[Jun-2024] Gültiger Weg zum Bestehen der HP-Prüfung Dumps mit HPE6-A84 Exam Study Guide [Q25-Q44]

Q25. Welches Element trägt dazu bei, die Grundlage für eine solide Netzsicherheitsforensik zu schaffen?

Aktivieren des BPDU-Schutzes und des Schleifenschutzes an edqe-Switch-Ports

Aktivieren von Debug-Informationen für Netzwerkinfrastruktur-Geräteprotokolle

Implementierung der 802.1X-Authentifizierung an Switch-Ports, die mit APs verbunden sind

Sicherstellung, dass alle Netzwerkgeräte eine korrekte, einheitliche Uhr verwenden

Q26. Ein Kunde hat eine AOS 10-basierte Lösung, die Aruba-APs enthält. Der Kunde möchte Cloud Auth verwenden, um nicht 802.1X-fähige IoT-Geräte zu authentifizieren.
Was ist eine Voraussetzung für die Einrichtung der Geräte-Rollen-Zuordnungen?

Konfigurieren einer NetConductor-basierten Fabric

Konfigurieren von Device Insight (Client-Profil)-Tags in Central

Integration von Aruba ClearPass Policy Manager (CPPM) und Device Insight

Erstellen globaler Rolle-zu-Rolle-Firewall-Richtlinien in Central

Q27. Beziehen Sie sich auf das Szenario.
# Einführung in den Kunden
Sie unterstützen ein Unternehmen beim Hinzufügen von Aruba ClearPass zu seinem Netzwerk, das Aruba-Netzwerkinfrastrukturgeräte verwendet.
Das Unternehmen hat derzeit eine Windows-Domäne und eine Windows-CA. Die Windows-CA stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie Domänencontroller aus. Ein Beispiel für ein von der Windows-CA ausgestelltes Zertifikat ist hier zu sehen.

Das Unternehmen ist dabei, den Microsoft Endpoint Manager (Intune) zur Verwaltung seiner mobilen Clients hinzuzufügen.
Der Kunde behält das On-Prem AD vorerst bei und nutzt Azure AD Connect zur Synchronisierung mit Azure AD.
# Anforderungen für die Ausstellung von Zertifikaten für mobile Clients
Das Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die bei Intune angemeldet sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h., die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.
Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.
# Anforderungen für die Authentifizierung von Clients
Der Kunde verlangt, dass alle Arten von Clients eine Verbindung herstellen und sich bei derselben Unternehmens-SSID authentifizieren.
Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:
EAP-TLS zur Authentifizierung von Benutzern auf in Intune registrierten mobilen Clients
TEAR, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und den darauf befindlichen Benutzern Damit EAP-TLS (allein oder als TEAP-Methode) erfolgreich ist, müssen die Clients diese Anforderungen erfüllen:
Ihr Zertifikat ist gültig und wurde nicht widerrufen, wie durch OCSP bestätigt wurde.
Der Benutzername des Kunden stimmt mit einem Konto in AD überein
# Anforderungen für die Zuweisung von Mandanten zu Rollen
Nach der Authentifizierung möchte der Kunde, dass das CPPM Clients auf der Grundlage der folgenden Regeln ClearPass-Rollen zuweist:
Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen Clients, die die TEAP-Methode 1 bestanden haben, wird die Rolle "domain-computer" zugewiesen Clients in der AD-Gruppe "Medical" wird die Rolle "medical-staff" zugewiesen Clients in der AD-Gruppe "Reception" werden der Rolle "reception-staff" zugewiesen Der Kunde verlangt von CPPM, dass authentifizierte Clients den AOS-Firewall-Rollen wie folgt zugewiesen werden:
Medizinisches Personal auf mobilen Clients der Firewall-Rolle "medical-mobile" zuweisen Andere mobile Clients der Firewall-Rolle "mobile-other" zuweisen Medizinisches Personal auf Domänencomputern der Firewall-Rolle "medical-domain" zuweisen Alle Empfangsmitarbeiter auf Domänencomputern der Firewall-Rolle "reception-domain" zuweisen Alle Domänencomputer, auf denen kein gültiger Benutzer angemeldet ist, der Firewall-Rolle "computer-only" zuweisen Anderen Clients den Zugriff verweigern
# Sonstige Anforderungen
Die Kommunikation zwischen ClearPass-Servern und AD-Domänencontrollern vor Ort muss verschlüsselt werden.
# Netzwerktopologie
Als Netzwerkinfrastruktur verfügt dieser Kunde über Aruba APs und Aruba Gateways, die von Central verwaltet werden. Die APs verwenden getunnelte WLANs, die den Datenverkehr zum Gateway-Cluster tunneln. Der Kunde verfügt außerdem über AOS-CX-Switches, die zu diesem Zeitpunkt nicht von Central verwaltet werden.

# ClearPass-Cluster-IP-Adressierung und Hostnamen
Der ClearPass-Cluster eines Kunden hat diese IP-Adressen:
Herausgeber = 10.47.47.5
Teilnehmer 1 = 10.47.47.6
Teilnehmer 2 = 10.47.47.7
Virtuelle IP mit Teilnehmer 1 und Teilnehmer 2 = 10.47.47.8
Der DNS-Server des Kunden hat diese Einträge
cp.acnsxtest.com = 10.47.47.5
cps1.acnsxtest.com = 10.47.47.6
cps2.acnsxtest.com = 10.47.47.7
radius.acnsxtest.com = 10.47.47.8
onboard.acnsxtest.com = 10.47.47.8
Der Kunde hat nun beschlossen, dass er CPPM benötigt, um bestimmte mobile Geräte, die an Bord sind, einem
AOS-Benutzerrolle "Nurse-Call". Dies sind mobile Geräte, die mit einer IP-Adresse kommunizieren
10.1.18.12 über Port 4343.
Was sind die Voraussetzungen für die Erfüllung dieser Anforderung?

