ExamenRedes – Examen, preguntas y respuestas Redes De Computadores Examenes de Redes
Última actualización: junio 7, 2026
CCNA2 v7.0 (SRWE) Examen Final del Curso Respuestas
CCNA 2 v7 Switching, Routing, y Wireless Essentials (Versión 7.00) 7.02 Examen Final de SRWE Preguntas y Respuestas Español
1. Los usuarios se quejan de un acceso esporádico a Internet cada tarde. ¿Qué se debe hacer o verificar?
- Compruebe que no hay una ruta predeterminada en ninguna de las tablas de enrutamiento del router perimetral.
- Cree una ruta estática flotante a esa red.
- Cree rutas estáticas a todas las redes internas y una ruta predeterminada a Internet.
- Compruebe las estadísticas de la ruta predeterminada para la sobresaturación.
El acceso esporádico o intermitente en horarios específicos (como las tardes) indica congestión o saturación en el ancho de banda del enlace principal. Al revisar las estadísticas de la ruta predeterminada (gateway of last resort), se pueden confirmar los descartes de paquetes por saturación.
2. Consulte la ilustración. ¿Qué hará el router R1 con un paquete que tiene una dirección IPv6 de destino 2001:db8:cafe:5::1?
- Descartará el paquete
- Reenviará el paquete por GigabitEthernet0/0.
- Reenviará el paquete por Serial0/0/0.
- Reenviará el paquete por GigabitEthernet0/1.
La ruta::/0 es la forma comprimida de la ruta predeterminada 0000:0000:0000:0000:0000:0000:0000:0000/0. La ruta predeterminada se usa si no se encuentra una ruta más específica en la tabla de enrutamiento.
3. Haga coincidir el número de paso con la secuencia de etapas que se producen durante el proceso de conmutación por error de HSRP. (No se utilizan todas las opciones).
4. Seleccione los tres modos de establecimiento de canales PAgP. (Escoja tres opciones).
- alternativo
- auto
- designado
- activo
- deseado
- on
El protocolo PAgP (propiedad de Cisco) utiliza tres modos específicos para negociar y establecer EtherChannel:
- on: Fuerza la interfaz a formar el canal sin intercambiar paquetes PAgP.
- deseado: Inicia activamente la negociación con otros puertos del switch vecino.
- auto: Coloca la interfaz en un estado pasivo donde responde a las negociaciones iniciadas por otros, pero no las inicia.
5. Consulte la exhibición. Un switch de capa 3 se encarga del routing para tres VLAN y se conecta a un router para obtener conectividad a Internet. ¿Cuáles son las dos configuraciones que se aplicarían al switch? (Elija dos).
(config)# interface vlan 1
(config-if)# ip address 192.168.1.2 255.255.255.0
(config-if)# no shutdown
(config)# interface gigabitethernet 1/1
(config-if)# no switchport
(config-if)# ip address 192.168.1.2 255.255.255.252
(config)# ip routing
(config)# interface gigabitethernet1/1
(config-if)# switchport mode trunk
(config)# interface fastethernet0/4
(config-if)# switchport mode trunk
Para que un switch de Capa 3 se conecte a un router y realice el enrutamiento inter-VLAN, necesita dos configuraciones fundamentales: el comando global ip routing para activar sus funciones de enrutador, y convertir el puerto físico conectado al router en un puerto enrutado (Layer 3) mediante el comando no switchport, lo que permite asignarle directamente una dirección IP en la misma subred que la interfaz Gi0/0 del router R1 ($192.168.1.0/30$).
6. El enrutamiento entre VLAN exitoso ha estado funcionando en una red con varias VLAN a través de varios switches durante algún tiempo. Cuando falla un vínculo troncal entre switch y el protocolo de árbol de expansión muestra un vínculo troncal de copia de seguridad, se informa de que los hosts de dos VLAN pueden acceder a algunos recursos de red, pero no a todos los que se podía acceder anteriormente. Los hosts de todas las demás VLAN no tienen este problema. ¿Cuál es la causa más probable de este problema?
- También falló el enrutamiento entre VLAN cuando falló el enlace troncal.
- Las VLAN permitidas en el vínculo de copia de seguridad no se configuraron correctamente.
- Error en el protocolo de enlace troncal dinámico en el vínculo.
- Se ha deshabilitado la función de puerto perimetral protegido en las interfaces troncal de respaldo.
Cuando el protocolo STP activa un enlace troncal de respaldo (backup) y el problema de conectividad afecta solo a ciertas VLAN específicas (mientras las demás funcionan bien), significa que el enlace troncal está operativo pero su lista de VLAN permitidas (allowed VLANs) está incompleta. Al no tener incluidas esas dos VLAN en la configuración del nuevo puerto troncal, el switch descarta su tráfico al intentar cruzar el enlace.
7. Consulte la ilustración. El administrador de red configura ambos switches como se muestra. Sin embargo, el host C no puede hacer ping al host D y el host E no puede hacer ping al host F. ¿Qué debe hacer el administrador para habilitar esta comunicación?
- Configurar cualquier puerto de enlace troncal en el modo dinámico deseado.
- Eliminar la VLAN nativa del enlace troncal.
- Asociar los hosts A y B con la VLAN 10 en lugar de la VLAN 1.
- Incluir un router en la topología.
- Agregar el comando switchport nonegotiate a la configuración del SW2.
Ambos switches tienen sus interfaces g0/1 configuradas en modo dynamic auto (por defecto en muchos modelos o configurado explícitamente aquí). Cuando dos extremos conectados están en modo auto, ninguno de los dos inicia activamente la negociación para formar un enlace troncal, por lo que el puerto se queda operando como un puerto de acceso normal. Para que el enlace troncal se forme automáticamente mediante DTP (Dynamic Trunking Protocol), al menos uno de los dos extremos debe estar en modo dynamic desirable (dinámico deseado) o configurarse estáticamente con el comando switchport mode trunk.
8. Consulte la ilustración. Según la configuración y el resultado que se muestran, ¿por qué falta la VLAN 99?
- porque la VLAN 1 está conectada y sólo puede haber una VLAN de administración en el switch
- porque la VLAN 99 no es una VLAN de administración válida
- porque la VLAN 99 aún no se ha creado
- porque hay un problema de cableado en la VLAN 99
En la ilustración se observa que el administrador configuró la interfaz virtual de la VLAN 99 (interface vlan 99) y le asignó una dirección IP, pero el comando show vlan demuestra que esta no aparece en la base de datos de VLANs del switch. Para que una VLAN de administración (o cualquier otra VLAN) se active y aparezca en dicho comando, debe crearse explícitamente en la configuración global usando el comando vlan 99.
9. ¿Cuáles son los tres pares de modos de enlace troncal que establecen un enlace troncal funcional entre dos switches Cisco? (Elija tres).
- Dinámico deseado y enlace troncal
- Acceso y dinámico automático
- Dinámico deseado y dinámico automático
- Acceso y enlace troncal
- Dinámico automático y dinámico automático
- Dinámico deseado y dinámico deseado
El protocolo DTP (Dynamic Trunking Protocol) requiere que al menos uno de los dos extremos conectados inicie activamente la negociación para formar un enlace troncal. El modo dinámico deseado (dynamic desirable) busca activamente convertirse en trunk, por lo que logra establecer el enlace si el switch vecino está en modo troncal, modo automático (que espera pasivamente) o también en deseado.
10. Se ha configurado una ruta estática en un router. Sin embargo, la red de destino ya no existe. ¿Qué debe hacer un administrador para eliminar la ruta estática de la tabla de enrutamiento?
- Nada. La ruta estática desaparecerá por sí sola.
- Cambie la distancia administrativa para esa ruta.
- Cambie la métrica de enrutamiento para esa ruta.
- Elimine la ruta usando el comando no ip route .
Cuando la red de destino especificada en una ruta estática ya no existe, la ruta estática permanece en la tabla de enrutamiento hasta que se elimina manualmente mediante el comando no ip route.
11. Consulte la ilustración. Un administrador de redes agregó una nueva subred a la red y necesita que los hosts de dicha subred reciban direcciones IPv4 del servidor DHCPv4.
¿Qué dos comandos permiten que los hosts de la nueva subred reciban las direcciones del servidor DHCP4? (Elija dos opciones.)
- R1(config-if)# ip helper-address 10.1.0.254
- R2(config)# interface G0/0
- R1(config-if)# ip helper-address 10.2.0.250
- R2(config-if)# ip helper-address 10.2.0.250
- R1(config)# interface G0/0
- R1(config)# interface G0/1
Necesita la interfaz del router que está conectada a la nueva subred y la dirección del servidor DHCP.
12. Consulte la exhibición. Se configuró el R1 tal como se muestra. Sin embargo, la PC1 no puede recibir ninguna dirección IPv4. ¿Cuál es el problema?
- Se debe instalar un servidor de DHCP en la misma LAN que el host que recibe la dirección IP.
- No se emitió el comando ip address dhcp en la interfaz Gi0/1.
- El comando ip helper-address se aplicó en una interfaz incorrecta.
- No se configuró el R1 como servidor de DHCPv4.
El comando ip helper-address debe aplicarse en la interfaz Gi0/0. Este comando debe estar presente en la interfaz de la LAN que contiene el cliente DHCPv4 PC1 y debe dirigirse al servidor DHCPv4 correcto.
13. Consulte la ilustración. ¿Qué se puede concluir acerca de la configuración mostrada en R1?
- R1 está configurado como un agente de retransmisión DHCPv4.
- R1 transmitirá solicitudes DHCPv4 en nombre de clientes DHCPv4 locales.
- R1 enviará un mensaje a un cliente DHCPv4 local para ponerse en contacto con un servidor DHCPv4 en 10.10.10.8.
- R1 funciona como un servidor DHCPv4.
La presencia del comando ip helper-address 10.10.10.8 bajo la interfaz GigabitEthernet0/0 indica que el router interceptará los mensajes de difusión (broadcast) de los clientes DHCPv4 locales y los reenviará como unidifusión (unicast) hacia el servidor DHCPv4 remoto.
14. ¿Cuáles dos funciones son realizadas por un WLC cuando se usa el control de acceso de medios divididos (MAC)? (Escoja dos opciones).
- acuses de recibo y retransmisiones de paquetes
- Traducción de tramas a otros protocolos
- asociación y re-asociación de clientes itinerantes
- señales y respuestas de sonda
- colas de trama y priorización de paquetes
Bajo la arquitectura de MAC dividida (Split MAC), las funciones de la red inalámbrica se reparten entre el punto de acceso ligero (LAP) y el controlador LAN inalámbrico (WLC). El WLC se encarga de los procesos de Capa 3 y superiores, lo que incluye la gestión de la movilidad (como la asociación y re-asociación de clientes cuando hacen roaming) y la traducción de las tramas inalámbricas 802.11 a tramas Ethernet 802.3 antes de enviarlas a la red cableada.
15. Una compañía está implementando una red inalámbrica en la instalación de distribución en la periferia de Boston. El depósito es muy grande y necesita utilizar varios puntos de acceso. Debido a que algunos de los dispositivos de la compañía aún operan a 2.4 GHz, el administrador de red decide implementar el estándar 802.11 g. ¿Qué asignación de canales en varios puntos de acceso garantizará que los canales inalámbricos no se superpongan?
- Canales 2, 6 y 10
- Canales 1, 6 y 11
- Canales 1, 5 y 9
- Canales 1, 7 y 13
en el dominio de Norteamérica, se permiten 11 canales para redes inalámbricas de 2,4 GHz. Entre estos 11 canales, la combinación de los canales 1, 6 y 11 es la única combinación de canales que no se superponen.
16. ¿Qué protocolo debe deshabilitarse para ayudar a mitigar los ataques de VLAN?
- CDP
- DTP
- ARP
- STP
El protocolo DTP (Dynamic Trunking Protocol) gestiona la negociación automática de enlaces troncales entre switches Cisco. Si no se deshabilita, un atacante puede falsificar paquetes DTP para engañar al puerto del switch y obligarlo a entrar en modo troncal, logrando así acceso no autorizado a todas las VLAN de la red mediante un ataque de salto de VLAN (VLAN hopping attack).
17. Una política de seguridad de la compañía requiere que todas las direcciones MAC se aprendan y agreguen dinámicamente a la tabla de direcciones MAC y a la configuración en ejecución en cada switch. ¿Qué configuración de seguridad de puertos logrará esto?
- direcciones MAC autoprotegidas
- direcciones MAC seguras dinámicas
- direcciones MAC seguras estáticas
- direcciones MAC seguras persistentes
Con el direccionamiento MAC seguro y fijo, las direcciones MAC pueden ser aprendidas dinámicamente o configuradas manualmente y luego almacenadas en la tabla de direcciones y agregadas al archivo de configuración en ejecución. En contraste, el direccionamiento MAC seguro dinámico proporciona direccionamiento MAC aprendido dinámicamente que se almacena solo en la tabla de direcciones.
18. ¿Qué ataque de red se mitiga al habilitar la guardia BPDU?
- CAM ataques de desbordamiento de tabla
- Servidores DHCP no fiables en una red
- Suplantación de dirección MAC
- Switches no fiables en una red
Hay varios mecanismos de estabilidad STP recomendados para ayudar a mitigar los ataques de manipulación STP:
PortFast: se utiliza para llevar inmediatamente una interfaz configurada como un puerto de acceso o troncal al estado de reenvío desde un estado de bloqueo. Se aplica a todos los puertos de usuario final.
Protección de BPDU: deshabilita inmediatamente un error en un puerto que recibe una BPDU. Se aplica a todos los puertos de usuario final. La recepción de BPDU puede ser parte de un intento no autorizado de agregar un switch a la red.
Protección de raíz: evita que un switch se convierta en el conmutador de raíz. Se aplica a todos los puertos donde no debería ubicarse el conmutador raíz.
Loop guard: detecta enlaces unidireccionales para evitar que los puertos alternativos o raíz se conviertan en puertos designados. Se aplica a todos los puertos que están o pueden dejar de estar designados.
19. Un nuevo switch de capa 3 está conectado a un router y se está configurando para el enrutamiento InterVLAN. ¿Cuáles son tres de los cinco pasos necesarios para la configuración? (Escoja tres opciones).
- modificando la VLAN predeterminada
- habilitar el routing IP
- creando interfaces SVI
- asignando los puertos a la VLAN nativa
- asignando puertos a VLANs
- ajustando la métrica de ruta
- eliminando la VLAN predeterminada
Caso 2:
- habilitar el routing IP
- ingresando «sin switchport» en el puerto conectado al router
- ajustando la métrica de ruta
- instalando una ruta estática
- asignando los puertos a la VLAN nativa
- eliminando la VLAN predeterminada
- asignando puertos a VLANs
Caso 3:
- habilitar el routing IP
- eliminando la VLAN predeterminada
- ingresando «sin switchport» en el puerto conectado al router
- establecimiento de adyacencias
- asignar puertos a las VLAN
- ajustando la métrica de ruta
- asignar los puertos a la VLAN nativa
Caso 4:
- establecimiento de adyacencias
- instalando una ruta estática
- ajustando la métrica de ruta
- creando VLANs
- asignando puertos a VLANs
- creando interfaces SVI
- implementar un protocolo de enrutamiento
Para configurar el enrutamiento inter-VLAN en un switch de Capa 3, se deben seguir pasos esenciales que permitan el procesamiento de paquetes a nivel de red:
- Activar la función de enrutamiento global con el comando ip routing.
- Crear las interfaces virtuales de la VLAN (interface vlan) que actuarán como puertas de enlace.
- Definir y asignar los puertos físicos a sus respectivas VLANs (o configurar el puerto enrutado hacia el router con no switchport).
20. Un administrador de red esta configurando una WLAN. ¿Por qué cambiaría el administrador las direcciones IPv4 DHCP predeterminadas en un AP?
- para restringir el acceso a la WLAN sólo por usuarios autorizados y autenticados
- para supervisar el funcionamiento de la red inalámbrica
- para reducir el riesgo de interferencia de dispositivos externos como hornos de microondas
- para reducir la interceptación de datos o el acceso a la red inalámbrica mediante un rango de direcciones conocido
Los puntos de acceso (AP) y routers inalámbricos comerciales vienen configurados de fábrica con un rango de direcciones IPv4 DHCP predeterminado muy conocido (por ejemplo, $192.168.1.0/24$). Si un administrador mantiene estos valores por defecto, cualquier atacante o usuario no autorizado dentro del alcance de la señal inalámbrica sabrá exactamente qué subred se está utilizando, lo que le facilita escanear la red, interceptar tráfico o lanzar ataques dirigidos contra los dispositivos conectados. Cambiar este rango añade una capa básica de seguridad por oscuridad.
21. ¿Qué método de asignación de prefijo IPv6 se basa en el prefijo contenido en los mensajes RA?
- DHCPv6 con información de estado
- SLAAC
- estática
- EUI-64
El método SLAAC (Stateless Address Autoconfiguration) permite a los dispositivos externos configurar su propia dirección IPv6 global de forma automática. Este proceso se basa exclusivamente en el prefijo de red y la longitud del prefijo que el router local incluye dentro de los mensajes RA (Router Advertisement).
22. ¿Qué prefijo IPv6 está diseñado para la comunicación local de enlace?
