ExamenRedes – Examen, preguntas y respuestas Redes De Computadores Examenes de Redes
Última actualización: junio 11, 2026
Enterprise Networking, Security, and Automation (Versión 7.00) – Examen Final del Curso ENSA Preguntas y Respuestas Español
1. ABCTech está investigando el uso de la automatización para algunos de sus productos. Para controlar y probar estos productos, los programadores requieren Windows, Linux y MAC OS en sus computadoras. ¿Qué servicio o tecnología soportaría este requisito?
- Redes definidas por software
- Virtualización
- Centro de datos
- Cisco ACI
La virtualización permite ejecutar múltiples sistemas operativos (como Windows, Linux y macOS) de forma simultánea e independiente en una sola computadora física mediante el uso de máquinas virtuales (VM). Esto optimiza el uso del hardware y cumple perfectamente con el requisito de los programadores para probar sus productos en diferentes entornos sin necesidad de comprar equipos físicos separados para cada sistema.
2. Consulte la ilustración. ¿Cuál es el costo de OSPF para llegar a West LAN 172.16.2.0/24 desde East?
- 782
- 74
- 128
- 65
El costo de OSPF se calcula sumando los costos de todas las interfaces de salida en la ruta hacia el destino. Para llegar desde East hasta la red West LAN (172.16.2.0/24), el camino más óptimo es directo a través del enlace serial que une a ambos routers:
- El costo del enlace serial entre East y West es de 64 (debido al ancho de banda de 1544Kbps.
- El costo de la interfaz de salida G0/0 del router West hacia su LAN es de 1 (por ser una interfaz GigabitEthernet/FastEthernet por defecto).
Costo Total = 64 + 1 = 65
(Nota: OSPF evita la ruta a través de North porque el enlace de 64 Kbps tiene un costo individual muy elevado de 1562, por lo que la ruta directa es la elegida).
3. Consulte la ilustración. Si el SWITCH se reinicia y todos los router tienen que restablecer las adyacencias OSPF, ¿qué routers se convertirán en los nuevos DR y BDR?
- El router R3 se convertirá en el DR y el router R1 se convertirá en el BDR
- El router R4 se convertirá en el DR y el router R3 se convertirá en el BDR
- El router R1 se convertirá en el DR y el router R2 se convertirá en el BDR
- El router R3 se convertirá en el DR y el router R2 se convertirá en el BDR
Las elecciones OSPF de un DR se basan en lo siguiente en orden de precedencia:
- mayor prioridad de 1 a 255 (0 = nunca un RD)
- ID de enrutador más alto
- la dirección IP más alta de una interfaz de bucle invertido o activa en ausencia de una ID de enrutador configurada manualmente. Las direcciones IP de bucle invertido tienen mayor prioridad que otras interfaces.
En este caso, los enrutadores R3 y R1 tienen la prioridad de enrutador más alta. Entre los dos, R3 tiene el ID de enrutador más alto. Por lo tanto, R3 se convertirá en DR y R1 se convertirá en BDR.
4. ¿Cuál es la razón de usar el comando ip ospf priority cuando el protocolo de enrutamiento OSPF está en uso?
- para proporcionar una puerta trasera en la que se establezca la conectividad durante el proceso de convergencia
- para activar el proceso OSPF vecino
- para influir en el proceso de elección DR/BDR
- para simplificar y acelerar el proceso de convergencia
En redes de acceso múltiple (como Ethernet), OSPF elige un Router Designado (DR) y un Router Designado de Respaldo (BDR) para optimizar el intercambio de información de enrutamiento. El comando ip ospf priority permite cambiar la prioridad por defecto (que es 1) en una interfaz. El router con la prioridad más alta se convertirá en el DR, lo que da a los administradores control total sobre qué equipos asumen estos roles críticos.
5. Consulte la ilustración. Un diseñador web llama para informar que no se puede conectar con el servidor web web-s1.cisco.com a través de un navegador web. El técnico usa las utilidades de la línea de comando para verificar el problema y para comenzar con el proceso de resolución de problemas. ¿Cuáles son los dos hechos se pueden determinar sobre el problema? (Elija dos opciones).
- Un enrutador no está funcionando entre el host de origen y el servidor web-s1.cisco.com.
- Se puede alcanzar el servidor Web en 192.168.0.10 desde el host de origen.
- Existe un problema con el software del servidor Web en web-s1.cisco.com.
- Está desactivada la puerta de enlace predeterminada entre el host de origen y el servidor en 192.168.0.10.
- El DNS no puede resolver la dirección IP para el servidor web-s1.cisco.com.
El resultado exitoso del ping a la dirección IP indica que la red funciona y que el servidor web está en línea. Sin embargo, el hecho de que el ping al nombre de dominio del servidor falle indica que hay un problema de DNS; es decir, el host no puede resolver el nombre de dominio a su dirección IP asociada.
6. Consulte la ilustración. Un administrador de redes configuró OSPFv2 en los dos routers de Cisco, pero la PC1 no puede conectarse a la PC2. ¿Cuál es el problema más probable?
- La interfaz Fa0/0 está configurada como una interfaz pasiva en el router R2.
- La interfaz Fa0/0 no se activó para OSPFv2 en el router R2.
- La interfaz S0/0 está configurada como una interfaz pasiva en el router R2.
- La interfaz s0/0 no se activó para el protocolo OSPFv2 en el router R2.
Si una red LAN no se anuncia mediante OSPFv2, no se podrá acceder a una red remota. La salida muestra una adyacencia vecina exitosa entre el enrutador R1 y R2 en la interfaz S0/0 de ambos enrutadores.
7. ¿Qué paso en el proceso de enrutamiento del estado del vínculo se describe por un router que inunda el estado del vínculo y la información de costo sobre cada enlace conectado directamente?
- Intercambio de anuncios de estado de enlace
- inyectando la ruta predeterminada
- seleccionando la ID del router
- construye la tabla de topología
En el enrutamiento de estado de enlace (como OSPF), una vez que se establecen las adyacencias con los vecinos, el router genera paquetes conocidos como LSA (Link-State Advertisements). Estos paquetes contienen el estado y el costo de cada uno de sus enlaces conectados directamente. El router inunda (flooding) esta información a toda el área para que todos los demás routers puedan recibirla y sincronizar sus bases de datos.
8. Consulte la ilustración. ¿Desde cuál de las siguientes ubicaciones cargó el IOS este router?
- ROM
- NVRAM
- Memoria flash
- Servidor TFTP
- RAM
En la salida del comando
show version provista en la ilustración, se puede observar textualmente la siguiente línea:
System image file is "flash:c1841-advipservicesk9-mz.124-15.T1.bin"
El prefijo flash: indica explícitamente que el archivo de imagen del sistema operativo (IOS) se cargó y se está ejecutando desde la memoria flash del router.
9. ¿Qué tipo de servidor se utilizaría para mantener un registro histórico de los mensajes de los dispositivos de red supervisados?
- De autenticación
- De impresión
- DHCP
- Syslog
- DNS
Se utiliza un servidor SysLog como ubicación centralizada para los mensajes registrados de los dispositivos de red supervisados.
10. ¿Cuáles son las tres ventajas de utilizar direcciones IP privadas y NAT? (Elija tres opciones).
- Conservar las direcciones IP públicas registradas
- Reducir el uso de la CPU en los routers del cliente
- Mejorar el rendimiento del router que está conectado a Internet
- Crear direcciones IP públicas múltiples
- Permitir la expansión de la LAN sin direcciones IP públicas adicionales
- Ocultar el direccionamiento de la LAN privada de los dispositivos externos conectados a Internet
La combinación de direcciones IP privadas y NAT (Traducción de Direcciones de Red) ofrece los siguientes beneficios clave:
- Conservación de direcciones: Permite que miles de dispositivos en una red local compartan una sola o un pequeño grupo de direcciones IP públicas, ralentizando el agotamiento de IPv4.
- Flexibilidad y expansión: Una empresa puede añadir tantos hosts internos en su LAN como desee sin necesidad de solicitar o pagar por más direcciones IP públicas a su proveedor de Internet.
- Seguridad por ocultamiento: NAT actúa como una barrera de seguridad básica, ya que los dispositivos externos solo ven la dirección IP pública del router, manteniendo la estructura y las direcciones IP reales de la LAN interna totalmente invisibles desde el exterior.
11. ¿Qué dos afirmaciones hacen referencia a características de un virus? (Elija dos opciones).
- Un virus se autorreplica atacando de manera independiente las vulnerabilidades en las redes.
- Por lo general, un virus requiere la activación del usuario final.
- El virus proporciona datos confidenciales al atacante, como contraseñas.
- Un virus tiene una vulnerabilidad habilitante, un mecanismo de propagación y una carga útil.
- Un virus puede estar inactivo y luego activarse en un momento o en una fecha en particular.
El tipo de interacción del usuario final que se requiere para iniciar un virus normalmente es abrir una aplicación, abrir una página web o encender la computadora. Una vez activado, un virus puede infectar otros archivos ubicados en la computadora o en otras computadoras de la misma red.
12. ¿Qué es una característica de una red OSPF de área única?
- Todos los router tienen la misma tabla de enrutamiento.
- Todos los routers están en el área troncal.
- Todos los routers comparten una base de datos de reenvío común.
- Todos los router tienen la misma tabla de vecinos.
En una red OSPF de área única (Single-Area OSPF), por diseño y requisito obligatorio del protocolo, todos los routers deben pertenecer a la misma área, la cual corresponde estrictamente al Área 0 (también conocida como el área troncal o backbone area).
13. ¿Cuál de estas afirmaciones describe una característica de las ACL IPv4 estándar?
- Filtran el tráfico según las direcciones IP de origen únicamente.
- Se pueden crear con un número pero no con un nombre.
- Se pueden configurar para filtrar el tráfico según las direcciones IP de origen y los puertos de origen.
- Se configuran en el modo de configuración de interfaz.
Una ACL IPv4 estándar puede filtrar tráfico según las direcciones IP de origen únicamente. A diferencia de una ACL extendida, no puede filtrar tráfico según los puertos de capa 4. Sin embargo, tanto la ACL estándar como la ACL extendida pueden identificarse con un número o un nombre, y ambas se pueden configurar en modo de configuración global.
14. ¿Cuáles son las dos situaciones que ilustran ejemplos de VPN de acceso remoto? (Elija dos).
- Un empleado que trabaja desde su hogar usa software de cliente VPN en una computadora portátil para conectarse a la red de la empresa.
- Un agente de ventas móvil se conecta a la red de la empresa mediante la conexión a Internet en un hotel.
- Un fabricante de juguetes tiene una conexión VPN permanente a uno de sus proveedores de piezas.
- Todos los usuarios en una sucursal grande pueden acceder a los recursos de la empresa a través de una única conexión VPN.
- Una sucursal pequeña con tres empleados tiene un Cisco ASA que se utiliza para crear una conexión VPN a la oficina central.
Una VPN de acceso remoto está diseñada para conectar a usuarios individuales (teletrabajadores, empleados móviles o viajeros de negocios) de forma segura a la red central de su empresa desde cualquier ubicación externa a través de Internet. Para lograrlo, el usuario generalmente inicia la conexión de forma dinámica utilizando un software cliente (como Cisco AnyConnect) o mediante el navegador web.
Las demás opciones describen una VPN sitio a sitio (site-to-site), la cual se utiliza para interconectar redes completas de sucursales u oficinas fijas de forma permanente mediante routers o firewalls dedicados.
15. ¿En qué paso de la recolección de síntomas el ingeniero de red determina si el problema está en la capa de núcleo, de distribución o de acceso de la red?
- Determinar la propiedad.
- Registrar los síntomas.
- Determinar los síntomas.
- Reducir el ámbito.
- Recopilar información.
En el paso de “reducir el ámbito” de la recolección de síntomas, un ingeniero de red determina si el problema de red está en la capa de núcleo, de distribución o de acceso de la red. Una vez que se completa este paso y se identifica la capa, el ingeniero de red puede determinar qué partes del equipo son la causa más probable.
16. ¿Cuál enunciado describe una VPN?
- Una VPN utiliza conexiones lógicas para crear redes públicas a través de Internet.
- Una VPN utiliza conexiones físicas dedicadas para transferir datos entre usuarios remotos.
- Una VPN utiliza software de virtualización de código abierto para crear un túnel a través del Internet.
- Una VPN utiliza conexiones virtuales para crear una red privada a través de una red pública.
Una VPN es una red privada que se crea a través de una red pública. En lugar de usar conexiones físicas dedicadas, una VPN usa conexiones virtuales enrutadas a través de una red pública entre dos dispositivos de red.
17. ¿Cuáles son los dos elementos que un administrador de redes debe modificar en un router para realizar la recuperación de la contraseña? (Elija dos opciones.)
- El archivo de imagen del sistema
- ROM del sistema
- El archivo de configuración de inicio
- El valor del registro de configuración
- El sistema de archivos NVRAM
Para realizar la recuperación de la contraseña en un router Cisco, el administrador debe modificar temporalmente estos dos elementos en el siguiente orden:
- El valor del registro de configuración: Se cambia (usualmente al valor 0x2142) para indicarle al router que ignore el archivo de configuración de inicio durante el arranque, permitiendo ingresar al sistema sin pedir contraseña.
- El archivo de configuración de inicio (startup-config): Una vez dentro del router, se carga este archivo en la RAM para poder cambiar la contraseña olvidada o guardar una nueva configuración corregida, evitando así perder el resto de los parámetros de la red.
18. Haga coincidir el término con el componente http://www.buycarsfromus.com/2020models/ford/suv.html#Escape vínculo web. (No se utilizan todas las opciones).
19. ¿Qué tipo de red utiliza una infraestructura común para transmitir señales de voz, datos y video?
- Converger
- Administrada
- Conmutada
- Sin fronteras
Una red convergente es aquella que consolida diferentes tipos de servicios de comunicación —como la telefonía (voz), las transmisiones de televisión/streaming (video) y el tráfico de internet tradicional (datos)— dentro de una única infraestructura de red común. En lugar de construir y mantener redes físicas separadas para cada servicio, todos los paquetes viajan codificados bajo el mismo protocolo (IP), compartiendo los mismos switches, routers y cables.
20. ¿Qué tipo de paquete OSPF utiliza un router para detectar router vecinos y establecer adyacencia de vecinos?
- Descripción de la base de datos (DBD)
- Solicitud de link-state (LSR)
- Saludo
- Actualizaciones de estado de enlace
El paquete de Saludo (Type 1 OSPF Packet) es el utilizado por los routers para descubrir de forma dinámica a otros routers vecinos conectados a sus mismos enlaces, verificar el estado bidireccional de la comunicación (Two-Way) y mantener las adyacencias activas mediante un envío periódico de confirmación.
21. ¿Por qué QoS es un tema importante en una red convergente que combina comunicaciones de voz, video y datos?
- Las comunicaciones de voz y video son más sensibles a la latencia.
- Las comunicaciones de datos deben tener la primera prioridad.
- Las comunicaciones de datos son sensibles a la fluctuación.
- Los equipos heredados no pueden transmitir voz y video sin QoS.
Sin mecanismos de QoS implementados, los paquetes sensibles al tiempo, como la voz y el video, se descartarán con la misma frecuencia que el tráfico de correo electrónico y de navegación web.
22. Consulte la ilustración. Si no se configuró manualmente ninguna ID de router, ¿qué usaría el router R1 como su ID de router OSPF?
- 10.0.0.1
- 10.1.0.1
- 192.168.1.100
- 209.165.201.1
En OSPFv2, un router Cisco utiliza un método de tres niveles para derivar su ID de enrutador. La primera opción es el ID del enrutador configurado manualmente con el comando enrutador-id. Si la ID del enrutador no se configura manualmente, el enrutador elegirá la dirección IPv4 más alta de las interfaces de bucle invertido configuradas. Finalmente, si no se configuran interfaces de loopback, el enrutador elige la dirección IPv4 activa más alta de sus interfaces físicas.
23. ¿Qué es una WAN?
- Una infraestructura de red que proporciona acceso a otras redes a través de un área geográfica extensa
- Una infraestructura de red que abarca un área física limitada, como una ciudad
- Una infraestructura de red diseñada para proporcionar almacenamiento, recuperación y replicación de datos
- Una infraestructura de red que proporciona acceso en un área geográfica pequeña
El término WAN (Wide Area Network o Red de Área Amplia) se refiere a redes que abarcan distancias geográficas grandes, como países, continentes o incluso todo el planeta. A diferencia de una LAN (que opera en un área pequeña como una oficina o casa), la WAN utiliza enlaces de comunicación (satélites, fibras ópticas de larga distancia, etc.) para interconectar múltiples redes locales y permitir la comunicación a gran escala.
24. ¿Qué conjunto de entradas de control de acceso permitiría a todos los usuarios en la red 192.168.10.0/24 tener acceso a un servidor web que se encuentra en 172.17.80.1, pero no permitiría que utilicen Telnet?
- access-list 103 permit 192.168.10.0 0.0.0.255 host 172.17.80.1
access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq telnet - access-list 103 permit tcp 192.168.10.0 0.0.0.255 host 172.17.80.1 eq 80
access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq 23 - access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq 23 - access-list 103 deny tcp host 192.168.10.0 any eq 23
access-list 103 permit tcp host 192.168.10.1 eq 80
Para que una ACL extendida cumpla con estos requisitos, se debe incluir lo siguiente en las entradas de control de acceso:
número de identificación en el rango 100-199 o 2000-2699
permitir o denegar parámetro
protocolo
dirección de origen y comodín
dirección de destino y comodín
número de puerto o nombre
25. Consulte la ilustración. ¿Qué secuencia de comandos se debe utilizar para configurar el router A para OSPF?
- router ospf 1
red 192.168.10.64 0.0.0.63 área 0
red 192.168.10.192 0.0.0.3 área 0 - router ospf 1
red 192.168.10.0 - router ospf 1
network 192.168.10.0 area 0 - router ospf 1
red 192.168.10.64 255.255.255.192
red 192.168.10.192 255.255.255.252
Para configurar OSPF, se debe especificar la red y su máscara comodín (wildcard mask) correspondiente al área asignada:
- Red 192.168.10.64/26: La máscara de subred es
255.255.255.192. Al invertirla para obtener la máscara comodín, obtenemos0.0.0.63. - Red 192.168.10.192/30: La máscara de subred es
255.255.255.252. Al invertirla, obtenemos la máscara comodín0.0.0.3.
Esta es la única opción que utiliza correctamente la sintaxis de máscara comodín para las subredes mostradas en la ilustración.
