问题 33
请参考情景。
某客户拥有一个 Aruba ClearPass 集群。客户的 AOS-CX 交换机为 ClearPass Policy Manager (CPPM) 实施了 802.1X 身份验证。
交换机使用本地端口访问策略。
客户希望开始将仅通过用户身份验证的有线客户端隧道传输到 Aruba 网关群集。网关集群应将这些客户分配到 "eth-internet "角色。网关还应将客户分配到他们的 VLAN，即 VLAN 20。
执行政策和概况计划如下：

网关集群有两个网关，其 IP 地址都是这些：
* 网关 1
o VLAN 4085（系统 IP）= 10.20.4.21
o VLAN 20（用户）= 10.20.20.1
o VLAN 4094（WAN）= 198.51.100.14
* 网关 2
o VLAN 4085（系统 IP）= 10.20.4.22
o VLAN 20（用户）= 10.20.20.2
o VLAN 4094（WAN）= 198.51.100.12
* VLAN 20 上的 VRRP = 10.20.20.254
客户要求交换机和网关集群之间的隧道具有高可用性。如果一个网关掉线，另一个网关应接管其隧道。此外，无论网关集群中是否有网关，交换机都应能发现网关集群。
您正在 AOS-CX 交换机上设置 UBT 区域。
应在区域中定义哪些 IP 地址？

问题 34
您正在设置 Aruba ClearPass Policy Manager (CPPM)，以便使用 Active Directory 作为身份验证源执行 EAP-TLS 身份验证。公司希望防止已禁用账户的用户进行连接，即使这些用户仍然拥有有效证书。
作为满足这些标准的第一部分，应该如何启用 CPPM 来确定在 AD 中是否启用了账户？

问题 35
请参考情景。
# 客户介绍
您正在帮助一家公司将 Aruba ClearPass 添加到其使用 Aruba 网络基础架构设备的网络中。
公司目前有一个 Windows 域和 Windows CA。Windows CA 向域计算机、域用户和服务器（如域控制器）签发证书。下面是 Windows CA 签发证书的示例。


该公司正在添加 Microsoft Endpoint Manager (Intune) 来管理其移动客户端。
客户目前正在维护内部 AD，并使用 Azure AD Connect 与 Azure AD 同步。
# 向移动客户端发放证书的要求
公司希望使用 ClearPass Onboard 将证书自动部署到 Intune 注册的移动客户端。在此过程中，Onboard 应与 Azure AD 通信，以验证客户端。这种情况下还应提供高可用性；换句话说，如果用户 1 出现故障，客户应能从用户 2 处获得证书。
Intune 管理员打算创建包含 UPN SAN 的证书配置文件，其中包含注册设备的用户的 UPN。
# 验证客户端的要求
客户要求所有类型的客户端在同一个企业 SSID 上进行连接和验证。
公司希望 CPPM 使用这些验证方法：
* 通过 EAP-TLS 对在 Intune 中注册的移动客户端上的用户进行身份验证
* 要取得成功，EAP-TLS（独立或作为 TEAP 方法）客户端必须满足这些要求：
经 OCSP 验证，其证书有效且未被撤销
客户的用户名与 AD 中的帐户匹配
# 为客户分配角色的要求
身份验证后，客户希望 CPPM 根据以下规则为客户分配 ClearPass 角色：
* 拥有 Onboard 签发的证书的客户端将被分配 "移动上机 "角色
* 通过 TEAP 方法 1 的客户被分配为 "域计算机 "角色 AD 组 "医疗 "中的客户被分配为 "医务人员 "角色 AD 组 "接待 "中的客户被分配为 "接待人员 "角色 客户要求 CPPM 将通过身份验证的客户分配为 AOS 防火墙角色，具体如下：
* 为移动客户的医务人员分配 "医疗移动 "防火墙角色
* 将其他已登录的移动客户端指定为 "移动-其他 "防火墙角色
* 将域计算机上的医务人员指定为 "医疗域 "防火墙角色
* 将域计算机上的所有接待人员设置为 "reception-domain "防火墙角色
* 没有有效用户登录 "仅计算机 "防火墙角色的所有域计算机
* 拒绝其他客户访问
# 其他要求
ClearPass 服务器与内部 AD 域控制器之间的通信必须加密。
# 网络拓扑结构
在网络基础设施方面，该客户拥有由 Central 管理的 Aruba 接入点和 Aruba 网关。AP 使用隧道式 WLAN，将流量以隧道方式传输到网关集群。该客户还拥有 AOS-CX 交换机，但目前不受 Central 管理。