- fe80::/10
- 2001: :/3
- fc: :/07
- ff00::/8
Las direcciones de enlace local (Link-Local Addresses) de IPv6 se utilizan para la comunicación entre dispositivos en el mismo segmento de red local. El estándar define que estas direcciones deben comenzar siempre con el prefijo
fe80::/10, lo que significa que los primeros 10 bits están fijos (1111 1110 1000 0000), abarcando en la práctica el rango desde fe80:: hasta febf::.
23. ¿Qué dos tipos de protocolos de árbol pueden provocar flujos de tráfico subóptimos asumen porque solamente una instancia de árbol de expansión para la red puenteada entero? (Elija dos).
- STP
- RSTP
- PVST+ rápido
- PVST+
- MSTP
Tanto el estándar original STP (IEEE 802.1D) como su evolución RSTP (IEEE 802.1w) asumen una única instancia de árbol de expansión para toda la red física, independientemente del número de VLANs que existan (enfoque conocido como CST o Common Spanning Tree). Esto provoca flujos de tráfico subóptimos porque todos los enlaces bloqueados y redundantes se definen globalmente, impidiendo realizar un balanceo de carga entre diferentes VLANs.
24. Consulte la ilustración. Todos los switches que se muestran son switches Cisco 2960 con la misma prioridad predeterminada y funcionan en el mismo ancho de banda. ¿Cuáles son los tres puertos que serán los puertos designados de STP? (Elija tres).
- fa0/20
- fa0/11
- fa0/21
- fa0/13
- fa0/9
- fa0/10
Dado que todos los switches tienen la misma prioridad predeterminada y funcionan en el mismo ancho de banda, el switch con la dirección MAC más baja se convierte en el puente raíz. Este sería el SW3, y todos sus puertos serían puertos designados. El SW1 tiene una dirección MAC inferior a la del SW2 y, por lo tanto, el puerto fa0/10 se convierte en el puerto designado en ese enlace.
25. Para obtener una descripción general del estado del árbol de una red conmutada, un ingeniero de red publica el comando show spanning-tree en un switch. ¿Qué dos elementos de información este comando display? (Elija dos.)
- La dirección IP de la interfaz VLAN de administración.
- El número de broadcasts recibidos en cada puerto raíz.
- El rol de los puertos en todas las VLAN.
- El BID de Root Bridge.
- El estado de puerto de VLAN nativa.
El comando show spanning-tree proporciona un resumen completo del estado de STP en el switch. Muestra la información del puente raíz, incluyendo su BID (Identificador de Puente, compuesto por prioridad y dirección MAC), para saber qué switch es el líder. También detalla el estado actual de cada interfaz física, especificando el rol del puerto (Designado, Raíz o Alternativo) y su estado de línea (Forwarding o Blocking) para cada VLAN activa.
26. Una la característica de reenvío con su tipo. (No se utilizan todas las opciones.)
27. ¿Qué afirmación describe un resultado después de interconectar varios switches LAN de Cisco?
- Existe un dominio de colisión en el switch.
- El dominio de difusión se amplía a todos los switches.
- Hay un dominio de difusión y un dominio de colisión por switch.
- Las colisiones de las tramas aumentan en los segmentos que conectan los switches.
en los switches LAN de Cisco, la microsegmentación hace posible que cada puerto represente un segmento separado y, por lo tanto, cada puerto del switch representa un dominio de colisión separado. Este hecho no cambiará cuando se interconecten varios conmutadores. Sin embargo, los conmutadores de LAN no filtran las tramas de difusión. Una trama de difusión se envía a todos los puertos. Los conmutadores interconectados forman un gran dominio de difusión.
28. ¿Qué información usa un switch para completar la tabla de direcciones MAC?
- la dirección MAC de origen y el puerto de salida
- las direcciones MAC de origen y de destino y el puerto de salida
- las direcciones MAC de origen y de destino y el puerto de entrada
- la dirección MAC de origen y el puerto de entrada
- la dirección MAC de destino y el puerto de salida
- la dirección MAC de destino y el puerto de entrada
Para mantener la tabla de direcciones MAC, el switch usa la dirección MAC de origen de los paquetes entrantes y el puerto al que ingresan los paquetes. La dirección de destino se utiliza para seleccionar el puerto de salida.
29. ¿Qué es un método para lanzar un ataque de salto de VLAN?
- enviar direcciones IP suplantadas desde el host atacante
- Introducir un switch falso y habilitar el enlace troncal
- enviar información de VLAN nativa suplantada
- inundar el switch con direcciones MAC
El ataque de salto de VLAN (VLAN hopping) por suplantación de identidad ocurre cuando un atacante conecta una computadora o un switch falso a un puerto del switch de la víctima. Si ese puerto está configurado en modo automático o deseado por defecto (DTP habilitado), el dispositivo del atacante inicia una negociación DTP para habilitar un enlace troncal. Una vez establecido el trunk, el atacante obtiene acceso directo a todas las VLAN configuradas en la red, pudiendo enviar y recibir tráfico de cualquiera de ellas de forma no autorizada.
30. Durante el proceso de AAA, ¿cuándo se implementará la autorización?
- Inmediatamente después de que se reciben informes detallados en el paso de registro de AAA
- Inmediatamente después de que un cliente AAA envía información de autenticación a un servidor centralizado
- Inmediatamente después de la determinación de los recursos a los que puede acceder un usuario
- Inmediatamente después de la correcta autenticación en relación con una fuente de datos de AAA
A. La autorización AAA se implementa inmediatamente después de que el usuario se autentica con una fuente de datos AAA específica.
31. ¿Qué protocolo o tecnología desactiva las rutas redundantes para eliminar los bucles de capa 2?
- EtherChannel
- VTP
- STP
- DTP
El protocolo STP (Spanning Tree Protocol) fue diseñado específicamente para prevenir bucles de conmutación en la Capa 2 cuando existen rutas redundantes entre switches. STP detecta estos bucles lógicos y coloca estratégicamente determinados puertos en estado de bloqueo (blocking), interrumpiendo el paso de tramas. Si un enlace activo falla, el protocolo recalcula el árbol y reactiva los puertos bloqueados para restaurar la conectividad de forma automática.
32. Consulte la ilustración. ¿Qué ruta se configuró como ruta estática en una red específica con la dirección del próximo salto?
- C 10.16.2.0/24 is directly connected, Serial0/0/0
- S 10.17.2.0/24 [1/0] via 10.16.2.2
- S 10.17.2.0/24 está directamente conectada, Serial 0/0/0
- S 0.0.0.0/0 [1/0] via 10.16.2.2
La C en una tabla de enrutamiento indica una interfaz que está activa y tiene una dirección IP asignada. La S en una tabla de enrutamiento significa que se instaló una ruta mediante el comando ip route. Dos de las entradas de la tabla de enrutamiento que se muestran son rutas estáticas a un destino específico (la red 192.168.2.0). La entrada que tiene la S que indica una ruta estática y [1/0] se configuró utilizando la dirección del siguiente salto. La otra entrada (S 192.168.2.0/24 está conectada directamente, Serial 0/0/0) es una ruta estática configurada usando la interfaz de salida. La entrada con la ruta 0.0.0.0 es una ruta estática predeterminada que se usa para enviar paquetes a cualquier red de destino que no esté específicamente listada en la tabla de enrutamiento.
33. ¿De qué manera cambia la forma en que un router administra el routing estático si se inhabilita Cisco Express Forwarding?
- Las interfaces Ethernet de accesos múltiples requieren rutas estáticas especificadas completamente para evitar incoherencias de routing.
- No se necesitan las rutas estáticas que utilizan una interfaz de salida.
- No realiza búsquedas recursivas.
- Las interfaces seriales punto a punto requieren rutas estáticas especificadas completamente para evitar incoherencias de routing.
En la mayoría de las plataformas que ejecutan IOS 12.0 o posterior, Cisco Express Forwarding está habilitado de forma predeterminada. Cisco Express Forwarding elimina la necesidad de búsquedas recursivas. Si Cisco Express Forwarding está deshabilitado, las interfaces de red de accesos múltiples requieren rutas estáticas completamente especificadas para evitar inconsistencias en sus tablas de enrutamiento. Las interfaces punto a punto no tienen este problema, porque no hay varios puntos finales. Con o sin Cisco Express Forwarding habilitado, usar una interfaz de salida al configurar una ruta estática es una opción viable.
34. Consulte la ilustración. El router R1 tiene una relación de vecino OSPF con el router ISP a través de la red 192.168.0.32. El enlace de red 192.168.0.36 debe funcionar como respaldo cuando deja de funcionar el enlace OSPF. Se emitió el comando de ruta estática flotante ip route 0.0.0.0 0.0.0.0 S0/0/1 100 en el R1, y ahora el tráfico usa el enlace de respaldo, aun cuando el enlace OSPF está activo y en funcionamiento. ¿Qué modificaciones se deben realizar al comando de ruta estática a fin de que el tráfico use solo el enlace OSPF cuando este se encuentre activo?
- Cambiar la red de destino a 192.168.0.34.
- Agregar la dirección de vecino de siguiente salto 192.168.0.36.
- Cambiar la distancia administrativa a 120.
- Cambiar la distancia administrativa a 1.
El problema con la ruta estática flotante actual es que la distancia administrativa es demasiado baja. La distancia administrativa deberá ser mayor que la de OSPF, que es 110, de modo que el enrutador solo use el enlace OSPF cuando esté activo.
35. En una página Resumen del WLC 3504 de Cisco (Avanzado > Resumen ), ¿qué pestaña permite a un administrador de red configurar una WLAN determinada con una directiva WPA2?
- SEGURIDAD
- INALÁMBRICO
- ADMINISTRACIÓN
- Redes de área local inalámbrica (WLAN)
La pestaña WLANs en la página de Summary de Cisco 3504 WLC le permite al usuario acceder a la configuración de WLAN incluyendo seguridad, QoS y mapeo de políticas.
36. ¿Cuál es el término común que se da a los mensajes de registro SNMP generados por dispositivos de red y enviados al servidor SNMP?
- Auditoría
- trampas
- Acuses de recibo
- advertencias
En el protocolo SNMP, las trampas (traps) son mensajes de alerta no solicitados que un dispositivo de red (agente SNMP) genera de forma independiente y envía inmediatamente al servidor de gestión (SNMP Manager). Se utilizan para notificar eventos críticos o cambios de estado en tiempo real (como la caída de una interfaz o una temperatura elevada) sin esperar a que el servidor realice una consulta programada.
37. Un administrador de red de una pequeña empresa publicitaria está configurando la seguridad WLAN mediante el método PSK WPA2. ¿Qué credenciales necesitan los usuarios de oficina para conectar sus portátiles a la WLAN?
- el nombre de usuario y la contraseña de la empresa a través del servicio Active Directory
- una clave que coincida con la clave en el AP
- un nombre de usuario y contraseña configurados en el AP
- una frase de contraseña de usuario
Cuando se configura una WLAN con WPA2 PSK, los usuarios inalámbricos deben conocer la clave previamente compartida para asociarse y autenticarse con el AP.
38. ¿Qué tipo de ruta estática se configura con una mayor distancia administrativa a fin de proporcionar una ruta de respaldo a una ruta descubierta por un protocolo de routing dinámico?
- Ruta estática flotante
- Ruta estática estándar
- Ruta estática predeterminada
- Ruta estática resumida
Hay cuatro tipos básicos de rutas estáticas. Las rutas estáticas flotantes son rutas de respaldo que se colocan en la tabla de enrutamiento si se pierde una ruta principal. Una ruta estática resumida agrega varias rutas en una, lo que reduce el tamaño de la tabla de enrutamiento. Las rutas estáticas estándar son rutas ingresadas manualmente en la tabla de enrutamiento. Las rutas estáticas predeterminadas crean una gateway de último recurso.
39. Consulte la ilustración. El R1 se configuró con el comando de ruta estática ip route 209.165.200.224 255.255.255.224 S0/0/0 y, en consecuencia, los usuarios en la red 172.16.0.0/16 no pueden acceder a los recursos de Internet. ¿Cómo se debe modificar esta ruta estática para permitir que el tráfico de usuarios de la LAN llegue a Internet?
- Agregar la dirección de vecino de siguiente salto 209.165.200.226.
- Cambiar la interfaz de salida a S0/0/1.
- Agregar una distancia administrativa de 254.
- Cambiar la red y la máscara de destino a 0.0.0.0 0.0.0.0.
La ruta estática en R1 se configuró incorrectamente con la red y la máscara de destino incorrectas. La red de destino y la máscara correctas son 0.0.0.0 0.0.0.0.
40. Consulte la ilustración. El router R1 actualmente utiliza una ruta de EIGRP obtenida de la Sucursal2 para acceder a la red 10.10.0.0/16. ¿Qué ruta estática flotante creará una ruta de respaldo a la red 10.10.0.0/16 en caso de que el enlace entre el R1 y la Sucursal2 deje de funcionar?
- ip route 10.10.0.0 255.255.0.0 Serial 0/0/0 100
- ip route 10.10.0.0 255.255.0.0 209.165.200.226 100
- ip route 10.10.0.0 255.255.0.0 209.165.200.225 100
- ip route 10.10.0.0 255.255.0.0 209.165.200.225 50
una ruta estática flotante debe tener una distancia administrativa mayor que la distancia administrativa de la ruta activa en la tabla de enrutamiento. El enrutador R1 está utilizando una ruta EIGRP que tiene una distancia administrativa de 90 para llegar a la red 10.10.0.0/16. Para ser una ruta de respaldo, la ruta estática flotante debe tener una distancia administrativa mayor a 90 y tener una dirección de siguiente salto correspondiente a la dirección IP de la interfaz serial de Branch1.
41. ¿Qué comando crea una ruta estática en el R2 para llegar a la PC B?
- R2(config)# ip route 172.16.2.1 255.255.255.0 172.16.3.1
- R2(config)# ip route 172.16.2.0 255.255.255.0 172.16.2.254
- R2(config)# ip route 172.16.3.0 255.255.255.0 172.16.2.254
- R2(config)# ip route 172.16.2.0 255.255.255.0 172.16.3.1
La sintaxis correcta es:
router (config) # ip route destino-red destino-máscara {siguiente-salto-dirección-ip | interfaz de salida}
Si se usa la interfaz de salida local en lugar de la dirección IP del siguiente salto, la ruta se mostrará como una ruta conectada directamente en lugar de una ruta estática en la tabla de enrutamiento. Debido a que la red a alcanzar es 172.16.2.0 y la dirección IP del siguiente salto es 172.16.3.1, el comando es R2 (config) # ip route 172.16.2.0 255.255.255.0 172.16.3.1
42. Consulte la ilustración. ¿Cuáles de las siguientes son tres conclusiones que se pueden extraer a partir del resultado que se muestra? (Elija dos).
- El canal de puerto es un canal de capa 3.
- El método de equilibrio de carga es usado puerto de origen al puerto de destino.
- El canal de puerto ID es 2.
- El grupo EtherChannel no funciona.
- La red funciona a la perfección.
Basado en la corrección de las opciones seleccionadas, la interpretación de la ilustración determina que:
- El identificador numérico asignado a la interfaz lógica grupal es el número 2 (ej. Port-channel 2 o Po2).
- El estado de las banderas (flags) al lado del Port-Channel muestra que el grupo EtherChannel no se encuentra operativo o está caído (indicado comúnmente por la combinación de letras SD o D, que significa Down / No operativo).
43. ¿Cuál es el efecto de ingresar el comando de configuración ip dhcp snooping en un switch?
- Habilita PortFast globalmente en un switch.
- Habilita manualmente un enlace troncal.
- Habilita el DHCP snooping globalmente en un Switch.
- Inhabilita las negociaciones de DTP en los puertos de enlace troncal.
El comando de configuración global
ip dhcp snooping actúa como el interruptor maestro que activa la función de seguridad DHCP Snooping en todo el switch Cisco. Una vez habilitado de forma global, el switch comienza a analizar los mensajes DHCP para construir una tabla de vinculación (DHCP snooping binding table) y mitigar ataques como la suplantación de identidad de servidores DHCP (DHCP spoofing). Sin embargo, para que funcione completamente, después se debe especificar en qué VLANs individuales se aplicará la inspección con el comando ip dhcp snooping vlan.
44. Consulte la exhibición. ¿Qué dirección MAC de destino se utiliza cuando las tramas se envían de la estación de trabajo al gateway predeterminado?
- La dirección MAC del router de reenvío
- La dirección MAC del router de reserva
- La dirección MAC del router virtual
- Las direcciones MAC de los routers de reenvío y de reserva
la dirección IP del router virtual actúa como la gateway predeterminada para todas las estaciones de trabajo. Por lo tanto, la dirección MAC que el Protocolo de resolución de direcciones devuelve a la estación de trabajo será la dirección MAC del router virtual.
45. ¿Cuáles son tres técnicas de mitigación de ataques de VLAN? (Elija tres opciones.)
- Habilitar la protección de origen.
- Usar VLAN privadas.
- Habilitar manualmente los enlaces troncales.
- Desactivar el DTP.
- Configurar la VLAN nativa en una VLAN sin usar.
- Habilitar la protección BPDU.
Se puede mitigar un ataque de VLAN desactivando el Protocolo de enlace dinámico (DTP), configurando manualmente los puertos en modo de enlace troncal y configurando la VLAN nativa de los enlaces troncales en VLAN no en uso.
