 "모바일 온보드" 역할이 할당됩니다.
* TEAP 방법 1을 통과한 클라이언트에는 "도메인-컴퓨터" 역할이 할당됩니다. AD 그룹 "의료"의 클라이언트에는 "의료-직원" 역할이 할당됩니다. AD 그룹 "수신"의 클라이언트에는 "수신-직원" 역할이 할당됩니다. 고객은 다음과 같이 인증된 클라이언트를 AOS 방화벽 역할에 할당하기 위해 CPPM을 요구합니다:
* 모바일 온보드 클라이언트의 의료진을 "의료-모바일" 방화벽 역할에 할당합니다.
* 다른 모바일 온보드 클라이언트를 "모바일-기타" 방화벽 역할에 할당하기
* 도메인 컴퓨터의 의료진을 '의료 도메인' 방화벽 역할에 할당하기
* 도메인 컴퓨터의 모든 접수 담당자를 "접수 도메인" 방화벽 역할로 전환합니다.
* "컴퓨터 전용" 방화벽 역할에 로그인한 유효한 사용자가 없는 모든 도메인 컴퓨터
* 다른 클라이언트의 액세스 거부
# 기타 요구 사항
ClearPass 서버와 온프레미스 AD 도메인 컨트롤러 간의 통신은 암호화해야 합니다.
# 네트워크 토폴로지
네트워크 인프라의 경우, 이 고객은 아루바 AP와 아루바 게이트웨이를 보유하고 있으며, Central에서 관리합니다. AP는 트래픽을 게이트웨이 클러스터로 터널링하는 터널링된 WLAN을 사용합니다. 또한 이 고객은 현재 Central에서 관리하지 않는 AOS-CX 스위치를 보유하고 있습니다.

# 클리어패스 클러스터 IP 주소 및 호스트 이름
고객의 클리어패스 클러스터에는 이러한 IP 주소가 있습니다:
* 게시자 = 10.47.47.5
* 구독자 1 = 10.47.47.6
* 구독자 2 = 10.47.47.7
* 가입자 1 및 가입자 2의 가상 IP = 10.47.47.8
고객의 DNS 서버에는 다음과 같은 항목이 있습니다.
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
무선 클라이언트에 대한 플로우 속성은 볼 수 없습니다.
무엇을 확인해야 하나요?

아루바 AP가 무선 클라이언트를 할당하는 역할에서 심층 패킷 검사가 활성화됩니다.

아루바 게이트웨이에서 방화벽 애플리케이션 가시성이 활성화되고 게이트웨이가 재부팅되었습니다.

아루바 게이트웨이에서 게이트웨이 IDS/IPS가 활성화되어 있고 게이트웨이가 재부팅되었습니다.

아루바 AP에서 심층 패킷 검사가 활성화되어 있고 AP가 재부팅되었습니다.

질문 36
시나리오를 참조하세요.
고객에게 아루바 클리어패스 클러스터가 있습니다. 고객이 CPPM(ClearPass Policy Manager)에 대한 802.1X 인증을 구현하는 AOS-CX 스위치를 보유하고 있습니다.
스위치가 로컬 포트 액세스 정책을 사용하고 있습니다.
고객이 사용자 인증을 아루바 게이트웨이 클러스터로만 전달하는 유선 클라이언트 터널링을 시작하려고 합니다. 게이트웨이 클러스터는 이러한 클라이언트를 "eth-internet" 역할에 할당해야 합니다. 또한 게이트웨이는 클라이언트를 VLAN 20에 할당하는 작업도 처리해야 합니다.
시행 정책 및 프로필에 대한 계획은 아래와 같습니다:

게이트웨이 클러스터에는 이러한 IP 주소를 가진 두 개의 게이트웨이가 있습니다:
* 게이트웨이 1
o VLAN 4085(시스템 IP) = 10.20.4.21
o VLAN 20(사용자) = 10.20.20.1
o VLAN 4094(WAN) = 198.51.100.14
* 게이트웨이 2
o VLAN 4085(시스템 IP) = 10.20.4.22
o VLAN 20(사용자) = 10.20.20.2
o VLAN 4094(WAN) = 198.51.100.12
* VLAN 20의 VRRP = 10.20.20.254
고객은 스위치와 게이트웨이 클러스터 사이의 터널에 고가용성을 요구합니다. 한 게이트웨이가 다운되면 다른 게이트웨이가 해당 터널을 이어받아야 합니다. 또한 게이트웨이 중 하나가 클러스터에 있는지 여부에 관계없이 스위치가 게이트웨이 클러스터를 검색할 수 있어야 합니다.
UBT 영역에 "myzone"이라는 이름을 사용한다고 가정합니다.
AOS-CX 포트 액세스 역할에 유효한 최소 구성은 무엇인가요?