# ClearPass 集群 IP 地址和主机名
客户的 ClearPass 集群拥有这些 IP 地址：
* 发布者 = 10.47.47.5
* 用户 1 = 10.47.47.6
* 用户 2 = 10.47.47.7
* 用户 1 和用户 2 的虚拟 IP = 10.47.47.8
客户的 DNS 服务器有以下条目
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
无法查看无线客户端的流量属性。
你应该检查什么？

问题 36
请参考情景。
某客户拥有一个 Aruba ClearPass 集群。客户的 AOS-CX 交换机为 ClearPass Policy Manager (CPPM) 实施了 802.1X 身份验证。
交换机使用本地端口访问策略。
客户希望开始将仅通过用户身份验证的有线客户端隧道传输到 Aruba 网关群集。网关集群应将这些客户分配到 "eth-internet "角色。网关还应将客户分配到他们的 VLAN，即 VLAN 20。
执行政策和概况计划如下：

网关集群有两个网关，其 IP 地址都是这些：
* 网关 1
o VLAN 4085（系统 IP）= 10.20.4.21
o VLAN 20（用户）= 10.20.20.1
o VLAN 4094（WAN）= 198.51.100.14
* 网关 2
o VLAN 4085（系统 IP）= 10.20.4.22
o VLAN 20（用户）= 10.20.20.2
o VLAN 4094（WAN）= 198.51.100.12
* VLAN 20 上的 VRRP = 10.20.20.254
客户要求交换机和网关集群之间的隧道具有高可用性。如果一个网关掉线，另一个网关应接管其隧道。此外，无论网关集群中是否有网关，交换机都应能发现网关集群。
假设您使用 "myzone "作为 UBT 区域的名称。
哪个是 AOS-CX 端口访问角色的有效最小配置？

问题 37
请参考情景。
某机构希望 AOS-CX 交换机在其 RADIUS 服务器 (cp.acnsxtest.local) 每小时拒绝的客户端身份验证请求数量异常时触发警报。在与其他 Aruba 管理员讨论后，您仍然不确定拒绝的次数是正常还是异常。您预计每台交换机上的数值都可能不同。
您要帮助开发人员了解如何针对这种使用情况开发 NAE 脚本。
您正在帮助开发人员为监视器找到正确的 URI。
请参阅展品。

您使用 REST API 参考接口提交了一个测试调用。测试结果如图所示。
您应该向开发人员提供哪个 URI？

问题 38
某公司拥有 Aruba 网关，并希望开始实施网关 IDS/IPS。客户选择了 "阻止 "作为失败策略。
您有什么建议可以帮助最大限度地减少因使用这种特殊的秋季策略而造成的意外停电？

问题 39
请参考情景。
# 客户介绍
您正在帮助一家公司将 Aruba ClearPass 添加到其使用 Aruba 网络基础架构设备的网络中。
公司目前有一个 Windows 域和 Windows CA。Windows CA 向域计算机、域用户和服务器（如域控制器）签发证书。下面是 Windows CA 签发证书的示例。


