[Jun-2024] HPE6-A84시험 연구 가이드를 통해 HP 시험 덤프에 합격하는 유효한 방법 [Q25-Q44].

Q25. 견고한 네트워크 보안 포렌식의 토대를 마련하는 데 도움이 되는 요소는 무엇인가요?

Q26. 고객이 아루바 AP를 포함한 AOS 10 기반 솔루션을 보유하고 있습니다. 고객이 클라우드 인증을 사용하여 비-802.1X 지원 IoT 디바이스를 인증하려고 합니다.
디바이스 역할 매핑을 설정하기 위한 전제 조건은 무엇인가요?

Q27. 시나리오를 참조하세요.
# 고객 소개
귀하는 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 아루바 클리어패스를 추가하는 것을 돕고 있습니다.
회사에는 현재 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.


이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 작업을 진행 중입니다.
고객은 현재 온-프레미스 AD를 유지 관리하고 있으며 Azure AD Connect를 사용하여 Azure AD와 동기화합니다.
# 모바일 클라이언트에 인증서를 발급하기 위한 요구 사항
이 회사는 ClearPass Onboard를 사용하여 Intune에 등록된 모바일 클라이언트에 인증서를 자동으로 배포하려고 합니다. 이 프로세스 중에 Onboard는 Azure AD와 통신하여 클라이언트의 유효성을 검사해야 합니다. 즉, 구독자 1이 다운된 경우 클라이언트가 구독자 2에서 인증서를 받을 수 있어야 합니다.
Intune 관리자는 장치를 등록한 사용자의 UPN을 사용하여 UPN SAN을 포함하는 인증서 프로필을 만들려고 합니다.
# 클라이언트 인증을 위한 요구 사항
고객은 모든 유형의 클라이언트가 동일한 회사 SSID로 연결하고 인증해야 합니다.
회사는 CPPM이 이러한 인증 방법을 사용하기를 원합니다:
Intune에 등록된 모바일 클라이언트에서 사용자를 인증하기 위한 EAP-TLS
Windows 도메인 컴퓨터 및 해당 컴퓨터의 사용자를 인증하는 내부 방법으로 EAP-TLS를 사용하는 TEAR가 성공하려면 EAP-TLS(독립형 또는 TEAP 방법) 클라이언트가 이러한 요구 사항을 충족해야 합니다:
그들의 인증서는 유효하며 취소되지 않았으며 OCSP에서 확인했습니다.
클라이언트의 사용자 이름이 AD의 계정과 일치합니다.
# 클라이언트를 역할에 할당하기 위한 요구 사항
인증 후 고객은 CPPM이 다음 규칙에 따라 클라이언트를 ClearPass 역할에 할당하기를 원합니다:
Onboard에서 발급한 인증서가 있는 클라이언트에는 "모바일-온보드" 역할이 할당됩니다. TEAP 방법 1을 통과한 클라이언트에는 "도메인-컴퓨터" 역할이 할당됩니다. AD 그룹 "의료"의 클라이언트에는 "의료-직원" 역할이 할당됩니다. AD 그룹 "수신"의 클라이언트에는 "수신-직원" 역할이 할당됩니다. 고객은 CPPM이 인증된 클라이언트를 다음과 같이 AOS 방화벽 역할에 할당하도록 요구합니다:
모바일로 접속한 클라이언트의 의료진을 "의료-모바일" 방화벽 역할에 할당 다른 모바일로 접속한 클라이언트를 "모바일-기타" 방화벽 역할에 할당 도메인 컴퓨터의 의료진을 "의료-도메인" 방화벽 역할에 할당 도메인 컴퓨터의 모든 접수 직원을 "접수 도메인" 역할에 할당 유효한 사용자가 로그인한 적이 없는 모든 도메인 컴퓨터는 "컴퓨터 전용" 방화벽 역할에 액세스 거부 다른 클라이언트 액세스를 거부합니다.
# 기타 요구 사항
ClearPass 서버와 온프레미스 AD 도메인 컨트롤러 간의 통신은 암호화해야 합니다.
# 네트워크 토폴로지
네트워크 인프라의 경우, 이 고객은 아루바 AP와 아루바 게이트웨이를 보유하고 있으며, Central에서 관리합니다. AP는 트래픽을 게이트웨이 클러스터로 터널링하는 터널링된 WLAN을 사용합니다. 또한 이 고객은 현재 Central에서 관리하지 않는 AOS-CX 스위치를 보유하고 있습니다.