포트 액세스 역할 eth-인터넷 게이트웨이-영역 영역 myzone 게이트웨이-역할 eth-사용자

포트 액세스 역할 인터넷 전용 게이트웨이-영역 영역 내 영역 게이트웨이-역할 eth-인터넷

포트 액세스 역할 eth-인터넷 게이트웨이-영역 영역 myzone 게이트웨이 역할 eth-인터넷 VLAN 액세스 20

포트 액세스 역할 인터넷 전용 게이트웨이-영역 영역 내 영역 게이트웨이 역할 eth-인터넷 VLAN 액세스 20

질문 37
시나리오를 참조하세요.
한 조직에서 RADIUS 서버(cp.acnsxtest.local)가 시간당 비정상적인 수의 클라이언트 인증 요청을 거부하는 경우 AOS-CX 스위치에서 경고를 트리거하기를 원합니다. 다른 아루바 관리자와 몇 차례 논의한 후에도 얼마나 많은 거부가 일반적인지 또는 비정상적인지 아직 확실하지 않습니다. 스위치마다 값이 다를 수 있다고 예상합니다.
개발자가 이 사용 사례에 대한 NAE 스크립트를 개발하는 방법을 이해하도록 돕고 있습니다.
개발자가 모니터에 적합한 URI를 찾도록 도와주는 것입니다.
전시회를 참조하세요.

REST API 참조 인터페이스를 사용하여 테스트 호출을 제출했습니다. 결과는 전시회에 표시됩니다.
개발자에게 어떤 URI를 제공해야 하나요?

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics?attributes=a

/rest/v1/system/vrfs/mgmt/radius/_servers/cp.acnsxtest.local/2083/tcp

/rest/v1/system/vrfs/mgmt/radius/servers/cp.acnsxtest.local/2083/tcp?attributes=authstatistics.access_rejec

질문 38
한 회사가 아루바 게이트웨이를 보유하고 있으며 게이트웨이 IDS/IPS 구현을 시작하려고 합니다. 고객이 실패 전략으로 차단을 선택했습니다.
이러한 가을철 전략으로 인해 발생하는 예기치 않은 중단을 최소화하기 위해 어떤 방법을 추천하시나요?

게이트웨이 위협 수 알림에 대해 상대적으로 높은 임계값 구성하기

게이트웨이가 클러스터를 형성하고 기본 게이트웨이 모드로 작동하는지 확인하기

IDS 또는 IPS 정책을 가장 제한이 적은 옵션인 허용으로 설정하기

게이트웨이 IPS 엔진 사용률 및 오류와 관련된 이벤트에 대한 경고 및 이메일 알림 활성화

설명
정답은 D. 게이트웨이 IPS 엔진 사용률 및 오류와 관련된 이벤트에 대한 경고 및 이메일 알림을 사용하도록 설정합니다.
게이트웨이 IDS/IPS는 아루바 게이트웨이가 사전 정의 또는 사용자 정의 규칙에 따라 악성 또는 원치 않는 트래픽을 모니터링하고 차단할 수 있는 기능입니다 1. 실패 전략은 IPS 엔진이 실패하거나 충돌할 때 게이트웨이가 트래픽을 처리하는 방법을 결정하는 설정입니다 2. 차단 옵션은 IPS 엔진이 복구될 때까지 게이트웨이가 트래픽 전달을 중지하는 것을 의미하며, 우회 옵션은 게이트웨이가 검사 없이 트래픽을 계속 전달한다는 것을 의미합니다 2.
차단 옵션은 보안을 강화하지만 IPS 엔진이 자주 또는 장시간 장애를 일으킬 경우 네트워크 중단 위험이 높아집니다 2. 이러한 위험을 최소화하려면 게이트웨이 IPS 엔진 사용률 및 오류와 관련된 이벤트에 대한 경고 및 이메일 알림을 사용하도록 설정하는 것이 좋습니다 3. 이렇게 하면 네트워크 관리자가 IPS 엔진의 문제를 파악하고 적절한 조치를 취하여 복원 또는 문제를 해결할 수 있습니다 3.
다른 옵션은 이 문제와 관련이 없거나 올바르지 않습니다:
게이트웨이 위협 횟수 경고에 대해 상대적으로 높은 임계값을 구성하면 차단 옵션 사용으로 인한 예기치 않은 중단을 최소화하는 데 도움이 되지 않으므로 옵션 A는 올바르지 않습니다. 게이트웨이 위협 횟수 알림은 IPS 엔진에서 탐지한 위협의 수를 네트워크 관리자에게 알리는 데 사용되지만 IPS 엔진이 실패할 때 게이트웨이가 트래픽을 처리하는 방식에는 영향을 미치지 않습니다 4.
게이트웨이가 클러스터를 형성하고 기본 게이트웨이 모드로 작동하는지 확인하면 차단 옵션 사용으로 인한 예기치 않은 중단을 최소화하는 데 도움이 되지 않으므로 옵션 B는 올바르지 않습니다.
게이트웨이 클러스터 모드는 게이트웨이에 고가용성 및 부하 분산을 제공하는 데 사용되지만 IPS 엔진 장애 시 게이트웨이가 트래픽을 처리하는 방식에는 영향을 미치지 않습니다. 기본 게이트웨이 모드는 게이트웨이에서 라우팅 및 NAT 기능을 사용하는 데 사용되지만 IPS 엔진이 실패할 때 게이트웨이가 트래픽을 처리하는 방법에는 영향을 주지 않습니다.
IDS 또는 IPS 정책을 가장 제한이 적은 옵션인 허용으로 설정하면 차단 옵션 사용으로 인한 예기치 않은 중단을 최소화하는 데 도움이 되지 않으므로 옵션 C는 올바르지 않습니다. IDS 또는 IPS 정책은 IPS 엔진이 트래픽을 검사하고 차단하기 위해 적용하는 규칙을 정의하는 데 사용되지만 IPS 엔진이 실패할 때 게이트웨이가 트래픽을 처리하는 방법에는 영향을 미치지 않습니다 2. 허용 옵션은 보통 또는 엄격 옵션보다 규칙 수가 적고 오래된 규칙을 포함하므로 보안 수준이 낮고 오탐률이 높습니다.