26. Una las funciones con las capas correspondientes. (No se utilizan todas las opciones.)
| Representa el perímetro de la red. | Capa de acceso |
| Brinda acceso a la red al usuario. | Capa de acceso |
| Brinda una política de acceso a la red. | Capa de distribución |
| Establece límites de routing de capa 3. | Capa de distribución |
| Brinda una conectividad troncal de alta velocidad. | Capa núcleo |
| Funciona como agregador para todos los bloques de campus. | Capa núcleo |
27. Consulte la ilustración. Un administrador configuró primero una ACL extendida como se muestra en el resultado del comando show access-lists . A continuación, el administrador editó esta lista de acceso emitiendo los siguientes comandos.
Router (config) # ip access-list extended 101 Router (config-ext-nacl) # no 20 Router (config-ext-nacl) # 5 permit tcp any eq 22 Router (config-ext-nacl) # 20 deny udp any any
¿Qué dos conclusiones se pueden extraer de esta nueva configuración? (Elija dos.)
- Se permitirán paquetes SSH.
- Se permitirán los paquetes de ping.
- Se permitirán paquetes TFTP.
- Se permitirán paquetes Telnet.
- Se denegarán todos los paquetes TCP y UDP.
Después de la edición, la configuración final es la siguiente:
Router#show access-lists
Extended IP access list 101
5 permit tcp any any eq ssh
10 deny tcp any any
20 deny udp any any
30 permit icmp any any
Por lo tanto, solo se permitirán paquetes SSH y paquetes ICMP.
28. ¿Cuáles son tres beneficios de la computación en la nube? (Elija tres opciones).
- Permite el acceso a los datos organizacionales en cualquier momento y lugar.
- Elimina o reduce la necesidad de equipamiento, mantenimiento y administración de TI en el sitio.
- Optimiza las operaciones de TI de una organización suscribiéndose únicamente a los servicios necesarios.
- Utiliza clientes de usuarios finales para realizar una cantidad sustancial de almacenamiento y procesamiento previo de datos.
- Utiliza software de código abierto para el procesamiento distribuido de grandes conjuntos de datos.
- Transforma los datos sin procesar en información significativa detectando patrones y relaciones.
La computación en la nube permite a las empresas externalizar su infraestructura tecnológica, lo que brinda flexibilidad y movilidad al acceder a la información remotamente. Además, reduce los costos operativos y de hardware al desplazar la carga de mantenimiento hacia el proveedor de servicios, permitiendo además un modelo de pago por uso (escalabilidad), donde la organización solo contrata y paga por los recursos específicos que realmente necesita.
29. ¿Cuál es uno de los propósitos por los cuales se establece una línea de base de red?
- Crea un punto de referencia para futuras evaluaciones de red.
- Proporciona un promedio estadístico del rendimiento de la red.
- Verifica la configuración de seguridad de los dispositivos de red.
- Administra el rendimiento de los dispositivos de red.
Se utiliza una línea de base para establecer el rendimiento normal de la red o del sistema. Se puede utilizar para comparar con el rendimiento futuro de la red o del sistema a fin de detectar situaciones anormales.
30. ¿Qué tipo de marcado de QoS se aplica a las tramas de Ethernet?
- ToS
- DSCP
- IP Precedence
- CoS
El marcado CoS (Clase de Servicio) se utiliza en la capa 2 del modelo OSI y se aplica específicamente en las tramas de Ethernet (dentro del encabezado 802.1Q/p). Por el contrario, ToS, DSCP e IP Precedence son mecanismos de marcado utilizados en la capa 3 (encabezados de paquetes IP), por lo que no se aplican directamente a las tramas de Ethernet.
31. Una el tipo de dispositivo o de servicio WAN con la descripción. (No se utilizan todas las opciones).
32. ¿Qué tecnología de acceso WAN público utiliza líneas telefónicas de cobre para proporcionar acceso a los suscriptores que se multiplexan en una única conexión de enlace T3?
- Cable
- Acceso telefónico
- ISDN
- DSL
La tecnología DSL (Digital Subscriber Line) utiliza las líneas telefónicas de cobre existentes para transmitir datos de alta velocidad. En entornos de acceso público, múltiples suscriptores pueden ser multiplexados en el lado del proveedor (DSLAM) para luego ser concentrados y transportados a través de conexiones de mayor capacidad, como un enlace T3 (que ofrece una velocidad de hasta 44.736 Mbps), hacia la red troncal de Internet.
33. ¿Qué tipo de tráfico se describe como requiere latencia no superior a 400 milisegundos (ms)?
- Datos
- Voz
- Video
El tráfico de video es altamente sensible a la latencia. En redes, se establecen estándares de calidad de servicio (QoS) para asegurar una experiencia fluida; para el tráfico de video, se considera que una latencia máxima aceptable es de 400 milisegundos (ms). Si se supera este umbral, la comunicación sufre retrasos perceptibles que degradan la calidad de la transmisión.
34. ¿Qué tres tipos de VPN son ejemplos de VPN de sitio a sitio administradas por la empresa? (Escoja tres opciones).
- sin cliente SSL VPN
- VPN de IPsec
- GRE sobre IPsec VPN
- IPsec VPN basada en el cliente
- MPLS VPN de capa 3
- VPN dinámica multipunto de Cisco
Estos tres tipos de VPN están diseñados específicamente para interconectar redes fijas completas (como una oficina central con una sucursal) de forma permanente y gestionada por la empresa, lo que define el concepto de VPN de sitio a sitio (site-to-site).
Por el contrario, las opciones que incluyen términos como «sin cliente» o «basada en el cliente» (SSL VPN) corresponden a VPN de acceso remoto, destinadas a conectar usuarios individuales de forma puntual.
35. ¿Qué enunciado describe con precisión una característica de IPsec?
- IPSec funciona en la capa de aplicación y protege todos los datos de la aplicación.
- IPSec es un marco de estándares abiertos que se basa en algoritmos existentes.
- IPSec es un marco de estándares propietarios que dependen de algoritmos específicos de Cisco.
- IPSec funciona en la capa de transporte y protege los datos en la capa de red.
- IPSec es un marco de estándares desarrollado por Cisco que se basa en algoritmos OSI.
IPsec puede asegurar una ruta entre dos dispositivos de red. IPsec puede proporcionar las siguientes funciones de seguridad:
Confidencialidad: IPsec garantiza la confidencialidad mediante el uso de cifrado.
Integridad: IPsec garantiza que los datos lleguen sin cambios al destino mediante un algoritmo hash, como MD5 o SHA.
Autenticación: IPsec utiliza Internet Key Exchange (IKE) para autenticar a los usuarios y dispositivos que pueden realizar la comunicación de forma independiente. IKE utiliza varios tipos de autenticación, incluidos nombre de usuario y contraseña, contraseña de un solo uso, datos biométricos, claves precompartidas (PSK) y certificados digitales.
Intercambio de clave seguro: IPsec utiliza el algoritmo Diffie-Hellman (DH) para proporcionar un método de intercambio de clave pública para que dos pares establezcan una clave secreta compartida.
36. Consulte la ilustración. Muchos empleados están perdiendo el tiempo de la empresa accediendo a las redes sociales en sus computadoras de trabajo. La compañía quiere detener este acceso. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
- ACL estándar saliente en R2 S0 / 0/0
- ACL extendida saliente en la interfaz WAN R2 hacia Internet
- ACL extendida saliente en la interfaz WAN R2 hacia Internet
- ACL extendidas entrantes en R1 G0/0 y G0/1
Tipo de ACL: Se debe utilizar una ACL extendida, ya que las ACL estándar solo pueden filtrar por dirección IP de origen, mientras que las extendidas permiten filtrar por protocolo, puertos y aplicaciones específicas (necesarias para identificar y bloquear el tráfico de redes sociales).
Ubicación: Siguiendo las mejores prácticas, las ACL extendidas deben colocarse lo más cerca posible de la fuente del tráfico. Al aplicarlas como entrantes en las interfaces G0/0 y G0/1 del router R1, se bloquea el tráfico no deseado directamente en el origen, evitando que consuma ancho de banda innecesario en el resto de la red.
37. Se aplica una ACL entrante en una interfaz de router. La ACL consta de una sola entrada:
access-list 101 permit udp 192.168.100.0 0.0.2.255 64.100.40.0 0.0.0.0.15 eq telnet .
Si un paquete con una dirección de origen de 192.168.100.219, una dirección de destino de 64.100.40.10 y un protocolo de 54 se recibe en la interfaz, ¿está permitido o denegado el paquete?
- Denegado
- Permitido
Para que un paquete sea permitido por esta ACL, debe cumplir con todos los criterios definidos en la entrada:
- Protocolo: La ACL permite explícitamente tráfico UDP (el paquete recibido tiene un protocolo 54).
- Rango de origen: 192.168.100.219 cae dentro del rango permitido (192.168.100.0 a 192.168.103.255).
- Rango de destino: 64.100.40.10 cae dentro del rango permitido (64.100.40.0 a 64.100.40.15).
- Puerto: La ACL requiere el puerto telnet (TCP 23 o UDP 23), lo cual no coincide con la naturaleza del protocolo 54 (NHRP).
Al no coincidir el protocolo (UDP vs 54), el paquete no cumple con la regla y, debido a la regla implícita «denegar todo lo que no esté permitido» al final de toda ACL, el paquete es rechazado.
38. Se aplica una ACL entrante en una interfaz de router. La ACL consta de una sola entrada:
access-list 101 permit udp 192.168.100.0 0.0.2.255 64.100.40.0 0.0.0.15 eq telnet .
Si un paquete con una dirección de origen de 192.168.101.45, una dirección de destino de 64.100.40.4 y un protocolo de 23 se recibe en la interfaz, ¿está permitido o denegado el paquete?
- Denegado
- Permitido
39. Si un router tiene dos interfaces y está enrutando tráfico IPv4 e IPv6, ¿cuántas ACL se podrían crear y aplicar a él?
- 16
- 4
- 8
- 6
- 12
El cálculo se basa en las siguientes variables para un router con dos interfaces:
- Direcciones de tráfico: Por cada interfaz, se pueden aplicar ACL en dos direcciones: entrante y saliente (2 direcciones por interfaz × 2 interfaces = 4 puntos de aplicación).
- Protocolos: Como el router maneja tanto tráfico IPv4 como IPv6, se requiere una ACL independiente para cada protocolo en cada punto de aplicación.
Por lo tanto, la capacidad máxima es: 4 puntos de aplicación × 2 tipos de protocolo (IPv4 e IPv6) = 8 ACL.
40. Consulte la ilustración. Un administrador de red ha configurado una ACL estándar para permitir que sólo las dos redes LAN conectadas a R1 accedan a la red que se conecta a la interfaz R2 G0/1, pero no a la interfaz G0/0. Al seguir las mejores prácticas, ¿en qué ubicación se debe aplicar la ACL estándar?
- R2 G0/0 saliente
- R2 G0/1 entrante
- R1 S0/0/0 saliente
- R1 S0/0/0 entrante
- R2 S0/0/1 saliente
Al aplicar ACL estándar, la regla general de mejores prácticas es colocarlas lo más cerca posible del destino.
- ¿Por qué ahí?: Dado que el administrador desea filtrar el acceso a redes específicas conectadas a R2, la ACL debe aplicarse en el router R2.
- Dirección: Al aplicar la ACL en la interfaz S0/0/1 saliente (que es la interfaz de salida de R2 hacia las LANs), el router filtrará el tráfico justo antes de que llegue a su destino final, permitiendo que el tráfico legítimo llegue a la interfaz G0/1 y denegando el acceso a la interfaz G0/0 según la política establecida.
41. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para mostrar todas las traducciones estáticas que se han configurado?
- show ip pat translations
- show ip cache
- show running-config
- show ip nat translations
Este comando es el estándar en los routers Cisco para visualizar tanto las traducciones dinámicas como las estáticas que se encuentran actualmente en la tabla NAT. Aunque la opción show running-config también mostraría la configuración estática escrita en el archivo de configuración, el comando show ip nat translations es el que permite ver el estado operativo real y verificado de las traducciones.
42. Consulte la ilustración. Un administrador de redes necesita agregar una ACE a la ACL TRAFFIC-CONTROL que denegará el tráfico IP de la subred 172.23.16.0/20. ¿Qué ACE cumplirá este requisito?
- 30 deny 172.23.16.0 0.0.15.255
- 15 deny 172.23.16.0 0.0.15.255
- 5 deny 172.23.16.0 0.0.255.255
- 5 deny 172.23.16.0 0.0.15.255
El único criterio de filtrado especificado para la lista de acceso estándar es la dirección IPv4 de origen. La máscara comodín se escribe para identificar qué partes de la dirección deben coincidir (con un bit 0) y qué partes de la dirección deben ignorarse (bit 1). El router analizará las ACE desde el menor número de secuencia al mayor. Si una ACE debe agregarse a una lista de acceso existente, el número de secuencia debe especificarse para que la ACE esté en el lugar correcto durante el proceso de evaluación de la ACL.
43. Un administrador de red está escribiendo una ACL estándar que denegará el tráfico desde la red 172.16.0.0/16, pero que permitirá todo el otro tráfico. ¿Cuáles son los comandos que se deben utilizar? (Elija dos opciones.)
- Router(config)# access-list 95 deny 172.16.0.0 0.0.255.255
- Router(config)# access-list 95 permit any
- Router(config)# access-list 95 deny 172.16.0.0 255.255.0.0
- Router(config)# access-list 95 172.16.0.0 255.255.255.255
- Router(config)# access-list 95 deny any
- Router(config)# access-list 95 host 172.16.0.0
Para denegar el tráfico de la red 172.16.0.0/16, el access-list 95 deny 172.16.0.0 0.0.255.255 se utiliza el comando. Para permitir el resto del tráfico, se agrega la instrucción access-list 95 allow any.
44. ¿Cuál es la característica de diseño que limita el tamaño de un dominio de fallas en una red empresarial?
- El uso de un diseño de núcleo contraído
- La compra de equipos empresariales diseñados para un gran volumen de tráfico de red
- El uso del enfoque de bloque de switches de edificio
- La instalación de fuentes de alimentación redundantes
El diseño jerárquico basado en bloques de switches (también llamado bloques de construcción o building blocks) divide la red en secciones modulares independientes. Al aislar la conectividad a nivel de edificio o de área, si ocurre una falla en un bloque específico, el impacto se limita a esa zona y no se propaga a toda la red empresarial, manteniendo así el dominio de fallas bajo control.
45. ¿Cuáles son dos reglas de sintaxis para escribir una matriz JSON? (Escoja dos opciones).
- Los valores están entre corchetes.
- Cada valor dentro del vector es separado por una coma.
- La matriz puede incluir sólo un tipo de valor.
- Un espacio debe separar cada valor de la matriz.
- Un punto y coma separa la clave y la lista de valores.
Una matriz JSON es una colección de valores ordenados entre corchetes []. Cada valor dentro del vector es separado por una coma. Por ejemplo «users»: [«bob», «alice», «eve»].
46. En JSON, ¿qué se mantiene entre corchetes []?
- pares clave/valor
- valores anidados
- una matriz
- un objeto
En JSON, los corchetes [] se utilizan específicamente para definir una matriz (o array), que es una colección ordenada de valores. Por otro lado, las llaves {} se utilizan para definir objetos, los cuales contienen pares de clave/valor.
47. ¿Qué tipo de API se usaría para permitir a los vendedores autorizados de una organización acceder a los datos de ventas internos desde sus dispositivos móviles?
- abierto
- Privada
- Pública
- partner
Una API privada está diseñada para ser utilizada exclusivamente dentro de una organización por sus propios empleados, departamentos o sistemas autorizados. En este caso, al estar destinada a vendedores autorizados de la propia empresa para acceder a datos internos, se clasifica como privada, ya que no está abierta al público general ni a socios externos (que usarían una API de tipo partner).
48. Consulte la ilustración. ¿Qué dirección o direcciones representan la dirección global interna?
- 10.1.1.2
- 209.165.20.25
- cualquier dirección de la red 10.1.1.0
- 192.168.0.100
En el contexto de NAT (Network Address Translation), la dirección global interna es la dirección IP pública que representa a un host interno (privado) ante el mundo exterior.
Observando la configuración mostrada en la ilustración: Router1(config)# ip nat inside source static 192.168.0.100 209.165.20.25
- 192.168.0.100 es la dirección local interna (la IP privada real del dispositivo).
- 209.165.20.25 es la dirección global interna (la IP pública asignada a ese dispositivo para comunicarse en Internet).
49. Consulte la exhibición. Un administrador intenta configurar PAT en el R1, pero la PC-A no puede acceder a Internet. El administrador intenta hacer ping a un servidor en Internet desde la PC-A y recopila las depuraciones que se muestran en la ilustración. Sobre la base de este resultado, ¿cuál es la causa más probable del problema?
- La dirección global interna no está en la misma subred que el ISP.
- La dirección en Fa0/0 debe ser 64.100.0.1.
- La lista de acceso de origen NAT coincide con un rango de direcciones incorrecto.
- Las interfaces NAT internas y externas se configuraron al revés.