# 클리어패스 클러스터 IP 주소 및 호스트 이름
고객의 클리어패스 클러스터에는 이러한 IP 주소가 있습니다:
게시자 = 10.47.47.5
구독자 1 = 10.47.47.6
구독자 2 = 10.47.47.7
가입자 1 및 가입자 2의 가상 IP = 10.47.47.8
고객의 DNS 서버에는 다음과 같은 항목이 있습니다.
cp.acnsxtest.com = 10.47.47.5
cps1.acnsxtest.com = 10.47.47.6
cps2.acnsxtest.com = 10.47.47.7
radius.acnsxtest.com = 10.47.47.8
onboard.acnsxtest.com = 10.47.47.8
이제 고객은 특정 모바일 온보드 디바이스를 할당하기 위해 CPPM이 필요하다고 결정했습니다.
"간호사 호출" AOS 사용자 역할. IP 주소와 통신하는 모바일 온보드 장치입니다.
10.1.18.12 포트 4343 사용.
이 요건을 충족하기 위한 전제 조건은 무엇인가요?

Q28. 시나리오를 참조하세요.
고객에게 아루바 클리어패스 클러스터가 있습니다. 고객이 CPPM(ClearPass Policy Manager)에 대한 802.1X 인증을 구현하는 AOS-CX 스위치를 보유하고 있습니다.
스위치가 로컬 포트 액세스 정책을 사용하고 있습니다.
고객이 사용자 인증을 아루바 게이트웨이 클러스터로만 전달하는 유선 클라이언트 터널링을 시작하려고 합니다. 게이트웨이 클러스터는 이러한 클라이언트를 "eth-internet" 역할에 할당해야 합니다. 또한 게이트웨이는 클라이언트를 VLAN 20에 할당하는 작업도 처리해야 합니다.
시행 정책 및 프로필에 대한 계획은 아래와 같습니다:

게이트웨이 클러스터에는 이러한 IP 주소를 가진 두 개의 게이트웨이가 있습니다:
* 게이트웨이 1
o VLAN 4085(시스템 IP) = 10.20.4.21
o VLAN 20(사용자) = 10.20.20.1
o VLAN 4094(WAN) = 198.51.100.14
* 게이트웨이 2
o VLAN 4085(시스템 IP) = 10.20.4.22
o VLAN 20(사용자) = 10.20.20.2
o VLAN 4094(WAN) = 198.51.100.12
* VLAN 20의 VRRP = 10.20.20.254
고객은 스위치와 게이트웨이 클러스터 사이의 터널에 고가용성을 요구합니다. 한 게이트웨이가 다운되면 다른 게이트웨이가 해당 터널을 이어받아야 합니다. 또한 게이트웨이 중 하나가 클러스터에 있는지 여부에 관계없이 스위치가 게이트웨이 클러스터를 검색할 수 있어야 합니다.
올바른 UBT 영역 및 포트 액세스 역할 설정을 구성했다고 가정합니다. 그러나 솔루션이 작동하지 않습니다.
그 밖에 무엇을 해야 하나요?

Q29. 시나리오를 참조하세요.
고객은 아루바 모빌리티 컨트롤러(MC)에서 "의료-모바일" AOS 방화벽 역할을 하는 클라이언트에 대해 이러한 권한이 필요합니다:
DHCP로 IP 주소 수신 허용
10.8.9.7 및 다른 서버에서 DNS 서비스에 대한 액세스 허용됨
10.1.0.0/16 범위의 모든 서브넷에 대한 액세스 허용 10.1.12.0/22에 대한 액세스 거부를 제외한 나머지 10.0.0.0/8 서브넷에 대한 액세스 거부 인터넷 액세스 허용 SSH 트래픽을 보내는 경우 일정 기간 동안 WLAN 액세스 거부 텔넷 트래픽을 보내는 경우 일정 기간 동안 WLAN 액세스 거부 모든 고위험 웹사이트에 액세스 거부 외부 디바이스는 "의료-모바일" 클라이언트와 세션을 시작하도록 허용하지 않고 반환 트래픽만 보내야 합니다.
아래 예시에서는 역할에 대한 구성을 보여줍니다.