질문 39
시나리오를 참조하세요.
# 고객 소개
귀하는 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 아루바 클리어패스를 추가하는 것을 돕고 있습니다.
회사에는 현재 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.

이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 작업을 진행 중입니다.
고객은 현재 온-프레미스 AD를 유지 관리하고 있으며 Azure AD Connect를 사용하여 Azure AD와 동기화합니다.
# 모바일 클라이언트에 인증서를 발급하기 위한 요구 사항
이 회사는 ClearPass Onboard를 사용하여 Intune에 등록된 모바일 클라이언트에 인증서를 자동으로 배포하려고 합니다. 이 프로세스 중에 Onboard는 Azure AD와 통신하여 클라이언트의 유효성을 검사해야 합니다. 즉, 구독자 1이 다운된 경우 클라이언트가 구독자 2에서 인증서를 받을 수 있어야 합니다.
Intune 관리자는 장치를 등록한 사용자의 UPN을 사용하여 UPN SAN을 포함하는 인증서 프로필을 만들려고 합니다.
# 클라이언트 인증을 위한 요구 사항
고객은 모든 유형의 클라이언트가 동일한 회사 SSID로 연결하고 인증해야 합니다.
회사는 CPPM이 이러한 인증 방법을 사용하기를 원합니다:
Intune에 등록된 모바일 클라이언트에서 사용자를 인증하기 위한 EAP-TLS
Windows 도메인 컴퓨터 및 해당 컴퓨터의 사용자를 인증하는 내부 방법으로 EAP-TLS를 사용하는 TEAR가 성공하려면 EAP-TLS(독립형 또는 TEAP 방법) 클라이언트가 이러한 요구 사항을 충족해야 합니다:
그들의 인증서는 유효하며 취소되지 않았으며 OCSP에서 확인했습니다.
클라이언트의 사용자 이름이 AD의 계정과 일치합니다.
# 클라이언트를 역할에 할당하기 위한 요구 사항
인증 후 고객은 CPPM이 다음 규칙에 따라 클라이언트를 ClearPass 역할에 할당하기를 원합니다:
Onboard에서 발급한 인증서가 있는 클라이언트에는 "모바일-온보드" 역할이 할당됩니다. TEAP 방법 1을 통과한 클라이언트에는 "도메인-컴퓨터" 역할이 할당됩니다. AD 그룹 "의료"의 클라이언트에는 "의료-직원" 역할이 할당됩니다. AD 그룹 "수신"의 클라이언트에는 "수신-직원" 역할이 할당됩니다. 고객은 CPPM이 인증된 클라이언트를 다음과 같이 AOS 방화벽 역할에 할당하도록 요구합니다:
모바일로 접속한 클라이언트의 의료진을 "의료-모바일" 방화벽 역할에 할당 다른 모바일로 접속한 클라이언트를 "모바일-기타" 방화벽 역할에 할당 도메인 컴퓨터의 의료진을 "의료-도메인" 방화벽 역할에 할당 도메인 컴퓨터의 모든 접수 직원을 "접수 도메인" 역할에 할당 유효한 사용자가 로그인한 적이 없는 모든 도메인 컴퓨터는 "컴퓨터 전용" 방화벽 역할에 액세스 거부 다른 클라이언트 액세스를 거부합니다.
# 기타 요구 사항
ClearPass 서버와 온프레미스 AD 도메인 컨트롤러 간의 통신은 암호화해야 합니다.
# 네트워크 토폴로지
네트워크 인프라의 경우, 이 고객은 아루바 AP와 아루바 게이트웨이를 보유하고 있으며, Central에서 관리합니다. AP는 트래픽을 게이트웨이 클러스터로 터널링하는 터널링된 WLAN을 사용합니다. 또한 이 고객은 현재 Central에서 관리하지 않는 AOS-CX 스위치를 보유하고 있습니다.