Einrichten von Verkehrsklassen und Rollenzuordnungsregeln in den globalen Einstellungen von Central

Erstellung serverbasierter Rollenzuweisungsregeln auf APs, die den Clients Rollen auf der Grundlage von Verkehrszielen zuweisen

Erstellen von serverbasierten Rollenzuweisungsregeln auf Gateways, die den Clients Rollen auf der Grundlage von Verkehrszielen zuweisen

Erstellung eines Tags in Central zur Auswahl der richtigen Zielverbindung und Integration von CPPM mit Device Insight

Q28. Beziehen Sie sich auf das Szenario.
Ein Kunde hat einen Aruba ClearPass-Cluster. Der Kunde verfügt über AOS-CX-Switches, die 802.1X-Authentifizierung für ClearPass Policy Manager (CPPM) implementieren.
Die Switches verwenden lokale Port-Zugriffsrichtlinien.
Der Kunde möchte kabelgebundene Clients, die nur die Benutzerauthentifizierung bestehen, zu einem Aruba-Gateway-Cluster tunneln. Der Gateway-Cluster sollte diese Clients der Rolle "eth-internet" zuordnen. Das Gateway sollte auch die Zuweisung der Clients zu ihrem VLAN, d. h. VLAN 20, übernehmen.
Der Plan für die Durchsetzungspolitik und die Profile ist unten dargestellt:

Der Gateway-Cluster hat zwei Gateways mit diesen IP-Adressen:
* Gateway 1
o VLAN 4085 (System-IP) = 10.20.4.21
o VLAN 20 (Benutzer) = 10.20.20.1
o VLAN 4094 (WAN) = 198.51.100.14
* Gateway 2
o VLAN 4085 (System-IP) = 10.20.4.22
o VLAN 20 (Benutzer) = 10.20.20.2
o VLAN 4094 (WAN) = 198.51.100.12
* VRRP auf VLAN 20 = 10.20.20.254
Der Kunde benötigt eine hohe Verfügbarkeit für die Tunnel zwischen den Switches und dem Gateway-Cluster. Wenn ein Gateway ausfällt, sollte das andere Gateway dessen Tunnel übernehmen. Außerdem sollte der Switch in der Lage sein, den Gateway-Cluster unabhängig davon zu erkennen, ob eines der Gateways im Cluster ist.
Angenommen, Sie haben die richtigen Einstellungen für die UBT-Zone und die Port-Zugriffsrolle konfiguriert. Die Lösung funktioniert jedoch nicht.
Worauf sollten Sie sonst noch achten?

Weisen Sie VLAN 20 als Zugangs-VLAN auf allen Edge-Ports zu, mit denen sich getunnelte Clients verbinden könnten.

Erstellen Sie ein neues VLAN auf dem AOS-CX-Switch und konfigurieren Sie dieses VLAN als das UBT-Client-VLAN.

Weisen Sie den Gateways eine ausreichende Anzahl von VIA-Lizenzen zu, basierend auf der Anzahl der kabelgebundenen Clients, die eine Verbindung herstellen werden.

Ändern Sie den Modus port-access auth-mode auf allen Edge-Ports, zu denen getunnelte Clients eine Verbindung herstellen könnten, auf client-mode.

Q29. Beziehen Sie sich auf das Szenario.
Ein Kunde benötigt diese Rechte für Clients in der AOS-Firewall-Rolle "medical-mobile" auf Aruba Mobility Controllern (MCs):
Erlaubt, IP-Adressen mit DHCP zu erhalten
Erlaubter Zugriff auf DNS-Dienste von 10.8.9.7 und keinem anderen Server
Erlaubter Zugang zu allen Subnetzen im Bereich 10.1.0.0/16 mit Ausnahme des verwehrten Zugangs zu 10.1.12.0/22 Verweigerter Zugang zu anderen 10.0.0.0/8-Subnetzen Erlaubter Zugang zum Internet Verweigerter Zugang zum WLAN für eine gewisse Zeit, wenn sie SSH-Verkehr senden Verweigerter Zugang zum WLAN für eine gewisse Zeit, wenn sie Telnet-Verkehr senden Verweigerter Zugang zu allen risikoreichen Websites Externe Geräte sollten keine Sitzungen mit "medical-mobile"-Clients initiieren dürfen, sondern nur Rückverkehr senden.
Die folgenden Abbildungen zeigen die Konfiguration für die Rolle.

Es gibt mehrere Probleme mit der Konfiguration.
Welche Änderungen müssen Sie an den Richtlinien vornehmen, um die Anforderungen des Szenarios zu erfüllen? (In den Optionen werden die Regeln in einer Richtlinie von oben nach unten referenziert. Beispiel: "medical-mobile" Regel 1 ist "ipv4 any any svc-dhcp permit" und Regel 8 ist "ipv4 any any any permit").

Ändern Sie in der Richtlinie "medical-mobile" die Quelle in Regel 1 in "Benutzer".

Ändern Sie in der Richtlinie "medical-mobile" die Subnetzmaske in Regel 3 auf 255.255.248.0.

In der Police "medizinisch-mobil" werden die Regeln 6 und 7 an den Anfang der Liste gesetzt.