46. Consulte la exhibición. Además de las rutas estáticas que direccionan el tráfico a las redes 10.10.0.0/16 y 10.20.0.0/16, el router HQ también está configurado con el siguiente comando:
ip route 0.0.0.0 0.0.0.0 serial 0/1/1
¿Cuál es el propósito de este comando?
- Los paquetes de la red 10.10.0.0/16 serán reenviados a la red 10.20.0.0/16 y los paquetes de la red 10.20.0.0/16 serán reenviados a la red 10.10.0.0/16.
- Los paquetes con una red de destino que no sea 10.10.0.0/16 ni 10.20.0.0/16 ni una red conectada directamente serán reenviados a Internet.
- Los paquetes que se reciben de Internet serán reenviados a una de las LAN conectadas al R1 o al R2.
- Los paquetes destinados a las redes que no están en la tabla de routing del HQ serán descartados.
El comando ip route 0.0.0.0 0.0.0.0 serial 0/1/1 configura una ruta estática predeterminada (o ruta por defecto) utilizando la interfaz de salida serial 0/1/1 (que comúnmente conecta el router de la empresa hacia el Proveedor de Servicios de Internet).
En redes, la dirección 0.0.0.0 0.0.0.0 representa «cualquier red». El router procesa la tabla de enrutamiento buscando siempre la coincidencia más específica. Si un paquete no coincide con las redes locales conocidas (10.10.0.0/16 y 10.20.0.0/16) ni con las interfaces directamente conectadas, el router utilizará esta ruta predeterminada como último recurso (Gateway of Last Resort), enviando todo ese tráfico desconocido hacia Internet a través de la interfaz serial indicada.
47. ¿Qué método de cifrado inalámbrico es la manera más segura?
- WEP
- WPA
- WPA2 con AES
- WPA2 con TKIP
Entre las opciones presentadas, WPA2 con AES (Advanced Encryption Standard) es el método de cifrado más seguro. AES es un algoritmo de cifrado por bloques simétrico altamente eficiente y robusto, adoptado a nivel gubernamental, que reemplazó al vulnerable protocolo TKIP (utilizado en WPA y versiones iniciales de WPA2) y al completamente obsoleto WEP.
48. Consulte la ilustración. Un administrador de red ha conectado dos switches juntos con la tecnología EtherChannel. Si STP se está ejecutando, ¿cuál será el resultado final?
- El bucle resultante creará una difusión excesiva.
- El STP bloqueará uno de los enlaces redundantes.
- Los switches equilibrarán la carga y utilizarán ambos EtherChannels para enviar paquetes.
- Ambos canales de puertos se desconectarán.
los switches Cisco admiten dos protocolos para negociar un canal entre dos switches: LACP y PAgP. PAgP es propiedad de Cisco. En la topología que se muestra, los conmutadores están conectados entre sí mediante enlaces redundantes. De forma predeterminada, STP está habilitado en los dispositivos de conmutación. STP bloqueará los enlaces redundantes para evitar bucles.
49. Consulte la ilustración. ¿Qué ruta estática introduciría un técnico de TI para crear una ruta de respaldo a la red 172.16.1.0 que solo se utiliza si la ruta principal aprendida a través de RIP falla?
- ip route 172.16.1.0 255.255.255.0 s0/0/0 91
- ip route 172.16.1.0 255.255.255.0 s0/0/0 121
- ip route 172.16.1.0 255.255.255.0 s0/0/0 111
- ip route 172.16.1.0 255.255.255.0 s0/0/0
una ruta estática de respaldo se denomina ruta estática flotante. Una ruta estática flotante tiene una distancia administrativa mayor que la distancia administrativa de otra ruta estática o ruta dinámica.
50. Después de conectar cuatro PC a los puertos del switch, configurar el SSID y establecer las propiedades de autenticación para una red de oficina pequeña, un técnico prueba correctamente la conectividad de todos los PC conectados al switch y a la WLAN. A continuación, se configura un firewall en el dispositivo antes de conectarlo a Internet. ¿Qué tipo de dispositivo de red incluye todas las características descritas?
- Router inalámbrico
- dispositivo de firewall
- switch
- punto de acceso inalámbrico independiente
Razón: Un router inalámbrico doméstico o de oficina pequeña (SOHO) es un dispositivo todo en uno que integra las funciones de múltiples componentes de red en un solo chasis físico:
- Un switch integrado (generalmente de 4 puertos) que permite conectar PCs por cable y probar su conectividad local.
- Un punto de acceso inalámbrico (AP) integrado que emite la señal de radio, maneja el SSID y gestiona las propiedades de autenticación para los clientes Wi-Fi.
- Un firewall de inspección de estado (SPI) básico incorporado para proteger la red interna.
- Un router para interconectar la red de área local con una red externa (Internet).
51. Un administrador intenta eliminar configuraciones de un switch. Luego de usar el comando erase startup-config y de volver a cargar el switch, el administrador advierte que aún existen las VLAN 10 y 100 en el switch. ¿Por qué no se eliminaron estas VLAN?
- Estas VLAN son VLAN predeterminadas que no se pueden eliminar.
- Estas VLAN no se pueden eliminar a menos que el switch esté en modo de cliente VTP.
- Estas VLAN solo se pueden eliminar del switch mediante el uso de los comandos no vlan 10 y no vlan 100 .
- Porque estas VLAN se almacenan en un archivo denominado vlan.dat que está ubicado en la memoria flash y se debe eliminar de forma manual.
Las VLAN de rango estándar (1-1005) se almacenan en un archivo llamado vlan.dat que se encuentra en la memoria flash. Borrar la configuración de inicio y volver a cargar un switch no elimina automáticamente estas VLAN. El archivo vlan.dat se debe eliminar manualmente de la memoria flash y luego se debe volver a cargar el conmutador.
52. Consulte la ilustración. ¿Cuáles son los posibles roles de puerto para los puertos A, B, C y D en esta red con el protocolo RSTP habilitado?
- Designado, raíz, alternativo, raíz
- Alternativo, designado, raíz, raíz
- Designado, alternativo, raíz, raíz
- Alternativo, raíz, designado, raíz
debido a que S1 es el puente raíz, B es un puerto designado y C y D puertos raíz. RSTP admite un nuevo tipo de puerto, puerto alternativo en estado de descarte, que puede ser el puerto A en este escenario.
53. ¿Cuál es una opción de configuración segura para el acceso remoto a un dispositivo de red?
- Configurar Telnet.
- Configurar una ACL y aplicarla a las líneas VTY.
- Configurar 802.1x.
- Configurar SSH.
El protocolo SSH (Secure Shell) proporciona una conexión de gestión remota segura a la interfaz de línea de comandos (CLI) de un dispositivo de red. A diferencia de Telnet, que transmite todas las comunicaciones (incluyendo los nombres de usuario y las contraseñas) en texto plano, SSH cifra todo el tráfico de datos entre la estación de administración y el dispositivo. Esto evita de manera efectiva que atacantes con analizadores de paquetes (sniffers) puedan interceptar o alterar las credenciales de acceso y los comandos ejecutados.
54. Una el estado de enlace con el estado de la interfaz y el protocolo. (No se utilizan todas las opciones.)
55. Consulte la ilustración. El host A envió un paquete al host B. ¿Cuáles serán las direcciones MAC e IP de origen en el paquete cuando este llegue al host B?
MAC de origen: 00E0.FE91.7799
IP de origen: 10.1.1.1
MAC de origen: 00E0.FE91.7799
IP de origen: 10.1.1.10
MAC de origen: 00E0.FE91.7799
IP de origen: 192.168.1.1
MAC de origen: 00E0.FE10.17A3
IP de origen: 10.1.1.10
MAC de origen: 00E0.FE10.17A3
IP de origen: 192.168.1.1
a medida que un paquete atraviesa la red, las direcciones de la Capa 2 cambiarán en cada salto a medida que el paquete se desencapsula y se vuelve a encapsular, pero las direcciones de la Capa 3 seguirá siendo el mismo.
56. Una la descripción el tipo de VLAN correcto. (No se utilizan todas las opciones.)
una VLAN de datos está configurada para transportar tráfico generado por el usuario. Una VLAN predeterminada es la VLAN a la que pertenecen todos los puertos del switch después del arranque inicial de un switch que carga la configuración predeterminada. Se asigna una VLAN nativa a un puerto troncal 802.1Q y se coloca tráfico sin etiquetar en él. Una VLAN de administración es cualquier VLAN que está configurada para acceder a las capacidades de administración de un switch. Se le asigna una dirección IP y una máscara de subred, lo que permite administrar el conmutador a través de HTTP, Telnet, SSH o SNMP.
57. Consulte la exhibición. Un administrador de red configura el routing entre VLAN en una red. De momento, solo se usa una VLAN, pero pronto se agregarán más. ¿Cuál es el parámetro que falta y que se muestra como signo de interrogación destacado en el gráfico?
- El que identifica el número de VLAN nativa.
- El que identifica el tipo de encapsulación que se utiliza.
- El que identifica el número de VLAN.
- El que identifica la cantidad de hosts que se permiten en la interfaz.
- El que identifica la subinterfaz.
El comando completo sería encapsulation dot1q 7. La parte encapsulation dot1q del comando admite enlaces troncales e identifica el tipo de enlace troncal a utilizar. El 7 identifica el número de VLAN.
58. Consulte la exhibición. ¿Cómo se reenvía una trama desde la PCA hacia la PCC si la tabla de direcciones MAC en el switch SW1 está vacía?
- SW1 satura todos los puertos en SW1 con la trama, a excepción del puerto a través del cual la trama ingresó al switch.
- SW1 descarta la trama porque no conoce el destino de la dirección MAC.
- SW1 reenvía la trama directamente a SW2. SW2 satura todos los puertos conectados a SW2 con la trama, a excepción del puerto a través del cual la trama ingresó al switch.
- SW1 satura todos los puertos en el switch con la trama, a excepción del puerto interconectado al switch SW2 y el puerto a través del cual la trama ingresó al switch.
cuando se enciende un interruptor, la tabla de direcciones MAC está vacía. El conmutador crea la tabla de direcciones MAC examinando la dirección MAC de origen de las tramas entrantes. El conmutador reenvía según la dirección MAC de destino que se encuentra en el encabezado de la trama. Si un switch no tiene entradas en la tabla de direcciones MAC o si la dirección MAC de destino no está en la tabla de conmutadores, el conmutador reenviará la trama a todos los puertos excepto al puerto que trajo la trama al switch.
59. Una los tipos de mensaje DHCP con el orden del proceso de DHCPv4. (No se utilizan todas las opciones).
El mensaje DHCPDISCOVER de difusión encuentra los servidores de DHCPv4 en la red. Cuando el servidor de DHCPv4 recibe un mensaje DHCPDISCOVER, reserva una dirección IPv4 disponible para arrendar al cliente y envía el mensaje de unidifusión DHCPOFFER al cliente que realiza la solicitud. Cuando el cliente recibe el mensaje DHCPOFFER del servidor, responde con un mensaje DHCPREQUEST. Al recibir el mensaje DHCPREQUEST, el servidor responde con un mensaje de unidifusión DHCPACK. DHCPREPLY y DHCPINFORMATION-REQUEST son mensajes de DHCPv6.
60. Después de que un host ha generado una dirección IPv6 usando el proceso de DHCPv6 o SLAAC, como puede el host verificar que la dirección es única y por lo tanto utilizable?
- El host envía un mensaje de solicitud echo de ICMPv6 a la dirección aprendida por DHCPv6 o SLAAC y si no reciba respuesta, la direccion se considera unica.
- El host envía una difusión de ARP al enlace local y si ningún host responde, la direccion es considerada unica.
- El host revisa el caché del vecino local buscando la direccion aprendida y su la direccion no esta en el caché, es considerada unica.
- El host envía un mensaje de solicitud de vecino ICMPv6 a la direccion aprendida por DHCPv6 o SLAAC y si no recibe anuncio de vecino de vuelta , la direccion se considera unica.
Antes de que un host pueda realmente configurar y usar una dirección IPv6 aprendida a través de SLAAC o DHCP, el host debe verificar que ningún otro host ya esté usando esa dirección. Para verificar que la dirección sea realmente única, el host envía una solicitud de vecino ICMPv6 a la dirección. Si no se devuelve ningún anuncio vecino, el host considera que la dirección es única y la configura en la interfaz.
61. ¿Qué acción se lleva a cabo cuando la dirección MAC de origen de una trama que ingresa a un switch no está en la tabla de direcciones MAC?
- El switch reemplaza la entrada anterior y usa el puerto más actual.
- El switch agrega la dirección MAC y el número de puerto entrante a la tabla.
- El switch agrega una entrada de tabla de direcciones MAC para la dirección MAC de destino y el puerto de salida.
- El switch actualiza el temporizador de actualización para la entrada.
Cuando una trama entra a un switch, el dispositivo realiza el proceso de aprendizaje examinando siempre la dirección MAC de origen. Si esa dirección MAC no se encuentra registrada en su tabla de direcciones (tabla CAM), el switch crea una nueva entrada asociando dicha dirección MAC con el número de puerto físico por el cual ingresó la trama y le asigna un temporizador de actualización.
62. Un técnico está solucionando problemas con una WLAN lenta y decide utilizar el enfoque de división del tráfico. ¿Qué dos parámetros tendrían que configurarse para hacer esto? (Escoja dos opciones).
- Configure la banda de 2.4 GHz para el tráfico básico de Internet que no es sensible al tiempo.
- Configure un SSID común para ambas redes divididas.
- Configure el modo de seguridad en WPA Personal TKIP/AES para una red y WPA2 Personal AES para la otra red
- Configure el modo de seguridad en WPA Personal TKIP/AES para ambas redes.
- Configure la banda de 5 GHz para transmitir contenido multimedia y tráfico sensible al tiempo.
El enfoque de división del tráfico (traffic splitting) es una técnica de optimización inalámbrica para mitigar la lentitud en redes congestionadas. Consiste en segmentar los dispositivos de la red aprovechando las características físicas de cada frecuencia:
- La banda de 2.4 GHz ofrece mayor alcance pero menor velocidad y ancho de banda, por lo que se destina a tráfico básico o no crítico (como navegación web general o correos electrónicos).
- La banda de 5 GHz tiene menor alcance pero velocidades de transmisión de datos significativamente mayores y menos interferencias, lo que la hace ideal para aplicaciones que consumen mucho ancho de banda o son sensibles al retardo y la latencia (como el streaming de video HD/4K y llamadas de voz/video).
63. Un administrador de red está agregando una nueva WLAN en un WLC de la serie 3500 de Cisco. ¿Qué pestaña debe usar el administrador para crear una nueva interfaz VLAN que se utilizará para la nueva WLAN?
- ADMINISTRACIÓN
- CONTROLADOR
- Redes de área local inalámbrica (WLAN)
- INALÁMBRICO
En la interfaz web de administración de un controlador LAN inalámbrico (WLC) de Cisco, la creación y gestión de interfaces lógicas (interfaces dinámicas asociadas a IDs de VLAN físicas) se realiza bajo la pestaña principal CONTROLADOR y luego navegando al menú Interfaces en el panel izquierdo. Una vez creada la interfaz lógica y asignada a su respectiva VLAN en esta pestaña, ya se puede vincular a una nueva red inalámbrica desde la pestaña WLANs.
64. ¿Qué dos configuraciones de router inalámbrico predeterminadas pueden afectar la seguridad de la red? (Elija dos opciones).
- Se difunde el SSID.
- Se habilita el filtrado de direcciones MAC.
- Se habilita el cifrado WEP.
- Se selecciona automáticamente el canal inalámbrico.
- Se configura una contraseña de administrador ampliamente conocida.
la configuración predeterminada en los enrutadores inalámbricos a menudo incluye la transmisión del SSID y el uso de una contraseña administrativa conocida. Ambos representan un riesgo de seguridad para las redes inalámbricas. El cifrado WEP y el filtrado de direcciones MAC no están configurados de forma predeterminada. La selección automática del canal inalámbrico no presenta riesgos de seguridad.
65. En comparación con las rutas dinámicas, ¿cuáles son las dos ventajas de utilizar rutas estáticas en un router? (Elija dos opciones.)
- Tardan menos tiempo para converger cuando la topología de la red cambia.
- Mejoran la seguridad de la red.
- Mejoran la eficiencia de detección de redes vecinas.
- Cambian de forma automática la ruta hacia la red de destino cuando la topología cambia.
- Utilizan menos recursos del router.
las rutas estáticas se configuran manualmente en un router. Las rutas estáticas no se actualizan automáticamente y deben reconfigurarse manualmente si cambia la topología de la red. Por lo tanto, el enrutamiento estático mejora la seguridad de la red porque no realiza actualizaciones de ruta entre los enrutadores vecinos. Las rutas estáticas también mejoran la eficiencia de los recursos al usar menos ancho de banda y no se usan ciclos de CPU para calcular y comunicar rutas.
66. Consulte la exhibición. ¿Cuál es la métrica para reenviar un paquete de datos con la dirección de destino IPv6 2001:DB8:ACAD:E:240:BFF:FED4:9DD2?
- 90
- 128
- 2170112
- 2681856
- 2682112
- 3193856
La dirección de destino IPv6 2001:db8:ACAD:E:240:BFF:FED4:9DD2 pertenece a la red de 2001:db8:ACAD:E::/64. En la tabla de enrutamiento, la ruta para reenviar el paquete tiene Serial 0/0/1 como interfaz de salida y 2682112 como costo.