该公司正在添加 Microsoft Endpoint Manager (Intune) 来管理其移动客户端。
客户目前正在维护内部 AD，并使用 Azure AD Connect 与 Azure AD 同步。
# 向移动客户端发放证书的要求
公司希望使用 ClearPass Onboard 将证书自动部署到 Intune 注册的移动客户端。在此过程中，Onboard 应与 Azure AD 通信，以验证客户端。这种情况下还应提供高可用性；换句话说，如果用户 1 出现故障，客户应能从用户 2 处获得证书。
Intune 管理员打算创建包含 UPN SAN 的证书配置文件，其中包含注册设备的用户的 UPN。
# 验证客户端的要求
客户要求所有类型的客户端在同一个企业 SSID 上进行连接和验证。
公司希望 CPPM 使用这些验证方法：
通过 EAP-TLS 对在 Intune 中注册的移动客户端上的用户进行身份验证
要取得成功，EAP-TLS（独立或作为 TEAP 方法）客户端必须满足这些要求：
经 OCSP 验证，其证书有效且未被撤销
客户的用户名与 AD 中的帐户匹配
# 为客户分配角色的要求
身份验证后，客户希望 CPPM 根据以下规则为客户分配 ClearPass 角色：
具有 Onboard 颁发的证书的客户被分配为 "mobile-onboarded "角色 通过 TEAP 方法 1 的客户被分配为 "domain-computer "角色 AD 组 "Medical "中的客户被分配为 "medical-staff "角色 AD 组 "Reception "中的客户被分配为 "reception-staff "角色 客户要求 CPPM 将通过身份验证的客户分配为 AOS 防火墙角色，具体如下：
将移动客户上的医务人员分配到 "医疗-移动 "防火墙角色 将其他移动客户分配到 "移动-其他 "防火墙角色 将域计算机上的医务人员分配到 "医疗-域 "防火墙角色 将域计算机上的所有接待人员分配到 "接待-域 "防火墙角色 将没有有效用户登录的所有域计算机分配到 "仅计算机 "防火墙角色 拒绝其他客户访问
# 其他要求
ClearPass 服务器与内部 AD 域控制器之间的通信必须加密。
# 网络拓扑结构
在网络基础设施方面，该客户拥有由 Central 管理的 Aruba 接入点和 Aruba 网关。AP 使用隧道式 WLAN，将流量以隧道方式传输到网关集群。该客户还拥有 AOS-CX 交换机，但目前不受 Central 管理。

# ClearPass 集群 IP 地址和主机名
客户的 ClearPass 集群拥有这些 IP 地址：
发布者 = 10.47.47.5
用户 1 = 10.47.47.6
用户 2 = 10.47.47.7
用户 1 和用户 2 的虚拟 IP = 10.47.47.8
客户的 DNS 服务器有以下条目
cp.acnsxtest.com = 10.47.47.5
cps1.acnsxtest.com = 10.47.47.6
cps2.acnsxtest.com = 10.47.47.7
radius.acnsxtest.com = 10.47.47.8
onboard.acnsxtest.com = 10.47.47.8
客户需要一种安全的方式让用户在 Intune 中注册他们的新无线客户端。您建议使用一个新的 WLAN，为用户提供有限的注册访问权限。
您已为该 WLAN 上的客户机设置了捕获式门户，使其可以访问包含设备注册说明的网页。
您需要手动将多个主机名添加到专属门户允许列表中。
其中一个主机名是什么？

问题 40
您正在与一名开发人员合作，为客户设计一个定制的NAE脚本。当ARP检查丢弃某个VLAN上的数据包时，NAE代理应触发警报。客户希望管理员在创建代理时，能为代理选择正确的VLAN ID进行监控。
您应该告诉开发人员怎么做？

问题 41
请参考情景。
某客户使用带有 Aruba 接入点和 Aruba 网关（每个站点两个）的 AOS 10 架构。管理员为网关实施了自动站点群集，并禁用了默认网关模式。WLAN 使用隧道模式连接到网关。
WLAN 安全性为 WPA3-Enterprise，通过 Aruba ClearPass Policy Manager (CPPM) 群组 VIP 进行验证。RADIUS 通信使用 RADIUS，而不是 RadSec。
CPPM 正在使用展品中所示的服务。