Verschieben Sie die Regel in der Richtlinie "apprf-medical-mobile-sacl" zwischen die Regeln 7 und 8 in der Richtlinie "medical-mobile".

Q30. Beziehen Sie sich auf das Szenario.
# Einführung in den Kunden
Sie unterstützen ein Unternehmen beim Hinzufügen von Aruba ClearPass zu seinem Netzwerk, das Aruba-Netzwerkinfrastrukturgeräte verwendet.
Das Unternehmen hat derzeit eine Windows-Domäne und eine Windows-CA. Die Windows-CA stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie Domänencontroller aus. Ein Beispiel für ein von der Windows-CA ausgestelltes Zertifikat ist hier zu sehen.

Das Unternehmen ist dabei, den Microsoft Endpoint Manager (Intune) zur Verwaltung seiner mobilen Clients hinzuzufügen.
Der Kunde behält das On-Prem AD vorerst bei und nutzt Azure AD Connect zur Synchronisierung mit Azure AD.
# Anforderungen für die Ausstellung von Zertifikaten für mobile Clients
Das Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die bei Intune angemeldet sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h., die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.
Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.
# Anforderungen für die Authentifizierung von Clients
Der Kunde verlangt, dass alle Arten von Clients eine Verbindung herstellen und sich bei derselben Unternehmens-SSID authentifizieren.
Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:
* EAP-TLS zur Authentifizierung von Benutzern auf in Intune registrierten mobilen Clients
* TEAR, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und deren Benutzern Damit EAP-TLS (allein oder als TEAP-Methode) erfolgreich ist, müssen die Clients diese Anforderungen erfüllen:
Ihr Zertifikat ist gültig und wurde nicht widerrufen, wie durch OCSP bestätigt wurde.
Der Benutzername des Kunden stimmt mit einem Konto in AD überein
# Anforderungen für die Zuweisung von Mandanten zu Rollen
Nach der Authentifizierung möchte der Kunde, dass das CPPM Clients auf der Grundlage der folgenden Regeln ClearPass-Rollen zuweist:
* Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen
* Clients, die die TEAP-Methode 1 bestanden haben, erhalten die Rolle "Domain-Computer" Clients in der AD-Gruppe "Medical" erhalten die Rolle "Medical-Staff" Clients in der AD-Gruppe "Reception" erhalten die Rolle "Reception-Staff" Der Kunde verlangt von CPPM, dass authentifizierte Clients den AOS-Firewall-Rollen wie folgt zugewiesen werden:
* Zuweisung von medizinischem Personal für mobil angeschlossene Kunden zur Firewall-Rolle "medizinisch-mobil".
* Weisen Sie anderen mobilen Clients die Firewall-Rolle "mobile-other" zu.
* Weisen Sie dem medizinischen Personal auf den Domänencomputern die Firewall-Rolle "medical-domain" zu.
* Alle Empfangsmitarbeiter auf Domänencomputern auf die Firewall-Rolle "reception-domain" setzen
* Alle Domänencomputer, bei denen kein gültiger Benutzer mit der Firewall-Rolle "Nur-Computer" angemeldet ist
* Anderen Kunden den Zugang verweigern
# Sonstige Anforderungen
Die Kommunikation zwischen ClearPass-Servern und AD-Domänencontrollern vor Ort muss verschlüsselt werden.
# Netzwerktopologie
Als Netzwerkinfrastruktur verfügt dieser Kunde über Aruba APs und Aruba Gateways, die von Central verwaltet werden. Die APs verwenden getunnelte WLANs, die den Datenverkehr zum Gateway-Cluster tunneln. Der Kunde verfügt außerdem über AOS-CX-Switches, die zu diesem Zeitpunkt nicht von Central verwaltet werden.

# ClearPass-Cluster-IP-Adressierung und Hostnamen
Der ClearPass-Cluster eines Kunden hat diese IP-Adressen:
* Herausgeber = 10.47.47.5
* Teilnehmer 1 = 10.47.47.6
* Teilnehmer 2 = 10.47.47.7
* Virtuelle IP mit Teilnehmer 1 und Teilnehmer 2 = 10.47.47.8
Der DNS-Server des Kunden hat diese Einträge
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
Sie haben mit der Erstellung einer CA begonnen, um die Anforderungen des Kunden für die Ausstellung von Zertifikaten für mobile Clients zu erfüllen, wie in der folgenden Abbildung dargestellt.

Welche Änderungen werden dazu beitragen, diese Anforderungen und die Anforderungen für die Authentifizierung von Kunden zu erfüllen?

Ändern Sie die EST-Authentifizierungsmethode so, dass ein externer Validator verwendet wird.

Ändern Sie den EST-Digest-Algorithmus in SHA-512.

Erstellen Sie die CA als Registrierungsstelle unter Azure AD neu.

Geben Sie einen OCSP-Responder an und setzen Sie den Hostnamen auf localhost.

Q31. Beziehen Sie sich auf das Szenario.
Ein Kunde migriert von On-Prem AD zu Azure AD als einzige Domänenlösung. Der Kunde verwaltet außerdem sowohl kabelgebundene als auch drahtlose Geräte mit Microsoft Endpoint Manager (Intune).
Der Kunde möchte die Sicherheit am Netzwerkrand verbessern. Sie unterstützen den Kunden bei der Entwicklung einer ClearPass-Bereitstellung für diesen Zweck. Aruba-Netzwerkgeräte werden drahtlose und kabelgebundene Clients bei einem Aruba ClearPass Policy Manager (CPPM)-Cluster (Version 6.10) authentifizieren.
Der Kunde hat mehrere Anforderungen an die Authentifizierung. Die Clients sollten die EAP-TLS-Authentifizierung nur bestehen, wenn eine Abfrage bei Azure AD zeigt, dass sie über Konten in Azure AD verfügen. Um die Berechtigungen der Clients weiter zu verfeinern, sollte ClearPass auch die von Intune gesammelten Informationen verwenden, um Entscheidungen zur Zugriffskontrolle zu treffen.
Gehen Sie davon aus, dass für die Azure AD-Bereitstellung die richtigen Voraussetzungen geschaffen wurden.
Sie planen die CPPM-Authentifizierungsquelle, auf die Sie als Authentifizierungsquelle in
802.1X-Dienste.
Wie sollten Sie diese Authentifizierungsquelle einrichten?