# 클리어패스 클러스터 IP 주소 및 호스트 이름
고객의 클리어패스 클러스터에는 이러한 IP 주소가 있습니다:
게시자 = 10.47.47.5
구독자 1 = 10.47.47.6
구독자 2 = 10.47.47.7
가입자 1 및 가입자 2의 가상 IP = 10.47.47.8
고객의 DNS 서버에는 다음과 같은 항목이 있습니다.
cp.acnsxtest.com = 10.47.47.5
cps1.acnsxtest.com = 10.47.47.6
cps2.acnsxtest.com = 10.47.47.7
radius.acnsxtest.com = 10.47.47.8
onboard.acnsxtest.com = 10.47.47.8
고객이 사용자가 새 무선 클라이언트를 Intune에 등록할 수 있는 안전한 방법이 필요합니다. 사용자에게 등록을 위한 제한된 액세스를 제공할 새 WLAN을 추천합니다.
이 무선랜의 클라이언트를 위한 캡티브 포털을 장치 등록 지침이 있는 웹 페이지로 설정했습니다.
캡티브 포털 허용 목록에 여러 호스트 이름을 수동으로 추가해야 합니다.
호스트 이름 중 하나는 무엇인가요?

클리어패스 정책 관리자의 RADIUS 서비스에서 사용하는 호스트 이름입니다.

온보드 프로비저닝 프로필에 참조된 ClearPass 온보드 호스트 이름

Intune SCEP 프로필에서 참조되는 ClearPass 온보드 호스트 이름

온프레미스 도메인 컨트롤러에서 사용하는 호스트 이름입니다.

질문 40
개발자와 협력하여 고객을 위한 사용자 지정 NAE 스크립트를 설계하고 있습니다. NAE 에이전트는 ARP 검사가 VLAN에서 패킷을 삭제할 때 경고를 트리거해야 합니다. 고객은 관리자가 에이전트를 만들 때 에이전트가 모니터링할 올바른 VLAN ID를 선택할 수 있기를 원합니다.
개발자에게 무엇을 말해야 하나요?

NAE 에이전트 스크립트에서 모니터 URI를 정의할 때 이 변수 %{vlan-id}를 사용합니다.

모니터 URI를 정의할 때 해당 매개변수를 참조하여 VLAN ID 매개변수를 정의합니다.

관리자가 상담원을 만들 때 선택할 수 있는 여러 모니터를 스크립트 내에 만듭니다.

콜백 작업을 사용하여 관리자가 NAE 모니터링을 사용하도록 설정한 VLAN의 ID를 수집합니다.

질문 41
시나리오를 참조하세요.
고객이 아루바 AP 및 아루바 게이트웨이(사이트당 2개)와 함께 AOS 10 아키텍처를 사용하고 있습니다. 관리자가 기본 게이트웨이 모드를 비활성화한 상태에서 게이트웨이에 자동 사이트 클러스터링을 구현했습니다. WLAN은 게이트웨이에 터널링 모드를 사용합니다.
WLAN 보안은 아루바 클리어패스 정책 관리자(CPPM) 클러스터 VIP에 대한 인증을 사용하는 WPA3-엔터프라이즈입니다. RADIUS 통신은 RadSec이 아닌 RADIUS를 사용합니다.
CPPM은 전시회에 표시된 서비스를 사용하고 있습니다.

게이트웨이 장애 조치 이벤트 발생 시 운영을 개선하기 위해 취할 수 있는 단계는 무엇인가요?

여러 개의 쿼트웨이브 클러스터를 선택할 수 있도록 WLAN을 혼합 모드 포워딩으로 전환하세요.

쿼트웨이브 클러스터를 수동으로 설정하고 동적 인증을 위해 VRRP IP 주소를 설정합니다.

게이트웨이에 자동 사이트 클러스터링 대신 자동 그룹 클러스터링을 사용하세요.

게이트웨이 클러스터에 대해 기본 게이트웨이 모드를 사용 설정합니다.

질문 42
시나리오를 참조하세요.
고객에게 아루바 클리어패스 클러스터가 있습니다. 고객이 CPPM(ClearPass Policy Manager)에 대한 802.1X 인증을 구현하는 AOS-CX 스위치를 보유하고 있습니다.
스위치가 로컬 포트 액세스 정책을 사용하고 있습니다.
고객이 사용자 인증을 아루바 게이트웨이 클러스터로만 전달하는 유선 클라이언트 터널링을 시작하려고 합니다. 게이트웨이 클러스터는 이러한 클라이언트를 "eth-internet" 역할에 할당해야 합니다. 또한 게이트웨이는 클라이언트를 VLAN 20에 할당하는 작업도 처리해야 합니다.
시행 정책 및 프로필에 대한 계획은 아래와 같습니다:

게이트웨이 클러스터에는 이러한 IP 주소를 가진 두 개의 게이트웨이가 있습니다:
* 게이트웨이 1
o VLAN 4085(시스템 IP) = 10.20.4.21
o VLAN 20(사용자) = 10.20.20.1
o VLAN 4094(WAN) = 198.51.100.14
* 게이트웨이 2
o VLAN 4085(시스템 IP) = 10.20.4.22
o VLAN 20(사용자) = 10.20.20.2
o VLAN 4094(WAN) = 198.51.100.12
* VLAN 20의 VRRP = 10.20.20.254
고객은 스위치와 게이트웨이 클러스터 사이의 터널에 고가용성을 요구합니다. 한 게이트웨이가 다운되면 다른 게이트웨이가 해당 터널을 이어받아야 합니다. 또한 게이트웨이 중 하나가 클러스터에 있는지 여부에 관계없이 스위치가 게이트웨이 클러스터를 검색할 수 있어야 합니다.
솔루션에서 변경해야 할 한 가지 사항은 무엇인가요?

ubt-client-vlan을 VLAN 13으로 변경합니다.

VLAN 트렁크 모드에서 엣지 포트를 구성합니다.

게이트웨이의 역할 구성에서 VLAN 할당을 제거합니다.

VLAN 확장 모드를 사용하도록 UBT 솔루션을 구성합니다.

질문 43
독립형 아루바 모빌리티 컨트롤러(MC)에 인증서를 설치해야 합니다. MC는 웹 UI에 인증서를 사용해야 하며, 아루바 클리어패스 정책 관리자와 함께 RadSec을 구현해야 합니다. 이러한 설정이 포함된 인증서가 제공됩니다:
Subject: CN=mc41.site94.example.com
* SAN 없음
* 발급자: CN=ca41.example.com
EKU: 서버 인증, 클라이언트 인증
이 인증서의 사용 목적에 대해 어떤 문제가 있나요?

충돌하는 EKU가 있습니다.

사설 CA에서 발급합니다.

DC 필드 대신 CN 필드에 도메인 정보를 지정합니다.

DNS SAN이 없습니다.

질문 44
개발자와 협력하여 고객을 위한 사용자 지정 NAE 스크립트를 디자인하고 있습니다. 개발자가 모니터링할 올바른 REST API 리소스를 찾도록 돕고 있습니다.
아래 전시회를 참조하세요.

계속 진행하기 전에 무엇을 해야 하나요?

v10.10 인터페이스 대신 v1 API 문서 인터페이스로 이동합니다.

아루바 패스포트 계정을 사용하여 API 호출을 시도할 때 사용할 토큰을 수집하세요.

스위치가 기본 VRF에서 REST API 호출을 수신하도록 설정합니다.

브라우저가 인증 토큰과 쿠키를 저장하도록 설정되어 있는지 확인하세요.

질문 45
고객을 위해 Aruba ClearPass Policy Manager(CPPM) 솔루션을 설계하고 있습니다. 고객이 캠퍼스와 데이터센터의 클라이언트 간 트래픽을 필터링하는 팔로알토 방화벽을 보유하고 있다는 사실을 알게 됩니다.
어떤 통합을 제안할 수 있나요?

방화벽에서 CPPM으로 시스템 로그를 전송하여 잘못 동작하는 클라이언트에 대한 인증 상태를 변경하도록 CPPM에 알립니다.

클라이언트의 MAC 주소를 가져와서 알려진 클라이언트를 MAC 인증에 더 빠르게 구성하기

캠퍼스 엣지와 데이터센터 DMZ 모두에 이중 인증 레이어 구축

방화벽의 규칙을 가져와서 AOS-CX 스위치에 다운로드 가능한 사용자 역할을 더 빠르게 프로그래밍하기

질문 46
시나리오를 참조하세요.
# 고객 소개
귀하는 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 아루바 클리어패스를 추가하는 것을 돕고 있습니다.
회사에는 현재 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.