67. ¿Qué protocolo o tecnología es un protocolo propietario de Cisco que se habilita automáticamente en switches 2960?
- DTP
- VTP
- EtherChannel
- STP
DTP es un protocolo propietario de Cisco que viene activado de forma predeterminada en los switches de las series Catalyst (incluyendo el modelo 2960). Su función es negociar automáticamente el establecimiento de un enlace troncal (trunk) entre dos switches conectados, así como el tipo de encapsulación a utilizar (802.1Q). Debido a que viene habilitado por defecto, los puertos del switch operan inicialmente en modo Dynamic Auto o Dynamic Desirable.
68. Un administrador de red esta configurando una WLAN. ¿Por qué el administrador usaría un controlador WLAN?
- para proporcionar un servicio priorizado para aplicaciones sensibles al tiempo
- para reducir el riesgo de que se añadan AP no autorizados a la red
- para facilitar la configuración de grupos y la administración de varias WLAN a través de un WLC
- para centralizar la administración de varias WLAN
En el modelo de arquitectura de red inalámbrica basada en la nube o centralizada de Cisco, un WLC (Wireless LAN Controller) se utiliza específicamente para simplificar las tareas operativas del administrador. En lugar de tener que configurar y gestionar individualmente cada punto de acceso autónomo de forma manual, el WLC permite agrupar los APs (Access Points) ligeros y administrar de forma masiva y unificada la configuración de múltiples WLANs (SSIDs, seguridad, políticas de red, asignación de VLANs) desde una única consola central.
69. Consulte la exhibición. Un ingeniero de red está configurando un routing IPv6 en la red. ¿Qué comando emitido en el router HQ configurará una ruta predeterminada a Internet para reenviar paquetes a una red de destino IPv6 que no se enumera en la tabla de routing?
- ip route 0.0.0.0 0.0.0.0 serial 0/1/1
- ipv6 route ::1/0 serial 0/1/1
- ipv6 route ::/0 serial 0/0/0
- ipv6 route ::/0 serial 0/1/1
En el protocolo IPv6, la ruta estática predeterminada (o ruta por defecto) equivale al 0.0.0.0 0.0.0.0 de IPv4. La sintaxis correcta en IPv6 utiliza la dirección de prefijo de todos ceros abreviada con una longitud de prefijo de cero bits, lo cual se escribe como ::/0.
El comando global se estructura siempre de la siguiente manera:
ipv6 route ::/0 [Interfaz de salida o Dirección IP del siguiente salto]
Al aplicar este comando en el router HQ, cualquier paquete cuyo destino IPv6 no coincida con ninguna ruta específica de la tabla de enrutamiento se enviará automáticamente a través de la interfaz que apunta a Internet (generalmente una interfaz serial, como serial 0/1/1).
70. Un administrador de red ha encontrado a un usuario que envía una trama 802.1Q de doble etiqueta a un switch. ¿Cuál es la mejor solución para prevenir este tipo de ataque?
- El número de VLAN nativo utilizado en cualquier tronco debe ser una de las VLAN de datos activas.
- Los puertos troncal deben configurarse con la seguridad del puerto.
- Los puertos troncal deben utilizar la VLAN predeterminada como número de VLAN nativo.
- Las VLAN para los puertos de acceso de usuario deben ser distintas de las VLAN nativas utilizadas en los puertos troncal.
Un ataque de doble etiquetado (VLAN double-tagging) requiere que el atacante esté conectado a un puerto de acceso que pertenezca a la misma VLAN que la VLAN nativa del puerto troncal. Al asegurar que las VLAN de los usuarios sean totalmente distintas a las VLAN nativas de los trunks, se elimina el requisito principal para este ataque, evitando que la trama maliciosa salte a otra VLAN.
71. Consulte la ilustración. El administrador de red está configurando la función de seguridad del puerto en el switch SWC. El administrador emitió el comando show port-security interface fa 0/2 para verificar la configuración. ¿Qué se puede concluir a partir de la salida que se muestra? (Escoja tres opciones).
- Se han detectado tres violaciones de seguridad en esta interfaz.
- Actualmente no hay ningún dispositivo conectado a este puerto.
- Las infracciones de seguridad harán que este puerto se cierre inmediatamente.
- El puerto se configura como un enlace troncal.
- Este puerto está activo actualmente.
- El modo de puerto del switch para esta interfaz es el modo de acceso.
Debido a que el recuento de violaciones de seguridad es 0, no se ha producido ninguna violación. El sistema muestra que se permiten 3 direcciones MAC en el puerto fa0/2, pero solo se ha configurado una y no se han aprendido direcciones MAC fijas. El puerto está activo debido al estado del puerto de protección. El modo de violación es lo que sucede cuando se conecta un dispositivo no autorizado al puerto. Un puerto debe estar en modo de acceso para poder activar y usar la seguridad del puerto.
72. ¿Cuáles son las dos afirmaciones que describen características de los puertos enrutados en un switch multicapa? (Elija dos opciones).
- Se debe introducir el comando interface vlan <número de vlan> para crear una VLAN en los puertos enrutados.
- Se usan para los enlaces de punto a multipunto.
- En una red conmutada, se configuran principalmente entre los switches de las capas núcleo y de distribución.
- Admiten subinterfaces, como las interfaces en los routers Cisco IOS.
- No se asocian a una VLAN determinada.
Un puerto enrutado (routed port) es una interfaz física en un switch de Capa 3 (multicapa) que actúa exactamente como la interfaz de un router convencional.
- No se asocian a una VLAN: Al configurar el comando no switchport en la interfaz, el puerto pierde todas sus propiedades de Capa 2. Ya no pertenece a ninguna VLAN, no procesa encapsulaciones de enlaces troncales ni participa en las instancias del protocolo de árbol de expansión (STP).
- Uso en la topología: En el diseño de redes jerárquicas de Cisco, estos puertos se utilizan principalmente para interconectar los switches de la capa de distribución con los de la capa de núcleo (core). Esto permite implementar un enrutamiento de alta velocidad basado en Capa 3, acelerando la convergencia de la red y eliminando la dependencia de STP en los enlaces troncales principales.
73. Un administrador de red utiliza el modelo de router-on-a-stick para configurar un switch y un router para el routing entre VLAN. ¿Qué configuración se debe aplicar al puerto del switch que se conecta al router?
- Configurarlo como puerto de enlace troncal y permitir únicamente el tráfico sin etiquetas.
- Configurar el puerto como puerto de enlace troncal y asignarlo a la VLAN1.
- Configurar el puerto como puerto de acceso y como miembro de la VLAN1.
- Configurar el puerto como puerto de enlace troncal 802.1q.
el puerto del switch que se conecta a la interfaz del router debe configurarse como un puerto troncal. Una vez que se convierte en un puerto troncal, no pertenece a ninguna VLAN en particular y reenviará el tráfico desde varias VLAN.
74. ¿Cuál es el prefijo IPv6 que se utiliza para direcciones de enlace local?
- FE80::/10
- FC00::/7
- 2001: :/3
- FF01: :/8
Las direcciones de enlace local (Link-Local Addresses) en IPv6 se utilizan para la comunicación entre dispositivos dentro del mismo segmento de red local (mismo dominio de difusión) y no son enrutables a través de Internet. El estándar de la IETF reserva específicamente el bloque de direcciones que comienza con los primeros 10 bits en uno y cero (1111 1110 1000 0000), lo que equivale al prefijo hexadecimal FE80::/10.
75. ¿Cuál es el efecto de ingresar el comando de configuración ip dhcp snooping limit rate 6 en un switch?
- Aprende dinámicamente la dirección L2 y la copia en la configuración en ejecución.
- Restringe el número de mensajes de detección, por segundo, que se recibirán en la interfaz.
- Muestra las asociaciones de direcciones IP a Mac para interfaces de switch.
- Habilita globalmente la seguridad de puerto en el switch.
El comando ip dhcp snooping limit rate [valor] se utiliza en los puertos de un switch para mitigar los ataques de agotamiento de direcciones DHCP (DHCP starvation). Su función exacta es:
- Limitar la tasa de paquetes: Define el número máximo de paquetes DHCP (como los mensajes de detección o DHCPDISCOVER) que se permiten recibir por segundo en esa interfaz específica.
- Acción ante excesos: Si un dispositivo (o un atacante) envía más de 6 paquetes DHCP en un segundo, el switch considera que se ha violado la política de seguridad, coloca la interfaz en estado de error desactivado (
err-disabled) y descarta el tráfico excedente para proteger el servidor DHCP.
76. ¿Qué acción realiza un cliente DHCPv4 si recibe más de un DHCPOFFER de varios servidores DHCP?
- Descarta ambas ofertas y envía un nuevo DHCPDISCOVER.
- Envía un DHCPNAK y vuelve a iniciar el proceso DHCP.
- Envía un DHCPREQUEST que identifica qué oferta de arrendamiento está aceptando el cliente.
- Acepta tanto mensajes DHCPOFFER y envía un DHCPACK.
Cuando un cliente DHCPv4 recibe múltiples mensajes DHCPOFFER, selecciona una de las ofertas (generalmente la primera que llega) y responde enviando un DHCPREQUEST mediante difusión (broadcast).
Este mensaje notifica formalmente al servidor seleccionado que acepta su dirección IP y, al mismo tiempo, avisa de forma implícita a los demás servidores DHCP que sus ofertas han sido rechazadas para que puedan liberar esas direcciones guardadas.
77. Consulte la ilustración. ¿Qué enlace troncal no enviará tráfico después de que el proceso de elección de puente raíz se complete?
- Enlace troncal1
- Enlace troncal2
- Enlace troncal3
- Enlace troncal4
El switch S4 se elige como el puente raíz (Root Bridge) porque posee la dirección MAC más baja (000A00031212).
Para que el switch S1 llegue al puente raíz (S4), el protocolo Spanning Tree (STP) calcula el costo de ruta más bajo. La ruta a través de S2 (S1-S2-S4) tiene un costo menor que la ruta a través de S3 (S1-S3-S4). Por lo tanto, STP coloca el puerto de S1 hacia el Enlace troncal 2 en estado de bloqueo (blocking) para evitar bucles, impidiendo que envíe tráfico.
78. Un ingeniero WLAN implementa un WLC y cinco puntos de acceso inalámbricos utilizando el protocolo CAPWAP con la función DTLS para asegurar el plano de control de los dispositivos de red. Durante la prueba de la red inalámbrica, el ingeniero de WLAN nota que el tráfico de datos se está intercambiando entre el WLC y los AP en texto sin formato y no se está cifrando. ¿Cuál es la razón más probable para esto?
- DTLS sólo proporciona seguridad de datos mediante autenticación y no proporciona cifrado para los datos que se mueven entre un hub LAN inalámbrico (WLC) y un punto de acceso (AP).
- Aunque DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP, está deshabilitado de manera predeterminada para el canal de datos.
- El cifrado de datos requiere la instalación de una licencia DTLS en cada punto de acceso (AP) antes de habilitarse en el hub de LAN inalámbrica (WLC).
- DTLS es un protocolo que sólo proporciona seguridad entre el punto de acceso (AP) y el cliente inalámbrico.
DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite comunicarse mediante cifrado y evita escuchas o manipulaciones.
DTLS está habilitado de forma predeterminada para proteger el canal de control CAPWAP, pero está deshabilitado de forma predeterminada para el canal de datos. Todo el tráfico de control y administración de CAPWAP intercambiado entre un AP y WLC está encriptado y asegurado de manera predeterminada para brindar privacidad en el plano de control y prevenir ataques Man-In-the-Middle (MITM).
79. ¿Qué método de autenticación inalámbrica depende de un servidor de autenticación RADIUS?
- WPA2 comercial
- WPA Personal
- WPA2 Personal
- WEP
WPA2 Enterprise depende de un servidor RADIUS externo para autenticar a los clientes cuando intentan conectarse. WEP y WPA / WPA2 Personal utilizan una clave previamente compartida que los clientes deben conocer para autenticarse.
80. ¿Cuáles son los dos modos VTP que permiten la creación, modificación y eliminación de las VLAN en el switch local? (Elija dos opciones.)
- Transparente
- Distribución
- Cliente
- Maestro
- Esclavo
- Servidor
El protocolo VTP (VLAN Trunking Protocol) define cómo se gestionan las VLAN en una red conmutada a través de tres modos principales:
- Servidor (Server): Es el modo por defecto. Permite crear, modificar y eliminar VLANs, y además propaga de forma automática estos cambios a los demás switches del mismo dominio VTP.
- Transparente (Transparent): Permite crear, modificar y eliminar VLANs de forma local en el propio switch. Sin embargo, no comparte sus cambios con los demás ni aplica las actualizaciones que recibe de otros servidores VTP (solo las reenvía a través de sus enlaces troncales).
81. Consulte la ilustración. ¿Qué hosts recibirán solicitudes de ARP desde el host A, considerando que el puerto Fa0/4 en ambos switches está configurado para llevar tráfico a varias VLAN? (Elija tres opciones.)
- host B
- host D
- host E
- host C
- host F
- host G
Las solicitudes ARP se envían como transmisiones. Eso significa que la solicitud ARP se envía solo a través de una VLAN específica. Los hosts de VLAN 1 solo escucharán solicitudes ARP de hosts en VLAN 1. Los hosts de VLAN 2 solo escucharán solicitudes ARP de hosts en VLAN 2.
82. ¿Cuál sería el motivo principal por el que un atacante podría lanzar un ataque de sobrecarga de la dirección MAC?
- Para que los hosts legítimos no puedan obtener una dirección MAC
- Para que el atacante pueda ejecutar un código arbitrario en el switch
- Para que el switch deje de enviar tráfico
- Para que el atacante pueda ver las tramas con destino a otros hosts
El objetivo de un ataque de desbordamiento de tabla MAC (MAC flooding) es llenar la tabla CAM del switch con miles de direcciones MAC falsas. Cuando la tabla se llena, el switch entra en un modo de falla segura y comienza a comportarse como un concentrador (hub). Esto significa que satura y reenvía todas las tramas entrantes por todos sus puertos, permitiendo al atacante interceptar y analizar el tráfico de otros hosts legítimos mediante un software de captura de paquetes (sniffer).
83. Un analista de ciberseguridad está utilizando la herramienta macof para evaluar configuraciones de switches implementados en la red troncal de una organización. ¿A qué tipo de ataque LAN se dirige el analista durante esta evaluación?
- Salto de VLAN
- Suplantación de identidad de DHCP
- VLAN double-tagging
- Desbordamiento de tabla de direcciones MAC
Macof es una herramienta de ataque de red y se utiliza principalmente para inundar conmutadores LAN con direcciones MAC.
84. ¿Qué declaración es correcta acerca de cómo un switch de Capa 2 determina cómo reenviar fotogramas?
- Solo las tramas con una dirección de destino de difusión se reenvían a todos los puertos del switch activos.
- Las tramas de unidifusión siempre se reenvían, independientemente de la dirección de destino MAC.
- El reenvío de tramas por método de corte garantiza que siempre se descarten las tramas no válidas.
- Las decisiones de reenvío de tramas se basan en la asignación de puertos y la dirección MAC en la tabla CAM.
el reenvío de tramas de corte directo lee solo los primeros 22 bytes de una trama, lo que excluye la secuencia de verificación de tramas y, por lo tanto, pueden reenviarse tramas no válidas. Además de las tramas de difusión, las tramas con una dirección MAC de destino que no está en la CAM también se desbordan en todos los puertos activos. Las tramas de unidifusión no siempre se reenvían. Las tramas recibidas con una dirección MAC de destino asociada con el puerto del switch en el que se reciben no se reenvían porque el destino existe en el segmento de red conectado a ese puerto.
85. ¿Qué tres estándares de Wi-Fi funcionan en el rango de frecuencias 2.4 GHz? (Elija tres).
- 802.11a
- 802.11g
- 802.11ac
- 802.11b
- 802.11n
Los estándares de redes inalámbricas operan en diferentes bandas de frecuencia reguladas:
- 802.11b y 802.11g: Fueron diseñados exclusivamente para operar en la banda de 2.4 GHz.
- 802.11n: Es un estándar de banda dual, lo que significa que puede operar tanto en 2.4 GHz como en 5 GHz.
- 802.11a y 802.11ac: Operan de forma exclusiva en la banda de 5 GHz.
86. Un administrador de red esta configurando una WLAN. ¿Por qué el administrador usaría varios AP ligeros?
- para proporcionar un servicio priorizado para aplicaciones sensibles al tiempo
- para facilitar la configuración de grupos y la administración de varias WLAN a través de un WLC
- para centralizar la administración de varias WLAN
- para supervisar el funcionamiento de la red inalámbrica
Los puntos de acceso ligeros (LAP – Lightweight Access Points) no funcionan de manera autónoma; requieren un Controlador de LAN Inalámbrica (WLC) para ser gestionados.
Bajo la arquitectura de MAC dividida (Split MAC), las tareas complejas de configuración, seguridad y asignación de políticas se delegan al WLC. Al implementar múltiples AP ligeros en un gran diseño de red, el administrador no necesita configurar cada dispositivo de forma individual. En su lugar, el uso de estos AP permite agruparlos y centralizar toda su administración y aprovisionamiento a través del WLC, facilitando la propagación masiva de múltiples WLAN (SSIDs) y sus respectivos perfiles de seguridad con un solo cambio en el controlador.