Als Kerberos-Typ

Als Active Directory-Typ

Als HTTP-Typ, der auf die Intune-Erweiterung verweist

AS HTTP-Typ, der auf den FODN von Azure AD verweist

Q32. Sie müssen ein Zertifikat auf einem eigenständigen Aruba Mobility Controller (MC) installieren. Der MC muss das Zertifikat für die Web-UI und für die Implementierung von RadSec mit Aruba ClearPass Policy Manager verwenden. Sie haben ein Zertifikat mit diesen Einstellungen erhalten:
Betreff: CN=mc41.site94.example.com
Keine SANs
Aussteller: CN=ca41.example.com
EKUs: Server-Authentifizierung, Client-Authentifizierung
Welche Bedeutung hat dieses Zertifikat für die Zwecke, für die es bestimmt ist?

Sie hat widersprüchliche EKUs.

Sie wird von einer privaten Zertifizierungsstelle ausgestellt.

Sie gibt die Domäneninformationen im CN-Feld statt im DC-Feld an.

Es fehlt ein DNS-SAN.

Q33. Sie überprüfen gerade einen Endpunkteintrag im ClearPass Policy Manager (CPPM) Endpoints Repository.
Was ist ein gutes Zeichen dafür, dass jemand versucht hat, sich unberechtigten Zugang zum Netzwerk zu verschaffen?

Der Eintrag zeigt mehrere DHCP-Optionen unter den Fingerabdrücken an.

Der Eintrag zeigt den Status Unbekannt an.

Der Eintrag zeigt einen Profilkonflikt mit einem neuen Profil Computer für einen profilierten Drucker.

Der Eintrag enthält keinen Hostnamen oder einen Hostnamen mit langen, scheinbar zufälligen Zeichen.

Q34. Beziehen Sie sich auf das Szenario.
Eine Organisation möchte, dass der AOS-CX-Switch einen Alarm auslöst, wenn der RADIUS-Server (cp.acnsxtest.local) eine ungewöhnliche Anzahl von Client-Authentifizierungsanforderungen pro Stunde ablehnt. Nach einigen Diskussionen mit anderen Aruba-Administratoren sind Sie immer noch nicht sicher, wie viele Ablehnungen üblich oder ungewöhnlich sind. Sie vermuten, dass der Wert auf jedem Switch unterschiedlich sein könnte.
Sie helfen dem Entwickler zu verstehen, wie man ein NAE-Skript für diesen Anwendungsfall entwickelt.
Der Entwickler erklärt, dass er plant, die Regel mit einer Logik wie dieser zu definieren:
überwachen > Wert
Der Entwickler fragt Sie jedoch, welchen Wert Sie angeben sollen.
Was können Sie empfehlen?

Überprüfen der RADIUS-Statistiken eines der Access Switches und Hinzufügen von 10 zur Anzahl der Zurückweisungen

Festlegung einer Basislinie und Bezugnahme auf diese für den Wert

10 (pro Stunde) ist ein guter Ausgangspunkt für den Wert

Definition eines Parameters und Bezugnahme auf ihn (self ^ramsfname]) für den Wert

Q35. Siehe dazu die Abbildung.

Aruba ClearPass Policy Manager (CPPM) verwendet die in der Abbildung gezeigten Einstellungen. Sie verweisen auf das in der Abbildung gezeigte Tag in Durchsetzungsrichtlinien, die sich auf NAS verschiedener Typen beziehen, einschließlich Aruba APs, Aruba Gateways und AOS-CX-Switches.
Was sollten Sie tun, um sicherzustellen, dass die Kunden neu eingestuft werden und die richtige Behandlung auf der Grundlage der Kennzeichnung erhalten?

Ändern Sie die RADIUS-Aktion in [Aruba Wireless - Terminate Session], die von allen betreffenden NAS unterstützt wird.

Ändern Sie die RADIUS-Aktion in [Aruba Wireless - Bounce Switch Port], die von allen fraglichen NAS unterstützt wird.

Aktivieren Sie die Profilerstellung in jedem Dienst, der eines dieser Durchsetzungsprofile verwendet. Setzen Sie die Profilerstellungsaktion auf die richtige Aktion für die NAS, die diesen Dienst verwenden.

Setzen Sie die Tag-Aktualisierungsaktion auf Keine Aktion. Aktivieren Sie dann stattdessen die RADIUS-CoAs mithilfe von Durchsetzungsprofilen in den Regeln, die Clients mit dem in der Abbildung gezeigten Tag entsprechen.

Q36. Wann würden Sie BPDU-Schutz auf einem AOS-CX-Switchport im Gegensatz zu BPDU-Filterung implementieren?

Verwenden Sie den BPDU-Schutz an Edge-Ports zum Schutz vor Rogue Devices, wenn der Switch MSTP implementiert; verwenden Sie die BPDU-Filterung zum Schutz vor Rogue Devices, wenn der Switch PVSTP+ implementiert.