이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 작업을 진행 중입니다.
고객은 현재 온-프레미스 AD를 유지 관리하고 있으며 Azure AD Connect를 사용하여 Azure AD와 동기화합니다.
# 모바일 클라이언트에 인증서를 발급하기 위한 요구 사항
이 회사는 ClearPass Onboard를 사용하여 Intune에 등록된 모바일 클라이언트에 인증서를 자동으로 배포하려고 합니다. 이 프로세스 중에 Onboard는 Azure AD와 통신하여 클라이언트의 유효성을 검사해야 합니다. 즉, 구독자 1이 다운된 경우 클라이언트가 구독자 2에서 인증서를 받을 수 있어야 합니다.
Intune 관리자는 장치를 등록한 사용자의 UPN을 사용하여 UPN SAN을 포함하는 인증서 프로필을 만들려고 합니다.
# 클라이언트 인증을 위한 요구 사항
고객은 모든 유형의 클라이언트가 동일한 회사 SSID로 연결하고 인증해야 합니다.
회사는 CPPM이 이러한 인증 방법을 사용하기를 원합니다:
* Intune에 등록된 모바일 클라이언트에서 사용자를 인증하는 EAP-TLS
* Windows 도메인 컴퓨터 및 해당 컴퓨터의 사용자를 인증하는 내부 방법으로 EAP-TLS를 사용하는 TEAR 성공하려면 EAP-TLS(독립 실행형 또는 TEAP 방법) 클라이언트가 이러한 요구 사항을 충족해야 합니다:
그들의 인증서는 유효하며 취소되지 않았으며 OCSP에서 확인했습니다.
클라이언트의 사용자 이름이 AD의 계정과 일치합니다.
# 클라이언트를 역할에 할당하기 위한 요구 사항
인증 후 고객은 CPPM이 다음 규칙에 따라 클라이언트를 ClearPass 역할에 할당하기를 원합니다:
* Onboard에서 발급한 인증서가 있는 클라이언트에게는 "모바일 온보드" 역할이 할당됩니다.
* TEAP 방법 1을 통과한 클라이언트에는 "도메인-컴퓨터" 역할이 할당됩니다. AD 그룹 "의료"의 클라이언트에는 "의료-직원" 역할이 할당됩니다. AD 그룹 "수신"의 클라이언트에는 "수신-직원" 역할이 할당됩니다. 고객은 다음과 같이 인증된 클라이언트를 AOS 방화벽 역할에 할당하기 위해 CPPM을 요구합니다:
* 모바일 온보드 클라이언트의 의료진을 "의료-모바일" 방화벽 역할에 할당합니다.
* 다른 모바일 온보드 클라이언트를 "모바일-기타" 방화벽 역할에 할당하기
* 도메인 컴퓨터의 의료진을 '의료 도메인' 방화벽 역할에 할당하기
* 도메인 컴퓨터의 모든 접수 담당자를 "접수 도메인" 방화벽 역할로 전환합니다.
* "컴퓨터 전용" 방화벽 역할에 로그인한 유효한 사용자가 없는 모든 도메인 컴퓨터
* 다른 클라이언트의 액세스 거부
# 기타 요구 사항
ClearPass 서버와 온프레미스 AD 도메인 컨트롤러 간의 통신은 암호화해야 합니다.
# 네트워크 토폴로지
네트워크 인프라의 경우, 이 고객은 아루바 AP와 아루바 게이트웨이를 보유하고 있으며, Central에서 관리합니다. AP는 트래픽을 게이트웨이 클러스터로 터널링하는 터널링된 WLAN을 사용합니다. 또한 이 고객은 현재 Central에서 관리하지 않는 AOS-CX 스위치를 보유하고 있습니다.

# 클리어패스 클러스터 IP 주소 및 호스트 이름
고객의 클리어패스 클러스터에는 이러한 IP 주소가 있습니다:
* 게시자 = 10.47.47.5
* 구독자 1 = 10.47.47.6
* 구독자 2 = 10.47.47.7
* 가입자 1 및 가입자 2의 가상 IP = 10.47.47.8
고객의 DNS 서버에는 다음과 같은 항목이 있습니다.
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
Windows CA의 루트 인증서를 ClearPass CA 신뢰 목록으로 가져왔습니다.
시나리오 요구 사항에 따라 어떤 용도를 추가해야 하나요?

EAP 및 AD/LDAP 서버

LDAP 및 아루바 인프라

Radsec 및 아루바 인프라

EAP 및 Radsec

질문 47
시나리오를 참조하세요.
이 고객은 AOS-CX 스위치에서 802.1X를 아루바 클리어패스 정책 관리자(CPPM)로 적용하고 있습니다. 고객은 스위치가 CPPM에서 역할 설정을 다운로드하기를 원합니다. "수신 도메인" 역할에는 이러한 설정이 있어야 합니다:
- 스위치 1의 VLAN 14에 클라이언트를 할당하고 스위치 2의 VLAN 24에 클라이언트를 할당하는 식입니다.
- 다음과 같이 클라이언트 트래픽을 필터링합니다:
- 클라이언트는 10.1.5.0/24 및 인터넷에 대한 전체 액세스 권한이 허용됩니다.
- 클라이언트는 10.1.0.0/16에 대한 액세스가 거부됩니다.
스위치 토폴로지가 여기에 나와 있습니다:

수신 역할에 대한 VLAN 설정은 어떻게 구성해야 하나요?

각 액세스 계층 스위치의 VLAN 14, 24 또는 34에 일관된 이름을 할당하고 적용 프로파일 VLAN 설정에서 해당 이름을 참조하세요.

적용 프로필을 다운로드 가능한 역할로 구성하되, 역할 이름만 지정하고 VLAN은 정의하지 않은 상태로 둡니다. 그런 다음 각 개별 액세스 레이어 스위치에서 올바른 VLAN 설정으로 '수신' 역할을 정의합니다.

액세스 레이어 스위치에 숫자 기반 ID를 할당합니다. 그런 다음 이 변수를 적용 프로파일 VLAN 설정에서 사용합니다: 1T3PT(NAS-ID]4.