87. Un administrador de redes configura un nuevo switch de Cisco para el acceso de administración remota. ¿Qué tres elementos se deben configurar en el switch para realizar esta tarea? (Elija tres opciones.)
- VLAN predeterminada
- Líneas vty
- Dominio VTP
- Gateway predeterminado
- Dirección de loopback
- Dirección IP
Para habilitar el acceso de administración remota, el switch Cisco debe estar configurado con una dirección IP y una gateway predeterminada. Además, las líneas vty deben configurarse para habilitar conexiones Telnet o SSH. Una dirección de bucle invertido, una VLAN predeterminada y configuraciones de dominio VTP no son necesarias para la administración remota del switch.
88. Consulte la exhibición. Después de intentar introducir la configuración que se muestra en el router RTA, un administrador recibe un error, y los usuarios en la VLAN 20 informan que no pueden llegar a los usuarios en la VLAN 30. ¿Qué está causando el problema?
- Dot1q no admite subinterfaces.
- RTA usa la misma subred para la VLAN 20 y la VLAN 30.
- Fa0/0 no tiene ninguna dirección para usar como gateway predeterminado.
- Se debería haber emitido el comando no shutdown en Fa0/0.20 y Fa0/0.30.
En la configuración de enrutamiento inter-VLAN (Router-on-a-Stick), cada subinterfaz física debe operar en una subred IP única y diferente para que el router pueda enrutar el tráfico correctamente entre ellas.
Al observar la imagen, se ingresaron las siguientes direcciones:
- Subinterfaz Fa0/0.20: IP 192.168.3.49 con máscara 255.255.255.224 (Rango de subred: 192.168.3.32 a 192.168.3.63).
- Subinterfaz Fa0/0.30: IP 192.168.3.62 con máscara 255.255.255.224 (Rango de subred: 192.168.3.32 a 192.168.3.63).
Debido a que ambas direcciones pertenecen exactamente al mismo segmento de red (192.168.3.32/27), el router genera un comando de error por solapamiento de direcciones (overlapping) al intentar configurar la segunda interfaz, lo que impide que se active y deja a las VLANs sin comunicación.
89. Un administrador de red ha configurado un router para la operación DHCPv6 sin estado. Sin embargo, los usuarios informan de que las estaciones de trabajo no reciben información del servidor DNS. ¿Qué dos líneas de configuración del router deben verificarse para garantizar que el servicio DHCPv6 sin estado esté configurado correctamente? (Escoja dos opciones).
- La línea dns-server se incluye en la sección ipv6 dhcp pool .
- Se introduce el indicador ipv6 nd other-config-flag para la interfaz que se enfrenta al segmento LAN.
- La línea de prefijo de dirección se incluye en la sección de pool ipv6 dhcp .
- La línea de nombre de dominio se incluye en la sección ipv6 dhcp pool .
- Se introduce el indicador ipv6 nd managed-config-flag para la interfaz que se enfrenta al segmento LAN.
Para utilizar el método DHCPv6 sin estado, el enrutador debe informar a los clientes DHCPv6 para configurar una dirección IPv6 SLAAC y comunicarse con el servidor DHCPv6 para parámetros de configuración adicionales, como el DNS dirección del servidor. Esto se hace mediante el comando ipv6 nd other-config-flag ingresado en el modo de configuración de la interfaz. La dirección del servidor DNS se indica en la configuración del grupo dhcp ipv6.
90. Un administrador de redes configura la función de seguridad de puertos en un switch. La política de seguridad especifica que cada puerto de acceso debe permitir hasta dos direcciones MAC. Cuando se alcanza al número máximo de direcciones MAC, se descarta una trama con la dirección MAC de origen desconocida y se envía una notificación al servidor de syslog. ¿Qué modo de violación de seguridad se debe configurar para cada puerto de acceso?
- protect
- shutdown
- restrict
- warning
El protocolo de seguridad de puertos (Port Security) en los switches Cisco define tres modos de violación principales ante tramas con direcciones MAC desconocidas que superan el límite permitido:
- Restrict: Descarta el tráfico no autorizado, incrementa el contador de violaciones, genera un mensaje de registro (syslog) y envía una trampa SNMP sin apagar el puerto. Cumple exactamente con los requisitos de la política descrita.
- Protect: Descarta el tráfico no autorizado de forma silenciosa. No envía notificaciones de syslog ni incrementa el contador.
- Shutdown: Es el modo por defecto. Desactiva inmediatamente la interfaz colocándola en estado de error desactivado (err-disabled).
91. Un administrador de red utiliza }el comando de configuración global predeterminado portfast bpduguard del árbol de expansión para habilitar la protección BPDU en un switch. Sin embargo, la protección BPDU no está activada en todos los puertos de acceso. ¿Cuál es la causa del problema?
- Los puertos de acceso pertenecen a diferentes VLAN.
- PortFast no está configurado en todos los puertos de acceso.
- La protección BPDU debe activarse en el modo de comando de configuración de interfaz.
- Los puertos de acceso configurados con protección raíz no se pueden configurar con protección BPDU.
Cuando se habilita la protección BPDU de manera global utilizando el comando spanning-tree portfast bpduguard default, la función solo se activa automáticamente en los puertos que tienen PortFast habilitado. Si un puerto de acceso no ha sido configurado explicitamente con PortFast (o no lo ha heredado), el switch no le aplicará la protección BPDU de forma global.
92. ¿Cuáles son los dos protocolos que se usan para proporcionar autenticación de AAA basada en servidor? (Elija dos opciones.)
- Basado en MAC
- 802.1x
- SSH
- TACACS+
- SNMP
La autenticación AAA basada en servidor usa un servidor de autenticación TACACS o RADIUS externo para mantener una base de datos de nombres de usuario y contraseñas. Cuando un cliente establece una conexión con un dispositivo con AAA, el dispositivo autentica al cliente consultando los servidores de autenticación.
93. ¿Qué ataque a la red intenta crear un DoS para los clientes al evitar que obtengan un arrendamiento de DHCP?
- Ataque de tabla CAM
- Suplantación de dirección IP
- Suplantación de identidad de DHCP
- Inanición DHCP
Los ataques de inanición de DCHP son lanzados por un atacante con la intención de crear un DoS para los clientes de DHCP. Para lograr este objetivo, el atacante usa una herramienta que envía muchos mensajes DHCPDISCOVER con el fin de ceder todo el grupo de direcciones IP disponibles, negándolas así a los hosts legítimos.
94. Un administrador de red está preparando la implementación PVST+ rápido en una red de producción. ¿Cómo determinan los tipos de links rápidos PVST+ en las interfaces del switch?
- Los tipos de links deben configurarse con los comandos de configuración de puertos específicos.
- Determinan los tipos de link automáticamente.
- Los tipos de links pueden ser determinados sólo si se ha configurado portfast.
- Los tipos de links se pueden configurar solamente en los puertos de acceso configurados con una sola VLAN.
cuando se implementa Rapid PVST +, los tipos de enlaces se determinan automáticamente, pero se pueden especificar manualmente. Los tipos de enlaces pueden ser punto a punto, compartidos o perimetrales.
95. ¿Cuáles de los siguientes son dos motivos para que un administrador de red divida una red con un switch de capa 2? (Elija dos).
- Para aumentar el ancho de banda de usuario.
- Para crear menos dominios de colisiones.
- Para crear más dominios de difusión.
- Para eliminar circuitos virtuales.
- Para aislar el tráfico entre segmentos.
- Para aislar los mensajes de solicitud de ARP del resto de la red.
un switch tiene la capacidad de crear conexiones temporales punto a punto entre los dispositivos de red de transmisión y recepción conectados directamente. Los dos dispositivos tienen conectividad full-duplex de ancho de banda completo durante la transmisión.
96. ¿Qué acción se lleva a cabo cuando una trama que ingresa a un switch tiene una dirección MAC de destino de unidifusión que aparece en la tabla de direcciones MAC?
- El switch actualiza el temporizador de actualización para la entrada.
- El switch purga toda la tabla de direcciones MAC.
- El switch reemplaza la entrada anterior y usa el puerto más actual.
- El switch reenvía la trama fuera del puerto especificado.
Cuando una trama entra a un switch y su dirección MAC de destino es de unidifusión (unicast), el switch busca esa dirección en su tabla de direcciones MAC (tabla CAM):
- Coincidencia encontrada: Si la dirección ya está registrada, el switch realiza un reenvío dirigido, enviando la trama únicamente por el puerto específico asociado a esa dirección MAC. Esto evita saturar la red con tráfico innecesario.
- Nota sobre las otras opciones: El proceso de actualizar los temporizadores o reemplazar entradas por cambios de puerto ocurre únicamente cuando el switch analiza la dirección MAC de origen de la trama entrante, no la de destino.
97. Consulte la ilustración.¿Qué comando static route se puede ingresar en R1 para reenviar tráfico a la LAN conectada a R2?
- ruta ipv6 2001:db 8:12:10: :/64 S0/0/1 2001:db 8:12:10: :1
- ruta ipv6 2001:db 8:12:10: :/64 S0/0/1 fe80: :2
- ruta ipv6 2001:db 8:12:10: :/64 S0/0/0 fe80: :2
- ruta ipv6 2001:db 8:12:10: :/64 S0/0/0
Para configurar una ruta estática en IPv6 hacia una red remota (la LAN de R2, 2001:db8:12:10::/64), se requiere especificar la interfaz de salida y la dirección link-local del siguiente salto (next-hop) en la conexión punto a punto:
- Prefijo de destino:
2001:db8:12:10::/64es la red a la que queremos llegar. - Interfaz de salida:
S0/0/1es la interfaz serial de R1 conectada hacia R2. - Dirección de siguiente salto:
fe80::2es la dirección link-local configurada en la interfaz S0/0/0 de R2.
El uso de la dirección link-local del vecino junto con la interfaz local es la práctica recomendada y necesaria en enlaces seriales IPv6 para asegurar que el router sepa exactamente hacia dónde reenviar el tráfico en el segmento compartido.
98. Consulte la ilustración. Un administrador de red revisa la configuración del switch S1. ¿Qué protocolo se implementó para agrupar varios puertos de físicos en un único enlace lógico?
- DTP
- Protocolo de control de agregación de enlaces (LACP)
- PAgP
- STP
Tema El protocolo de EtherChannel PAgP permite la agrupación de interfaces físicas y utiliza los modos automático y deseado. El protocolo de EtherChannel LACP permite la agrupación de interfaces físicas y utiliza los modos pasivo y activo. DTP y STP no se usan para agrupar varias interfaces físicas en un único enlace lógico.
99. Consulte la ilustración. ¿Qué afirmación que se muestra en el resultado permite que el router R1 responda a las solicitudes de DHCPv6 sin información de estado?
- prefix-delegation 2001:DB8:8::/48 00030001000E84244E70
- ipv6 unicast-routing
- dns-server 2001:DB8:8::8
- ipv6 dhcp server LAN1
- ipv6 nd other-config-flag
El comando de interfaz ipv6 nd other-config-flag permite enviar mensajes RA en esta interfaz, lo que indica que hay información adicional disponible desde un servidor DHCPv6 sin estado.
100. ¿Cuál es el efecto de ingresar el comando shutdown configuration en un switch?
- Permite la protección BPDU en un puerto específico.
- Permite portfast en una interfaz de switch específica.
- Deshabilita DTP en una interfaz que no sea troncal.
- Deshabilita un puerto no utilizado.
El comando shutdown (en el modo de configuración de interfaz) se utiliza para apagar administrativamente un puerto del switch. Es una práctica de seguridad recomendada deshabilitar todos los puertos no utilizados para evitar que dispositivos no autorizados puedan conectarse a ellos y obtener acceso a la red de forma inadvertida.
101. ¿Qué protocolo o tecnología requiere que los switches estén en modo servidor o modo cliente?
- EtherChannel
- VTP
- DTP
- STP
El VTP (VLAN Trunking Protocol) es un protocolo de gestión de VLANs de Cisco que utiliza modos de funcionamiento específicos para sincronizar la base de datos de VLANs a través de la red:
- Modo Servidor: Permite crear, modificar y eliminar VLANs, y propaga estos cambios a otros switches en el dominio.
- Modo Cliente: El switch no puede crear ni modificar VLANs localmente; recibe y procesa las actualizaciones de VLAN enviadas por un switch en modo servidor.
- Modo Transparente: El switch no participa en el VTP, pero reenvía los anuncios VTP que recibe; permite crear VLANs de forma local.
Los otros protocolos listados (EtherChannel, DTP y STP) no utilizan esta jerarquía de servidor/cliente para su funcionamiento.
102. ¿Por qué se requiere la indagación DHCP cuando se utiliza la función de inspección dinámica de ARP?
- Utiliza la tabla de direcciones MAC para verificar la dirección IP predeterminada de la puerta de enlace.
- Se basa en la configuración de puertos de confianza y no de confianza establecida por la indagación DHCP.
- Utiliza la base de datos de enlace de dirección MAC a dirección IP para validar un paquete ARP.
- Redirige las solicitudes ARP al servidor DHCP para su verificación.
DAI se basa en el espionaje DHCP. La indagación de DHCP escucha los intercambios de mensajes de DHCP y crea una base de datos de enlaces de tuplas válidas (dirección MAC, dirección IP, interfaz VLAN).
Cuando DAI está habilitado, el conmutador descarta el paquete ARP si la dirección MAC del remitente y la dirección IP del remitente no coinciden con una entrada en la base de datos de enlaces de indagación DHCP. Sin embargo, se puede superar mediante asignaciones estáticas. Las asignaciones estáticas son útiles cuando los hosts configuran direcciones IP estáticas, no se puede ejecutar la indagación DHCP o cuando otros conmutadores de la red no ejecutan la inspección ARP dinámica. Una asignación estática asocia una dirección IP a una dirección MAC en una VLAN.
103. ¿Cuáles son las tres afirmaciones que describen con precisión las configuraciones de dúplex y de velocidad en los switches Cisco 2960? (Elija tres).
- La configuración de dúplex y de velocidad de cada puerto del switch se puede establecer manualmente.
- Habilitar la negociación automática en un hub evita incompatibilidades de velocidad de puertos al conectar el hub al switch.
- La característica de autonegociación se encuentra inhabilitada de manera predeterminada.
- De manera predeterminada, la velocidad se establece en 100 Mb/s, y el modo dúplex se establece en la opción de autonegociación.
- Cuando la velocidad se establece en 1000 Mb/s, los puertos del switch funcionan en modo full-duplex.
- Una falla de autonegociación puede ocasionar problemas de conectividad.
Configuración manual: Los administradores pueden forzar la velocidad (speed) y el modo dúplex (duplex) mediante comandos en el modo de configuración de interfaz si es necesario.
Velocidad de 1000 Mb/s: Según los estándares IEEE para Gigabit Ethernet, esta velocidad en switches Cisco opera obligatoriamente en modo full-duplex.
Falla de autonegociación: Si un extremo intenta autonegociar y el otro está configurado manualmente (o si ambos fallan en el proceso de negociación), se produce una discrepancia de dúplex o velocidad, lo que genera errores de trama, alta tasa de colisiones y fallos de conectividad.
104. ¿Cuál es una de las desventajas del método de base de datos local para proteger el acceso a dispositivos que se puede resolver usando AAA con servidores centralizados?
- Es muy vulnerable a los ataques de fuerza bruta porque no tiene nombre de usuario.
- No se puede proporcionar responsabilidad.
- Las cuentas de usuario deben configurarse localmente en cada dispositivo, por lo que la solución de autenticación no es escalable.
- Las contraseñas solo se pueden almacenar en texto simple en la configuración en ejecución.
el método de base de datos local para proteger el acceso al dispositivo utiliza nombres de usuario y contraseñas que se configuran localmente en el enrutador. Esto permite a los administradores realizar un seguimiento de quién inició sesión en el dispositivo y cuándo. Las contraseñas también se pueden cifrar en la configuración. Sin embargo, la información de la cuenta debe configurarse en cada dispositivo al que esa cuenta debería tener acceso, lo que hace que esta solución sea muy difícil de escalar.
105. Una empresa acaba de cambiar a un nuevo ISP. El ISP ha completado y comprobado la conexión desde su sitio a la empresa. Sin embargo, los empleados de la empresa no pueden acceder a Internet. ¿Qué se debe hacer o verificar?
- Compruebe la configuración en la ruta estática flotante y ajuste la AD.
- Cree una ruta estática flotante a esa red.
- Asegúrese de que la antigua ruta predeterminada se haya eliminado de los routers perimetrales de la empresa.
- Compruebe que la ruta estática al servidor está presente en la tabla de enrutamiento.
Cuando una empresa cambia de proveedor de servicios de Internet (ISP), el router de borde (perimetral) debe actualizar su ruta estática predeterminada (gateway of last resort) para dirigir el tráfico hacia el nuevo ISP. Si la ruta predeterminada anterior no se elimina, el router puede continuar intentando enviar el tráfico hacia el enlace del ISP antiguo, el cual ya no está operativo, lo que impide la conectividad a Internet.
106. ¿Cuál es el efecto de ingresar el comando show ip dhcp snooping binding configuration en un switch?