La salida de debug ip nat muestra cada paquete que es traducido por el enrutador. La «s» es la dirección IP de origen del paquete y la «d» es el destino. La dirección después de la flecha («- & gt;») muestra la dirección traducida. En este caso, la dirección traducida está en la subred 209.165.201.0 pero la interfaz orientada al ISP está en la subred 209.165.200.224/27. Es posible que el ISP descarte los paquetes entrantes o que no pueda enrutar los paquetes de retorno al host porque la dirección se encuentra en una subred desconocida.
50. Consulte la exhibición. Una computadora en la dirección 10.1.1.45 no puede acceder a Internet. ¿Cuál es la causa más probable del problema?
- Se usó una máscara de red incorrecta en el conjunto de NAT.
- Access-list 1 no se configuró correctamente.
- Las interfaces internas y externas se configuraron al revés.
- Se agotó el conjunto de NAT.
La salida de las estadísticas show ip nat muestra que hay 2 direcciones en total y que se han asignado 2 direcciones (100%). Esto indica que el grupo de NAT no tiene direcciones globales para ofrecer nuevos clientes. Según las traducciones de show ip nat, las PC en 10.1.1.33 y 10.1.1.123 han utilizado las dos direcciones disponibles para enviar mensajes ICMP a un host en la red externa.
51. Un administrador está configurando OSPF de área única en un router. Una de las redes que se deben anunciar es 172.16.91.0 255.255.255.192. ¿Qué máscara comodín usaría el administrador en la instrucción de red OSPF?
Un administrador está configurando OSPF de área única en un router. Una de las redes que debe anunciarse es 172.16.91.0 255.255.255.192. ¿Qué máscara comodín usaría el administrador en la instrucción de red OSPF?
- 0.0.0.63
- 0.0.0.3
- 0.0.0.15
- 0.0.0.7
La máscara comodín (wildcard mask) es el inverso de la máscara de subred. Para obtenerla, se resta la máscara de subred (255.255.255.192) de la máscara de red completa (255.255.255.255):
- 255 – 255 = 0
- 255 – 255 = 0
- 255 – 255 = 0
- 255 – 192 = 63
Por lo tanto, el resultado es 0.0.0.63.
52. De las siguientes opciones, ¿cuál señala una característica de un caballo de Troya en lo que se refiere a la seguridad de la red?
- Se envían enormes cantidades de datos a una interfaz de dispositivo de red particular.
- El malware está alojado en un programa ejecutable aparentemente legítimo.
- Se utiliza un diccionario electrónico para obtener una contraseña que se usará para infiltrarse en un dispositivo de red clave.
- Se destina mucha información a un bloque de memoria particular, y esto hace que que otras áreas de la memoria se vean afectadas.
Un caballo de Troya lleva a cabo operaciones maliciosas bajo la apariencia de un programa legítimo. Los ataques de denegación de servicio envían cantidades extremas de datos a una interfaz de dispositivo de red o host en particular. Los ataques a contraseñas utilizan diccionarios electrónicos en un intento de aprender las contraseñas. Los ataques de desbordamiento de búfer explotan los búferes de memoria al enviar demasiada información a un host para que el sistema quede inoperable.
53. De las siguientes afirmaciones, seleccione dos que describan el uso de algoritmos asimétricos. (Elija dos opciones).
- Si se utiliza una clave pública para cifrar los datos, debe utilizarse una clave pública para descifrarlos.
- Si se utiliza una clave privada para cifrar los datos, debe utilizarse una clave pública para descifrarlos.
- Si se utiliza una clave privada para cifrar los datos, debe utilizarse una clave privada para descifrarlos.
- Si se utiliza una clave pública para cifrar los datos, debe utilizarse una clave privada para descifrarlos.
- Las claves públicas y privadas pueden utilizarse indistintamente.
Los algoritmos asimétricos utilizan dos claves: una clave pública y una clave privada. Ambas claves son capaces de realizar el proceso de cifrado, pero se requiere la clave complementaria coincidente para el descifrado. Si una clave pública cifra los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada cifra los datos, la clave pública correspondiente descifra los datos.
54. Una compañía ha contratado una empresa de seguridad de red para ayudar a identificar las vulnerabilidades de la red corporativa. La firma envía un equipo para realizar pruebas de penetración a la red de la compañía. ¿Por qué el equipo usaría depuradores?
- para detectar cualquier evidencia de un hack o malware en una computadora o red
- para aplicar ingeniería inversa a los archivos binarios al escribir exploits y al analizar malware
- para detectar herramientas instaladas dentro de archivos y directorios que proporcionan a los actores de amenazas acceso remoto y control a través de un equipo o red
- para obtener sistemas operativos especialmente diseñados precargados con herramientas optimizadas para hackear
Los depuradores (debuggers) son herramientas esenciales en pruebas de penetración y ciberseguridad porque permiten observar la ejecución de programas en tiempo real. Son utilizados para examinar el código a bajo nivel, lo que facilita la ingeniería inversa de archivos binarios, permitiendo a los expertos entender cómo funciona una aplicación, identificar vulnerabilidades y analizar el comportamiento de códigos maliciosos (malware) para desarrollar exploits o contramedidas.
55. Dos router habilitados para OSPF están conectados a través de un enlace punto a punto. Durante el estado ExStart, ¿qué router se elegirá como el primero en enviar paquetes DBD?
- el router con la dirección IP más alta en la interfaz de conexión
- el router con la dirección IP más baja en la interfaz de conexión
- el router con la ID de router más alta
- el router con el ID de router más bajo
En el estado ExStart, los dos enrutadores deciden qué enrutador enviará primero los paquetes DBD. El enrutador con el ID de enrutador más alto será el primer enrutador en enviar paquetes DBD durante el estado de Exchange
56. ¿Qué tipo de paquete OSPFv2 se utiliza para reenviar información de cambio de enlace OSPF?
- Descripción de la base de datos (DBD)
- reconocimiento de estado de enlace
- Actualizaciones de estado de enlace
- Saludo
Los paquetes de Actualizaciones de estado de enlace (LSU) son los encargados de transportar la información sobre los estados de los enlaces (LSA) a través de la red OSPF. Se utilizan específicamente para propagar cambios en la topología, asegurando que todos los routers dentro de un área mantengan su base de datos de estado de enlace (LSDB) sincronizada y actualizada.
57. ¿Qué protocolo utiliza agentes, que residen en dispositivos administrados, para recopilar y almacenar información sobre el dispositivo y su funcionamiento?
- SYSLOG
- Programador
- TFTP
- SNMP
El protocolo SNMP permite la gestión de dispositivos de red mediante el uso de agentes que residen en los dispositivos administrados. Estos agentes recopilan y almacenan información sobre el funcionamiento del dispositivo en una base de datos denominada MIB (Management Information Base), la cual puede ser consultada posteriormente por un sistema de administración centralizado (Network Management Station).
58. ¿Qué tipo de VPN enruta paquetes a través de interfaces de túnel virtual para el cifrado y el reenvío?
- Interfaz virtual del túnel IPSec
- GRE sobre IPsec
- VPN con MPLS
- VPN multipunto dinámica.
Una VTI permite configurar una interfaz lógica (túnel virtual) que enruta el tráfico directamente hacia ella. Cuando un paquete llega a esta interfaz, el router lo cifra y lo reenvía a través de un túnel IPSec, lo que simplifica la configuración del enrutamiento al tratar al túnel como una interfaz física estándar, a diferencia de los métodos basados en mapas de cifrado (crypto maps) tradicionales.
59. ¿Cuál es una característica de un hipervisor de tipo 2?
- tienen acceso directo a los recursos de hardware de servidores
- más adecuados para los entornos empresariales
- no requiere software de consola de administración
- se instalan directamente en el hardware
Los hipervisores de tipo 2 se alojan en un sistema operativo subyacente, y se adaptan mejor a las aplicaciones de clientes finales y de experimentación con la virtualización. A diferencia de los hipervisores de tipo 1, los hipervisores de tipo 2 no requieren de una consola de administración y no tienen acceso directo al hardware.
60. ¿Qué tipo de recursos se requiere para un hipervisor de tipo 1?
- una VLAN dedicada
- un sistema operativo del host
- una consola de administración
- un servidor que ejecute VMware Fusion
Un hipervisor de tipo 1 (también conocido como hipervisor «bare-metal») se instala directamente sobre el hardware del servidor, sin depender de un sistema operativo subyacente. Debido a que no cuenta con una interfaz de usuario integrada en el servidor mismo, requiere una consola de administración externa (generalmente ejecutada en otro equipo) para configurar, gestionar y monitorear las máquinas virtuales.
61. ¿Qué se usa para completar la tabla de adyacencia de los dispositivos de Cisco que usan CEF para procesar los paquetes?
- FIB
- DSP
- la tabla ARP
- la tabla de routing
El CEF (Cisco Express Forwarding) utiliza dos tablas principales para procesar paquetes de forma eficiente:
- FIB (Forwarding Information Base): Mantiene la información de reenvío basada en la tabla de enrutamiento.
- Tabla de adyacencia: Se utiliza para mantener la información de direccionamiento de Capa 2 (como las direcciones MAC de los siguientes saltos). Para poblar esta tabla y asociar las direcciones IP con sus respectivas direcciones MAC, el dispositivo utiliza la tabla ARP.
62. Al lanzar un ataque de reconocimiento en una red, ¿qué es lo que se busca? (Elija dos opciones).
- Recopilar información sobre la red y los dispositivos
- Evitar que otros usuarios accedan al sistema
- Recuperar y modificar datos
- Buscar oportunidades de acceso
- Escalar privilegios de acceso
Recopilar información sobre una red y buscar oportunidades de acceso es un ataque de reconocimiento. Impedir que otros usuarios accedan a un sistema es un ataque de denegación de servicio. Intentar recuperar y modificar datos, e intentar escalar privilegios de acceso son tipos de ataques de acceso.
63. ¿Cuáles son los dos tipos de conexiones de VPN? (Elija dos opciones.)
- De sitio a sitio
- Frame Relay
- Acceso remoto
- Línea arrendada
- PPPoE
PPPoE, líneas arrendadas y Frame Relay son tipos de tecnología WAN, no tipos de conexiones VPN.
64. ¿Qué tipo de tráfico se describe como tener un alto volumen de datos por paquete?
- Datos
- Voz
- Video
El tráfico de video se caracteriza por tener un alto volumen de datos por paquete en comparación con el tráfico de voz o de datos estándar. Esto se debe a que la transmisión de video requiere enviar una gran cantidad de información gráfica (imágenes, resolución, tasa de fotogramas) para mantener la calidad, lo que resulta en paquetes de mayor tamaño y una naturaleza de tráfico «estallada» (bursty), altamente dependiente del ancho de banda.
65. Una compañía ha contratado una empresa de seguridad de red para ayudar a identificar las vulnerabilidades de la red corporativa. La firma envía un equipo para realizar pruebas de penetración a la red de la compañía. ¿Por qué el equipo usaría aplicaciones como Nmap, SuperScan y Angry IP Scanner?
- para capturar y analizar paquetes dentro de LAN o WLAN Ethernet tradicionales
- para sondear dispositivos de red, servidores y hosts en busca de puertos TCP o UDP abiertos
- para probar y probar la robustez de un firewall utilizando paquetes falsificados especialmente creados
- para detectar herramientas instaladas dentro de archivos y directorios que proporcionan a los actores de amenazas acceso remoto y control a través de un equipo o red
Herramientas como Nmap, SuperScan y Angry IP Scanner son escáneres de red y de puertos. Su función principal en una prueba de penetración es identificar qué dispositivos están activos en la red y qué servicios o puertos tienen abiertos, lo cual permite a los especialistas detectar superficies de ataque y posibles vulnerabilidades que podrían ser explotadas.
66. ¿Qué protocolo se sincroniza con un reloj maestro privado o con un servidor disponible públicamente en Internet?
- NTP
- SNMP
- SYSLOG
- MPLS
El protocolo NTP se utiliza específicamente para sincronizar los relojes de los dispositivos de red (como routers, switches y servidores) con una fuente de tiempo precisa. Esta fuente puede ser un reloj maestro privado dentro de la red local o un servidor de tiempo disponible públicamente en Internet (servidores Stratum), garantizando que todos los dispositivos mantengan la misma hora para la correcta gestión de registros (logs), auditorías y operaciones programadas.
67. ¿Cuáles son los tres componentes utilizados en la parte de consulta de una solicitud API RESTful típica? (Escoja tres opciones).
- servidor API
- parámetros
- protocolo
- clave
- recursos
- format
La parte de consulta en una solicitud RESTful API especifica el formato de datos y la información que el cliente solicita del servicio API. Las consultas pueden incluir lo siguiente:
- Formato : JSON, YAML, XML y otros formatos de datos compatibles
- clave para la autenticación de la fuente solicitante
- Parameters – los parámetros se utilizan para enviar información relativa a la solicitud.
68. Considere la siguiente lista de acceso, la cual permite la transferencia de archivos de configuración de teléfonos IP desde un host específico hasta un servidor TFTP:
R1(config)# access-list 105 permit udp host 10.0.70.23 host 10.0.54.5 range 1024 5000 R1(config)# access-list 105 deny ip any any R1(config)# interface gi0/0 R1(config-if)# ip access-group 105 out
¿Qué método le permitiría al administrador de red modificar la ACL e incluir las transferencias FTP desde cualquier dirección IP de origen?
R1(config)# access-list 105 permit udp host 10.0.70.23 host 10.0.54.5 range 1024 5000
R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 20
R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 21
R1(config)# access-list 105 deny ip any any
R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 20
R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 21
R1(config)# interface gi0/0
R1(config-if)# no ip access-group 105 out
R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 20
R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 21
R1(config)# interface gi0/0
R1(config-if)# ip access-group 105 out
R1(config)# interface gi0/0
R1(config-if)# no ip access-group 105 out
R1(config)# no access-list 105
R1(config)# access-list 105 permit udp host 10.0.70.23 host 10.0.54.5 range 1024 5000
R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 20
R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 21
R1(config)# access-list 105 deny ip any any
R1(config)# interface gi0/0
R1(config-if)# ip access-group 105 out
En los routers Cisco, cuando se desea modificar una lista de acceso numerada que ya está en uso, la forma más segura y correcta es:
- Retirar la ACL de la interfaz (no ip access-group) para evitar que el tráfico sea filtrado por una lista incompleta durante la edición.
- Eliminar la ACL antigua (no access-list) para poder recrearla desde cero con todas las entradas necesarias (incluyendo las nuevas reglas FTP).
- Reaplicar la ACL a la interfaz para que el filtrado vuelva a estar activo con la configuración actualizada.
69. Consulte la ilustración. Un administrador configura la siguiente ACL para evitar que los dispositivos de la subred 192.168.1.0 accedan al servidor en 10.1.1.5:
access-list 100 deny ip 192.168.1.0 0.0.0.255 host 10.1.1.5 access-list 100 permit ip any any
¿ Dónde debe colocar el administrador esta ACL para el uso más eficiente de los recursos de red?
- saliente en el router A Fa0/1
- entrante en el router A Fa0/0
- entrante en el router B Fa0/1
- saliente en el router B Fa0/0
Para lograr el uso más eficiente de los recursos de red, la regla de oro de las ACL (Listas de Control de Acceso) es colocar las ACL extendidas lo más cerca posible del origen del tráfico.
Al aplicar la ACL de manera entrante en la interfaz Fa0/0 del router A, el tráfico no deseado es filtrado inmediatamente antes de ser procesado o enrutado, ahorrando así ancho de banda y ciclos de CPU en el resto de la red y en el router B.
70. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para identificar una interfaz como parte de la red global externa?
- ip nat outside
- access-list 10 permit 172.19.89.0 0.0.0.255
- ip nat inside
- ip pat inside
En la configuración de NAT (Network Address Translation), el comando ip nat outside se utiliza en la interfaz del router que conecta con la red externa (generalmente Internet o el ISP). Este comando le indica al dispositivo que el tráfico que sale o entra por esa interfaz debe ser tratado como parte del dominio público o «global» para las traducciones de direcciones IP.
71. Anycompany ha decidido reducir su huella ambiental al reducir los costos de energía, mudarse a una instalación más pequeña y promover el teletrabajo. ¿Qué servicio o tecnología soportaría este requisito?
- APIC-EM
- Cisco ACI
- Servicios en la nube
- Centro de datos
Los servicios en la nube permiten a las empresas reducir su huella ambiental y costos operativos al eliminar la necesidad de mantener infraestructura física local (como grandes centros de datos propios con alto consumo eléctrico y de refrigeración). Al migrar recursos a la nube, la empresa puede trasladarse a instalaciones más pequeñas y facilitar el teletrabajo, ya que los empleados pueden acceder a los datos y aplicaciones desde cualquier lugar a través de Internet.
72. Una empresa está considerando actualizar la conexión WAN del campus. ¿Qué dos opciones de WAN son ejemplos de arquitectura de WAN privada? (Elija dos opciones.)
- Línea arrendada
- Cable
- WAN Ethernet
- Línea de suscriptor digital
- Wi-Fi municipal
Una organización puede conectarse a una WAN con dos opciones básicas:
- Infraestructura WAN privada : como líneas arrendadas punto a punto dedicadas, PSTN, ISDN, WAN Ethernet, ATM o retransmisión de tramas
- Infraestructura WAN pública : como línea de suscriptor digital (DSL), cable, acceso satelital, Wi-Fi municipal, WiMAX o red celular inalámbrica 3G/4G
73. Un cliente necesita una conexión WAN de área metropolitana que proporcione ancho de banda dedicado de alta velocidad entre dos sitios. ¿Qué tipo de conexión WAN satisface esta necesidad?
- Red conmutada por paquetes
- Una red de conmutación de circuitos
- WAN Ethernet
- MPLS
La WAN Ethernet es la solución ideal para redes de área metropolitana (MAN) porque permite extender las redes de área local (LAN) a través de distancias geográficas más amplias, ofreciendo ancho de banda dedicado de alta velocidad, baja latencia y una integración sencilla con la infraestructura LAN existente en las oficinas.