각 스위치마다 다른 VLAN ID를 사용하여 별도의 적용 프로필을 만듭니다. 적절한 적용 정책 규칙의 프로필 목록에 모든 프로필을 추가합니다.

질문 48
시나리오를 참조하세요.
고객은 아루바 모빌리티 컨트롤러(MC)에서 "의료-모바일" AOS 방화벽 역할을 하는 클라이언트에 대해 이러한 권한이 필요합니다:
DHCP로 IP 주소 수신 허용
10.8.9.7 및 다른 서버에서 DNS 서비스에 대한 액세스 허용됨
10.1.0.0/16 범위의 모든 서브넷에 대한 액세스 허용 10.1.12.0/22에 대한 액세스 거부를 제외한 나머지 10.0.0.0/8 서브넷에 대한 액세스 거부 인터넷 액세스 허용 SSH 트래픽을 보내는 경우 일정 기간 동안 WLAN 액세스 거부 텔넷 트래픽을 보내는 경우 일정 기간 동안 WLAN 액세스 거부 모든 고위험 웹사이트에 액세스 거부 외부 디바이스는 "의료-모바일" 클라이언트와 세션을 시작하도록 허용하지 않고 반환 트래픽만 보내야 합니다.
아래 예시에서는 역할에 대한 구성을 보여줍니다.

구성에 여러 가지 문제가 있습니다.
시나리오 요구 사항을 충족하기 위해 정책에서 변경해야 하는 사항 중 하나는 무엇인가요? (옵션에서 정책의 규칙은 위에서 아래로 참조됩니다. 예를 들어, "의료-모바일" 규칙 1은 "ipv4 any any svc-dhcp 허용"이고 규칙 8은 "ipv4 any any any 허용"입니다.)

"의료-모바일" 정책에서 규칙 1의 출처를 "사용자"로 변경합니다.

'의료-모바일' 정책에서 규칙 3의 서브넷 마스크를 255.255.248.0으로 변경합니다.

'의료-모바일' 정책에서 규칙 6과 7을 목록 맨 위로 이동합니다.

"apprf-medical-mobile-sacl" 정책의 규칙을 "medical-mobile" 정책의 규칙 7과 8 사이로 이동합니다.

질문 49
시나리오를 참조하세요.
고객이 온-프레미스 AD에서 유일한 도메인 솔루션으로 Azure AD로 마이그레이션하고 있습니다. 또한 이 고객은 Microsoft Endpoint Manager(Intune)를 사용하여 유선 및 무선 디바이스를 모두 관리합니다.
고객이 네트워크 엣지의 보안을 개선하고자 합니다. 귀사는 고객이 이러한 목적을 위해 ClearPass 구축을 설계하도록 돕고 있습니다. 아루바 네트워크 장치는 무선 및 유선 클라이언트를 아루바 클리어패스 정책 관리자(CPPM) 클러스터(버전 6.10 사용)에 인증합니다.
고객에게는 인증에 대한 몇 가지 요구 사항이 있습니다. 클라이언트는 Azure AD에 대한 쿼리에서 Azure AD에 계정이 있는 것으로 표시되는 경우에만 EAP-TLS 인증을 통과해야 합니다. 클라이언트의 권한을 더욱 세분화하기 위해 ClearPass는 Intune에서 수집한 정보를 사용하여 액세스 제어 결정을 내려야 합니다.
802.1X 서비스에서 Azure AD를 인증 원본으로 사용할 계획입니다.
고객이 반드시 이해해야 하는 사항은 무엇인가요?

CPPM의 FQDN을 참조하는 Azure AD의 앱 등록

Windows 365 구독

CPPM의 RADIUS 인증서를 Azure AD 디렉터리에서 신뢰할 수 있는 것으로 가져왔습니다.

Azure AD 도메인 서비스

질문 50
시나리오를 참조하세요.
고객에게 아루바 클리어패스 클러스터가 있습니다. 고객이 CPPM(ClearPass Policy Manager)에 대한 802.1X 인증을 구현하는 AOS-CX 스위치를 보유하고 있습니다.
스위치가 로컬 포트 액세스 정책을 사용하고 있습니다.
고객이 사용자 인증을 아루바 게이트웨이 클러스터로만 전달하는 유선 클라이언트 터널링을 시작하려고 합니다. 게이트웨이 클러스터는 이러한 클라이언트를 "eth-internet" 역할에 할당해야 합니다. 또한 게이트웨이는 클라이언트를 VLAN 20에 할당하는 작업도 처리해야 합니다.
시행 정책 및 프로필에 대한 계획은 아래와 같습니다:

게이트웨이 클러스터에는 이러한 IP 주소를 가진 두 개의 게이트웨이가 있습니다:
* 게이트웨이 1
o VLAN 4085(시스템 IP) = 10.20.4.21
o VLAN 20(사용자) = 10.20.20.1
o VLAN 4094(WAN) = 198.51.100.14
* 게이트웨이 2
o VLAN 4085(시스템 IP) = 10.20.4.22
o VLAN 20(사용자) = 10.20.20.2
o VLAN 4094(WAN) = 198.51.100.12
* VLAN 20의 VRRP = 10.20.20.254
고객은 스위치와 게이트웨이 클러스터 사이의 터널에 고가용성을 요구합니다. 한 게이트웨이가 다운되면 다른 게이트웨이가 해당 터널을 이어받아야 합니다. 또한 게이트웨이 중 하나가 클러스터에 있는지 여부에 관계없이 스위치가 게이트웨이 클러스터를 검색할 수 있어야 합니다.
UBT 영역에 "myzone"이라는 이름을 사용한다고 가정합니다.
AOS-CX 포트 액세스 역할에 유효한 최소 구성은 무엇인가요?