구성에 여러 가지 문제가 있습니다.
시나리오 요구 사항을 충족하기 위해 정책에서 변경해야 하는 사항 중 하나는 무엇인가요? (옵션에서 정책의 규칙은 위에서 아래로 참조됩니다. 예를 들어, "의료-모바일" 규칙 1은 "ipv4 any any svc-dhcp 허용"이고 규칙 8은 "ipv4 any any any 허용"입니다.)

Q30. 시나리오를 참조하세요.
# 고객 소개
귀하는 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 아루바 클리어패스를 추가하는 것을 돕고 있습니다.
회사에는 현재 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.


이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 작업을 진행 중입니다.
고객은 현재 온-프레미스 AD를 유지 관리하고 있으며 Azure AD Connect를 사용하여 Azure AD와 동기화합니다.
# 모바일 클라이언트에 인증서를 발급하기 위한 요구 사항
이 회사는 ClearPass Onboard를 사용하여 Intune에 등록된 모바일 클라이언트에 인증서를 자동으로 배포하려고 합니다. 이 프로세스 중에 Onboard는 Azure AD와 통신하여 클라이언트의 유효성을 검사해야 합니다. 즉, 구독자 1이 다운된 경우 클라이언트가 구독자 2에서 인증서를 받을 수 있어야 합니다.
Intune 관리자는 장치를 등록한 사용자의 UPN을 사용하여 UPN SAN을 포함하는 인증서 프로필을 만들려고 합니다.
# 클라이언트 인증을 위한 요구 사항
고객은 모든 유형의 클라이언트가 동일한 회사 SSID로 연결하고 인증해야 합니다.
회사는 CPPM이 이러한 인증 방법을 사용하기를 원합니다:
* Intune에 등록된 모바일 클라이언트에서 사용자를 인증하는 EAP-TLS
* Windows 도메인 컴퓨터 및 해당 컴퓨터의 사용자를 인증하는 내부 방법으로 EAP-TLS를 사용하는 TEAR 성공하려면 EAP-TLS(독립 실행형 또는 TEAP 방법) 클라이언트가 이러한 요구 사항을 충족해야 합니다:
그들의 인증서는 유효하며 취소되지 않았으며 OCSP에서 확인했습니다.
클라이언트의 사용자 이름이 AD의 계정과 일치합니다.
# 클라이언트를 역할에 할당하기 위한 요구 사항
인증 후 고객은 CPPM이 다음 규칙에 따라 클라이언트를 ClearPass 역할에 할당하기를 원합니다:
* Onboard에서 발급한 인증서가 있는 클라이언트에게는 "모바일 온보드" 역할이 할당됩니다.
* TEAP 방법 1을 통과한 클라이언트에는 "도메인-컴퓨터" 역할이 할당됩니다. AD 그룹 "의료"의 클라이언트에는 "의료-직원" 역할이 할당됩니다. AD 그룹 "수신"의 클라이언트에는 "수신-직원" 역할이 할당됩니다. 고객은 다음과 같이 인증된 클라이언트를 AOS 방화벽 역할에 할당하기 위해 CPPM을 요구합니다:
* 모바일 온보드 클라이언트의 의료진을 "의료-모바일" 방화벽 역할에 할당합니다.
* 다른 모바일 온보드 클라이언트를 "모바일-기타" 방화벽 역할에 할당하기
* 도메인 컴퓨터의 의료진을 '의료 도메인' 방화벽 역할에 할당하기
* 도메인 컴퓨터의 모든 접수 담당자를 "접수 도메인" 방화벽 역할로 전환합니다.
* "컴퓨터 전용" 방화벽 역할에 로그인한 유효한 사용자가 없는 모든 도메인 컴퓨터
* 다른 클라이언트의 액세스 거부
# 기타 요구 사항
ClearPass 서버와 온프레미스 AD 도메인 컨트롤러 간의 통신은 암호화해야 합니다.
# 네트워크 토폴로지
네트워크 인프라의 경우, 이 고객은 아루바 AP와 아루바 게이트웨이를 보유하고 있으며, Central에서 관리합니다. AP는 트래픽을 게이트웨이 클러스터로 터널링하는 터널링된 WLAN을 사용합니다. 또한 이 고객은 현재 Central에서 관리하지 않는 AOS-CX 스위치를 보유하고 있습니다.