74. ¿Qué tipo de VPN es la opción preferida para el soporte y la facilidad de implementación para el acceso remoto?
- VPN con MPLS
- VPN SSL
- Interfaz virtual del túnel IPSec
- VPN multipunto dinámica.
La VPN SSL (Secure Sockets Layer) es la opción preferida para el acceso remoto debido a su facilidad de implementación y soporte, ya que generalmente no requiere la instalación de software cliente especializado en el dispositivo del usuario; basta con un navegador web compatible. Esto simplifica enormemente la gestión para el administrador y mejora la experiencia del usuario final al permitir conexiones seguras desde prácticamente cualquier ubicación.
75. Se aplica una ACL entrante en una interfaz de router. La ACL consta de una sola entrada:
lista de acceso 210 permitir tcp 172.18.20.0 0.0.47 cualquier eq ftp .
Si se recibe un paquete con una dirección de origen 172.18.20.40, una dirección de destino 10.33.19.2 y un protocolo de 21 en la interfaz, ¿está permitido o denegado el paquete?
- Denegado
- Permitido
El paquete cumple con los criterios de la ACL por lo siguiente:
- Dirección IP de origen: La dirección
172.18.20.40cae dentro del rango definido por la red172.18.20.0con máscara comodín0.0.0.47(que abarca desde 172.18.20.0 hasta 172.18.20.47). - Protocolo/Puerto: El protocolo 21 corresponde al servicio FTP (File Transfer Protocol), que es exactamente lo que la regla permite (
eq ftp).
Al coincidir tanto el origen como el puerto de destino, la ACL permite el paso del paquete.
76. ¿En qué estado OSPF se lleva a cabo la elección RD/BDR?
- Bidir.
- ExStart
- Init
- Exchange
La elección del Router Designado (DR) y del Router Designado de Respaldo (BDR) ocurre una vez que los routers han alcanzado el estado 2-Way (bidireccional), lo que significa que los routers han reconocido mutuamente sus paquetes Hello. Solo después de que se establece esta comunicación bidireccional, los routers pueden proceder con la elección para determinar qué dispositivo asumirá el rol de DR o BDR en la red.
77. En una red OSPF, ¿qué estructura OSPF se utiliza para crear la tabla de vecinos en un router?
- Base de datos de estado de enlace
- Base de datos de adyacencia
- Tabla de routing
- Base de datos de reenvío
En OSPF, la base de datos de adyacencia (también conocida como tabla de vecinos) es la estructura que contiene la información de todos los routers vecinos con los que se ha establecido una adyacencia. Esta tabla se construye tras el intercambio de paquetes Hello, permitiendo que el router identifique a sus vecinos directos y mantenga el estado de comunicación con ellos.
78. ¿Qué paso en el proceso de enrutamiento de estado de vínculo es descrito por un router que construye una base de datos de estado de vínculo basada en los LSA recibidos?
- seleccionando la ID del router
- construye la tabla de topología
- declarando que un vecino es inaccesible
- Ejecucuta el algoritmo SPF
En el proceso de enrutamiento de estado de enlace (link-state), después de que los routers intercambian anuncios de estado de enlace (LSA), cada router almacena esta información en su base de datos de estado de enlace (LSDB). Esta base de datos representa el mapa completo de la red, lo que técnicamente se conoce como la tabla de topología. Una vez construida esta tabla, el router utiliza el algoritmo SPF (Shortest Path First) para calcular las mejores rutas y añadirlas a su tabla de enrutamiento.
79. Un administrador está configurando OSPF de área única en un router. Una de las redes que se deben anunciar es 192.168.0.0 255.255.254.0. ¿Qué máscara comodín usaría el administrador en la instrucción de red OSPF?
- 0.0.1.255
- 0.0.15.255
- 0.0.7.255
- 0.0.3.255
La máscara comodín se obtiene restando la máscara de subred (255.255.254.0) de la dirección de broadcast completa (255.255.255.255):
255.255.255.255 – 255.255.254.0 = 0.0.1.255
En este caso, la máscara de subred 255.255.254.0 tiene un prefijo /23, lo que significa que los últimos 9 bits son los que pueden variar (el «1» en el tercer octeto y los 8 bits del cuarto octeto), resultando en la máscara comodín 0.0.1.255.
80. Consulte la ilustración. El administrador de red tiene una dirección IP 192.168.11.10 y necesita acceso para administrar R1. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
- ACL extendido de salida en R2 S0 / 0/1
- ACL estándar entrante en líneas v1 R1
- ACL extendidas entrantes en R1 G0/0 y G0/1
- ACL extendida saliente en la interfaz WAN R2 hacia Internet
Las ACL estándar permiten o deniegan paquetes basándose únicamente en la dirección IPv4 de origen. Debido a que todos los tipos de tráfico están permitidos o denegados, las ACL estándar deben ubicarse lo más cerca posible del destino.
Las ACL extendidas permiten o niegan paquetes según la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino, y más. Debido a que el filtrado de las ACL extendidas es tan específico, las ACL extendidas deben ubicarse lo más cerca posible de la fuente del tráfico que se va a filtrar. El tráfico no deseado se niega cerca de la red de origen sin cruzar la infraestructura de la red.
81. Al configurar una red de oficina pequeña, el administrador de red decide asignar dinámicamente direcciones IP privadas a las estaciones de trabajo y los dispositivos móviles. ¿Qué característica debe habilitarse en el router de la compañía para que los dispositivos de oficina puedan acceder a internet?
- QoS
- UPnP
- NAT
- Filtrado MAC
La traducción de direcciones de red (NAT) es el proceso que se utiliza para convertir direcciones privadas en direcciones enrutables por Internet que permiten que los dispositivos de oficina accedan a Internet.
82. Consulte la ilustración. ¿Cuál es el propósito del comando marcado con una flecha que aparece en el resultado parcial de configuración de un router de banda ancha Cisco?
- definir las direcciones que se asignan a un conjunto NAT
- definir las direcciones a las que se les permite entrar al router
- definir las direcciones que pueden traducirse
- definir las direcciones a las que se les permite salir del router
El comando marcado,
access-list 102 permit ip 10.10.10.0 0.0.0.255 any, es una lista de control de acceso (ACL) que define qué tráfico de origen (la subred 10.10.10.0/24) es elegible para ser traducido por NAT. Este comando se vincula con la instrucción ip nat inside source list 102..., indicando al router que solo los paquetes que coincidan con esta lista de acceso deben someterse al proceso de traducción de direcciones (en este caso, PAT/sobrecarga hacia la interfaz externa).
83. Consulte la exhibición. R1 está configurado para NAT tal como se muestra. ¿Qué problema hay en la configuración?
- La lista de acceso 1 está configurada incorrectamente.
- La interfaz Fa0/0 se debe identificar como interfaz NAT externa.
- El conjunto de NAT es incorrecto.
- No se conectó NAT-POOL2 a la ACL 1.
R1 debe tener NAT-POOL2 vinculado a ACL 1. Esto se logra con el comando R1 (config) #ip nat dentro de la lista de fuentes 1 pool NAT-POOL2. Esto permitiría al enrutador verificar todo el tráfico interesante y, si coincide con ACL 1, se traduciría mediante el uso de las direcciones en NAT-POOL2.
84. Un técnico de red está configurando SNMPv3 y ha establecido un nivel de seguridad de autenticación . ¿Cuál es el efecto de esta configuración?
- autentica un paquete mediante el algoritmo SHA solamente
- autentica un paquete mediante el método HMAC con MD5 o el método SHA
- autentica un paquete mediante una coincidencia de cadena del nombre de usuario o la cadena de comunidad
- autentica un paquete mediante los algoritmos HMAC MD5 o HMAC SHA y cifra el paquete con los algoritmos DES, 3DES o AES
Para habilitar SNMPv3 se puede configurar uno de los tres niveles de seguridad:
1) noAuth
2) autenticación
3) priv
El nivel de seguridad configurado determina qué algoritmos de seguridad se realizan en los paquetes SNMP. El nivel de seguridad de autenticación usa HMAC con MD5 o SHA.
85. Consulte la ilustración. ¿Qué método se puede utilizar para permitir que un router OSPF anuncie una ruta predeterminada a los routers OSPF vecinos?
- Usar una ruta estática que apunte al ISP y redistribuirla.
- Usar el comando default-information originate en el ISP.
- Usar el comando redistribute static en el R0-A.
- Usar el comando redistribute static en el ISP.
- Usar el comando default-information originate en el R0-A.
Para que un router OSPF propague una ruta predeterminada hacia sus vecinos, primero debe tener dicha ruta configurada (generalmente una ruta estática predeterminada que apunte al ISP). Posteriormente, se debe utilizar el comando default-information originate dentro del modo de configuración del protocolo OSPF en ese router (en este caso, el router de borde R0-A). Este comando indica al router que inyecte o anuncie esa ruta predeterminada en el dominio OSPF mediante un LSA de tipo 5, permitiendo que los demás routers del área la aprendan.
86. Un usuario informa que cuando se ingresa la URL de la página web corporativa en un navegador web, un mensaje de error indica que la página no se puede mostrar. El técnico de soporte técnico solicita al usuario que ingrese la dirección IP del servidor web para ver si la página se puede mostrar. ¿Qué método de solución de problemas usó el técnico?
- Sustitución
- Descendente
- Ascendente
- Divide y vencerás
El método de «divide y vencerás» consiste en aislar una parte de la red o del proceso para determinar si el problema reside ahí. Al pedirle al usuario que intente acceder mediante la dirección IP en lugar de la URL, el técnico está descartando rápidamente si el fallo se encuentra en el sistema de nombres de dominio (DNS) o si el problema es más profundo (como la conectividad con el servidor o la propia aplicación). Si la IP funciona pero la URL no, el técnico ha «dividido» el problema y localizado la falla en la resolución de nombres.
87. ¿Cuáles dos escenarios resultarían en una discordancia dúplex? (Escoja dos opciones).
- configuraración el enrutamiento dinámico incorrectamente
- conectar un dispositivo con una interfaz que se ejecuta a 100 Mbps a otro con una interfaz que se ejecuta a 1000 Mbps
- configurar manualmente los dos dispositivos conectados a diferentes modos dúplex
- iniciar y detener una interfaz de router durante una operación normal
- conectar un dispositivo con negociación automática a otro que se configura manualmente en dúplex completo
Una discordancia (o mismatch) de dúplex ocurre cuando los dos extremos de un enlace Ethernet no acuerdan el mismo modo de operación.
- En el primer caso, al configurar manualmente un lado en half-duplex y el otro en full-duplex, la comunicación falla al intentar transmitir y recibir simultáneamente.
- En el segundo caso, el dispositivo con negociación automática al no recibir señales del otro lado (configurado manualmente), suele optar por el modo half-duplex por defecto, mientras que el otro está fijo en full-duplex, provocando colisiones tardías y errores de red.
88. ¿Cuáles son dos de las características del tráfico de video? (Elija dos opciones.)
- El tráfico de video es impredecible e irregular.
- El tráfico de video consume menos recursos de red que el tráfico de voz.
- El tráfico de video requiere un mínimo de 30 kbps de ancho de banda.
- La latencia del tráfico de video no debe superar los 400 ms.
- El tráfico de video es más resistente a pérdidas que el tráfico de voz.
El tráfico de video es considerado «estallado» (bursty) e irregular porque su demanda de ancho de banda varía constantemente según el movimiento y la complejidad de la imagen transmitida. Además, debido a que es un servicio en tiempo real, es altamente sensible a los retardos, por lo que requiere que la latencia se mantenga por debajo de los 400 ms para garantizar una calidad aceptable y evitar la desincronización o degradación excesiva.
89. ¿Cuál de estas afirmaciones describe una característica de los switches Cisco Catalyst 2960?
- Los nuevos switches Cisco Catalyst 2960-C admiten paso a través de PoE.
- Son switches modulares.
- No admiten una interfaz virtual conmutada (SVI) activa con versiones del IOS anteriores a las 15.x.
- Se recomienda utilizarlos como switches de capa de distribución.
Los switches Cisco Catalyst 2960-C (serie compacta) incluyen la funcionalidad de PoE pass-through (o PoE passthrough), la cual permite que el switch reciba energía a través de PoE desde un switch principal y, a su vez, suministre energía a dispositivos conectados (como teléfonos IP o puntos de acceso) utilizando esa misma alimentación. Las otras opciones son incorrectas porque los 2960 son switches de configuración fija (no modulares), soportan SVI en versiones anteriores a la 15.x y, por su diseño, se recomiendan principalmente para la capa de acceso, no para la de distribución.
90. Un centro de datos actualizó recientemente un servidor físico para alojar varios sistemas operativos en una única CPU. El centro de datos ahora puede proporcionarle a cada cliente un servidor Web separado sin tener que asignar un servidor independiente real para cada cliente. ¿Cuál es la tendencia de red que implementa el centro de datos en esta situación?
- BYOD
- Mantenimiento de la integridad de la comunicación
- Virtualización
- Colaboración en línea
La tecnología de virtualización puede ejecutar varios sistemas operativos diferentes en paralelo en una sola CPU.
91. Consulte la ilustración. Un técnico configura el R2 para que la NAT estática permita que el cliente acceda al servidor web. ¿Por qué motivo es posible que la computadora cliente no pueda acceder al servidor web?
- La instrucción NAT de IP es incorrecta.
- A la configuración le falta una lista válida de control de acceso.
- La interfaz Fa0/1 debería estar identificada como la interfaz NAT exterior.
- La interfaz S0/0/0 debería estar identificada como la interfaz NAT exterior.
La interfaz S0/0/0 debe identificarse como la interfaz NAT externa. El comando para hacer esto sería R2 (config-if) # ip nat outside.
92. Un administrador está configurando OSPF de área única en un router. Una de las redes que se deben anunciar es 10.27.0 255.255.255.0. ¿Qué máscara comodín usaría el administrador en la instrucción de red OSPF?
- 0.0.0.255
- 0.0.0.31
- 0.0.0.15
- 0.0.0.63
La máscara comodín (wildcard mask) se obtiene restando la máscara de subred de 255.255.255.255.
Para una máscara de subred 255.255.255.0:
255.255.255.255 – 255.255.255.0 = 0.0.0.255
En este caso, al ser una máscara de /24, los últimos 8 bits son los que pueden variar, lo que se representa con el valor 255 en el último octeto de la máscara comodín.
93. Consulte la ilustración. Los routers R1 y R2 están conectados mediante un enlace serial. Un router está configurado como maestro NTP, y el otro es un cliente NTP. ¿Cuáles son los dos datos que se pueden obtener a partir del resultado parcial del comando show ntp associations detail en el R2? (Elija dos opciones.)
- La dirección IP de R1 es 192.168.1.2.
- Ambos routers están configurados para usar NTPv2.
- El router R2 es el maestro, y el R1 es el cliente.
- El router R1 es el maestro, y el R2 es el cliente.
- La dirección IP de R2 es 192.168.1.2.
Con el comando show NTP association, se proporciona la dirección IP del maestro NTP.
94. Consulte la ilustración. Un administrador está intentando realizar una copia de seguridad de la configuración actual del router en una unidad USB e ingresa el comando copy usbflash0: /r1-config running-config en la línea de comandos del router. Después de quitar la unidad USB y conectarla a una PC, el administrador descubre que la configuración en ejecución no se realizó correctamente una copia de seguridad en el archivo R1-config. ¿Cuál es el problema?
- El comando que utilizó el administrador era incorrecto.
- El router no reconoce la unidad USB.
- No queda espacio en la unidad USB.
- La unidad no se formateó correctamente con el sistema de archivos FAT16.
- El archivo ya existe en la unidad USB y no se puede sobrescribir.
La sintaxis del comando
copy en los routers Cisco sigue la estructura copy [origen] [destino]. El administrador invirtió el orden lógico y cometió un error de sintaxis: escribió copy usbflash0:/r1-config running-config (intentando copiar desde la USB hacia la configuración en ejecución).
Para realizar una copia de seguridad correctamente, el comando debe ser: copy running-config usbflash0:/r1-config
95. ¿Qué protocolo se utiliza en un sistema que consta de tres elementos: un administrador, agentes y una base de datos de información?
- MPLS
- TFTP
- SYSLOG
- SNMP
El protocolo SNMP (Simple Network Management Protocol) está diseñado específicamente para la gestión de redes y se basa en una arquitectura de tres componentes:
- Administrador: El sistema que supervisa y gestiona la red.
- Agentes: Software que reside en los dispositivos administrados (routers, switches, servidores) y reporta información al administrador.
- Base de datos de información (MIB): Una estructura de datos jerárquica que almacena la información y el estado de los dispositivos.
96. Haga coincidir cada componente de una conexión de WAN con su descripción. (No se utilizan todas las opciones.)
97. Se ha encomendado a un administrador de red la tarea de crear un plan de recuperación ante desastres. Como parte de este plan, el administrador está buscando un sitio de copia de seguridad para todos los datos de los servidores de la empresa. ¿Qué servicio o tecnología soportaría este requisito?
- Servidores dedicados
- Virtualización
- Redes definidas por software
- Centro de datos
Un centro de datos es la infraestructura diseñada específicamente para albergar, gestionar, replicar y proteger grandes volúmenes de datos y sistemas críticos. Para un plan de recuperación ante desastres, contar con un centro de datos (o un sitio de recuperación) es esencial para garantizar la disponibilidad y la restauración de la información de los servidores de la empresa en caso de una interrupción o fallo grave.
98. ¿Qué tipo de tráfico se describe como tendente a ser impredecible, inconsistente y estallado?
- Datos
- Voz
- Video
El tráfico de datos se caracteriza por ser «estallado» (bursty), impredecible e inconsistente. A diferencia de las aplicaciones de voz o video en tiempo real, que generan flujos de tráfico más constantes y predecibles, las aplicaciones de datos (como la navegación web o la transferencia de archivos) envían ráfagas intermitentes de información seguidas de periodos de inactividad, lo que hace que su comportamiento sea más difícil de predecir.