포트 액세스 역할 eth-인터넷 게이트웨이-영역 영역 myzone 게이트웨이-역할 eth-사용자

포트 액세스 역할 인터넷 전용 게이트웨이-영역 영역 내 영역 게이트웨이-역할 eth-인터넷

포트 액세스 역할 eth-인터넷 게이트웨이-영역 영역 myzone 게이트웨이 역할 eth-인터넷 VLAN 액세스 20

포트 액세스 역할 인터넷 전용 게이트웨이-영역 영역 내 영역 게이트웨이 역할 eth-인터넷 VLAN 액세스 20

질문 51
시나리오를 참조하세요.
고객은 아루바 모빌리티 컨트롤러(MC)에서 "의료-모바일" AOS 방화벽 역할을 하는 클라이언트에 대해 이러한 권한이 필요합니다:
* DHCP로 IP 주소 수신 허용
* 10.8.9.7 및 다른 서버에서 DNS 서비스에 대한 액세스가 허용됨
* 10.1.0.0/16 범위의 모든 서브넷에 대한 액세스 허용 10.1.12.0/22에 대한 액세스 거부를 제외한 다른 10.0.0.0/8 서브넷에 대한 액세스 거부
* 인터넷에 대한 허용된 액세스
SSH 트래픽을 전송하는 경우 일정 기간 동안 WLAN 액세스 거부 Telnet 트래픽을 전송하는 경우 일정 기간 동안 WLAN 액세스 거부 모든 고위험 웹사이트에 대한 액세스 거부 외부 장치는 "의료용 모바일" 클라이언트와 세션을 시작하도록 허용해서는 안 되며 리턴 트래픽만 전송해야 합니다.
아래 예시에서는 역할에 대한 구성을 보여줍니다.

시나리오의 요구 사항이 충족되었는지 확인하기 위해 전시회에 표시되지 않은 어떤 설정을 확인해야 하나요?

해당 거부 목록은 MC의 방화벽에서 전 세계적으로 활성화됩니다.

이러한 상태 저장 트래픽 처리는 MC의 방화벽과 의료 모바일 역할에서 전 세계적으로 활성화됩니다.

전 세계적으로 의료 모바일 역할에서 AppRF 및 WebCC를 사용할 수 있습니다.

MC에게 RF Protect 라이선스가 할당되었는지 확인합니다.

질문 52
한 회사에는 10.47.47.8, FQDN radius.acnsxtest.local에 아루바 클리어패스 서버가 있습니다. 이 예시에서는 아루바 모빌리티 컨트롤러(MC)에 대한 ClearPass 정책 관리자(CPPM)의 설정을 보여줍니다.

MC는 이미 CPPM에 대한 RADIUS 인증 설정으로 구성되어 있고 MC와 CPPM 간의 RADIUS 요청이 작동 중입니다. 네트워크 관리자가 이 명령을 입력하고 커밋하여 MC에서 동적 인증을 사용하도록 설정합니다:
AAA RFC-3576-SERVER 10.47.47.8
그러나 CPPM이 MC에 CoA 요청을 보내면 작동하지 않습니다. 이 표는 MC의 RFC 3576 서버 통계를 보여줍니다:

이 문제를 어떻게 해결할 수 있나요?

MC의 RFC 3576 서버 구성에서 UDP 포트를 3799로 변경합니다.

MC의 RFC 3676 서버 구성에서 RadSec을 활성화합니다.

유효한 NTP 서버에서 시간을 가져오도록 MC를 구성합니다.

CPPM이 ArubaOS Wireless RADIUS CoA 적용 프로필을 사용하고 있는지 확인하세요.

질문 53
시나리오를 참조하세요.
한 병원에는 아루바 센트럴에서 관리하는 AOS10 아키텍처가 있습니다. 이 고객은 각 클리닉에 보안 라이선스가 있는 한 쌍의 아루바 9000 시리즈 게이트웨이를 구축했습니다. 이 게이트웨이는 IDS 모드에서 IDS/IPS를 구현합니다.
보안 대시보드에는 아래와 같이 동일한 서명을 가진 여러 개의 최근 이벤트가 표시됩니다:

어떤 단계를 통해 인시던트에 대한 중요한 컨텍스트를 얻을 수 있나요?