# 클리어패스 클러스터 IP 주소 및 호스트 이름
고객의 클리어패스 클러스터에는 이러한 IP 주소가 있습니다:
* 게시자 = 10.47.47.5
* 구독자 1 = 10.47.47.6
* 구독자 2 = 10.47.47.7
* 가입자 1 및 가입자 2의 가상 IP = 10.47.47.8
고객의 DNS 서버에는 다음과 같은 항목이 있습니다.
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
아래 그림과 같이 모바일 클라이언트에 인증서를 발급하기 위한 고객의 요구 사항을 충족하기 위해 CA를 만들기 시작했습니다.

이러한 요구 사항과 클라이언트 인증 요건을 충족하는 데 도움이 되는 변경 사항은 무엇인가요?

Q31. 시나리오를 참조하세요.
고객이 온-프레미스 AD에서 유일한 도메인 솔루션으로 Azure AD로 마이그레이션하고 있습니다. 또한 이 고객은 Microsoft Endpoint Manager(Intune)를 사용하여 유선 및 무선 디바이스를 모두 관리합니다.
고객이 네트워크 엣지의 보안을 개선하고자 합니다. 귀사는 고객이 이러한 목적을 위해 ClearPass 구축을 설계하도록 돕고 있습니다. 아루바 네트워크 장치는 무선 및 유선 클라이언트를 아루바 클리어패스 정책 관리자(CPPM) 클러스터(버전 6.10 사용)에 인증합니다.
고객에게는 인증에 대한 몇 가지 요구 사항이 있습니다. 클라이언트는 Azure AD에 대한 쿼리에서 Azure AD에 계정이 있는 것으로 표시되는 경우에만 EAP-TLS 인증을 통과해야 합니다. 클라이언트의 권한을 더욱 세분화하기 위해 ClearPass는 Intune에서 수집한 정보를 사용하여 액세스 제어 결정을 내려야 합니다.
Azure AD 배포에 적절한 사전 요구 사항이 설정되어 있다고 가정합니다.
에서 인증 소스로 참조할 CPPM 인증 소스를 계획하고 있습니다.
802.1X 서비스.
이 인증 소스는 어떻게 설정해야 하나요?

Q32. 독립형 아루바 모빌리티 컨트롤러(MC)에 인증서를 설치해야 합니다. MC는 웹 UI에 인증서를 사용해야 하며, 아루바 클리어패스 정책 관리자와 함께 RadSec을 구현해야 합니다. 이러한 설정이 포함된 인증서가 제공됩니다:
Subject: CN=mc41.site94.example.com
SAN 없음
발급자: CN=ca41.example.com
EKU: 서버 인증, 클라이언트 인증
이 인증서의 사용 목적에 대해 어떤 문제가 있나요?

Q33. 클리어패스 정책 관리자(CPPM) 엔드포인트 리포지토리에서 엔드포인트 항목을 검토하고 있습니다.
누군가 네트워크에 무단으로 액세스하려고 했다는 좋은 신호는 무엇인가요?