在可能发生网关故障切换事件时，您可以采取哪种措施来改善运行？

问题 42
请参考情景。
某客户拥有一个 Aruba ClearPass 集群。客户的 AOS-CX 交换机为 ClearPass Policy Manager (CPPM) 实施了 802.1X 身份验证。
交换机使用本地端口访问策略。
客户希望开始将仅通过用户身份验证的有线客户端隧道传输到 Aruba 网关群集。网关集群应将这些客户分配到 "eth-internet "角色。网关还应将客户分配到他们的 VLAN，即 VLAN 20。
执行政策和概况计划如下：

网关集群有两个网关，其 IP 地址都是这些：
* 网关 1
o VLAN 4085（系统 IP）= 10.20.4.21
o VLAN 20（用户）= 10.20.20.1
o VLAN 4094（WAN）= 198.51.100.14
* 网关 2
o VLAN 4085（系统 IP）= 10.20.4.22
o VLAN 20（用户）= 10.20.20.2
o VLAN 4094（WAN）= 198.51.100.12
* VLAN 20 上的 VRRP = 10.20.20.254
客户要求交换机和网关集群之间的隧道具有高可用性。如果一个网关掉线，另一个网关应接管其隧道。此外，无论网关集群中是否有网关，交换机都应能发现网关集群。
您应该对解决方案做出哪些修改？

问题 43
您需要在独立的 Aruba 移动控制器 (MC) 上安装证书。MC 需要将证书用于 Web UI 和使用 Aruba ClearPass Policy Manager 实施 RadSec。您已获得具有以下设置的证书：
主题CN=mc41.site94.example.com
* 没有 SAN
* 发行者：CN=ca41.example.com
EKUs：服务器验证、客户端验证
该证书的目的是什么？

问题 44
您正在与一名开发人员合作，为客户设计一个自定义 NAE 脚本。您正在帮助开发人员找到要监控的正确 REST API 资源。
请参阅下面的展品。

在继续之前，您应该做些什么？

问题 45
您正在为客户设计 Aruba ClearPass Policy Manager (CPPM) 解决方案。您了解到该客户拥有 Palo Alto 防火墙，可过滤园区客户与数据中心之间的流量。
您建议采用哪种集成方式？

问题 46
请参考情景。
# 客户介绍
您正在帮助一家公司将 Aruba ClearPass 添加到其使用 Aruba 网络基础架构设备的网络中。
公司目前有一个 Windows 域和 Windows CA。Windows CA 向域计算机、域用户和服务器（如域控制器）签发证书。下面是 Windows CA 签发证书的示例。