- Comprueba la dirección de origen L2 en el encabezado de Ethernet contra la dirección del remitente L2 en el cuerpo ARP.
- Restringe el número de mensajes de detección, por segundo, que se recibirán en la interfaz.
- Muestra las asociaciones de direcciones IP a Mac para interfaces de switch.
- Cambia un puerto troncal al modo de acceso.
El comando show ip dhcp snooping binding permite visualizar la tabla de enlace (binding database) que el switch ha construido dinámicamente mediante el proceso de DHCP Snooping. Esta tabla contiene información crítica, como:
- Dirección MAC del cliente.
- Dirección IP asignada.
- Tiempo de concesión (lease time).
- Tipo de enlace (binding).
- Número de VLAN.
- Interfaz a la que está conectado el dispositivo.
Este mecanismo es fundamental para otras funciones de seguridad, como el Dynamic ARP Inspection (DAI) y el IP Source Guard, ya que permite al switch verificar que el tráfico que proviene de un host sea legítimo y coincida con la asignación DHCP previamente registrada.
107. ¿Qué comando inicia el proceso para agrupar dos interfaces físicas para crear un grupo EtherChannel mediante el LACP?
- channel-group 1 mode desirable
- channel-group 2 mode auto
- interface range GigabitEthernet 0/4-5
- interface port-channel 2
Para especificar las interfaces en un grupo EtherChannel, utilice el comando de configuración global interface range interface para el rango de interfaces utilizadas. El comando interface range GigabitEthernet 0/4 – 5 es la opción correcta porque especifica dos interfaces para el grupo EtherChannel.
108. ¿En qué situación un técnico usaría el comando de switch show interfaces ?
- Cuando los paquetes se eliminan de un host en particular conectado directamente.
- Para determinar si el acceso remoto está habilitado.
- Cuando un terminal puede acceder a dispositivos locales, pero no a dispositivos remotos.
- Para determinar la dirección MAC de un dispositivo de red conectado directamente a una interfaz específica.
el comando show interfaces es útil para detectar errores de medios, para ver si se envían y reciben paquetes y para determinar si hay runts, gigantes, CRC, interfaz se restablece o se han producido otros errores. Los problemas de accesibilidad a una red remota probablemente se deben a una gateway predeterminada mal configurada u otro problema de enrutamiento, no a un problema de conmutador. El comando show mac address-table muestra la dirección MAC de un dispositivo conectado directamente.
109. Consulte la ilustración. Un administrador de red configura R1 para el enrutamiento entre VLAN entre VLAN 10 y VLAN 20. Sin embargo, los dispositivos de VLAN 10 y VLAN 20 no pueden comunicarse. Basado en la configuración de la exposición, ¿cuál es una posible causa del problema?
- Se debe agregar un comando no shutdown en cada configuración de subinterfaz.
- La encapsulación está mal configurada en una subinterfaz.
- El puerto Gi0/0 debe configurarse como puerto troncal.
- La interfaz de comando GigabitEthernet 0/0.1 es incorrecta.
Al revisar la configuración mostrada en la ilustración, se observa el siguiente error:
- Mapeo de encapsulación inconsistente: El comando
encapsulation dot1Q 2se ha asignado a la subinterfazGigabitEthernet 0/0.20. - Confusión de parámetros: Según las buenas prácticas de configuración de Router-on-a-Stick, el número de la subinterfaz debería coincidir con el ID de la VLAN para facilitar la administración. Sin embargo, el error crítico aquí es que la subinterfaz
0/0.20está intentando encapsular el tráfico de la VLAN 2, cuando el requerimiento es el enrutamiento entre la VLAN 10 y la VLAN 20.
Para corregirlo, el administrador debe asegurar que cada subinterfaz tenga la encapsulación dot1Q que corresponda exactamente al ID de la VLAN que debe gestionar (por ejemplo, encapsulation dot1Q 20 para la subinterfaz .20).
110. Consulte la ilustración. Considere que se acaba de restaurar la alimentación principal. La PC3 emite una solicitud de DHCP IPv4 de difusión. ¿A qué puerto reenvía esta solicitud SW1?
- Solo a Fa0/1, Fa0/2 y Fa0/3
- Solo a Fa0/1, Fa0/2, Fa0/3 y Fa0/4
- Solo a Fa0/1
- Solo a Fa0/1 y Fa0/2
- Solo a Fa0/1, Fa0/2 y Fa0/4
Cuando un switch recibe una trama de difusión (broadcast), como una solicitud DHCP de la PC3 (conectada al puerto Fa0/4), debe reenviarla a todos los demás puertos activos que pertenezcan a la misma VLAN.
- El switch no reenvía la trama por el mismo puerto por donde la recibió (Fa0/4).
- Por lo tanto, la solicitud se reenvía a través de los puertos Fa0/1 (donde se encuentra el servidor DHCP), Fa0/2 (PC1) y Fa0/3 (PC2).
111. Consulte la exhibición. Si las direcciones IP del router de gateway predeterminado y del servidor DNS son correctas, ¿cuál es el problema de configuración?
- El servidor DNS y el router de gateway predeterminado deben estar en la misma subred.
- No se incluye la dirección IP del servidor DNS en la lista de direcciones excluidas.
- No se incluye la dirección IP del router de gateway predeterminado en la lista de direcciones excluidas.
- Se deben configurar los comandos default-router y dns-server con máscaras de subred.
En esta configuración, la lista de direcciones excluidas debe incluir la dirección asignada al Router de gateway predeterminado. Por lo tanto, el comando debe ser ip dhcp excluded-address 192.168.10.1 192.168.10.9.
112. ¿Qué opción muestra una ruta estática predeterminada IPv4 correctamente configurada?
- ip route 0.0.0.0 0.0.0.0 S0/0/0
- ip route 0.0.0.0 255.0.0.0 S0/0/0
- ip route 0.0.0.0 255.255.255.0 S0/0/0
- ip route 0.0.0.0 255.255.255.255 S0/0/0
La ruta estática ip route 0.0.0.0 0.0.0.0 S0/0/0 se considera una ruta estática predeterminada y coincidirá con todas las redes de destino.
113. Los usuarios de una LAN no pueden acceder a un servidor web de la empresa, pero pueden llegar a otro lugar. ¿Qué se debe hacer o verificar?
- Asegúrese de que la antigua ruta predeterminada se haya eliminado de los routers perimetrales de la empresa.
- Compruebe la configuración en la ruta estática flotante y ajuste la AD.
- Cree una ruta estática flotante a esa red.
- Compruebe que la ruta estática al servidor está presente en la tabla de enrutamiento.
Si los usuarios pueden acceder a otros recursos (como Internet) pero no a un servidor web específico de la empresa, esto indica que la conectividad general hacia el exterior está funcionando, pero el camino específico hacia el servidor web está fallando o no existe.
El router necesita una ruta específica (ya sea mediante una ruta estática o dinámica) para conocer cómo alcanzar la red donde se encuentra el servidor web. Si dicha ruta no está presente en la tabla de enrutamiento, el router no sabrá cómo reenviar los paquetes destinados a ese servidor y los descartará.
114. ¿Qué protocolo o tecnología permite que los datos se transmitan a través de enlaces de switch redundantes?
- STP
- DTP
- EtherChannel
- VTP
EtherChannel: Es la tecnología que permite agrupar varios enlaces físicos redundantes en un único enlace lógico. Al hacer esto, el switch los trata como una sola conexión, lo que permite que los datos se transmitan a través de todos ellos simultáneamente (aumentando el ancho de banda), sin que el protocolo STP bloquee los enlaces.
STP (Spanning Tree Protocol): Aunque es necesario para gestionar redundancia, su función es desactivar (bloquear) los enlaces redundantes para prevenir bucles de Capa 2; por lo tanto, no permite que los datos fluyan por ellos al mismo tiempo.
DTP (Dynamic Trunking Protocol): Se encarga de negociar automáticamente el establecimiento de enlaces troncales, no de gestionar el tráfico en enlaces redundantes.
VTP (VLAN Trunking Protocol): Se utiliza para sincronizar la base de datos de VLANs entre switches.
115. ¿Qué acción se lleva a cabo cuando un fotograma que ingresa a un switch tiene una dirección MAC de destino de unidifusión que no está en la tabla de direcciones MAC?
- El switch reenviará la trama a todos los puertos excepto el puerto entrante.
- El switch reemplaza la entrada anterior y usa el puerto más actual.
- El switch restablece el temporizador de actualización en todas las entradas de la tabla de direcciones MAC.
- El switch actualiza el temporizador de actualización para la entrada.
Cuando un switch recibe una trama con una dirección MAC de destino de unidifusión que no se encuentra en su tabla de direcciones MAC (tabla CAM), el switch no sabe a qué puerto debe enviar el tráfico. Para asegurarse de que el dispositivo de destino reciba la trama, el switch realiza una operación llamada inundación (flooding), que consiste en enviar la trama por todos los puertos activos del switch, excepto por el puerto por el cual entró originalmente la trama.
Si el dispositivo de destino responde, el switch aprenderá su dirección MAC y el puerto asociado, permitiendo que futuras tramas se envíen de manera dirigida en lugar de ser inundadas.
116. ¿Qué acción se lleva a cabo cuando la dirección MAC de origen de una trama que ingresa a un switch aparece en la tabla de direcciones MAC asociada a un puerto diferente?
- El switch reenvía la trama fuera del puerto especificado.
- El switch actualiza el temporizador de actualización para la entrada.
- El switch purga toda la tabla de direcciones MAC.
- El switch reemplaza la entrada anterior y usa el puerto más actual.
Cuando un switch recibe una trama, examina la dirección MAC de origen. Si esta dirección ya existe en la tabla de direcciones MAC (tabla CAM) pero está asociada a un puerto físico distinto al que acaba de recibir la trama, el switch interpreta que el dispositivo se ha movido de ubicación.
Por lo tanto:
- El switch descarta la información anterior vinculada a ese puerto antiguo.
- Actualiza la tabla asociando la dirección MAC con el nuevo puerto de entrada (el puerto más actual).
- Esto asegura que, en el futuro, las tramas destinadas a esa dirección MAC se reenvíen correctamente por el puerto donde se encuentra el dispositivo actualmente.
117. ¿Cuáles son los tres pasos que se deben seguir antes de mover un switch de Cisco a un nuevo dominio de administración VTP? (Elija tres opciones).
- Seleccionar el modo y la versión del VTP.
- Configurar el servidor VTP en el dominio para que reconozca el BID del switch nuevo.
- Configurar el switch con el nombre del dominio de administración nuevo.
- Descargar la base de datos VTP del servidor correspondiente en el dominio nuevo.
- Reiniciar el switch.
- Reconfigurar los contadores VTP para permitir que el switch se sincronice con los otros switches en el dominio.
al agregar un nuevo conmutador a un dominio VTP, es fundamental configurar el conmutador con un nuevo nombre de dominio, el modo VTP correcto, el número de versión del VTP y contraseña. un switch con un número de revisión más alto puede propagar VLAN no válidas y borrar VLAN válidas, evitando así la conectividad para varios dispositivos en las VLAN válidas.
118. Un administrador de red esta configurando una WLAN. ¿Por qué el administrador utilizaría servidores RADIUS en la red?
- para facilitar la configuración de grupos y la administración de varias WLAN a través de un WLC
- para supervisar el funcionamiento de la red inalámbrica
- para restringir el acceso a la WLAN sólo por usuarios autorizados y autenticados
- para centralizar la administración de varias WLAN
Los servidores RADIUS (Remote Authentication Dial-In User Service) se utilizan en redes inalámbricas empresariales (WPA2/WPA3 Enterprise) para proporcionar servicios de AAA (Autenticación, Autorización y Contabilidad). Su función principal es validar las credenciales individuales de cada usuario contra una base de datos centralizada, asegurando que solo los usuarios autorizados y correctamente autenticados puedan acceder a la red, en lugar de utilizar una única contraseña compartida para todos.
119. ¿Qué protocolo o tecnología utiliza IP de origen a IP de destino como mecanismo de equilibrio de carga?
- EtherChannel
- DTP
- STP
- VTP
EtherChannel es una tecnología de agregación de enlaces que permite combinar varios enlaces físicos en un único enlace lógico. Para distribuir el tráfico entre los enlaces físicos integrantes, utiliza algoritmos de balanceo de carga que pueden basarse en diversas combinaciones de campos de cabecera, siendo una de las más comunes la dirección IP de origen y la dirección IP de destino.
120. ¿Qué acción se lleva a cabo cuando la dirección MAC de origen de una trama que ingresa a un switch está en la tabla de direcciones MAC?
- El switch reemplaza la entrada anterior y usa el puerto más actual.
- El switch agrega una entrada de tabla de direcciones MAC para la dirección MAC de destino y el puerto de salida.
- El switch reenvía la trama fuera del puerto especificado.
- El switch actualiza el temporizador de actualización para la entrada.
Cuando la dirección MAC de origen de una trama entrante ya existe en la tabla de direcciones MAC, el switch simplemente actualiza el temporizador de actualización (refresh timer) para esa entrada específica. Esto evita que la dirección MAC expire y sea eliminada de la tabla mientras el dispositivo siga activo y enviando tráfico.
121. Consulte la exhibición. Un administrador de red configura un router como servidor de DHCPv6. El administrador emite un comando show ipv6 dhcp pool para verificar la configuración. ¿Cuál de estas afirmaciones explica el motivo por el que el número de clientes activos es 0?
- El servidor de DHCPv6 no mantiene el estado cuando se implementa DHCPv6 sin estado.
- Todavía no se comunicó ningún cliente con el servidor de DHCPv6.
- No se especificó ningún rango de direcciones IPv6 para la configuración del pool de DHCP IPv6.
- No se proporciona la dirección de gateway predeterminado en el pool.
Bajo la configuración DHCPv6 sin estado, indicada por el comando ipv6 nd other-config-flag, el servidor DHCPv6 no mantiene la información de estado, porque las direcciones IPv6 del cliente no son administradas por el servidor DHCP. Debido a que los clientes configurarán sus direcciones IPv6 combinando el prefijo/longitud de prefijo y una ID de interfaz autogenerada, la configuración del grupo ipv6 dhcp no necesita especificar el rango de direcciones IPv6 válido. Y debido a que los clientes utilizarán la dirección de enlace local de la interfaz del router como la dirección de la gateway predeterminada, la dirección de la gateway predeterminada no es necesaria.
122. ¿Cuál es el efecto de ingresar el comando de configuración ip arp inspection validate src-mac en un switch?
- Desactiva todos los puertos troncales.
- Comprueba la dirección de origen L2 en el encabezado de Ethernet contra la dirección del remitente L2 en el cuerpo ARP.
- Permite portfast en una interfaz de switch específica.
- Muestra las asociaciones de direcciones IP a Mac para interfaces de switch.
El comando ip arp inspection validate src-mac habilita una verificación de seguridad adicional dentro de la Inspección Dinámica de ARP (DAI). Esta función compara la dirección MAC de origen en el encabezado Ethernet de la trama con la dirección MAC del remitente especificada dentro del cuerpo del mensaje ARP. Si ambas direcciones no coinciden, el switch descarta el paquete ARP como una posible falsificación.
123. ¿Qué acción se lleva a cabo cuando una trama que ingresa a un switch tiene una dirección MAC de destino de multidifusión?
- El switch reenviará la trama a todos los puertos excepto el puerto entrante.
- El switch actualiza el temporizador de actualización para la entrada.
- El switch agrega la dirección MAC y el número de puerto entrante a la tabla.
- El switch agrega una entrada de tabla de direcciones MAC para la dirección MAC de destino y el puerto de salida.
Si la dirección MAC de destino es una transmisión o una multidifusión, la trama también se desborda por todos los puertos excepto el puerto de entrada.
124. ¿Qué técnica de mitigación evitaría que los servidores no autorizados proporcionen parámetros de configuración IP falsos a los clientes?
- deshabilitar CDP en puertos perimetrales
- activar la indagación DHCP
- mplementar seguridad de puertos
- implementar port-security en puertos perimetrales
Al igual que la inspección ARP dinámica (DAI), IP Source Guard (IPSG) necesita determinar la validez de los enlaces de dirección MAC a dirección IP. Para hacer esto, IPSG usa la base de datos de enlaces construida por DHCP snooping.
125. Los usuarios de la sucursal pudieron acceder a un sitio por la mañana, pero no han tenido conectividad con el sitio desde la hora del almuerzo. ¿Qué se debe hacer o verificar?
- Compruebe que la ruta estática al servidor está presente en la tabla de enrutamiento.
- Utilice el comando «show ip interface brief» para ver si una interfaz está inactiva.
- Cree una ruta estática flotante a esa red.
- Compruebe la configuración en la ruta estática flotante y ajuste la AD.
Cuando un servicio que funcionaba correctamente por la mañana deja de estar disponible repentinamente al mediodía, el problema suele estar relacionado con una falla física o administrativa en el enlace (como un cable desconectado o una interfaz que pasó a estado down).
El comando show ip interface brief es la herramienta más rápida para verificar el estado operativo de todas las interfaces del router, permitiendo identificar inmediatamente si alguna interfaz se encuentra en estado down/down (problema de Capa 1) o up/down (problema de Capa 2), lo cual explicaría la pérdida de conectividad sin necesidad de revisar rutas estáticas complejas.