Q34. 시나리오를 참조하세요.
한 조직에서 RADIUS 서버(cp.acnsxtest.local)가 시간당 비정상적인 수의 클라이언트 인증 요청을 거부하는 경우 AOS-CX 스위치에서 경고를 트리거하기를 원합니다. 다른 아루바 관리자와 몇 차례 논의한 후에도 얼마나 많은 거부가 일반적인지 또는 비정상적인지 아직 확실하지 않습니다. 스위치마다 값이 다를 수 있다고 예상합니다.
개발자가 이 사용 사례에 대한 NAE 스크립트를 개발하는 방법을 이해하도록 돕고 있습니다.
개발자는 다음과 같은 로직으로 규칙을 정의할 계획이라고 설명합니다:
모니터 > 값
그러나 개발자는 어떤 값을 포함할지 묻습니다.
무엇을 추천하나요?

Q35. 전시회를 참조하세요.

아루바 클리어패스 정책 관리자(CPPM)는 예시에 표시된 설정을 사용하고 있습니다. 아루바 AP, 아루바 게이트웨이, AOS-CX 스위치를 비롯한 여러 유형의 NAS와 관련된 시행 정책에서 예시에 표시된 태그를 참조합니다.
고객이 태그에 따라 재분류되어 올바른 처우를 받으려면 어떻게 해야 하나요?

Q36. AOS-CX 스위치 포트에서 BPDU 필터링과 BPDU 보호는 언제 구현하나요?

Q37. 시나리오를 참조하세요.
고객은 아루바 모빌리티 컨트롤러(MC)에서 "의료-모바일" AOS 방화벽 역할을 하는 클라이언트에 대해 이러한 권한이 필요합니다:
DHCP를 통한 IP 주소 수신 허용
* 10.8.9.7 및 다른 서버에서 DNS 서비스에 대한 액세스가 허용됨
* 10.1.0.0/16 범위의 모든 서브넷에 대한 액세스 허용(10.1.12.0/22에 대한 액세스 거부 제외)
* 다른 10.0.0.0/8 서브넷에 대한 액세스 거부
* 인터넷에 대한 허용된 액세스
* SSH 트래픽을 전송하는 경우 일정 기간 동안 무선랜 액세스가 거부됩니다.
* 텔넷 트래픽을 전송하는 경우 일정 기간 동안 무선랜 액세스가 거부됩니다.
* 모든 고위험 웹사이트에 대한 액세스 거부
외부 장치는 '의료용 모바일' 클라이언트와 세션을 시작하도록 허용해서는 안 되며, 리턴 트래픽만 보내도록 허용해야 합니다.
아래 예시에서는 역할에 대한 구성을 보여줍니다.

이 구성에는 여러 가지 문제가 있습니다. 시나리오 요구 사항을 충족하기 위해 반드시 변경해야 하는 한 가지 사항은 무엇인가요? (옵션에서 정책의 규칙은 위에서 아래로 참조됩니다. 예를 들어
"의료-모바일" 규칙 1은 "IPV4 모든 모든 SVC-DHCP 허용", 규칙 8은 "IPV4 모든 모든 허용").

Q38. 고객은 사용자가 Intune에 새 유선 클라이언트를 등록할 수 있는 방법이 필요합니다. 클라이언트는 등록하고 인증서를 받을 수 있는 제한된 액세스 권한만 가져야 합니다. "프로비저닝"이라는 이름의 AOS-CX 역할에서 이러한 권한을 설정할 계획입니다. 고객의 보안 팀에서 이러한 클라이언트의 인터넷 액세스를 필요한 사이트로만 제한해야 한다고 지시합니다. 스위치 소프트웨어는 "프로비저닝" 역할에 적용되는 규칙에 대해 IPv4 및 IPv6 주소를 지원합니다.
무엇을 추천하나요?

Q39. 아루바 센트럴에서 게이트웨이 IDS/IPS 설정을 구성하고 있습니다.
어떤 이유로 실패 전략을 우회로 설정하시겠습니까?

Q40. 전시회를 참조하세요.

고객은 VLAN 4에서 ARP 중독에 대한 보호가 필요합니다. 아래에는 AOS-CX 액세스 레이어 스위치의 VLAN 4 및 VLAN 4 관련 물리적 인터페이스에 대한 모든 설정이 나열되어 있습니다:

이 구성의 한 가지 문제점은 무엇인가요?