Verwenden Sie BPDU-Schutz an Edge-Ports, um zu verhindern, dass Rogue-Geräte eine Verbindung herstellen; verwenden Sie BPDU-Filterung an Inter-Switch-Ports für spezielle Anwendungsfälle.

Verwenden Sie BPDU-Schutz an Inter-Switch-Ports, um sicherzustellen, dass sie als Root ausgewählt werden; verwenden Sie BPDU-Filterung an Edge-Ports, um zu verhindern, dass Rogue-Geräte eine Verbindung herstellen.

Verwenden Sie BPDU-Schutz an Edge-Ports, um abtrünnige Geräte dauerhaft auszusperren; verwenden Sie BPDU-Filterung an Edge-Ports, um abtrünnige Geräte vorübergehend auszusperren.

Erläuterung
BPDU (Bridge Protocol Data Unit) ist eine Nachricht, die zwischen Switches ausgetauscht wird, um die Spanning-Tree-Topologie aufrechtzuerhalten und Schleifen zu verhindern. BPDU-Schutz und BPDU-Filterung sind zwei Funktionen, die auf AOS-CX-Switch-Ports konfiguriert werden können, um Sicherheit und Leistung zu verbessern.
BPDU-Schutz ist eine Funktion, die einen Port deaktiviert, wenn er eine BPDU empfängt, die anzeigt, dass ein nicht autorisierter Switch oder ein nicht autorisiertes Gerät mit dem Port verbunden wurde. Der BPDU-Schutz wird in der Regel an Edge-Ports verwendet, d. h. an Ports, die mit Endgeräten wie PCs oder Druckern verbunden sind und von denen nicht erwartet wird, dass sie BPDUs empfangen. Der BPDU-Schutz verhindert, dass sich unberechtigte Geräte mit dem Netzwerk verbinden und die Spanning-Tree-Topologie beeinträchtigen.
Die BPDU-Filterung ist eine Funktion, die verhindert, dass ein Port BPDUs sendet oder empfängt, wodurch der Port effektiv von der Spanning-Tree-Topologie isoliert wird. Die BPDU-Filterung wird in der Regel an Inter-Switch-Ports, d. h. an Ports, die mit anderen Switches verbunden sind, für spezielle Anwendungsfälle verwendet, z. B. um eine separate Spanning-Tree-Domäne zu erstellen oder den Overhead von BPDUs zu reduzieren. Die BPDU-Filterung sollte mit Vorsicht eingesetzt werden, da sie Schleifen oder Inkonsistenzen im Netzwerk verursachen kann.
Weitere Informationen zur Konfiguration des BPDU-Schutzes und der BPDU-Filterung an AOS-CX-Switch-Ports finden Sie auf der Seite [Configuring Spanning Tree Protocol - Aruba] und auf der Seite [AOS-CX Switching Configuration Guide]. Die anderen Optionen sind nicht korrekt, da sie entweder BPDU-Schutz oder BPDU-Filterung auf dem falschen Porttyp oder für den falschen Zweck verwenden. Beispielsweise würde die Verwendung des BPDU-Schutzes auf Inter-Switch-Ports die Ports deaktivieren, wenn sie BPDUs empfangen, die im Normalbetrieb erwartet werden.
Die Verwendung von BPDU-Filtern an Edge-Ports würde es abtrünnigen Geräten ermöglichen, sich mit dem Netzwerk zu verbinden und Schleifen zu erzeugen oder die Spanning-Tree-Topologie zu beeinflussen.

Q37. Beziehen Sie sich auf das Szenario.
Ein Kunde benötigt diese Rechte für Clients in der AOS-Firewall-Rolle "medical-mobile" auf Aruba Mobility Controllern (MCs):
Erlaubt den Empfang von IP-Adressen mit DHCP
* Erlaubter Zugriff auf DNS-Dienste von 10.8.9.7 und keinem anderen Server
* Zugriff auf alle Subnetze im Bereich 10.1.0.0/16 erlaubt, außer Zugriff auf 10.1.12.0/22 verweigert
* Zugriff auf andere 10.0.0.0/8-Subnetze verweigert
* Erlaubter Zugang zum Internet
* Verweigerung des Zugangs zum WLAN für eine bestimmte Zeit, wenn sie SSH-Datenverkehr senden
* Verweigerung des Zugangs zum WLAN für eine bestimmte Zeit, wenn sie Telnet-Datenverkehr senden
* Verweigerung des Zugangs zu allen risikoreichen Websites
Externen Geräten sollte es nicht gestattet sein, Sitzungen mit "medizinisch-mobilen" Kunden zu initiieren, sondern nur Rückverkehr zu senden.
Die folgenden Abbildungen zeigen die Konfiguration für die Rolle.

Es gibt mehrere Probleme mit dieser Konfiguration. Welche Änderung müssen Sie vornehmen, um die Anforderungen des Szenarios zu erfüllen? (In den Optionen werden die Regeln in einer Richtlinie von oben nach unten referenziert. Zum Beispiel,
"medical-mobile" Regel 1 ist "ipv4 any any svc-dhcp permit", und Regel 8 ist "ipv4 any any any any permit").

In der Police "medical-mobile" verschieben Sie die Regeln 2 und 3 zwischen die Regeln 7 und 8.

Ändern Sie in der Richtlinie "medical-mobile" die Subnetzmaske in Regel 3 auf 255.255.248.0.

Verschieben Sie die Regel in der Richtlinie "apprf-medical-mobile-sacl" zwischen die Regeln 7 und 8 in der Richtlinie "medical-mobile".