126. Una el paso con cada descripción de la secuencia de arranque del switch. (No se utilizan todas las opciones).
127. Consulte la ilustración. Un administrador intenta instalar una ruta estática IPv6 en el router R1 para llegar a la red conectada al router R2. Después de introducir el comando de ruta estática, la conectividad a la red sigue fallando. ¿Qué error se cometió en la configuración de la ruta estática?
- La red de destino es incorrecta.
- La interfaz es incorrecta.
- El prefijo de red es incorrecto.
- La dirección de siguiente salto es incorrecta.
En este ejemplo, la interfaz en la ruta estática es incorrecta. La interfaz debe ser la interfaz de salida en R1, que es s0/0/0.
128. ¿Cuál es el efecto de ingresar el comando de configuration switchport mode access en un switch?
- Permite la protección BPDU en un puerto específico.
- Deshabilita un puerto no utilizado.
- Habilita manualmente un enlace troncal.
- Deshabilita DTP en una interfaz que no sea troncal.
El comando switchport mode access coloca una interfaz de switch en modo de acceso permanente, lo que hace que el puerto deje de negociar enlaces troncales mediante el protocolo DTP (Dynamic Trunking Protocol). Al desactivar DTP, se mitiga el riesgo de ataques de salto de VLAN (VLAN hopping), ya que un atacante no puede obligar al puerto a convertirse en un enlace troncal mediante la falsificación de paquetes de negociación.
129. Consulte la ilustración. Un administrador de red está configurando el router R1 para la asignación de direcciones IPv6. En función de la configuración parcial, ¿qué esquema de asignación de direcciones de unidifusión global IPv6 piensa implementar el administrador?
- stateless
- SLAAC
- Con información de estado
- configuración manual
En la configuración mostrada:
- El comando
ipv6 nd managed-config-flagle indica a los clientes que utilicen un servidor DHCPv6 para obtener sus direcciones IPv6 y otros parámetros de configuración. - Cuando este indicador está activo, el router informa a los dispositivos que la asignación es «con estado» (Stateful), lo que significa que el servidor DHCPv6 gestionará y mantendrá el registro de las direcciones asignadas a cada cliente, a diferencia del método SLAAC o DHCPv6 sin estado.
130. Consulte la ilustración. Un administrador de red configuró los routers R1 y R2 como parte del grupo 1 de HSRP. Después de volver a cargar los routers, un usuario en el Host1 se quejó de la falta de conectividad a Internet. El administrador de redes emitió el comando show standby brief en ambos routers para verificar las operaciones de HSRP. Además, el administrador observó la tabla ARP en el Host1. ¿Qué entrada de la tabla ARP del Host1 se debe observar para obtener conectividad a Internet?
- La dirección IP Virtual del grupo 1 de HSRP y la dirección MAC de R2
- La dirección IP Virtual y la dirección MAC virtual para el grupo 1 de HSRP
- La dirección IP y la dirección MAC de R1
- La dirección IP Virtual del grupo 1 de HSRP y la dirección MAC de R1
los hosts enviarán una solicitud ARP a la gateway predeterminada, que es la dirección IP virtual. Las respuestas ARP de los enrutadores HSRP contienen la dirección MAC virtual. Las tablas ARP del host contendrán un mapeo de la IP virtual al MAC virtual.
– la dirección IP y la dirección MAC de R1
131. Un técnico junior estaba agregando una ruta a un router LAN. Un traceroute a un dispositivo en la nueva red reveló una ruta incorrecta y un estado inalcanzable. ¿Qué se debe hacer o verificar?
- Cree una ruta estática flotante a esa red.
- Compruebe que la ruta estática al servidor está presente en la tabla de enrutamiento.
- Compruebe la configuración de la interfaz de salida en la nueva ruta estática.
- Compruebe la configuración en la ruta estática flotante y ajuste la AD.
Cuando un comando traceroute muestra una ruta incorrecta o un estado inalcanzable, indica que el router está enviando paquetes por una ruta equivocada. Esto ocurre comúnmente cuando la interfaz de salida o la dirección de siguiente salto (next-hop) configurada en la ruta estática es incorrecta, por lo que el tráfico no llega al destino previsto.
132. Un administrador de red esta configurando una WLAN. ¿Por qué el administrador aplicaría WPA2 con AES a la WLAN?
- para proporcionar privacidad e integridad al tráfico inalámbrico mediante el encriptado
- para proporcionar un servicio priorizado para aplicaciones sensibles al tiempo
- para centralizar la administración de varias WLAN
- para reducir el riesgo de que se añadan AP no autorizados a la red
WPA2 utiliza el estándar de cifrado AES (Advanced Encryption Standard) para asegurar las comunicaciones inalámbricas. Este método garantiza la privacidad (confidencialidad de los datos) mediante el cifrado del tráfico, de modo que solo los usuarios autorizados puedan leerlo, y la integridad, asegurando que los datos no hayan sido alterados durante la transmisión.
133. ¿En qué puertos del switch se debe habilitar la protección BPDU para mejorar la estabilidad del STP?
- solo en los puertos que se conectan a un switch vecino
- todos los puertos habilitados para Portfast
- a todos los puertos troncales que no son puertos raíz.
- solo a los puertos que son elegidos como ouertos designados.
La protección BPDU Guard (BPDU Guard) se debe habilitar en todos los puertos configurados con PortFast (puertos de acceso que se conectan a dispositivos finales, como estaciones de trabajo o impresoras). El objetivo es prevenir que un dispositivo no autorizado, como un switch ilegítimo, se conecte a estos puertos y envíe BPDUs, lo cual podría alterar la topología de Spanning Tree y comprometer la estabilidad de la red. Si el puerto recibe una BPDU, BPDU Guard lo deshabilita inmediatamente.
134. ¿Cuál es el efecto de ingresar el switchport port-security switchport port-security en un switch?
- Habilita globalmente la seguridad de puerto en el switch.
- Aprende dinámicamente la dirección L2 y la copia en la configuración en ejecución.
- Permite la seguridad del puerto en una interfaz.
- Restringe el número de mensajes de detección, por segundo, que se recibirán en la interfaz.
El comando switchport port-security se utiliza específicamente a nivel de interfaz para activar la función de seguridad de puerto. Esta configuración permite al administrador controlar el acceso a la red restringiendo el tráfico de entrada de un puerto, limitando las direcciones MAC que tienen permitido conectarse a él.
135. Un ingeniero de red está resolviendo una red inalámbrica recientemente implementada que esté utilizando las últimas normas de 802.11. Cuando los usuarios acceden los servicios de ancho de banda alto como transmisión de video, el rendimiento inalámbrico es pobre. Para mejorar el rendimiento que el ingeniero de red decide configurar una banda de frecuencia SSID de 5 Ghz y capacitar a los usuarios para usar ese SSID para servicios de transmisión de medios. ¿Qué podría esta solución mejorar el rendimiento inalámbrico para ese tipo de servicio?
- Banda dual y 5 GHz tiene más canales y se fortalece menos que la banda de 2.4 GHz, lo que facilita más adecuado a fluir multimedia.
- Los únicos usuarios que pueden conmutar a la banda de 5 GHz serán aquellos con los últimos NIC inalámbrico, que reducirán uso.
- Banda dual y 5 GHz tiene un mayor alcance y es por ello que ser sin interferencias.
- Exigir a los usuarios cambiar a la banda de 5 GHz para transmisión de medios es engorrosa y resultará en menos usuarios que acceden estos servicios.
el alcance inalámbrico está determinado por la antena del punto de acceso y la potencia de salida, no por la banda de frecuencia que se utiliza. En este escenario se afirma que todos los usuarios tienen NIC inalámbricas que cumplen con el último estándar, por lo que todos pueden acceder a la banda de 5 GHz. Aunque a algunos usuarios les puede resultar inconveniente cambiar a la banda de 5 Ghz para acceder a los servicios de transmisión, es la mayor cantidad de canales, no solo la menor cantidad de usuarios, lo que mejorará el rendimiento de la red.
136. Un administrador de red esta configurando una WLAN. ¿Por qué el administrador usaría un hub WLAN?
- para centralizar la administración de varias WLAN
- para proporcionar un servicio priorizado para aplicaciones sensibles al tiempo
- para facilitar la configuración de grupos y la administración de varias WLAN a través de un WLC
- para proporcionar privacidad e integridad al tráfico inalámbrico mediante el encriptado
En el contexto de la arquitectura de redes inalámbricas de Cisco, el término «hub WLAN» (a menudo referido como el sistema de control centralizado) se utiliza para describir la función del WLC (Wireless LAN Controller). Su propósito es permitir que el administrador gestione de manera unificada y centralizada múltiples puntos de acceso (AP) y varias WLAN, simplificando la configuración de políticas, seguridad y asignación de VLANs a través de una consola única en lugar de configurar cada punto de acceso de forma individual.
137. ¿Qué comando habilita un router para que este comience a enviar mensajes que le permiten configurar una dirección de enlace local sin utilizar un servidor DHCP IPv6?
- Comando ipv6 route ::/0
- Una ruta estática
- Comando ipv6 unicast-routing
- Comando ip routing
Para habilitar IPv6 en un router, debe usar el comando de configuración global ipv6 unicast-routing o usar el comando de configuración de interfaz ipv6 enable. Esto es equivalente a ingresar enrutamiento IP para habilitar el enrutamiento IPv4 en un router cuando se ha apagado. Tenga en cuenta que IPv4 está habilitado en un router de forma predeterminada. IPv6 no está habilitado de forma predeterminada.
138. ¿Cuál es el efecto de ingresar el comando de configuración ip arp inspection vlan 10 en un switch?
- Habilita el DHCP snooping globalmente en un Switch.
- Especifica el número máximo de direcciones L2 permitidas en un puerto.
- Habilita DAI en interfaces específicas de un switch previamente configuradas con DHCP snooping.
- Habilita globalmente la protección BPDU en todos los puertos habilitados para PortFast.
El comando ip arp inspection vlan 10 activa la Inspección Dinámica de ARP (DAI) específicamente para la VLAN 10. DAI es una función de seguridad que valida los paquetes ARP en una red mediante la interceptación, el registro y el descarte de paquetes ARP con direcciones IP-a-MAC no válidas, basándose para ello en la base de datos de enlaces confiables creada previamente por DHCP snooping.
139. ¿Qué protocolo o tecnología administra las negociaciones troncales entre switches?
- VTP
- EtherChannel
- STP
- DTP
El DTP es un protocolo propietario de Cisco diseñado específicamente para gestionar y negociar automáticamente el establecimiento de enlaces troncales (trunks) entre dos switches conectados. Su función es determinar si el enlace debe convertirse en un puerto troncal o permanecer como un puerto de acceso, basándose en la configuración de los puertos en ambos extremos.
140. ¿Qué protocolo o tecnología utiliza un router en espera para asumir la responsabilidad de reenvío de paquetes si falla el router activo?
- DTP
- VTP
- EtherChannel
- HSRP
HSRP es un protocolo de redundancia de primer salto (FHRP) diseñado por Cisco. Su función es agrupar varios routers en un único grupo lógico donde uno actúa como activo (responsable del reenvío de paquetes) y otro como en espera (standby). Si el router activo falla, el router en espera detecta la pérdida de conectividad y asume automáticamente la responsabilidad de reenviar los paquetes, garantizando así la alta disponibilidad del gateway predeterminado.
141. ¿Qué protocolo o tecnología define un grupo de routeres, uno de ellos definido como activo y otro como en espera?
- EtherChannel
- DTP
- VTP
- HSRP
HSRP (Hot Standby Router Protocol) es un protocolo de redundancia de primer salto (FHRP) de Cisco. Su función es agrupar routers para formar un router virtual, donde uno se elige como activo (responsable de reenviar el tráfico) y otro como en espera (standby), el cual asume automáticamente la responsabilidad si el activo falla.
142. Un administrador de red esta configurando una WLAN. ¿Por qué el administrador deshabilitaría la función de difusión para el SSID?
- para proporcionar un servicio priorizado para aplicaciones sensibles al tiempo
- para facilitar la configuración de grupos y la administración de varias WLAN a través de un WLC
- para eliminar a los usuarios externos que escanean los SSID disponibles en el área
- para centralizar la administración de varias WLAN
Al deshabilitar la difusión (broadcast) del SSID (también conocido como SSID cloaking), el punto de acceso deja de incluir el nombre de la red en sus tramas de baliza (beacon frames). Esto evita que el nombre de la red aparezca automáticamente en la lista de redes inalámbricas disponibles para los usuarios externos que escanean el área, dificultando que usuarios no autorizados o casuales intenten conectarse.
143. Los empleados no pueden conectarse a servidores en una de las redes internas. ¿Qué se debe hacer o verificar?
- Compruebe las estadísticas de la ruta predeterminada para la sobresaturación.
- Cree rutas estáticas a todas las redes internas y una ruta predeterminada a Internet.
- Compruebe que no hay una ruta predeterminada en ninguna de las tablas de enrutamiento del router perimetral.
- Utilice el comando «show ip interface brief» para ver si una interfaz está inactiva.
Cuando los dispositivos no pueden conectarse a una red interna específica, el primer paso lógico de resolución de problemas es descartar fallos de Capa 1 o Capa 2. El comando show ip interface brief permite verificar rápidamente el estado operativo (status) y el estado del protocolo (protocol) de todas las interfaces del router, permitiendo identificar si alguna está fuera de servicio (down), lo cual impediría la comunicación con esa red.
144. Un técnico está configurando un router para una pequeña empresa con varias WLAN y no necesita la complejidad de un protocolo de enrutamiento dinámico. ¿Qué se debe hacer o verificar?
- Compruebe que no hay una ruta predeterminada en ninguna de las tablas de enrutamiento del router perimetral.
- Compruebe la configuración en la ruta estática flotante y ajuste la AD.
- Cree rutas estáticas a todas las redes internas y una ruta predeterminada a Internet.
- Cree una ruta estática flotante a esa red.
En entornos de red pequeños donde no se requiere la complejidad de un protocolo de enrutamiento dinámico, el enrutamiento estático es la solución más eficiente. El técnico debe configurar rutas estáticas específicas para que el router conozca cómo llegar a todas las redes internas y una ruta estática predeterminada (default route 0.0.0.0/0) para enviar todo el tráfico destinado a redes externas (Internet) hacia el proveedor de servicios.
145. ¿Cuál es el efecto de ingresar el comando de configuración de spanning-tree portfast en un switch?
- Deshabilita un puerto no utilizado.
- Deshabilita todos los puertos troncales.
- Habilita portfast en una interfaz de conmutador específica.
- Compara la dirección L2 de origen en el encabezado de Ethernet con la dirección L2 del remitente en el cuerpo de ARP.
El comando spanning-tree portfast se utiliza para configurar la función PortFast en una interfaz de acceso. Esta función permite que el puerto pase inmediatamente del estado de bloqueo al de reenvío, evitando los retrasos de los estados listening y learning del protocolo Spanning Tree, lo cual es ideal para dispositivos finales que no generan bucles, como computadoras o impresoras.
146. Consulte la ilustración. ¿Qué enlace troncal no reenviará el tráfico después de que se complete el proceso de elección del puente raíz?
- Trunk1
- Trunk2
- Trunk3
- Trunk4
En la ilustración, el S1 se convierte en el puente raíz debido a que tiene la dirección MAC más baja (00A000322222) entre los switches configurados con la misma prioridad.
En la topología resultante:
- Los puertos conectados al puente raíz (S1) son puertos designados y permanecen en estado de reenvío.
- S3 y S4 deben determinar su puerto raíz para llegar al puente raíz.
- Trunk2 (conectado entre S1 y S3) y Trunk1 (conectado entre S1 y S2) funcionan como rutas hacia el puente raíz.
- Para evitar bucles, el protocolo STP bloquea uno de los enlaces redundantes. En este escenario, el enlace Trunk2 es el que queda bloqueado por STP para romper el bucle, por lo que no reenviará tráfico de datos.
147. ¿Qué plan de mitigación es mejor para frustrar un ataque DoS que está creando un desbordamiento de la tabla de direcciones MAC?
- Inhabilite DTP.
- Deshabilite STP.
- Habilite la seguridad del puerto.
- Coloque los puertos no utilizados en una VLAN no utilizada.
Un ataque de desbordamiento de tabla de direcciones MAC (CAM), desbordamiento de búfer y suplantación de direcciones MAC se pueden mitigar configurando la seguridad del puerto. Un administrador de red normalmente no querría deshabilitar STP porque evita los bucles de Capa 2. DTP está deshabilitado para evitar saltos de VLAN. Colocar puertos no utilizados en una VLAN no utilizada evita la conectividad por cable no autorizada.
148. ¿Qué mensaje DHCPv4 enviará un cliente para aceptar una dirección IPv4 ofrecida por un servidor DHCP?
- transmitir DHCPACK
- transmite DHCPREQUEST
- DHCPACK de unidifusión
- unidifusión DHCPREQUEST
cuando un cliente DHCP recibe mensajes DHCPOFFER, enviará un mensaje DHCPREQUEST de difusión con dos propósitos. Primero, indica al servidor DHCP que ofrece la oferta que le gustaría aceptar la oferta y vincular la dirección IP. En segundo lugar, notifica a cualquier otro servidor DHCP que responda que sus ofertas han sido rechazadas.