Q41. 아루바 센트럴에서 게이트웨이 IDS/IPS 설정을 구성하고 있습니다.
어떤 이유로 실패 전략을 우회로 설정하시겠습니까?

Q42. 시나리오를 참조하세요.
고객은 아루바 모빌리티 컨트롤러(MC)에서 "의료-모바일" AOS 방화벽 역할을 하는 클라이언트에 대해 이러한 권한이 필요합니다:
DHCP로 IP 주소 수신 허용
* 10.8.9.7 및 다른 서버에서 DNS 서비스에 대한 액세스가 허용됨
* 10.1.0.0/16 범위의 모든 서브넷에 대한 액세스 허용(10.1.12.0/22에 대한 액세스 거부 제외)
* 다른 10.0.0.0/8 서브넷에 대한 액세스 거부
* 인터넷에 대한 허용된 액세스
* SSH 트래픽을 전송하는 경우 일정 기간 동안 무선랜 액세스가 거부됩니다.
* 텔넷 트래픽을 전송하는 경우 일정 기간 동안 무선랜 액세스가 거부됩니다.
* 모든 고위험 웹사이트에 대한 액세스 거부
외부 장치는 '의료용 모바일' 클라이언트와 세션을 시작하도록 허용해서는 안 되며, 리턴 트래픽만 보내도록 허용해야 합니다.
아래 예시에서는 역할에 대한 구성을 보여줍니다.

구성에 여러 가지 문제가 있습니다.
시나리오 요구 사항을 충족하기 위해 정책에서 변경해야 하는 사항 중 하나는 무엇인가요? (옵션에서 정책의 규칙은 위에서 아래로 참조됩니다. 예를 들어, "의료-모바일" 규칙 1은 "ipv4 any any svc-dhcp 허용"이고 규칙 8은 "ipv4 any any any 허용"입니다.)

Q43. 시나리오를 참조하세요.
# 고객 소개
귀하는 아루바 네트워크 인프라 장치를 사용하는 회사의 네트워크에 아루바 클리어패스를 추가하는 것을 돕고 있습니다.
회사에는 현재 Windows 도메인과 Windows CA가 있습니다. Windows CA는 도메인 컴퓨터, 도메인 사용자 및 도메인 컨트롤러와 같은 서버에 인증서를 발급합니다. Windows CA에서 발급한 인증서의 예가 여기에 나와 있습니다.