该公司正在添加 Microsoft Endpoint Manager (Intune) 来管理其移动客户端。
客户目前正在维护内部 AD，并使用 Azure AD Connect 与 Azure AD 同步。
# 向移动客户端发放证书的要求
公司希望使用 ClearPass Onboard 将证书自动部署到 Intune 注册的移动客户端。在此过程中，Onboard 应与 Azure AD 通信，以验证客户端。这种情况下还应提供高可用性；换句话说，如果用户 1 出现故障，客户应能从用户 2 处获得证书。
Intune 管理员打算创建包含 UPN SAN 的证书配置文件，其中包含注册设备的用户的 UPN。
# 验证客户端的要求
客户要求所有类型的客户端在同一个企业 SSID 上进行连接和验证。
公司希望 CPPM 使用这些验证方法：
* 通过 EAP-TLS 对在 Intune 中注册的移动客户端上的用户进行身份验证
* 要取得成功，EAP-TLS（独立或作为 TEAP 方法）客户端必须满足这些要求：
经 OCSP 验证，其证书有效且未被撤销
客户的用户名与 AD 中的帐户匹配
# 为客户分配角色的要求
身份验证后，客户希望 CPPM 根据以下规则为客户分配 ClearPass 角色：
* 拥有 Onboard 签发的证书的客户端将被分配 "移动上机 "角色
* 通过 TEAP 方法 1 的客户被分配为 "域计算机 "角色 AD 组 "医疗 "中的客户被分配为 "医务人员 "角色 AD 组 "接待 "中的客户被分配为 "接待人员 "角色 客户要求 CPPM 将通过身份验证的客户分配为 AOS 防火墙角色，具体如下：
* 为移动客户的医务人员分配 "医疗移动 "防火墙角色
* 将其他已登录的移动客户端指定为 "移动-其他 "防火墙角色
* 将域计算机上的医务人员指定为 "医疗域 "防火墙角色
* 将域计算机上的所有接待人员设置为 "reception-domain "防火墙角色
* 没有有效用户登录 "仅计算机 "防火墙角色的所有域计算机
* 拒绝其他客户访问
# 其他要求
ClearPass 服务器与内部 AD 域控制器之间的通信必须加密。
# 网络拓扑结构
在网络基础设施方面，该客户拥有由 Central 管理的 Aruba 接入点和 Aruba 网关。AP 使用隧道式 WLAN，将流量以隧道方式传输到网关集群。该客户还拥有 AOS-CX 交换机，但目前不受 Central 管理。

# ClearPass 集群 IP 地址和主机名
客户的 ClearPass 集群拥有这些 IP 地址：
* 发布者 = 10.47.47.5
* 用户 1 = 10.47.47.6
* 用户 2 = 10.47.47.7
* 用户 1 和用户 2 的虚拟 IP = 10.47.47.8
客户的 DNS 服务器有以下条目
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
您已将 Windows CA 的根证书导入 ClearPass CA 信任列表。
根据场景要求，您应该添加哪些用途？

问题 47
请参考情景。
该客户正在通过 Aruba ClearPass Policy Manager (CPPM) 在 AOS-CX 交换机上执行 802.1X。客户希望交换机能从 CPPM 下载角色设置。接收域 "角色必须具有这些设置：
- 在交换机 1 上将客户分配到 VLAN 14，在交换机 2 上将客户分配到 VLAN 24，以此类推。
- 过滤客户端流量如下
- 允许客户端完全访问 10.1.5.0/24 和互联网
- 客户端被拒绝访问 10.1.0.0/16
交换机拓扑结构如图所示：

应如何配置接收角色的 VLAN 设置？

问题 48
请参考情景。
某客户要求为 Aruba 移动控制器 (MC) 上 "医疗移动 "AOS 防火墙角色的客户提供这些权限：
允许通过 DHCP 接收 IP 地址
允许从 10.8.9.7 而非其他服务器访问 DNS 服务
允许访问 10.1.0.0/16 范围内的所有子网，但拒绝访问 10.1.12.0/22 拒绝访问其他 10.0.0.0/8 子网 允许访问互联网 在一段时间内拒绝访问 WLAN（如果它们发送任何 SSH 流量） 在一段时间内拒绝访问 WLAN（如果它们发送任何 Telnet 流量） 拒绝访问所有高风险网站 不允许外部设备与 "医疗移动 "客户端启动会话，只能发送返回流量。
下面的图例显示了该角色的配置。

配置存在多个问题。
为满足情景要求，您必须对策略做出哪些更改？(在选项中，策略中的规则是自上而下引用的。例如，"medical-mobile "规则 1 是 "ipv4 any any svc-dhcp permit"，规则 8 是 "ipv4 any any any permit"）。