In der Richtlinie "medical-mobile" ändern Sie die Quelle in Regel 8 in "Benutzer".

Q38. Der Kunde benötigt eine Möglichkeit für Benutzer, neue kabelgebundene Clients in Intune zu registrieren. Die Clients sollten einen eingeschränkten Zugriff haben, der ihnen nur die Registrierung und den Empfang von Zertifikaten ermöglicht. Sie planen, diese Rechte in einer AOS-CX-Rolle namens "Bereitstellung" einzurichten. Das Sicherheitsteam des Kunden schreibt vor, dass Sie den Internetzugang dieser Clients auf die notwendigen Standorte beschränken müssen. Ihre Switch-Software unterstützt IPv4- und IPv6-Adressen für die in der "Provision"-Rolle angewendeten Regeln.
Was können Sie empfehlen?

Konfigurieren der Regeln für die Rolle "Bereitstellung" mit IPv6-Adressen, die tendenziell stabiler sind

Aktivieren des Tunnelings zu den MCs in der Rolle "Bereitstellung" und anschließendes Einrichten der Berechtigungen auf den MCs

Konfigurieren der Rolle "Bereitstellung" als herunterladbare Benutzerrolle (DUR) in CPPM

Zuweisung der "Bereitstellungs"-Rolle an ein VLAN und anschließende Einrichtung der Regeln innerhalb einer Layer-2-Zugangskontrollliste (ACL)

Q39. Sie konfigurieren die IDS/IPS-Einstellungen des Gateways in Aruba Central.
Aus welchem Grund würden Sie die Fail Strategy auf Bypass setzen?

So lassen Sie den Verkehr zu, wenn die IPS-Engine ihn nicht inspiziert

So aktivieren Sie, dass das Kabelmodem die in IDS/IPS-Richtlinien konfigurierten Einstellungen für die Zulassen-Liste berücksichtigt

So weisen Sie Gateways an, IDS/IPS-Richtlinien nicht mehr durchzusetzen, wenn sie die Verbindung zum Internet verlieren

Um zu vermeiden, dass IPS-Engine-Ressourcen für das Filtern von Datenverkehr für nicht authentifizierte Clients verschwendet werden

Q40. Siehe dazu die Abbildung.

Ein Kunde benötigt Schutz gegen ARP-Poisoning in VLAN 4. Nachfolgend sind alle Einstellungen für VLAN 4 und die mit VLAN 4 verbundenen physischen Schnittstellen auf dem AOS-CX Access Layer Switch aufgeführt:

Was ist ein Problem mit dieser Konfiguration?

ARP-Proxy ist auf VLAN 4 nicht aktiviert.

LAG 1 ist für die ARP-Überprüfung als vertrauenswürdig konfiguriert, sollte aber nicht vertrauenswürdig sein.

DHCP-Snooping ist auf VLAN 4 nicht aktiviert.

Edge-Ports sind nicht als nicht vertrauenswürdig für die ARP-Überprüfung konfiguriert.

Erläuterung
Der Grund dafür ist, dass die ARP-Inspektion eine Sicherheitsfunktion ist, die ARP-Pakete in einem Netzwerk validiert und ARP-Poisoning-Angriffe verhindert12 Die ARP-Inspektion funktioniert, indem sie ARP-Pakete mit ungültigen IP-zu-MAC-Adressbindungen abfängt, protokolliert und verwirft1 Um die ARP-Inspektion zu aktivieren, muss der Switch wissen, welche Ports vertrauenswürdig und welche nicht vertrauenswürdig sind. Vertrauenswürdige Ports sind solche, die mit autorisierten DHCP-Servern oder anderen Netzwerkgeräten verbunden sind, die nicht für ARP-Spoofing anfällig sind. Nicht vertrauenswürdige Ports sind solche, die mit Endhosts oder Geräten verbunden sind, die gefälschte ARP-Pakete senden könnten13 In der Abbildung ist LAG 1 als vertrauenswürdiger Port für die ARP-Überprüfung konfiguriert, was korrekt ist, da er mit dem Core-Switch verbunden ist. Die Edge-Ports (1/1/1-1/1/24) sind jedoch nicht als nicht vertrauenswürdige Ports für die ARP-Überprüfung konfiguriert, was nicht korrekt ist, da sie mit Endhosts verbunden sind, die von einem Angreifer kompromittiert werden könnten. Standardmäßig sind alle Ports für die ARP-Prüfung nicht vertrauenswürdig, dies kann jedoch mit dem Befehl ip arp inspection trust im Schnittstellenkonfigurationsmodus3 geändert werden. Um VLAN 4 vor ARP-Poisoning zu schützen, sollten daher die Edge-Ports für die ARP-Prüfung als nicht vertrauenswürdig konfiguriert werden, indem der Befehl no ip arp inspection trust im Schnittstellenkonfigurationsmodus verwendet wird. Auf diese Weise überprüft der Switch die an diesen Ports empfangenen ARP-Pakete anhand der DHCP-Snooping-Datenbank oder einer ARP-Zugriffsliste und verwirft alle ungültigen Pakete34
A: ARP-Proxy ist auf VLAN 4 nicht aktiviert. Dies ist kein Problem, da der ARP-Proxy eine optionale Funktion ist, die es dem Switch ermöglicht, auf ARP-Anfragen im Namen von Hosts in verschiedenen Subnetzen zu antworten5. Es hat nichts mit ARP-Poisoning oder ARP-Inspektion zu tun.
B: LAG 1 ist für die ARP-Überprüfung als vertrauenswürdig konfiguriert, sollte aber nicht vertrauenswürdig sein. Dies ist kein Problem, da LAG 1 mit dem Core-Switch verbunden ist, der ein vertrauenswürdiges Gerät ist und keine gefälschten ARP-Pakete sendet.
C: DHCP-Snooping ist auf VLAN 4 nicht aktiviert. Dies ist kein Problem, da DHCP-Snooping eine separate Funktion ist, die verhindert, dass unseriöse DHCP-Server IP-Adressen für Clients anbieten6. Sie steht nicht in direktem Zusammenhang mit ARP-Poisoning oder ARP-Inspektion, obwohl sie Informationen für die Validierung der ARP-Inspektion liefern kann, wenn sie aktiviert ist