이 회사는 모바일 클라이언트를 관리하기 위해 Microsoft 엔드포인트 관리자(Intune)를 추가하는 작업을 진행 중입니다.
고객은 현재 온-프레미스 AD를 유지 관리하고 있으며 Azure AD Connect를 사용하여 Azure AD와 동기화합니다.
# 모바일 클라이언트에 인증서를 발급하기 위한 요구 사항
이 회사는 ClearPass Onboard를 사용하여 Intune에 등록된 모바일 클라이언트에 인증서를 자동으로 배포하려고 합니다. 이 프로세스 중에 Onboard는 Azure AD와 통신하여 클라이언트의 유효성을 검사해야 합니다. 즉, 구독자 1이 다운된 경우 클라이언트가 구독자 2에서 인증서를 받을 수 있어야 합니다.
Intune 관리자는 장치를 등록한 사용자의 UPN을 사용하여 UPN SAN을 포함하는 인증서 프로필을 만들려고 합니다.
# 클라이언트 인증을 위한 요구 사항
고객은 모든 유형의 클라이언트가 동일한 회사 SSID로 연결하고 인증해야 합니다.
회사는 CPPM이 이러한 인증 방법을 사용하기를 원합니다:
* Intune에 등록된 모바일 클라이언트에서 사용자를 인증하는 EAP-TLS
* Windows 도메인 컴퓨터 및 해당 컴퓨터의 사용자를 인증하는 내부 방법으로 EAP-TLS를 사용하는 TEAR 성공하려면 EAP-TLS(독립 실행형 또는 TEAP 방법) 클라이언트가 이러한 요구 사항을 충족해야 합니다:
그들의 인증서는 유효하며 취소되지 않았으며 OCSP에서 확인했습니다.
클라이언트의 사용자 이름이 AD의 계정과 일치합니다.
# 클라이언트를 역할에 할당하기 위한 요구 사항
인증 후 고객은 CPPM이 다음 규칙에 따라 클라이언트를 ClearPass 역할에 할당하기를 원합니다:
* Onboard에서 발급한 인증서가 있는 클라이언트에게는 "모바일 온보드" 역할이 할당됩니다.
* TEAP 방법 1을 통과한 클라이언트에는 "도메인-컴퓨터" 역할이 할당됩니다. AD 그룹 "의료"의 클라이언트에는 "의료-직원" 역할이 할당됩니다. AD 그룹 "수신"의 클라이언트에는 "수신-직원" 역할이 할당됩니다. 고객은 다음과 같이 인증된 클라이언트를 AOS 방화벽 역할에 할당하기 위해 CPPM을 요구합니다:
* 모바일 온보드 클라이언트의 의료진을 "의료-모바일" 방화벽 역할에 할당합니다.
* 다른 모바일 온보드 클라이언트를 "모바일-기타" 방화벽 역할에 할당하기
* 도메인 컴퓨터의 의료진을 '의료 도메인' 방화벽 역할에 할당하기
* 도메인 컴퓨터의 모든 접수 담당자를 "접수 도메인" 방화벽 역할로 전환합니다.
* "컴퓨터 전용" 방화벽 역할에 로그인한 유효한 사용자가 없는 모든 도메인 컴퓨터
* 다른 클라이언트의 액세스 거부
# 기타 요구 사항
ClearPass 서버와 온프레미스 AD 도메인 컨트롤러 간의 통신은 암호화해야 합니다.
# 네트워크 토폴로지
네트워크 인프라의 경우, 이 고객은 아루바 AP와 아루바 게이트웨이를 보유하고 있으며, Central에서 관리합니다. AP는 트래픽을 게이트웨이 클러스터로 터널링하는 터널링된 WLAN을 사용합니다. 또한 이 고객은 현재 Central에서 관리하지 않는 AOS-CX 스위치를 보유하고 있습니다.

# 클리어패스 클러스터 IP 주소 및 호스트 이름
고객의 클리어패스 클러스터에는 이러한 IP 주소가 있습니다:
* 게시자 = 10.47.47.5
* 구독자 1 = 10.47.47.6
* 구독자 2 = 10.47.47.7
* 가입자 1 및 가입자 2의 가상 IP = 10.47.47.8
고객의 DNS 서버에는 다음과 같은 항목이 있습니다.
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
무선 클라이언트에 대한 플로우 속성은 볼 수 없습니다.
무엇을 확인해야 하나요?

Q44. 시나리오를 참조하세요.
한 조직에서 RADIUS 서버(cp.acnsxtest.local)가 시간당 비정상적인 수의 클라이언트 인증 요청을 거부하는 경우 AOS-CX 스위치에서 경고를 트리거하기를 원합니다. 다른 아루바 관리자와 몇 차례 논의한 후에도 얼마나 많은 거부가 일반적인지 또는 비정상적인지 아직 확실하지 않습니다. 스위치마다 값이 다를 수 있다고 예상합니다.
개발자가 이 사용 사례에 대한 NAE 스크립트를 개발하는 방법을 이해하도록 돕고 있습니다.
고객이 AOS-CX 스위치용 NAE 스크립트를 정의하는 것을 돕고 있습니다. 이 스크립트는 스위치에 정의된 RADIUS 서버의 통계를 모니터링합니다. 관리자가 스크립트에서 에이전트를 만들 때 모니터링되는 RADIUS 서버에 대해 다른 호스트 이름이나 IP 주소를 선택할 수 있도록 하여 스크립트를 향후에도 사용할 수 있도록 하려고 합니다.
무엇을 추천하나요?