问题 49
请参考情景。
某客户正在从内部部署 AD 迁移到 Azure AD，将其作为唯一的域解决方案。该客户还使用 Microsoft Endpoint Manager (Intune) 管理有线和无线设备。
客户希望提高网络边缘的安全性。为此，您正在帮助客户设计 ClearPass 部署。Aruba 网络设备将对 Aruba ClearPass Policy Manager (CPPM) 集群（使用版本 6.10）的无线和有线客户端进行身份验证。
客户对身份验证有几种要求。只有当 Azure AD 查询显示客户在 Azure AD 中拥有账户时，客户才能通过 EAP-TLS 身份验证。为了进一步完善客户的权限，ClearPass 还应该使用 Intune 收集的信息来做出访问控制决策。
您计划在 802.1X 服务中使用 Azure AD 作为身份验证源。
您应该确保客户了解哪些要求？

问题 50
请参考情景。
某客户拥有一个 Aruba ClearPass 集群。客户的 AOS-CX 交换机为 ClearPass Policy Manager (CPPM) 实施了 802.1X 身份验证。
交换机使用本地端口访问策略。
客户希望开始将仅通过用户身份验证的有线客户端隧道传输到 Aruba 网关群集。网关集群应将这些客户分配到 "eth-internet "角色。网关还应将客户分配到他们的 VLAN，即 VLAN 20。
执行政策和概况计划如下：

网关集群有两个网关，其 IP 地址都是这些：
* 网关 1
o VLAN 4085（系统 IP）= 10.20.4.21
o VLAN 20（用户）= 10.20.20.1
o VLAN 4094（WAN）= 198.51.100.14
* 网关 2
o VLAN 4085（系统 IP）= 10.20.4.22
o VLAN 20（用户）= 10.20.20.2
o VLAN 4094（WAN）= 198.51.100.12
* VLAN 20 上的 VRRP = 10.20.20.254
客户要求交换机和网关集群之间的隧道具有高可用性。如果一个网关掉线，另一个网关应接管其隧道。此外，无论网关集群中是否有网关，交换机都应能发现网关集群。
假设您使用 "myzone "作为 UBT 区域的名称。
哪个是 AOS-CX 端口访问角色的有效最小配置？

问题 51
请参考情景。
某客户要求为 Aruba 移动控制器 (MC) 上 "医疗移动 "AOS 防火墙角色的客户提供这些权限：
* 允许通过 DHCP 接收 IP 地址
* 允许从 10.8.9.7 而非其他服务器访问 DNS 服务
* 除拒绝访问 10.1.12.0/22 外，允许访问 10.1.0.0/16 范围内的所有子网 拒绝访问其他 10.0.0.0/8 子网
* 允许访问互联网
如果发送任何 SSH 流量，则在一段时间内拒绝访问 WLAN 如果发送任何 Telnet 流量，则在一段时间内拒绝访问 WLAN 拒绝访问所有高风险网站 不允许外部设备与 "医疗移动 "客户端启动会话，只能发送返回流量。
下面的图例显示了该角色的配置。

您必须检查展品中未显示的哪些设置，以确保满足方案要求？

问题 52
某公司的 Aruba ClearPass 服务器位于 10.47.47.8，FQDN 为 radius.acnsxtest.local。该示例显示了 ClearPass Policy Manager (CPPM) 对 Aruba Mobility Controller (MC) 的设置。

MC 已为 CPPM 配置了 RADIUS 身份验证设置，并且 MC 和 CPPM 之间的 RADIUS 请求正在运行。网络管理员输入并提交此命令，在 MC 上启用动态授权：
aaa rfc-3576-server 10.47.47.8
但当 CPPM 向 MC 发送 CoA 请求时，它们却不起作用。该示例显示了 MC 上的 RFC 3576 服务器统计信息：

如何解决这个问题？

问题 53
请参考情景。
某医院拥有由 Aruba Central 管理的 AOS10 架构。客户在每个诊所部署了一对具有安全许可证的 Aruba 9000 系列网关。网关在 IDS 模式下实施 IDS/IPS。
安全仪表板会显示最近发生的几个具有相同签名的事件，如下图所示：

哪个步骤可以为您提供有关该事件的有价值的背景信息？