149. Una coincidir el propósito con su tipo de mensaje DHCP. (No se utilizan todas las opciones).
150. ¿Qué protocolo agrega seguridad a las conexiones remotas?
- FTP
- HTTP
- NetBEUI
- POP
- SSH
El protocolo SSH (Secure Shell) proporciona una conexión de gestión remota segura a la interfaz de línea de comandos de un dispositivo. A diferencia de otros protocolos como Telnet, HTTP o FTP, que transmiten datos en texto plano, SSH cifra todo el tráfico de la sesión (incluyendo nombres de usuario y contraseñas), protegiendo la comunicación contra la interceptación o manipulación por parte de atacantes.
151. Consulte la ilustración. Un administrador de red está verificando la configuración del enrutamiento InterVLAN. Los usuarios se quejan de que la PC2 no puede comunicarse con la PC1. Según el resultado, ¿cuál es la posible causa del problema?
- Gi0/0 no está configurado como puerto troncal.
- La interfaz de comando GigabitEthernet0/0.5 se ingresó incorrectamente.
- No hay una dirección IP configurada en la interfaz Gi0/0.
- El comando no shutdown no se ingresa en las subinterfaces.
- El comando encapsulation dot1Q 5 contiene la VLAN incorrecta.
En una configuración de enrutamiento router-on-a-stick, el ID de VLAN especificado en el comando encapsulation dot1Q [vlan_id] debe coincidir con la VLAN a la que pertenece esa subinterfaz.
En la ilustración, la subinterfaz GigabitEthernet0/0.5 tiene configurada la encapsulación para la VLAN 5, pero la dirección IP asignada (172.16.10.254) corresponde claramente a la VLAN 10 (según la subred 172.16.10.0/24). Esta discrepancia entre el ID de VLAN de la encapsulación y la subred de la subinterfaz impide que el router identifique correctamente el tráfico proveniente de la VLAN 10, causando que la comunicación falle.
152. Una coincidir cada tipo de mensaje DHCP con su descripción. (No se utilizan todas las opciones).
Coloque las opciones en el siguiente orden:
- un cliente que inicia un mensaje para encontrar un servidor DHCP – DHCPDISCOVER
- un servidor DHCP que responde a la solicitud inicial de un cliente: DHCPOFFER
- el cliente acepta la dirección IP proporcionada por el servidor DHCP – DHCPREQUEST
- el servidor DHCP confirmando que la concesión ha sido aceptada – DHCPACK
153. Se agregará un nuevo conmutador a una red existente en una oficina remota. El administrador de la red no quiere que los técnicos de la oficina remota puedan agregar nuevas VLAN al switch, pero el conmutador debe recibir actualizaciones de VLAN desde el dominio VTP. ¿Qué dos pasos se deben realizar para configurar VTP en el nuevo conmutador para cumplir con estas condiciones? (Elija dos opciones.)
- Configure el nuevo conmutador como cliente VTP.
- Configure el nombre de dominio del VTP existente en el nuevo conmutador.
- Configure una dirección IP en el nuevo conmutador.
- Configure todos los puertos de ambos conmutadores en modo de acceso.
- Habilite la poda de VTP.
Antes de que el conmutador se coloque en el dominio VTP correcto y en modo cliente, el conmutador debe estar conectado a cualquier otro conmutador en el dominio VTP a través de una troncal para para recibir/transmitir información VTP.
154. Un administrador se da cuenta de que se están cayendo grandes cantidades de paquetes en uno de los enrutadores de sucursal. ¿Qué se debe hacer o verificar?
- Cree rutas estáticas a todas las redes internas y una ruta predeterminada a Internet.
- Cree rutas estáticas adicionales a la misma ubicación con un AD de 1.
- Verifique las estadísticas de la ruta predeterminada para ver si hay sobresaturación.
- Verifique la tabla de enrutamiento para ver si falta una ruta estática.
La caída de grandes cantidades de paquetes suele ser un síntoma de congestión o saturación del ancho de banda en el enlace principal. Al revisar las estadísticas de la ruta predeterminada (gateway of last resort), el administrador puede confirmar si los descartes de paquetes se deben a que el enlace está operando por encima de su capacidad (sobresaturación).
155. ¿Cuáles son las dos características del switch que podrían ayudar a aliviar la congestión de la red? (Elija dos opciones.)
- cambio interno rápido
- búferes de marcos grandes
- cambio de almacenamiento y reenvío
- baja densidad de puertos
- verificación de secuencia de verificación de cuadros (FCS)
Cambio interno rápido: Permite que el switch procese y reenvíe tramas de manera eficiente mediante buses internos de alta velocidad o memoria compartida, reduciendo la latencia y mejorando el rendimiento global.
Búferes de marcos grandes: Proporcionan una capacidad de almacenamiento temporal mayor para las tramas entrantes, lo que ayuda a evitar la pérdida de paquetes (descartes) durante picos de tráfico intenso o cuando se reenvía información desde un puerto de alta velocidad hacia uno de menor velocidad.
156. ¿Cuál es el resultado de conectar dos o más conmutadores juntos?
- Se aumenta la cantidad de dominios de transmisión.
- Se aumenta el tamaño del dominio de transmisión.
- Se reduce la cantidad de dominios de colisión.
- Se aumenta el tamaño del dominio de colisión.
Cuando dos o más conmutadores están conectados juntos, el tamaño del dominio de difusión aumenta y también lo hace el número de dominios de colisión. La cantidad de dominios de transmisión aumenta solo cuando se agregan enrutadores.
157. Consulte la ilustración. La PC-A y la PC-B están en la VLAN 60. La PC-A no puede comunicarse con la PC-B. ¿Cuál es el problema?
- La VLAN nativa debe ser VLAN 60.
- La VLAN nativa se está eliminando del enlace.
- El tronco se ha configurado con el comando switchport nonegotiate.
- La VLAN que utiliza la PC-A no está en la lista de VLAN permitidas en el tronco.
Debido a que la PC-A y la PC-B están conectadas a diferentes conmutadores, el tráfico entre ellos debe fluir a través del enlace troncal. Los troncales se pueden configurar para que solo permitan que el tráfico de determinadas VLAN crucen el enlace. En este escenario, la VLAN 60, la VLAN que está asociada con la PC-A y la PC-B, no se ha permitido a través del enlace, como se muestra en el resultado de show interfaces trunk.
158. Un administrador de red está configurando una WLAN. ¿Por qué el administrador deshabilitaría la función de transmisión para el SSID?
- para eliminar a los forasteros que buscan SSID disponibles en el área
- para centralizar la administración de múltiples WLAN
- para facilitar la configuración grupal y la administración de múltiples WLAN a través de un WLC
- para proporcionar un servicio prioritario para aplicaciones urgentes
Deshabilitar la difusión (broadcast) del SSID (conocido como SSID cloaking) evita que el nombre de la red aparezca automáticamente en la lista de redes inalámbricas disponibles cuando los dispositivos externos escanean el área. Esto dificulta que usuarios no autorizados o casuales identifiquen la existencia de la red.
159. Un administrador de red está configurando una WLAN. ¿Por qué el administrador cambiaría las direcciones DHCP IPv4 predeterminadas en un AP?
- para eliminar a los forasteros que buscan SSID disponibles en el área
- para reducir el riesgo de que se agreguen puntos de acceso no autorizados a la red
- para reducir que personas externas intercepten datos o accedan a la red inalámbrica mediante el uso de un rango de direcciones conocido
- para reducir el riesgo de interferencia de dispositivos externos como hornos microondas
Los puntos de acceso (AP) y routers inalámbricos comerciales suelen venir configurados de fábrica con rangos de direcciones IP predeterminados muy comunes (como 192.168.1.0/24). Mantener estos valores facilita que un atacante, al conectarse a la red, identifique inmediatamente la estructura de direccionamiento, lo que le permite realizar escaneos, interceptar tráfico o lanzar ataques dirigidos con mayor facilidad. Cambiar este rango añade una capa básica de seguridad por oscuridad.
160. ¿Qué dirección y longitud de prefijo se utiliza al configurar una ruta estática predeterminada IPv6?
- ::/0
- FF02::1/8
- 0.0.0.0/0
- ::1/128
La dirección IPv6 y el prefijo de una ruta estática predeterminada es: :/0. Esto representa todos los ceros de la dirección y una longitud de prefijo de cero.
161. ¿Cuáles son dos características de Cisco Express Forwarding (CEF)? (Elija dos opciones.)
- Cuando un paquete llega a la interfaz de un enrutador, se reenvía al plano de control donde la CPU hace coincidir la dirección de destino con una entrada de la tabla de enrutamiento correspondiente.
- Este es el mecanismo de reenvío más rápido en los enrutadores y conmutadores multicapa de Cisco.
- Con este método de conmutación, la información de flujo de un paquete se almacena en la caché de conmutación rápida para reenviar paquetes futuros al mismo destino sin la intervención de la CPU.
- Los paquetes se reenvían según la información de la FIB y una tabla de adyacencia.
- Cuando un paquete llega a la interfaz de un enrutador, se reenvía al plano de control donde la CPU busca una coincidencia en la caché de conmutación rápida.
CEF optimiza el proceso de reenvío de paquetes al mover la toma de decisiones del plano de control (CPU) al plano de datos (hardware). Utiliza dos estructuras de datos principales para lograr esta alta velocidad: la FIB (Forwarding Information Base), que contiene la información de enrutamiento necesaria para tomar decisiones de salto siguiente, y la tabla de adyacencia, que contiene la información de Capa 2 (direcciones MAC) necesaria para encapsular y enviar las tramas, eliminando así la necesidad de búsquedas recursivas o intervenciones constantes de la CPU.
162. ¿Qué término describe la función de un switch Cisco en el control de acceso basado en puertos 802.1X?
- agente
- suplicante
- autenticador
- servidor de autenticación
En el control de acceso basado en puertos 802.1X, el switch Cisco actúa como el autenticador (authenticator). Su función es mediar la comunicación entre el dispositivo que solicita acceso (el suplicante) y el servidor de autenticación (generalmente un servidor RADIUS), bloqueando o permitiendo el tráfico físico a través del puerto según el resultado de la autenticación.
163. ¿Qué solución de Cisco ayuda a prevenir la suplantación de ARP y los ataques de envenenamiento de ARP?
- Inspección dinámica de ARP
- IP Source Guard
- Inspección de DHCP
- Seguridad del puerto
La Inspección dinámica de ARP (Dynamic ARP Inspection o DAI) es una función de seguridad que valida los mensajes ARP en una red. Esta tecnología intercepta, registra y descarta los paquetes ARP que tienen direcciones IP a MAC no válidas (que no coinciden con la base de datos de vinculación confiable creada mediante DHCP Snooping), previniendo así eficazmente los ataques de suplantación (spoofing) y envenenamiento (poisoning) de la caché ARP.
164. ¿Cuál es una ventaja de PVST +?
- PVST + optimiza el rendimiento en la red mediante la selección automática del puente raíz.
- PVST + reduce el consumo de ancho de banda en comparación con las implementaciones tradicionales de STP que utilizan CST.
- PVST + requiere menos ciclos de CPU para todos los conmutadores de la red.
- PVST + optimiza el rendimiento en la red mediante el uso compartido de la carga.
PVST + da como resultado un equilibrio de carga óptimo. Sin embargo, esto se logra mediante la configuración manual de los conmutadores para que se elijan como puentes raíz para diferentes VLAN en la red. Los puentes raíz no se seleccionan automáticamente. Además, tener instancias de árbol de expansión para cada VLAN en realidad consume más ancho de banda y aumenta los ciclos de CPU para todos los conmutadores de la red.
165. Una pequeña empresa editorial tiene un diseño de red tal que cuando se envía una transmisión en la LAN, 200 dispositivos reciben la transmisión transmitida. ¿Cómo puede el administrador de red reducir la cantidad de dispositivos que reciben tráfico de transmisión?
- Agregue más conmutadores para que haya menos dispositivos en un switch en particular.
- Reemplace los conmutadores con conmutadores que tengan más puertos por conmutador. Esto permitirá que haya más dispositivos en un switch en particular.
- Segmente la LAN en LAN más pequeñas y enrute entre ellas. *
- Reemplace al menos la mitad de los conmutadores con concentradores para reducir el tamaño del dominio de transmisión.
Al dividir la red grande en dos redes más pequeñas, el administrador de la red ha creado dos dominios de difusión más pequeños. Cuando se envía una transmisión en la red ahora, la transmisión solo se enviará a los dispositivos en la misma LAN Ethernet. La otra LAN no recibirá la transmisión.
166. ¿Qué define una ruta de host en un router Cisco?
- Una ruta de host IPv6 estática debe incluir el tipo de interfaz y el número de interfaz del router de salto siguiente.
- Una ruta de host se designa con una C en la tabla de enrutamiento.
- La dirección local del vínculo se agrega automáticamente a la tabla de enrutamiento como una ruta de host IPv6.
- Una configuración de ruta de host estática IPv4 utiliza una dirección IP de destino de un dispositivo específico y una máscara de subred /32.
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con una máscara de 128 bits. Cuando una interfaz activa en un router se configura con una dirección IPv4 o IPv6, se agrega automáticamente una ruta de host local a la tabla de enrutamiento. Una ruta de host está marcada con L en la salida de la tabla de enrutamiento. Para rutas estáticas IPv6, la dirección del siguiente salto puede ser la dirección link-local del router adyacente. En este caso, debe especificar el tipo de interfaz y el número de interfaz del router local.
167. ¿Qué más se requiere al configurar una ruta estática IPv6 usando una dirección local de enlace de siguiente salto?
- distancia administrativa
- dirección IP del router vecino
- número de red y máscara de subred en la interfaz del router vecino
- número y tipo de interfaz
Al configurar una ruta estática IPv6 utilizando una dirección local de enlace (link-local address) como siguiente salto, el router no puede determinar por sí mismo en qué enlace reside esa dirección, ya que las direcciones link-local no son únicas globalmente y solo tienen significado dentro de un segmento local específico. Por lo tanto, es obligatorio especificar la interfaz de salida (tipo y número, por ejemplo, Serial 0/0/0) para que el router sepa en qué segmento debe enviar el tráfico.
168. Un técnico está configurando una red inalámbrica para una pequeña empresa utilizando un enrutador inalámbrico SOHO. ¿Qué dos métodos de autenticación se utilizan si el enrutador está configurado con WPA2? (Elija dos opciones.)
- personal
- AES
- TKIP
- WEP
- empresa
Cuando un router se configura con WPA2, los dos modos de autenticación disponibles son:
- Personal (WPA2-PSK): Diseñado para redes domésticas o de pequeñas empresas, utiliza una clave precompartida (PSK) que los usuarios deben conocer para autenticarse.
- Empresa (WPA2-Enterprise): Diseñado para entornos corporativos, requiere un servidor de autenticación externo (como RADIUS) para autenticar a cada usuario de forma individual mediante credenciales únicas.
169. ¿Qué técnica de mitigación evitaría que los servidores no autorizados proporcionen parámetros de configuración de IPv6 falsos a los clientes?
- habilitando DHCPv6 Guard
- habilitar RA Guard
- implementación de seguridad de puertos en puertos de borde
- deshabilitar CDP en los puertos de borde
DHCPv6 Guard es una función diseñada para garantizar que los servidores DHCPv6 no autorizados no puedan distribuir direcciones a los clientes, redirigir el tráfico de los clientes o dejar sin servicio al servidor DHCPv6 y provocar un ataque DoS. DHCPv6 Guard requiere que se configure una política en el modo de configuración de DHCP Guard, y DHCPv6 Guard está habilitado interfaz por interfaz.
170. Una PC ha enviado un mensaje RS a un enrutador IPv6 conectado a la misma red. ¿Qué dos datos enviará el enrutador al cliente? (Elija dos opciones.)
- longitud del prefijo
- máscara de subred en notación decimal con puntos
- nombre de dominio
- distancia administrativa
- prefijo
- dirección IP del servidor DNS
El enrutador es parte del grupo de todos los enrutadores IPv6 y recibió el mensaje RS. Genera un RA que contiene el prefijo de la red local y la longitud del prefijo (por ejemplo, 2001:db8:acad: 1::/64)
171. Mientras asisten a una conferencia, los participantes utilizan computadoras portátiles para conectarse a la red. Cuando un orador invitado intenta conectarse a la red, la computadora portátil no muestra ninguna red inalámbrica disponible. ¿El punto de acceso debe estar funcionando en qué modo?
- mixto
- pasivo
- activo
- abierto
Active es un modo utilizado para configurar un punto de acceso de modo que los clientes deben conocer el SSID para conectarse al punto de acceso. Los puntos de acceso y los enrutadores inalámbricos pueden funcionar en un modo mixto, lo que significa que se admiten varios estándares inalámbricos. Abierto es un modo de autenticación para un punto de acceso que no tiene ningún impacto en la lista de redes inalámbricas disponibles para un cliente. Cuando un punto de acceso se configura en modo pasivo, el SSID se transmite para que el nombre de la red inalámbrica aparezca en la lista de redes disponibles para los clientes.
172. ¿Qué tres componentes se combinan para formar un ID de puente?
- ID de sistema extendido
- costo
- dirección IP
- prioridad de puente
- dirección MAC
- ID de puerto
Los tres componentes que se combinan para formar un ID de puente son prioridad de puente, ID de sistema extendido y dirección MAC.
wpDiscuz