99. Consulte la ilustración. La empresa ha decidido que ningún tráfico iniciado desde ninguna otra red existente o futura puede ser transmitido a la red de Investigación y Desarrollo. Además, ningún tráfico procedente de la red de Investigación y Desarrollo puede transmitirse a otras redes existentes o futuras de la empresa. El administrador de red ha decidido que las ACL extendidas son más adecuadas para estos requisitos. En base a la información proporcionada, ¿qué hará el administrador de la red?
- Una ACL se colocará en la interfaz R2 Gi0/0 y una ACL se colocará en la interfaz R2 S0/0/0.
- Dos ACL (una en cada dirección) se colocarán en la interfaz R2 Gi0/0.
- Una ACL se colocará en la interfaz R1 Gi0/0 y una ACL se colocará en la interfaz R2 Gi0/0.
- Solo una ACL numerada funcionará para esta situación.
Dado que la red de Investigación y Desarrollo está conectada directamente a la interfaz
Gi0/0 del router R2, la forma más eficiente de controlar todo el tráfico hacia y desde esa red específica es aplicando las ACL directamente en dicha interfaz:
- ACL de entrada (inbound): Para denegar el tráfico que proviene de otras redes hacia Investigación y Desarrollo.
- ACL de salida (outbound): Para denegar el tráfico que intenta salir de Investigación y Desarrollo hacia otras redes.
Al colocar ambas reglas en la misma interfaz (Gi0/0), se garantiza el aislamiento total de la red cumpliendo con los requisitos de seguridad establecidos.
100. Un ingeniero de red ha observado que algunas entradas de ruta de red esperadas no se muestran en la tabla de enrutamiento. ¿Qué dos comandos proporcionarán información adicional sobre el estado de las adyacencias del router, los intervalos de temporizador y el ID de área? (Escoja dos opciones).
- show ip protocols
- show ip ospf neighbor
- show running-configuration
- show ip route ospf
- show ip ospf interface
El comando show ip ospf interface mostrará información de la tabla de enrutamiento que ya se conoce. Los comandos show running-configuration y show ip Protocols mostrarán aspectos de la configuración OSPF en el enrutador, pero no mostrarán detalles del estado de adyacencia ni detalles del intervalo del temporizador.
101. Consulte la ilustración. ¿Cuáles son las tres conclusiones que se pueden extraer del resultado que se muestra? (Elija tres).
- Esta interfaz usa la prioridad predeterminada.
- La ID del router en el DR es 3.3.3.3.
- Los criterios que se usaron para seleccionar el DR y el BDR no fueron los valores de la ID del router.
- Pasaron nueve segundos desde que se envió el paquete de saludo más reciente.
- El BDR tiene tres vecinos.
- Se puede llegar al DR a través de la interfaz GigabitEthernet0/0.
Criterios de selección (ID del router): El DR tiene la ID
1.1.1.1 y el BDR tiene la ID 2.2.2.2. Como OSPF prefiere la ID de router más alta por defecto para estas elecciones, el hecho de que se hayan elegido IDs menores demuestra que se utilizó otro criterio de prioridad previo o que las elecciones ocurrieron antes de que el router 3.3.3.3 (que tiene prioridad 0 y está en estado DROTHER) compitiera de forma normal.
Tiempo desde el último saludo: En la línea Hello due in 00:00:01 se indica que el próximo paquete de saludo (Hello) se enviará en 1 segundo. Dado que el intervalo estándar de Hello configurado en esta interfaz es de 10 segundos (Hello 10), significa que ya han transcurrido 9 segundos desde que se envió el último paquete (10 – 1 = 9).
Acceso al DR: La salida describe las propiedades de la interfaz local GigabitEthernet0/0 e identifica explícitamente la dirección IP del DR en ese segmento de red (Interface address 192.168.1.1), lo que confirma que el DR es accesible directamente a través de dicha interfaz.
102. Consulte la ilustración. ¿Qué formato de datos se usa para representar la automatización de aplicaciones de redes de datos?
- XML
- HTML
- YAML
- JSON
Los formatos de datos comunes que se utilizan en muchas aplicaciones, incluida la automatización de la red y la capacidad de programación, son los siguientes:
Notación de objeto JavaScript (JSON) en JSON, los datos conocidos como objeto son uno o más pares clave/valor encerrados entre llaves { }. Las llaves deben ser cadenas de caracteres contenidas dentro de comillas » «.Las llaves y los valores son separados por dos puntos (:).
Lenguaje de marcado extensible (XML) en XML, los datos se incluyen dentro de un conjunto relacionado de etiquetas <tag> datos </tag> .
YAML no es lenguaje de marcado (YAML) en YAML, los datos conocidos como un objeto son uno o más pares de valores clave. Las llaves y los valores, son separados por medio de dos puntos sin el uso de comillas. YAML usa sangría para definir su estructura, sin el uso de corchetes o comas.
103. Dos empresas acaban de completar una fusión. Se solicitó al ingeniero de red que conecte las dos redes empresariales sin el gasto de las líneas arrendadas. ¿Qué solución sería el método más rentable para proporcionar una conexión segura y correcta entre las dos redes empresariales?
- Cisco AnyConnect Secure Mobility Client con SSL
- Frame Relay
- Cisco Secure Mobility Clientless SSL VPN
- VPN de acceso remoto con IPsec
- VPN sitio a sitio
La VPN de sitio a sitio es una extensión de una red WAN clásica que proporciona una interconexión estática de redes enteras. Frame Relay sería una mejor opción que las líneas arrendadas, pero sería más costoso que implementar VPN de sitio a sitio. Las otras opciones se refieren a las VPN de acceso remoto que son más adecuadas para conectar a los usuarios a la red corporativa en lugar de interconectar dos o más redes.
104. Consulte la ilustración. El administrador de red que tiene la dirección IP 10.0.70.23/25 necesita acceder al servidor FTP corporativo (10.0.54.5/28). El servidor FTP también es un servidor web al que pueden acceder todos los empleados internos en las redes dentro de las direcciones 10.x.x.x. No se debe permitir ningún otro tráfico en este servidor. ¿Qué ACL extendida se utilizaría para filtrar este tráfico y cómo se aplicaría? (Elija dos opciones.)
access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 20
access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 21
access-list 105 permit tcp 10.0.0.0 0.255.255.255 host 10.0.54.5 eq www
access-list 105 deny ip any host 10.0.54.5
access-list 105 permit ip any any
access-list 105 permit ip host 10.0.70.23 host 10.0.54.5
access-list 105 permit tcp any host 10.0.54.5 eq www
access-list 105 permit ip any any
access-list 105 permit tcp host 10.0.54.5 any eq www
access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 20
access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 21
R1(config)# interface gi0/0
R1(config-if)# ip access-group 105 out
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 105 out
R2(config)# interface gi0/0
R2(config-if)# ip access-group 105 in
Estructura de la ACL: Las tres primeras líneas permiten detalladamente los requerimientos solicitados: el tráfico FTP desde el host del administrador (
ports 20 y 21) y el tráfico Web (www / port 80) desde cualquier red interna 10.x.x.x (usando la máscara comodín 0.255.255.255). La cuarta línea bloquea explícitamente cualquier otro tráfico hacia el servidor, mientras que la última línea permite que el resto del tráfico de la red continúe operando normalmente sin ser afectado por el deny implícito.
Ubicación de la interfaz: Siguiendo las mejores prácticas para ACLs extendidas, se deben colocar lo más cerca posible del origen o en un punto estratégico de tránsito hacia el destino. Como el servidor FTP/Web se encuentra conectado directamente a la interfaz GigabitEthernet0/0 del router R1, aplicar la lista de manera saliente (out) en esa interfaz específica asegura que se filtre todo el tráfico entrante al servidor justo antes de que abandone el router.
105. ¿Qué método de solución de problemas es más adecuado para un administrador de redes experimentado que para un administrador de redes menos experimentado?
- un enfoque que compara los componentes operativos y no operativos para detectar diferencias significativas
- un enfoque estructurado que comienza por la capa física y que avanza de manera ascendente por las capas del modelo OSI hasta identificar la causa del problema
- un enfoque menos estructurado basado en una deducción fundamentada
- un enfoque que comienza por las aplicaciones de usuario final y atraviesa las capas del modelo OSI de manera descendente hasta que se identifica la causa del problema
Un administrador de redes experimentado suele recurrir a su conocimiento previo, intuición y experiencias con fallas similares en el pasado. Esto le permite utilizar un enfoque menos estructurado basado en una deducción fundamentada (también conocido como método intuitivo o basado en la experiencia) para identificar y resolver el problema de forma mucho más rápida que un técnico principiante, quien generalmente necesita seguir un método estrictamente secuencial u ordenado paso a paso (como el enfoque ascendente o descendente del modelo OSI).
106. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para mostrar cualquier traducción PAT dinámica creada por el tráfico?
- show ip cache
- show ip nat translations
- show ip pat translations
- show running-config
El comando show ip nat translations se utiliza en los routers Cisco para mostrar todas las traducciones activas en la tabla NAT, lo que incluye tanto las traducciones estáticas como las traducciones dinámicas de NAT y PAT (sobrecarga) generadas por el tráfico en tiempo real.
Las otras opciones son incorrectas porque show ip pat translations no es un comando válido en Cisco IOS y los demás no muestran la tabla de traducciones de direcciones.
107. Consulte la exhibición. Un administrador de red configura una ACL para limitar la conexión a las líneas vty de R1 solamente a las estaciones del grupo de TI en la red 192.168.22.0/28. El administrador verifica las conexiones Telnet correctas desde una estación de trabajo con IP 192.168.22.5 hacia un R1 antes de que se aplique la ACL. Sin embargo, una vez aplicada la ACL a la interfaz Fa0/0, se niegan las conexiones Telnet. ¿Cuál es la causa de la falla en la conexión?
- No se configuró una contraseña secreta de enable en el R1.
- No se introdujo el comando login para las líneas vty.
- El ACE permit especifica un número de puerto incorrecto.
- La red del grupo de TI se incluye en la instrucción deny.
- El ACE permit debe especificar protocolo IP en vez de TCP.
El rango de IP de origen en la ACE de denegación es 192.168.20.0 0.0.3.255, que cubre las direcciones IP de 192.168.20.0 a 192.168.23.255. La red del grupo de TI 192.168.22.0/28 está incluida en la red 192.168.20/22. Por lo tanto, se deniega la conexión. Para solucionarlo, se debe cambiar el orden de denegación y autorización de ACE.
108. ¿Cuál es el estado operativo final que se formará entre un DR OSPF y un DROTHER una vez que los routers alcancen la convergencia?
- two-way
- full
- loading
- established
En una red OSPF de acceso múltiple (como Ethernet), una vez que se alcanza la convergencia completa, un router DROTHER establece una adyacencia completa (estado full) con el DR (Router Designado) y con el BDR (Router Designado de Respaldo) para intercambiar información de enrutamiento y sincronizar sus bases de datos.
Nota aclaratoria: El estado two-way solo se mantiene de forma permanente entre dos routers que son ambos DROTHER (DROTHER a DROTHER), ya que ellos no intercambian actualizaciones directamente entre sí.
109. ¿Cuál es una característica de la API REST?
- utilizado para intercambiar información estructurada XML a través de HTTP o SMTP
- considerado lento, complejo y rígido
- evolucionó en lo que se convirtió en SOAP
- API más utilizada para servicios web
REST (Representational State Transfer) es actualmente el estilo arquitectónico y la API más utilizada para el desarrollo de servicios web modernos debido a su ligereza, escalabilidad y simplicidad.
Las otras opciones son incorrectas porque describen o se relacionan con SOAP (Simple Object Access Protocol), el cual es un protocolo más antiguo que utiliza estrictamente XML, evolucionó de manera independiente y suele considerarse más rígido y complejo en comparación con REST (el cual prefiere el uso de JSON por su eficiencia).
110. Un administrador de red está solucionando un problema OSPF que implica la adyacencia de vecinos. ¿Qué debe hacer el administrador?
- Asegúrese de que la prioridad del router sea única en cada router.
- Asegúrese de que el ID del router está incluido en el paquete hello.
- Asegúrese de que la elección de RD/BDR esté completa.
- Asegúrese de que los temporizadores de saludo y de intervalos muertos sean los mismos en todos los router.
Para que dos routers formen una adyacencia de vecinos en OSPF, ciertos parámetros contenidos en sus paquetes de saludo (Hello) deben coincidir de forma estricta. Entre estos requisitos indispensables se encuentra que tanto los temporizadores de saludo (Hello interval) como los intervalos muertos (Dead interval) sean exactamente iguales en ambos extremos del enlace. Si estos valores no coinciden, la adyacencia nunca se llegará a establecer.
111. Un administrador está configurando OSPF de área única en un router. Una de las redes que deben anunciarse es 192.168.0.0 255.255.252.0. ¿Qué máscara comodín usaría el administrador en la instrucción de red OSPF?
- 0.0.0.63
- 0.0.3.255
- 0.0.0.31
- 0.0.0.127
La máscara comodín (wildcard mask) se calcula restando la máscara de subred de la dirección de broadcast completa 255.255.255.255.
Para la máscara de subred 255.255.252.0 (un prefijo /22):
255.255.255.255 – 255.255.252.0 = 0.0.3.255
Los bits en 0 indican los octetos que deben coincidir exactamente, mientras que los bits en 3 y 255 representan el rango de hosts que pueden variar dentro de esa subred.
112. Seleccione los dos tipos de ataques utilizados en resoluciones de DNS abiertas. (Elija dos opciones).
- Uso de recursos
- Amortiguación
- Fast flux
- Amplificación y reflexión
- Envenenamiento ARP
Los tres tipos de ataques que se utilizan en los solucionadores abiertos de DNS son los siguientes: Envenenamiento de la caché de DNS: el atacante envía información falsificada falsificada para redirigir a los usuarios de sitios legítimos a sitios maliciosos
Ataques de amplificación y reflexión de DNS: el atacante envía un mayor volumen de ataques para enmascarar la verdadera fuente del ataque.
Ataques de utilización de recursos de DNS: un ataque de denegación de servicio (DoS) que consume recursos del servidor
113. Consulte la ilustración. Si el administrador de redes creó una ACL estándar que permite solamente dispositivos que se conectan al acceso a la red G0/0 del R2 a los dispositivos en la interfaz G0/1 del R1, ¿cómo se debe aplicar la ACL?
- outbound on the R1 G0/1 interface
- inbound on the R1 G0/1 interface
- outbound on the R2 S0/0/1 interface
- inbound on the R2 G0/0 interface
Debido a que las listas de acceso estándar solo filtran por la dirección IP de origen, por lo general se colocan más cerca de la red de destino. En este ejemplo, los paquetes de origen vendrán de la red R2 G0/0. El destino es la red R1 G0/1. La ubicación adecuada de ACL es saliente en la interfaz R1 G0/1.
114. Una empresa ha consolidado una serie de servidores y está buscando un programa o firmware para crear y controlar máquinas virtuales que tengan acceso a todo el hardware de los servidores consolidados. ¿Qué servicio o tecnología soportaría este requisito?
- APIC-EM
- Hipervisor Tipo 1
- Cisco ACI
- Redes definidas por software
Un Hipervisor Tipo 1 (también conocido como bare-metal) es un software o firmware que se instala directamente sobre el hardware físico del servidor, sin necesidad de un sistema operativo subyacente. Esto le permite tener un acceso directo, eficiente y de bajo control a todos los recursos físicos (CPU, memoria, almacenamiento), lo que resulta ideal para entornos empresariales y la consolidación de servidores.
115. Una compañía ha contratado una empresa de seguridad de red para ayudar a identificar las vulnerabilidades de la red corporativa. La firma envía un equipo para realizar pruebas de penetración a la red de la compañía. ¿Por qué el equipo usaría aplicaciones como John the Ripper, THC Hydra, RainbowCrack y Medusa?
- hacer conjeturas repetidas para descifrar una contraseña
- para probar y probar la robustez de un firewall utilizando paquetes falsificados especialmente creados
- para capturar y analizar paquetes dentro de LAN o WLAN Ethernet tradicionales
- para sondear dispositivos de red, servidores y hosts en busca de puertos TCP o UDP abiertos
Herramientas como John the Ripper, THC Hydra, RainbowCrack y Medusa son utilidades especializadas en la auditoría y descifrado de contraseñas. El equipo de pruebas de penetración las utiliza para realizar ataques de fuerza bruta, ataques de diccionario o ataques basados en tablas de búsqueda (rainbow tables), probando combinaciones repetidas de credenciales para comprobar la robustez de las claves de acceso de la organización.
116. ¿Cuáles de las siguientes opciones son beneficios que brinda el uso de notificaciones SNMP? (Elija dos opciones.)
- Eliminan la necesidad de algunas solicitudes de sondeos periódicos.
- Pueden proporcionar estadísticas sobre paquetes TCP/IP que pasan por los dispositivos Cisco.
- Reducen la carga en la red y los recursos de agentes.
- Pueden hacer una escucha pasiva de datagramas exportados de NetFlow.
- Limitan el acceso a los sistemas de administración únicamente.
Las notificaciones SNMP (como los Traps o Informs) son enviadas de forma asíncrona por el agente solo cuando ocurre un evento específico o una falla. Esto elimina la necesidad de que el administrador realice sondeos (polling) periódicos y constantes para conocer el estado del dispositivo, lo que a su vez reduce significativamente el tráfico innecesario en la red y el consumo de recursos (CPU y memoria) en los agentes administrados.
117. ¿Qué protocolo proporciona servicios de autenticación, integridad y confidencialidad, y es un tipo de VPN?