Q41. Sie konfigurieren die IDS/IPS-Einstellungen des Gateways in Aruba Central.
Aus welchem Grund würden Sie die Fail Strategy auf Bypass setzen?

So lassen Sie den Verkehr zu, wenn die IPS-Engine ihn nicht inspiziert

So aktivieren Sie, dass das Kabelmodem die in IDS/IPS-Richtlinien konfigurierten Einstellungen für die Zulassen-Liste berücksichtigt

So weisen Sie Gateways an, IDS/IPS-Richtlinien nicht mehr durchzusetzen, wenn sie die Verbindung zum Internet verlieren

Um zu vermeiden, dass IPS-Engine-Ressourcen für das Filtern von Datenverkehr für nicht authentifizierte Clients verschwendet werden

Q42. Beziehen Sie sich auf das Szenario.
Ein Kunde benötigt diese Rechte für Clients in der AOS-Firewall-Rolle "medical-mobile" auf Aruba Mobility Controllern (MCs):
Erlaubt, IP-Adressen mit DHCP zu erhalten
* Erlaubter Zugriff auf DNS-Dienste von 10.8.9.7 und keinem anderen Server
* Zugriff auf alle Subnetze im Bereich 10.1.0.0/16 erlaubt, außer Zugriff auf 10.1.12.0/22 verweigert
* Zugriff auf andere 10.0.0.0/8-Subnetze verweigert
* Erlaubter Zugang zum Internet
* Verweigerung des Zugangs zum WLAN für eine bestimmte Zeit, wenn sie SSH-Datenverkehr senden
* Verweigerung des Zugangs zum WLAN für eine bestimmte Zeit, wenn sie Telnet-Datenverkehr senden
* Verweigerung des Zugangs zu allen risikoreichen Websites
Externen Geräten sollte es nicht gestattet sein, Sitzungen mit "medizinisch-mobilen" Kunden zu initiieren, sondern nur Rückverkehr zu senden.
Die folgenden Abbildungen zeigen die Konfiguration für die Rolle.

Es gibt mehrere Probleme mit der Konfiguration.
Welche Änderungen müssen Sie an den Richtlinien vornehmen, um die Anforderungen des Szenarios zu erfüllen? (In den Optionen werden die Regeln in einer Richtlinie von oben nach unten referenziert. Beispiel: "medical-mobile" Regel 1 ist "ipv4 any any svc-dhcp permit" und Regel 8 ist "ipv4 any any any permit").

Ändern Sie in der Richtlinie "medical-mobile" die Quelle in Regel 1 in "Benutzer".

Ändern Sie in der Richtlinie "medical-mobile" die Subnetzmaske in Regel 3 auf 255.255.248.0.

In der Police "medizinisch-mobil" werden die Regeln 6 und 7 an den Anfang der Liste gesetzt.

Verschieben Sie die Regel in der Richtlinie "apprf-medical-mobile-sacl" zwischen die Regeln 7 und 8 in der Richtlinie "medical-mobile".

Q43. Beziehen Sie sich auf das Szenario.
# Einführung in den Kunden
Sie unterstützen ein Unternehmen beim Hinzufügen von Aruba ClearPass zu seinem Netzwerk, das Aruba-Netzwerkinfrastrukturgeräte verwendet.
Das Unternehmen hat derzeit eine Windows-Domäne und eine Windows-CA. Die Windows-CA stellt Zertifikate für Domänencomputer, Domänenbenutzer und Server wie Domänencontroller aus. Ein Beispiel für ein von der Windows-CA ausgestelltes Zertifikat ist hier zu sehen.