- MD5
- IPsec
- ESP
- AES
Los servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la confidencialidad. Con IPsec se puede cifrar y verificar la información intercambiada entre sitios remotos. Se pueden implementar redes VPN de acceso remoto y de sitio a sitio por igual utilizando IPsec.
118. ¿Qué funcionalidad le proporciona mGRE a la tecnología DMVPN?
- Brinda transporte seguro de información privada a través de redes públicas, como Internet.
- Permite la creación de túneles asignados dinámicamente mediante un origen de túnel permanente en el concentrador y de los destinos de túnel asignados dinámicamente en los dispositivos radiales.
- Es una solución de software de Cisco para desarrollar varias VPN de manera sencilla, dinámica y escalable.
- Crea una base de datos de asignación distribuida de direcciones IP públicas para todos los dispositivos radiales del túnel VPN.
DMVPN se basa en tres protocolos, NHRP, IPsec y mGRE. NHRP es el protocolo de asignación de direcciones distribuidas para túneles VPN. IPsec cifra las comunicaciones en túneles VPN. El protocolo mGRE permite la creación dinámica de múltiples túneles radiales desde un concentrador VPN permanente.
119. Una empresa necesita interconectar varias sucursales a través de un área metropolitana. El ingeniero de red busca una solución que proporcione tráfico convergente de alta velocidad, incluido el tráfico de voz, de video y de datos en la misma infraestructura de red. La empresa también desea que sea fácil de integrar a la infraestructura LAN existente en las oficinas. ¿Qué tecnología se debe recomendar?
- Frame Relay
- WAN Ethernet
- VSAT
- ISDN
La tecnología WAN Ethernet (también conocida como Metro Ethernet) es la opción ideal para conectar sucursales en un área metropolitana. Cumple perfectamente con todos los requisitos porque ofrece conectividad de alta velocidad nativa para servicios convergentes (voz, video y datos) y utiliza los mismos estándares que la red local, lo que permite una integración directa y sencilla con la infraestructura LAN existente de las oficinas sin necesidad de adquirir costosos equipos de conversión de protocolos.
120. ¿Cuál es una característica de la topología de nodo principal y secundario de dos niveles de la arquitectura de la estructura Cisco ACI?
- Los switches de nodo secundario siempre se adjuntan a los nodos principales, pero nunca se adjuntan entre sí.
- Los switches secundarios siempre se conectan a los principales y se comunican entre sí a través de una línea troncal.
- Los switches principales se conectan a los switches secundarios y se conectan entre sí para contar con redundancia.
- Los switches principales y secundarios siempre se conectan a través de switches centrales.
En la arquitectura de dos niveles de Cisco ACI —también conocida como topología Spine-Leaf (nodo principal y secundario)— se sigue una regla de interconexión estricta para garantizar un rendimiento óptimo y una latencia predecible:
- Los switches secundarios (Leaf) se conectan a todos los switches principales (Spine).
- Nunca se permite la conexión directa entre dos switches principales (Spine-to-Spine), ni tampoco entre dos switches secundarios (Leaf-to-Leaf).
121. En una red OSPF, ¿qué dos instrucciones describen la base de datos de estado de enlace (LSDB)? (Escoja dos opciones).
- Se crea una tabla de vecinos basada en el LSDB.
- Se puede ver con el comando show ip ospf database
- Contiene una lista de sólo las mejores rutas a una red en particular.
- Todos los routers dentro de un área tienen una base de datos de estado de enlace idéntica.
- Contiene una lista de todos los routers vecinos a los que un router ha establecido comunicación bidireccional.
Visualización de la LSDB: El comando estándar en Cisco IOS para examinar el contenido detallado de la base de datos de estado de enlace (LSDB), la cual contiene todos los LSA (Anuncios de Estado de Enlace) recibidos, es show ip ospf database.
Consistencia dentro del área: Para que el algoritmo SPF (Shortest Path First) funcione correctamente y calcule rutas libres de bucles, es un requisito fundamental de OSPF que todos los routers dentro de la misma área compartan una LSDB exactamente idéntica (mismo mapa topológico de la red).
122. Se aplica una ACL entrante en una interfaz de router. La CL consiste en una sola entrada:
access-list 210 permit tcp 172.18.20.0 0.0.0.31 172.18.20.32 0.0.0.31 eq ftp .
Si se recibe un paquete con una dirección de origen 172.18.20.55, una dirección de destino 172.18.20.3 y un protocolo de 21 en la interfaz, ¿está permitido o denegado el paquete?
- Denegado
- Permitido
El paquete es rechazado porque no coincide con los rangos de direcciones IP especificados en la regla de la ACL:
- Origen: La ACL permite el rango 172.18.20.0 a 172.18.20.31. La dirección de origen del paquete (172.18.20.55) está fuera de este rango.
- Destino: La ACL permite el rango 172.18.20.32 a 172.18.20.63. La dirección de destino del paquete (172.18.20.3) también está fuera de este rango.
Al no cumplir con los criterios de la única regla existente, el paquete es descartado automáticamente por el denegar todo implícito (implicit deny) que se encuentra al final de cualquier lista de acceso.
123. Un router OSPF tiene tres redes conectadas directamente: 10.0.0.0/16, 10.1.0.0/16 y 10.2.0.0/16. ¿Qué comando de red OSPF anunciaría sólo la red 10.1.0.0 a los vecinos?
- router(config-router)# network 10.1.0.0 0.0.255.255 area 0
- router (config-router) # red 10.1.0.0 0.0.15.255 área 0
- router(config-router)# network 10.1.0.0 255.255.255.0 area 0
- router(config-router)# network 10.1.0.0 0.0.0.0 area 0
La red que se desea anunciar es la 10.1.0.0/16. Para calcular la máscara comodín (wildcard mask) correspondiente a un prefijo /16 (máscara de subred 255.255.0.0), se resta esta de la máscara completa:
255.255.255.255 – 255.255.0.0 = 0.0.255.255
Este comando le indica a OSPF que busque e incluya únicamente las interfaces del router cuyas direcciones IP comiencen exactamente con los octetos 10.1.x.x, aislando de forma precisa la red solicitada y dejando fuera a las redes 10.0.0.0/16 y 10.2.0.0/16.
124. Consulte la ilustración. A medida que se reenvía el tráfico por una interfaz de salida con el tratamiento de QoS, ¿qué técnica de prevención de congestionamiento se utiliza?
- Clasificación y marcado
- Conformación del tráfico
- Políticas con respecto al tráfico
- Detección temprana aleatoria y ponderada
El modelado del tráfico almacena en búfer el exceso de paquetes en una cola y luego reenvía el tráfico en incrementos de tiempo, lo que crea una tasa de salida de paquetes suavizada. La vigilancia del tráfico reduce el tráfico cuando la cantidad de tráfico alcanza una tasa máxima configurada, lo que crea una tasa de salida que aparece como un diente de sierra con crestas y valles.
125. Considere el siguiente resultado de una ACL que se aplicó a un router mediante el comando access-class in . ¿Qué puede determinar un administrador de redes del resultado que se muestra?
R1# <output omitted>
Standard IP access list 2
10 permit 192.168.10.0, wildcard bits 0.0.0.255 (2 matches)
20 deny any (1 match)
- No se permitió que el tráfico de un dispositivo acceda a un puerto de router y se enrute en dirección saliente a un puerto de router diferente.
- Dos dispositivos pudieron utilizar SSH o Telnet para obtener acceso al router.
- Dos dispositivos conectados al router tienen direcciones IP 192.168.10. x .
- Se permitió que el tráfico de dos dispositivos acceda a un puerto de router y se enrute en dirección saliente a un puerto de router diferente.
El comando de clase de acceso se usa solo en puertos VTY. Los puertos VTY admiten tráfico Telnet y/o SSH. El permiso de coincidencia ACE es cuántos intentos se permitieron usando los puertos VTY. La coincidencia deny ACE muestra que un dispositivo de una red que no sea 192.168.10.0 no pudo acceder al enrutador a través de los puertos VTY.
126. Anycompany ha decidido reducir su huella medioambiental reduciendo los costes energéticos, trasladándose a una instalación más pequeña y promoviendo el teletrabajo. ¿Qué servicio o tecnología soportaría este requisito?
- Centro de datos
- Virtualización
- Servicios en la nube
- Servidores dedicados
La virtualización de servidores aprovecha los recursos inactivos y consolida la cantidad de servidores necesarios. Esto también permite que existan varios sistemas operativos en una única plataforma de hardware.
127. Consulte la ilustración. Los empleados de 192.168.11.0/24 trabajan en información crítica y no tienen permitido el acceso fuera de su red. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
- ACL estándar entrante en R1 G0 / 1
- ACL estándar entrante en líneas v1 R1
- ACL extendida entrante en R3 S0/0/1
- ACL extendida entrante en R1 G0/0
Tipo de ACL: Se utiliza una ACL estándar porque el único requisito es bloquear por completo todo el tráfico proveniente de una red de origen específica (192.168.11.0/24), sin necesidad de filtrar protocolos o puertos en particular (lo cual requeriría una extendida).
Ubicación: Siguiendo las mejores prácticas de Cisco, las ACL estándar deben colocarse lo más cerca posible del destino. Sin embargo, en este caso excepcional, la regla dice que los empleados no tienen permitido el acceso fuera de su propia red. Al aplicarla como entrante (in) en la interfaz GigabitEthernet0/1 del router R1 (la puerta de enlace de esa subred), el tráfico no deseado se descarta inmediatamente al intentar salir de su red local, evitando que consuma recursos del router o viaje por el resto de la infraestructura.
128. Consulte la ilustración. ¿Qué dispositivos existen en el dominio de fallas cuando el switch S3 deja de recibir alimentación?
- PC_3 y PC_2
- AP_2 y AP_1
- S1 y S4
- S4 y PC_2
- PC_3 y AP_2
Un dominio de falla es el área de una red que se ve afectada cuando un dispositivo crítico como el switch S3 tiene una falla o experimenta problemas.
129. ¿Cómo ayuda la virtualización en la recuperación tras un desastre dentro de un centro de datos?
- El hardware no tiene que ser idéntico.
- Siempre se proporciona electricidad.
- Se consume menos energía.
- Se acelera el aprovisionamiento de servidores.
La recuperación ante desastres es la forma en que una empresa accede a las aplicaciones, los datos y el hardware que podrían verse afectados durante un desastre. La virtualización proporciona independencia del hardware, lo que significa que el sitio de recuperación ante desastres no tiene que tener el equipo exacto que el equipo en producción. El aprovisionamiento de servidores es relevante cuando se crea un servidor por primera vez. Aunque los centros de datos tienen generadores de respaldo, todo el centro de datos está diseñado para la recuperación ante desastres. Un centro de datos en particular nunca podría garantizar que el propio centro de datos nunca estaría sin energía.
130. ¿Qué paso en el proceso de enrutamiento de estado de vínculo es descrito por un router que envía paquetes Hello fuera de todas las interfaces habilitadas para OSPF?
- elegir el router designado
- Intercambio de anuncios de estado de enlace
- inyectando la ruta predeterminada
- Establecimiento de adyacencias de vecinos
El envío de paquetes Hello a través de las interfaces activas en OSPF representa el primer paso en el proceso de enrutamiento de estado de enlace. Su objetivo principal es descubrir dinámicamente otros routers OSPF en el mismo medio físico para establecer y mantener adyacencias de vecinos. Los demás pasos (como la elección del DR/BDR o el intercambio de LSAs) ocurren únicamente después de que esta comunicación bidireccional inicial ha sido consolidada.
131. Un administrador está configurando OSPF de área única en un router. Una de las redes que debe anunciarse es 192.168.0.0 255.255.254.0. ¿Qué máscara comodín usaría el administrador en la instrucción de red OSPF?
- 0.0.15.255
- 0.0.31.255
- 0.0.1.255
- 0.0.63.255
La máscara comodín (wildcard mask) se calcula restando la máscara de subred de la dirección de broadcast completa 255.255.255.255.
Para la máscara de subred 255.255.254.0 (que corresponde a un prefijo /23):
255.255.255.255 – 255.255.254.0 = 0.0.1.255
132. Consulte la exhibición. El router R1 está configurado con NAT estática. El direccionamiento en el router y en el servidor web está configurado correctamente, pero no hay conectividad entre el servidor web y los usuarios en Internet. ¿Cuál es un posible motivo de esta falta de conectividad?
- La interfaz Fa0/0 debería estar configurada con el comando ip nat outside .
- La configuración de NAT en la interfaz S0/0/1 es incorrecta.
- La dirección global interna es incorrecta.
- La configuración de NAT del router tiene una dirección local interna incorrecta.
En el comando de NAT estática configurado:
ip nat inside source static 192.168.11.254 209.165.200.1
El router está mapeando la dirección IP privada 192.168.11.254 (que en realidad le pertenece a la propia interfaz Fa0/0 del router R1) como la dirección local interna. Para que los usuarios de Internet puedan acceder al servidor, la configuración de NAT debería apuntar a la dirección IP real del servidor web, la cual es 192.168.11.11.
133. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para identificar dentro de direcciones locales que se van a traducir?
- ip nat inside source list 14 pool POOL-STAT overload
- ip nat inside source list ACCTNG pool POOL-STAT
- access-list 10 permit 172.19.89.0 0.0.0.255
- ip nat inside source list 24 interface serial 0/1/0 overload
Para configurar NAT o PAT dinámico, el proceso se divide en componentes. El comando que se encarga específicamente de identificar qué direcciones locales internas se van a traducir es una lista de acceso (ACL).
En este caso, access-list 10 permit 172.19.89.0 0.0.0.255 define de forma exacta el rango de IPs privadas permitidas para la traducción. Los demás comandos de la lista sirven para asociar esa ACL con un pool público o una interfaz, pero no definen por sí mismos el origen del tráfico local.
134. Si un host externo no tiene preinstalado el cliente Cisco AnyConnect, ¿cómo obtendría el host acceso a la imagen del cliente?
- El host inicia una conexión sin cliente a un servidor TFTP para descargar el cliente.
- El host inicia una conexión VPN sin cliente mediante un navegador web compatible para descargar el cliente.
- El cliente Cisco AnyConnect se instala de forma predeterminada en la mayoría de los principales sistemas operativos.
- El host inicia una conexión sin cliente a un servidor FTP para descargar el cliente.
Si un host externo no tiene el cliente Cisco AnyConnect preinstalado, el usuario remoto debe iniciar una conexión VPN SSL sin cliente a través de un navegador web compatible y luego descargar e instalar AnyConnect cliente en el host remoto.
135. ¿Qué dos protocolos IPSec se utilizan para proporcionar integridad de datos?
- DH
- AES
- SHA
- MD5
- RSA
El marco IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad, integridad, autenticación e intercambio de claves seguro. Dos algoritmos populares que se utilizan para garantizar que los datos no se intercepten ni modifiquen (integridad de los datos) son MD5 y SHA. AES es un protocolo de encriptación y proporciona confidencialidad de datos. DH (Diffie-Hellman) es un algoritmo utilizado para el intercambio de claves. RSA es un algoritmo que se utiliza para la autenticación.
136. ¿Qué tipo de tráfico se describe como capaz de tolerar una cierta cantidad de latencia, fluctuación y pérdida sin ningún efecto notable?
- Datos
- Video
- Voz
El tráfico de datos tradicionales (como la navegación web, la descarga de archivos o el correo electrónico) utiliza principalmente el protocolo TCP, el cual retransmite los paquetes perdidos y reordena los que llegan fuera de tiempo. A diferencia de la voz o el video en tiempo real, las aplicaciones de datos no se ven afectadas si los paquetes sufren pequeñas variaciones de tiempo o retrasos, lo que las hace altamente tolerantes a la latencia, la fluctuación (jitter) y la pérdida momentánea de paquetes.
137. Se aplica una ACL entrante en una interfaz de router. La ACL consta de una única entrada:
access-list 101 permit tcp 10.1.1.0 0.0.0.255 host 10.1.3.8 eq dns .
Si se recibe un paquete con una dirección de origen 10.1.3.8, una dirección de destino 10.10.3.8 y un protocolo de 53 en la interfaz, ¿está permitido o denegado el paquete?
- Denegado
- Permitido
El paquete es rechazado inmediatamente debido a que no coincide con ninguno de los criterios de origen y destino establecidos en la regla:
- Dirección de origen: La ACL permite únicamente el tráfico que provenga de la subred
10.1.1.0/24. El paquete recibido tiene como origen la IP10.1.3.8, la cual pertenece a una red diferente. - Dirección de destino: La ACL solo permite tráfico destinado específicamente al host
10.1.3.8. El paquete va dirigido a la IP10.10.3.8.
Al no cumplir con los parámetros de la única regla de la lista, el paquete cae en el denegar todo implícito (implicit deny) que tiene toda ACL al final y es descartado.
138. ¿Qué dos datos se deben incluir en un diagrama de topología lógica de una red? (Elija dos opciones.)
- Versión de SO/IOS
- Tipo de cable e identificador
- Identificador de interfaz
- Especificación del cable
- Tipo de conexión
- Tipo de dispositivo
El identificador de interfaz y el tipo de conexión se deben incluir en un diagrama de topología lógica porque indican qué interfaz está conectada a otros dispositivos de la red con un tipo específico como LAN, WAN, punto a punto, etc. La versión de SO/IOS, el tipo de dispositivo, el tipo de cable y el identificador, y la especificación de cables suelen incluirse en el diagrama de topología física.
139. Consulte la ilustración. ¿Qué dos configuraciones se usarían para crear y aplicar una lista de acceso estándar en R1, de modo que solo los dispositivos de red 10.0.70.0/25 puedan acceder al servidor de base de datos interno? (Escoja dos opciones).
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip access-group 5 out
R1 (config) # access-list 5 permiso 10.0.70.0 0.0.127
R1(config)# access-list 5 permit any
R1 (config) # access-list 5 permiso 10.0.54.0 0.0.1.255
R1(config)# interface Serial0/0/0
R1(config-if)# ip access-group 5 in
Creación de la ACL (Permitir el origen): Se requiere que solo la red 10.0.70.0/25 tenga acceso. La máscara comodín (wildcard) para un prefijo /25 (máscara 255.255.255.128) se calcula restando:
255.255.255.255 – 255.255.255.128 = 0.0.0.128
(La opción del examen contiene una pequeña errata tipográfica omitiendo un cero, habitual en las traducciones de estos test).
Aplicación de la ACL (Ubicación): Siguiendo las mejores prácticas de Cisco, las ACL estándar filtran únicamente por dirección de origen, por lo que deben colocarse lo más cerca posible del destino para no bloquear tráfico legítimo hacia otras redes. El destino es el servidor de la base de datos interna conectado a la interfaz GigabitEthernet0/0 de R1, por lo que se debe aplicar en esa interfaz en dirección de salida (out), filtrando los paquetes justo antes de que abandonen el router hacia el servidor.
140. ¿Cuándo pasará un router habilitado para OSPF del estado Inactivo al estado Init?
- tan pronto como se inicie el router
- tan pronto como se complete el proceso de elección del RD/BDR
- cuando se activa una interfaz habilitada para OSPF
- cuando el router recibe un paquete hello de un router vecino
El estado Down (Inactivo) es el estado inicial de OSPF donde no se ha intercambiado ninguna información. Un router realiza la transición del estado Down al estado Init en el momento exacto en que recibe un paquete Hello proveniente de un router vecino. Esto le indica al router que hay otro dispositivo activo en el enlace, iniciando así el proceso para intentar establecer una adyacencia.
141. Para evitar la compra de hardware nuevo, una empresa desea aprovechar los recursos del sistema inactivos y consolidar el número de servidores al tiempo que permite varios sistemas operativos en una única plataforma de hardware. ¿Qué servicio o tecnología soportaría este requisito?
- Servidores dedicados
- Redes definidas por software
- Cisco ACI
- Virtualización
La virtualización es la tecnología que permite abstraer los recursos físicos de un servidor para crear múltiples máquinas virtuales independientes. Esto permite ejecutar varios sistemas operativos en una única plataforma de hardware, lo que ayuda a consolidar servidores físicos, aprovechar al máximo los recursos que antes estaban inactivos y evitar la compra de nuevo hardware.
142. Consulte la ilustración. Un administrador de redes configuró el protocolo OSPFv2 en los dos routers de Cisco. Los routers no pueden formar una adyacencia de vecinos. ¿Qué se debe hacer para solucionar el problema en el router R2?
- Implemente el comando no passive-interface Serial0/1.
- Implemente el comando network 192.168.3.1 0.0.0.0 area 0 en el router R
- Implemente el comando network 192.168.2.6 0.0.0.0 area 0 en el router R2.
- Cambie la ID del router R2 a 2.2.2.2.
Al revisar la salida del comando show ip protocols en el router R2, se observa que la interfaz Serial0/1 (la cual conecta directamente a R2 con R1) está configurada erróneamente en la sección de Passive Interface(s).
Cuando una interfaz se define como pasiva, OSPF deja de enviar y escuchar paquetes Hello a través de ella. Al remover esta restricción con el comando no passive-interface Serial0/1, el router podrá reanudar el intercambio de saludos con el router R1 y establecer de manera exitosa la adyacencia de vecinos.
143. Haga coincidir el método HTTP con la operación RESTful.
144. Una compañía está desarrollando una política de seguridad para tener comunicaciones seguras. En el intercambio de mensajes críticos entre una oficina de la sede central y una oficina de sucursal, un valor de hash debe recalcularse solo con un código predeterminado, para así garantizar la validez de la fuente de datos. ¿Qué aspecto de las comunicaciones seguras se aborda?
- Imposibilidad de negación
- Confidencialidad de los datos
- Integridad de los datos
- Autenticación de origen
Las comunicaciones seguras constan de cuatro elementos:
Confidencialidad de los datos: garantiza que solo los usuarios autorizados puedan leer el mensaje
Integridad de los datos: garantiza que el mensaje no se modificó.
Autenticación de origen: garantiza que el mensaje no es una falsificación y que realmente proviene de quién dice.
No repudio de datos: garantiza que el remitente no puede repudiar ni refutar la validez de un mensaje enviado
145. Una compañía ha contratado una empresa de seguridad de red para ayudar a identificar las vulnerabilidades de la red corporativa. La firma envía un equipo para realizar pruebas de penetración a la red de la compañía. ¿Por qué el equipo usaría rastreadores de paquetes?
- para detectar cualquier evidencia de un hack o malware en una computadora o red
- para probar y probar la robustez de un firewall utilizando paquetes falsificados especialmente creados
- para detectar herramientas instaladas dentro de archivos y directorios que proporcionan a los actores de amenazas acceso remoto y control a través de un equipo o red
- para capturar y analizar paquetes dentro de LAN o WLAN Ethernet tradicionales
Los rastreadores de paquetes (packet sniffers o analizadores de protocolos, como Wireshark) son herramientas diseñadas específicamente para interceptar, registrar y examinar el flujo de datos que viaja a través de una red física o inalámbrica. El equipo de pruebas de penetración los utiliza para capturar este tráfico en tiempo real y analizarlo en busca de datos sensibles transmitidos en texto plano (sin cifrar), protocolos vulnerables o fallos de configuración en la comunicación de la red.
146. ¿Qué grupo de API usa el controlador SDN para comunicarse con diversas aplicaciones?
- API rumbo al Oeste
- API ascendentes
- API descendentes
- API rumbo al Este
En la arquitectura de Redes Definidas por Software (SDN), el controlador utiliza dos tipos principales de interfaces para comunicarse:
- API ascendentes (Northbound): Se dirigen «hacia arriba» para comunicar el controlador con las aplicaciones de red, sistemas de gestión y herramientas de orquestación, permitiendo programar los servicios.
- API descendentes (Southbound): Se dirigen «hacia abajo» (como OpenFlow) para que el controlador envíe las instrucciones de reenvío directamente a los dispositivos físicos de hardware (switches y routers).
147. ¿Qué componente de la arquitectura de ACI traduce las políticas de las aplicaciones a la programación de red?
- el hipervisor
- el switch Nexus 9000
- el controlador de infraestructura de política de aplicación
- los terminales de perfil de aplicación de red
El APIC actúa como el cerebro centralizado de la arquitectura Cisco ACI. Es el componente encargado de recibir los requisitos y perfiles de las aplicaciones definidos por los administradores y traducirlos automáticamente en instrucciones de programación de red y políticas concretas que luego se implementan en el hardware de la estructura (los switches Nexus 9000).
148. Consulte la ilustración. Los empleados en 192.168.11.0/24 trabajan en información crítica y no se les permite el acceso fuera de su red. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
- ACL estándar entrante en líneas v1 R1
- ACL extendida entrante en R3 S0/0/1
- ACL estándar entrante en R1 G0/1
- ACL extendida entrante en R3 G0 / 0
Tipo de ACL: Se utiliza una ACL estándar porque el único requisito es denegar todo el tráfico según una dirección de origen específica (192.168.11.0/24), sin necesidad de filtrar protocolos o puertos específicos (lo que requeriría una extendida).
Ubicación: Como la regla establece que a estos empleados no se les permite el acceso fuera de su propia red, la mejor práctica es filtrar el tráfico lo más cerca posible del origen. Al aplicarla de forma entrante (in) en la interfaz GigabitEthernet0/1 del router R1 (la puerta de enlace de esa subred), los paquetes no deseados se descartan inmediatamente al intentar salir de su LAN, evitando que consuman recursos en el router o en el resto de la infraestructura de red.
149. ¿Qué mecanismo de colas no tiene provisión para priorizar o almacenar en búfer, sino que únicamente reenvía paquetes en el mismo orden en que llegan?
- FIFO
- CBWFQ
- WFQ
- LLQ
El mecanismo FIFO es el método de colas por defecto más simple. No realiza ningún tipo de clasificación, priorización ni manejo inteligente del búfer: los paquetes se colocan en una única cola y se reenvían estrictamente en el mismo orden exacto en el que van llegando al dispositivo. Si la cola se llena, los paquetes nuevos simplemente se descartan (un fenómeno conocido como tail drop).
150. Un grupo de usuarios en la misma red informa que sus computadoras se ejecutan lentamente. Después de investigar, el técnico determina que estas computadoras son parte de una red zombie. ¿Qué tipo de malware se utiliza para controlar estas computadoras?
- Spyware
- Rootkit
- Botnet
- Virus
Un botnet es una red de computadoras infectadas, llamada red zombie. Las computadoras son controladas por un hacker y se utilizan para atacar a otras computadoras o para robar datos.
151. ¿Qué tipo de tráfico se describe como un tráfico que recibe una prioridad más baja si no es de misión crítica?
- Voz
- de HDR
- Video
Dentro de los modelos de Calidad de Servicio (QoS), el tráfico de video se puede subdividir según su importancia para la empresa. Si el video es de uso general (como entretenimiento, streaming educativo no esencial o contenido no prioritario) y no forma parte de las herramientas de comunicación de misión crítica (como las videoconferencias corporativas de alta prioridad), se le asigna una prioridad más baja en las colas de espera. Esto se hace para garantizar que los recursos de ancho de banda queden disponibles para servicios vitales como la voz IP o los datos transaccionales.
152. Consulte la ilustración. La compañía ha proporcionado teléfonos IP a los empleados en la red 192.168.10.0/24 y el tráfico de voz necesitará prioridad sobre el tráfico de datos. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
- ACL estándar entrante en líneas v1 R1
- ACL extendida entrante en R1 G0/0
- ACL extendida entrante en R3 G0 / 0
- ACL estándar entrante en R1 G0 / 1
Las ACL estándar permiten o deniegan paquetes basándose únicamente en la dirección IPv4 de origen. Debido a que todos los tipos de tráfico están permitidos o denegados, las ACL estándar deben ubicarse lo más cerca posible del destino.
Las ACL extendidas permiten o niegan paquetes según la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino, y más. Debido a que el filtrado de las ACL extendidas es tan específico, las ACL extendidas deben ubicarse lo más cerca posible de la fuente del tráfico que se va a filtrar. El tráfico no deseado se niega cerca de la red de origen sin cruzar la infraestructura de la red.
153. Cuando se implementa QoS en una red convergente, ¿cuáles son los dos factores que se pueden controlar para mejorar el rendimiento de la red para el tráfico en tiempo real? (Elija dos opciones.)
- fluctuación de fase
- enrutamiento de paquetes
- velocidad de enlace
- direccionamiento de paquetes
- retardo
La demora es la latencia entre un dispositivo emisor y receptor. La fluctuación es la variación en la demora de los paquetes recibidos. Es necesario controlar la demora y las fluctuaciones para admitir el tráfico de voz y video en tiempo real.
154. En una red empresarial grande, ¿cuáles son las dos funciones que llevan a cabo los routers en la capa de distribución? (Elija dos opciones).
- Conectar los usuarios a la red.
- Proporcionar seguridad de tráfico de datos.
- Proporcionar alimentación por Ethernet a los dispositivos.
- Proporcionar un backbone de red de alta velocidad.
- Conectar redes remotas.
En el modelo de diseño jerárquico de tres capas de Cisco, la capa de distribución sirve como punto de enlace y agregación entre la capa de acceso y la capa de núcleo (core). Sus funciones principales incluyen:
- Seguridad y control: Es el lugar ideal para implementar políticas de red, como Listas de Control de Acceso (ACL) y filtrado, garantizando la seguridad del tráfico de datos antes de que avance hacia el núcleo.
- Enrutamiento y conectividad: Se encarga de delimitar los dominios de Capa 3, realizar resúmenes de ruta y conectar redes o sucursales remotas hacia el resto de la infraestructura corporativa.
155. Un administrador está configurando OSPF de área única en un router. Una de las redes que se deben anunciar es 172.20.0.0 255.255.252.0. ¿Qué máscara comodín usaría el administrador en la instrucción de red OSPF?
- 0.0.0.3
- 0.0.63.255
- 0.0.0.7
- 0.0.3.255
La máscara comodín (wildcard mask) se calcula restando la máscara de subred de la dirección de broadcast completa 255.255.255.255.
Para la máscara de subred 255.255.252.0:
255.255.255.255 – 255.255.252.0 = 0.0.3.255
156. ¿Qué tres afirmaciones se consideran generalmente mejores prácticas en la colocación de ACL? (Escoja tres opciones).
- Coloque ACL extendidas cerca de la dirección IP de destino del tráfico.
- Coloque ACL extendidas cerca de la dirección IP de origen del tráfico.
- Filtrar el tráfico no deseado antes de que se traslade a un enlace de bajo ancho de banda.
- Coloque ACL estándar cerca de la dirección IP de destino del tráfico.
- Coloque ACL estándar cerca de la dirección IP de origen del tráfico.
- Para cada ACL entrante colocada en una interfaz, debe haber una ACL saliente coincidente.
Las ACL extendidas deben colocarse lo más cerca posible de la dirección IP de origen, de modo que el tráfico que debe filtrarse no cruce la red y utilice los recursos de la red. Debido a que las ACL estándar no especifican una dirección de destino, deben colocarse lo más cerca posible del destino. La colocación de una ACL estándar cerca de la fuente puede tener el efecto de filtrar todo el tráfico y limitar los servicios a otros hosts. El filtrado del tráfico no deseado antes de que ingrese a enlaces de ancho de banda bajo conserva el ancho de banda y admite la funcionalidad de la red. Las decisiones sobre la colocación de ACL entrantes o salientes dependen de los requisitos que se deben cumplir.
157. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para mostrar información sobre los parámetros de configuración de NAT y el número de direcciones en el grupo?
- show ip cache
- show ip nat statistics
- show version
- show running-config
El comando show ip nat statistics muestra de forma detallada un resumen analítico de toda la actividad de NAT en el router. Esto incluye los parámetros de configuración activos (como las interfaces designadas inside y outside), las reglas de traducción y, de manera específica, la cantidad total de direcciones IP públicas configuradas dentro de un grupo (pool) junto con el número y porcentaje de ellas que ya han sido asignadas.
158. Consulte la ilustración. ¿Qué conclusión se puede sacar a partir de esta red de acceso múltiple de OSPF?
- Todos los routers DROTHER envían LSA al DR y al BDR a la dirección de multidifusión 224.0.0.5.
- Si el DR deja de producir paquetes de saludo, se seleccionará un BDR y, luego, se asciende a sí mismo y asume la función de DR.
- Con la elección del DR, la cantidad de adyacencias se reduce de 6 a 3.
- Cuando se selecciona un DR, todos los demás routers que no sean DR se convierten en DROTHER.
En las redes de accesos múltiples OSPF, se elige un DR para que sea el punto de recopilación y distribución de los LSA enviados y recibidos. También se elige un BDR en caso de que el DR falle. Todos los demás enrutadores que no son DR o BDR se convierten en DROTHER. En lugar de enviar LSA a todos los enrutadores de la red, los DROTHER solo envían sus LSA al DR y BDR utilizando la dirección de multidifusión 224.0.0.6. Si no hay elección de DR/BDR, el número de adyacencias requeridas es n (n-1)/2 = & gt; 4 (4-1)/2 = 6. Con la elección, este número se reduce a 3.
159. ¿Qué tabla OSPF es idéntica en todos los router convergentes dentro de la misma área OSPF?
- enrutamiento
- adyacencia
- topología
- neighbor
Para que el protocolo OSPF funcione correctamente y compute las rutas sin bucles, todos los routers dentro de una misma área deben compartir exactamente el mismo mapa de la red. Por lo tanto, la tabla de topología (LSDB) es idéntica en todos los routers convergentes del área.
Por el contrario, la tabla de enrutamiento y la de adyacencia/neighbor son locales y varían en cada router según su posición física y sus conexiones directas.
160. ¿Qué tipo de VPN proporciona una opción flexible para conectar un sitio central con sitios de sucursales?
- Interfaz virtual del túnel IPSec
- GRE sobre IPsec
- VPN con MPLS
- VPN multipunto dinámica.
DMVPN proporciona una flexibilidad extrema al permitir que las sucursales (spokes) se conecten de forma dinámica y directa con el sitio central (hub) y entre sí mediante túneles bajodemanda. Esto elimina la necesidad de configurar manualmente túneles individuales permanentes de sitio a sitio para cada sucursal, simplificando drásticamente la gestión y la escalabilidad cuando la red crece con nuevos sitios.
161. Un atacante está redirigiendo el tráfico a una puerta de enlace predeterminada falsa en un intento de interceptar el tráfico de datos de una red conmutada. ¿Qué tipo de ataque es este?
- Suplantación de identidad de DHCP
- Túnel de DNS
- Envenenamiento del caché de ARP
- Inundación SYN a TCP
En los ataques de suplantación de identidad de DHCP, un atacante configura un servidor DHCP falso en la red para emitir direcciones DHCP a los clientes con el objetivo de obligar a los clientes a utilizar una Gateway predeterminada falsa, y otros servicios falsos. La indagación de DHCP es una función del conmutador de Cisco que puede mitigar los ataques de DHCP. La falta de direcciones MAC y la búsqueda de direcciones MAC no son ataques de seguridad reconocidos. La suplantación de direcciones MAC es una amenaza para la seguridad de la red.
162. ¿Cuál es la función principal de un hipervisor?
- Es un dispositivo que filtra y verifica credenciales de seguridad.
- Es un dispositivo que sincroniza un grupo de sensores.
- Lo utilizan los ISP para monitorear los recursos de informática en la nube.
- Se utiliza para crear y administrar varias instancias de máquinas virtuales en una máquina host.
- Es un software utilizado para coordinar y preparar datos para analizar.
Un hipervisor es un componente clave de la virtualización. Un hipervisor está, a menudo, respaldado por un software y se utiliza para crear y administrar varias instancias de máquinas virtuales.