Das Unternehmen ist dabei, den Microsoft Endpoint Manager (Intune) zur Verwaltung seiner mobilen Clients hinzuzufügen.
Der Kunde behält das On-Prem AD vorerst bei und nutzt Azure AD Connect zur Synchronisierung mit Azure AD.
# Anforderungen für die Ausstellung von Zertifikaten für mobile Clients
Das Unternehmen möchte ClearPass Onboard verwenden, um Zertifikate automatisch an mobile Clients zu verteilen, die bei Intune angemeldet sind. Während dieses Prozesses sollte Onboard mit Azure AD kommunizieren, um die Clients zu validieren. Für dieses Szenario sollte auch eine hohe Verfügbarkeit gewährleistet sein, d. h., die Clients sollten in der Lage sein, Zertifikate von Teilnehmer 2 zu erhalten, wenn Teilnehmer 1 ausgefallen ist.
Die Intune-Administratoren beabsichtigen, Zertifikatsprofile zu erstellen, die ein UPN-SAN mit dem UPN des Benutzers enthalten, der das Gerät registriert hat.
# Anforderungen für die Authentifizierung von Clients
Der Kunde verlangt, dass alle Arten von Clients eine Verbindung herstellen und sich bei derselben Unternehmens-SSID authentifizieren.
Das Unternehmen möchte, dass CPPM diese Authentifizierungsmethoden verwendet:
* EAP-TLS zur Authentifizierung von Benutzern auf in Intune registrierten mobilen Clients
* TEAR, mit EAP-TLS als innerer Methode zur Authentifizierung von Windows-Domänencomputern und deren Benutzern Damit EAP-TLS (allein oder als TEAP-Methode) erfolgreich ist, müssen die Clients diese Anforderungen erfüllen:
Ihr Zertifikat ist gültig und wurde nicht widerrufen, wie durch OCSP bestätigt wurde.
Der Benutzername des Kunden stimmt mit einem Konto in AD überein
# Anforderungen für die Zuweisung von Mandanten zu Rollen
Nach der Authentifizierung möchte der Kunde, dass das CPPM Clients auf der Grundlage der folgenden Regeln ClearPass-Rollen zuweist:
* Clients mit von Onboard ausgestellten Zertifikaten wird die Rolle "mobile-onboarded" zugewiesen
* Clients, die die TEAP-Methode 1 bestanden haben, erhalten die Rolle "Domain-Computer" Clients in der AD-Gruppe "Medical" erhalten die Rolle "Medical-Staff" Clients in der AD-Gruppe "Reception" erhalten die Rolle "Reception-Staff" Der Kunde verlangt von CPPM, dass authentifizierte Clients den AOS-Firewall-Rollen wie folgt zugewiesen werden:
* Zuweisung von medizinischem Personal für mobil angeschlossene Kunden zur Firewall-Rolle "medizinisch-mobil".
* Weisen Sie anderen mobilen Clients die Firewall-Rolle "mobile-other" zu.
* Weisen Sie dem medizinischen Personal auf den Domänencomputern die Firewall-Rolle "medical-domain" zu.
* Alle Empfangsmitarbeiter auf Domänencomputern auf die Firewall-Rolle "reception-domain" setzen
* Alle Domänencomputer, bei denen kein gültiger Benutzer mit der Firewall-Rolle "Nur-Computer" angemeldet ist
* Anderen Kunden den Zugang verweigern
# Sonstige Anforderungen
Die Kommunikation zwischen ClearPass-Servern und AD-Domänencontrollern vor Ort muss verschlüsselt werden.
# Netzwerktopologie
Als Netzwerkinfrastruktur verfügt dieser Kunde über Aruba APs und Aruba Gateways, die von Central verwaltet werden. Die APs verwenden getunnelte WLANs, die den Datenverkehr zum Gateway-Cluster tunneln. Der Kunde verfügt außerdem über AOS-CX-Switches, die zu diesem Zeitpunkt nicht von Central verwaltet werden.

# ClearPass-Cluster-IP-Adressierung und Hostnamen
Der ClearPass-Cluster eines Kunden hat diese IP-Adressen:
* Herausgeber = 10.47.47.5
* Teilnehmer 1 = 10.47.47.6
* Teilnehmer 2 = 10.47.47.7
* Virtuelle IP mit Teilnehmer 1 und Teilnehmer 2 = 10.47.47.8
Der DNS-Server des Kunden hat diese Einträge
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
Sie können keine Flussattribute für drahtlose Clients sehen.
Was sollten Sie überprüfen?

Deep Packet Inspection ist für die Rolle aktiviert, der die Aruba APs die drahtlosen Clients zuweisen.

Die Sichtbarkeit der Firewall-Anwendung ist auf den Aruba-Gateways aktiviert, und die Gateways wurden neu gestartet.

Gateway IDS/IPS ist auf den Aruba-Gateways aktiviert, und die Gateways wurden neu gebootet.

Deep Packet Inspection ist auf den Aruba-APs aktiviert, und die APs wurden neu gebootet.

Q44. Beziehen Sie sich auf das Szenario.
Eine Organisation möchte, dass der AOS-CX-Switch einen Alarm auslöst, wenn der RADIUS-Server (cp.acnsxtest.local) eine ungewöhnliche Anzahl von Client-Authentifizierungsanforderungen pro Stunde ablehnt. Nach einigen Diskussionen mit anderen Aruba-Administratoren sind Sie immer noch nicht sicher, wie viele Ablehnungen üblich oder ungewöhnlich sind. Sie vermuten, dass der Wert auf jedem Switch unterschiedlich sein könnte.
Sie helfen dem Entwickler zu verstehen, wie man ein NAE-Skript für diesen Anwendungsfall entwickelt.
Sie helfen einem Kunden bei der Definition eines NAE-Skripts für AOS-CX-Switches. Das Skript überwacht Statistiken von einem auf dem Switch definierten RADIUS-Server. Sie möchten das Skript zukunftssicher machen, indem Sie Administratoren die Möglichkeit geben, einen anderen Hostnamen oder eine andere IP-Adresse für den überwachten RADIUS-Server auszuwählen, wenn sie einen Agent aus dem Skript erstellen.
Was können Sie empfehlen?

Verwenden Sie diese Variable, %{radius-ipV, wenn Sie den Monitor-URI im Skript des NAE-Agenten definieren.

Definieren Sie einen Parameter für den RADIUS-Server; verweisen Sie bei der Definition der Monitor-URI auf diesen Parameter anstelle des Servernamens/der IP.

Verwenden Sie eine Callback-Aktion, um den Namen aller RADIUS-Server zu ermitteln, die zum Zeitpunkt der Erstellung des Agenten auf dem Switch definiert sind.

Machen Sie das Skript bearbeitbar, damit die Administratoren es bei Bedarf bearbeiten können, wenn sie Skripte erstellen.