163. Se aplica una ACL entrante en una interfaz de router. La ACL consta de una única entrada:
access-list 101 permit tcp 10.1.1.0 0.0.255 host 192.31.7.45 eq dns .
Si un paquete con una dirección de origen de 10.1.1.201, una dirección de destino de 192.31.7.45 y un protocolo de 23 se recibe en la interfaz, ¿está permitido o denegado el paquete?
- Denegado
- Permitido
El paquete es rechazado debido a que no cumple con el criterio del protocolo y puerto establecido en la regla:
- Protocolo y Puerto: La ACL permite específicamente tráfico TCP destinado al servicio DNS (puerto 53). El paquete recibido utiliza el protocolo de capa de transporte correspondiente al puerto 23 (que pertenece a Telnet).
- Denegación implícita: Al no coincidir el puerto del paquete (23) con el puerto permitido por la única instrucción de la lista (dns/53), el paquete no hace match con la regla y es descartado automáticamente por el denegar todo implícito (implicit deny) al final de la ACL.
164. ¿Qué protocolo utiliza números de estrato más pequeños para indicar que el servidor está más cerca de la fuente de tiempo autorizada que los números de estrato más grandes?
- TFTP
- MPLS
- NTP
- SYSLOG
El protocolo NTP (Network Time Protocol) utiliza un sistema jerárquico de niveles de reloj llamados estratos (strata) para indicar la distancia de un servidor respecto a una fuente de tiempo de referencia autorizada (como un reloj atómico o GPS):
- El Estrato 0 representa la fuente de tiempo física directa.
- El Estrato 1 son los servidores conectados directamente a dispositivos del estrato 0. A medida que el número de estrato aumenta, significa que el servidor está más alejado de la fuente original, por lo que los números más pequeños indican una mayor precisión y cercanía a la fuente oficial.
165. ¿Qué tipo de VPN implica un protocolo de túnel no seguro encapsulado por IPsec?
- GRE sobre IPsec
- VPN multipunto dinámica.
- Interfaz virtual del túnel IPSec
- VPN con MPLS
El protocolo GRE (Generic Routing Encapsulation) es un protocolo de tunelización capaz de encapsular una gran variedad de tipos de paquetes de protocolo de red, así como tráfico de multidifusión (multicast) y enrutamiento. Sin embargo, GRE no es seguro porque no proporciona cifrado de datos.
Para proteger la comunicación, se utiliza IPsec como un contenedor seguro que encapsula el túnel GRE, aportando la confidencialidad, integridad y autenticación necesarias para transmitir los datos de forma segura a través de una red pública.
166. Consulte la ilustración. El CEO de la compañía exige que se cree una ACL para permitir el tráfico de correo electrónico a Internet y denegar el acceso FTP. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
- ACL estándar entrante en la interfaz WAN R2 que se conecta a Internet
- ACL extendida saliente en la interfaz WAN R2 hacia Internet
- ACL extendida entrante en R2 S0/0/0
- ACL estándar entrante en R1 G0/0
Tipo de ACL: Se requiere una ACL extendida porque la regla exige filtrar el tráfico según el tipo de aplicación o servicio (permitir correo electrónico / puertos TCP 25, 110, 143 y denegar FTP / puertos TCP 20 y 21). Las ACL estándar no tienen la capacidad de filtrar por puertos o protocolos de capa 4, solo lo hacen por dirección IP de origen.
Ubicación: Las mejores prácticas de Cisco dictan que las ACL extendidas deben colocarse lo más cerca posible del origen. Sin embargo, en esta topología en particular, el tráfico proviene de múltiples redes internas de la empresa (manejadas por R1 y R3) con destino común hacia Internet. Colocar una única ACL extendida de forma saliente (out) en la interfaz WAN del router central R2 que conecta a Internet permite centralizar la política de seguridad corporativa en un solo punto, evitando tener que duplicar y mantener configuraciones idénticas en múltiples interfaces de los routers internos.
167. ¿Qué tipo de tráfico se describe como no resistente a la pérdida?
- Voz
- Datos
- Video
El tráfico de video tiende a ser impredecible, inconsistente y con ráfagas en comparación con el tráfico de voz. En comparación con la voz, el video es menos resistente a las pérdidas y tiene un mayor volumen de datos por paquete.
168. Un administrador de red modificó un router habilitado para OSPF para tener un ajuste de temporizador de saludo de 20 segundos. ¿Cuál es la nueva configuración de tiempo de intervalo muerto de forma predeterminada?
- 40 segundos
- 60 segundos
- 80 segundos
- 100 segundos
Por defecto en el protocolo OSPF, el temporizador del intervalo muerto (Dead Interval) se calcula automáticamente como cuatro veces el valor del temporizador de saludo (Hello Interval).
Si el administrador modificó el temporizador de saludo a 20 segundos, el intervalo muerto se ajusta de forma predeterminada a:
20 segundos x 4 = 80segundos
169. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para mostrar cualquier traducción PAT dinámica que haya sido creada por el tráfico?
- show ip nat statistics
- show ip nat translations
- show ip interfaces
- show ip route
El comando show ip nat translations es el utilizado para visualizar la tabla activa de traducciones de NAT/PAT. Este comando muestra en tiempo real todas las traducciones dinámicas que han sido creadas por el tráfico que atraviesa el router, detallando la dirección local interna, la dirección global interna, así como las direcciones externas asociadas, incluyendo los números de puerto específicos en el caso de PAT.
170. Se aplica una ACL entrante en una interfaz de router. La ACL consta de una única entrada:
access-list 100 permit tcp 192.168.10.0 0.0.0.255 172.17.200.0 0.0.0.255 eq www .
Si se recibe un paquete con una dirección de origen 192.168.10.244, una dirección de destino 172.17.200.56 y un protocolo 80 en la interfaz, ¿está permitido o denegado el paquete?
- Denegado
- Permitido
El paquete cumple con todos los criterios definidos en la ACL:
- Protocolo: La ACL especifica tcp y el puerto www (que es el puerto 80), lo cual coincide con el protocolo 80 del paquete recibido.
- Dirección de origen: 192.168.10.244 está dentro del rango 192.168.10.0/24 (definido por la máscara comodín 0.0.0.255).
- Dirección de destino: 172.17.200.56 está dentro del rango 172.17.200.0/24 (definido por la máscara comodín 0.0.0.255).
171. Consulte la ilustración. Un administrador de red ha implementado QoS y ha configurado la red para marcar el tráfico en los teléfonos VoIP, así como los switches de la capa 2 y la capa 3. ¿Dónde se debe hacer la marcación inicial para establecer el límite de confianza?
- Límite de confianza 1
- Límite de confianza 4
- Límite de confianza 3
- Límite de confianza 2
El tráfico debe clasificarse y marcarse lo más cerca posible de su origen. El límite de confianza identifica en qué dispositivo se debe confiar en el tráfico marcado. El tráfico marcado en teléfonos VoIP se consideraría confiable a medida que ingresa a la red empresarial.
172. ¿Qué tipo de VPN permite el tráfico de multidifusión y difusión a través de una VPN segura de sitio a sitio?
- Interfaz virtual del túnel IPSec
- GRE sobre IPsec
- VPN SSL
- VPN multipunto dinámica.
El protocolo GRE (Generic Routing Encapsulation) es necesario porque, por sí solo, es capaz de encapsular tráfico de Capa 3 que incluye protocolos de enrutamiento, multidifusión (multicast) y difusión (broadcast). Sin embargo, como GRE no proporciona seguridad, se combina con IPsec para cifrar y proteger dicho túnel. Mientras que una interfaz virtual de túnel IPsec (VTI) también puede transportar tráfico de multidifusión, GRE sobre IPsec es la solución clásica y más reconocida en el ámbito de certificación para este propósito específico en redes de sitio a sitio.
173. ¿Cuál es el nombre de la capa en el diseño de red conmutada sin bordes de Cisco que se considera la columna vertebral utilizada para la conectividad de alta velocidad y el aislamiento de fallas?
- Acceso a la red
- Acceso
- Enlace de datos
- Núcleo
- Red
En el diseño jerárquico de Cisco, la capa de núcleo (core layer) funciona como la columna vertebral (backbone) de la red. Su función principal es proporcionar un transporte de alta velocidad y una conmutación eficiente entre los distintos bloques de distribución, además de garantizar una rápida convergencia y un aislamiento de fallas eficaz al reducir la complejidad de la red y mantener un enrutamiento de alta disponibilidad.
174. Una compañía ha contratado una empresa de seguridad de red para ayudar a identificar las vulnerabilidades de la red corporativa. La firma envía un equipo para realizar pruebas de penetración a la red de la compañía. ¿Por qué el equipo usaría fuzzers?
- para aplicar ingeniería inversa a los archivos binarios al escribir exploits y al analizar malware
- para descubrir vulnerabilidades de seguridad de un equipo
- para detectar cualquier evidencia de un hack o malware en una computadora o red
- para detectar herramientas instaladas dentro de archivos y directorios que proporcionan a los actores de amenazas acceso remoto y control a través de un equipo o red
Los fuzzers (o fuzzing) son herramientas de prueba automatizadas que envían deliberadamente datos aleatorios, inesperados o malformados como entrada a un programa o sistema. Su objetivo principal es provocar errores, fallos (como crashes) o comportamientos anómalos que revelen vulnerabilidades de seguridad no detectadas, como desbordamientos de búfer o errores de validación de entradas, antes de que puedan ser explotadas por actores malintencionados.
175. ¿Qué tipo de tráfico se describe como predecible y fluido?
- Voz
- Datos
- Video
El tráfico de voz (como el de VoIP) se caracteriza por ser predecible y fluido debido a que genera un flujo de paquetes de tamaño relativamente constante y a una tasa regular. Por el contrario, el tráfico de datos es irregular y estallado (bursty), mientras que el tráfico de video, aunque puede ser fluido, suele tener ráfagas de mayor volumen de datos que lo hacen menos predecible que la voz.
176. Una empresa ha contratado a una empresa de seguridad de red para ayudar a identificar las vulnerabilidades de la red corporativa. La firma envía un equipo para realizar pruebas de penetración a la red de la empresa. ¿Por qué el equipo usaría herramientas forenses?
- para detectar herramientas instaladas dentro de archivos y directorios que proporcionan a los actores de amenazas acceso remoto y control a través de un equipo o red
- para detectar cualquier evidencia de un hack o malware en una computadora o red
- para obtener sistemas operativos especialmente diseñados precargados con herramientas optimizadas para hackear
- para aplicar ingeniería inversa a los archivos binarios al escribir exploits y al analizar malware
Las herramientas forenses digitales se utilizan en ciberseguridad para investigar incidentes, preservando la integridad de los datos para identificar, recolectar y analizar evidencias que confirmen la ocurrencia de un ataque, la presencia de código malicioso (malware) o rastros de una intrusión en los sistemas afectados.
177. Consulte la ilustración. La directiva corporativa exige que el acceso a la red de servidores se restrinja únicamente a los empleados internos. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
- ACL estándar saliente en R2 S0/0/0
- ACL extendido de salida en R2 S0 / 0/1
- ACL extendida entrante en R2 S0/0/0
- ACL estándar entrante en la interfaz WAN R2 que se conecta a Internet
Tipo de ACL: Se debe utilizar una ACL extendida, ya que es necesario filtrar el tráfico basándose en direcciones IP de origen y destino específicas para diferenciar a los usuarios internos de cualquier intento de acceso externo (Internet). Las ACL estándar solo permiten filtrar por origen, lo cual sería insuficiente para este requisito de seguridad.
Ubicación: Las mejores prácticas indican colocar las ACL extendidas lo más cerca posible del destino. En este caso, el servidor se encuentra detrás del router R3 (conectado a la interfaz S0/0/1 del router R2). Al aplicar la ACL como saliente (out) en la interfaz S0/0/1 del router R2, filtramos el tráfico justo antes de que se dirija hacia la red donde residen los servidores, garantizando que solo los paquetes autorizados (empleados internos) puedan ingresar a esa zona.
178. ¿Qué protocolo es un protocolo de nivel 2 neutral del proveedor que anuncia la identidad y las capacidades del dispositivo host a otros dispositivos de red conectados?
- SNMP
- MPLS
- NTP
- LLDP
LLDP es un protocolo de capa 2 estándar y neutral (independiente del fabricante) que permite a los dispositivos de red anunciar su identidad, capacidades y otra información relevante a sus vecinos directamente conectados. Es la alternativa abierta y estandarizada al protocolo propietario de Cisco llamado CDP (Cisco Discovery Protocol).
179. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para borrar entradas dinámicas antes de que el tiempo de espera haya expirado?
- clear ip nat translation
- clear access-list counters
- clear ip dhcp
- clear ip pat statistics
Este comando se utiliza para borrar las entradas de la tabla de traducción de NAT de forma manual. Al ejecutar clear ip nat translation * (o especificando una entrada particular), el router elimina las traducciones dinámicas inmediatamente, sin esperar a que finalice el tiempo de espera (timeout) configurado, lo cual es útil para restablecer sesiones o aplicar cambios en la configuración de NAT de manera inmediata.
180. Un administrador está configurando OSPF de área única en un router. Una de las redes que deben anunciarse es 172.20.0.0 255.255.252.0. ¿Qué máscara comodín usaría el administrador en la instrucción de red OSPF?
- 0.0.3.255
- 0.0.15.255
- 0.0.1.255
- 0.0.7.255
La máscara comodín (wildcard mask) se obtiene restando la máscara de subred (255.255.252.0) de la dirección de broadcast total (255.255.255.255):
- 255 – 255 = 0
- 255 – 255 = 0
- 255 – 252 = 3
- 255 – 0 = 255
181. ¿Qué protocolo envía anuncios periódicos entre los dispositivos Cisco conectados para conocer el nombre del dispositivo, la versión del IOS y el número y el tipo de interfaces?
- LLDP
- CDP
- SNMP
- NTP
CDP es un protocolo de Capa 2 propietario de Cisco que se ejecuta en todos los dispositivos Cisco (routers, switches, puntos de acceso). Su función principal es enviar anuncios periódicos a través de los enlaces conectados para descubrir información básica de los vecinos, incluyendo el nombre del dispositivo, la versión del IOS, las direcciones IP y el tipo/número de interfaces.
182. Se aplica una ACL entrante en una interfaz de router. La ACL consta de una sola entrada:
access-list 101 permit udp 192.168.100.32 0.0.0.7 host 198.133.219.76 eq telnet .
Si se recibe un paquete con una dirección de origen de 198.133.219.100, una dirección de destino de 198.133.219.170 y un protocolo de 23 en la interfaz, ¿está permitido o denegado el paquete?
- Permitido
- Denegado
El paquete no coincide con los criterios de la ACL por las siguientes razones:
- Dirección de origen: La ACL permite únicamente el rango 192.168.100.32 al 192.168.100.39 (definido por la máscara comodín 0.0.0.7). El paquete recibido tiene como origen 198.133.219.100, el cual está fuera de ese rango.
- Dirección de destino: La ACL especifica como destino único el host 198.133.219.76, mientras que el paquete tiene como destino 198.133.219.170.
- Denegación implícita: Al no haber coincidencia con la única regla configurada, se aplica la regla de denegación implícita (implicit deny) presente al final de cualquier ACL, descartando automáticamente el paquete.
183. Una compañía ha contratado una empresa de seguridad de red para ayudar a identificar las vulnerabilidades de la red corporativa. La firma envía un equipo para realizar pruebas de penetración a la red de la compañía. ¿Por qué el equipo usaría sistemas operativos de hackeo?
- para aplicar ingeniería inversa a los archivos binarios al escribir exploits y al analizar malware
- para codificar datos, utilizando esquemas de algoritmos, para evitar el acceso no autorizado a los datos cifrados
- para detectar cualquier evidencia de un hack o malware en una computadora o red
- para obtener sistemas operativos especialmente diseñados precargados con herramientas optimizadas para hackear
Los equipos de pruebas de penetración utilizan sistemas operativos especializados (como Kali Linux o Parrot OS) porque vienen equipados con una amplia biblioteca de herramientas de seguridad, escaneo y explotación preinstaladas y configuradas. Esto optimiza el flujo de trabajo al evitar que los expertos tengan que instalar y configurar individualmente cada utilidad necesaria para evaluar las vulnerabilidades de la red.
184. ¿Qué tipo de tráfico se describe como requiere al menos 384 Kbps de ancho de banda?
- Datos
- Video
- Voz
El tráfico de video se clasifica como una aplicación de gran consumo de ancho de banda. Mientras que el tráfico de voz suele requerir mucho menos ancho de banda (típicamente alrededor de 30-100 Kbps), las aplicaciones de video, para garantizar una calidad aceptable y una experiencia fluida, requieren una conexión que soporte una velocidad mínima de 384 Kbps (o más, dependiendo de la resolución y calidad de la transmisión).
185. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para definir un grupo de direcciones para la traducción?
- ip nat inside source list 24 interface serial 0/1/0 overload
- ip nat outside
- ip nat inside source static 172.19.89.13 198.133.219.65
- ip nat pool POOL-STAT 64.100.14.17 64.100.14.30 máscara de red 255.255.255.240
El comando ip nat pool es el utilizado específicamente para definir un conjunto (pool) o rango de direcciones IP públicas que el router asignará dinámicamente a los hosts internos cuando necesiten salir a Internet. Las otras opciones realizan funciones distintas:
- ip nat inside source list … overload se usa para configurar PAT (usando una sola dirección o interfaz).
- ip nat outside identifica una interfaz como externa.
- ip nat inside source static configura una traducción estática de uno a uno.
186. ¿Qué protocolo permite al administrador sondear a los agentes para acceder a la información del agente MIB?
- TFTP
- SYSLOG
- SNMP
- Programador
El SNMP (Simple Network Management Protocol) permite a un administrador de red realizar consultas (sondeos) a los agentes que residen en los dispositivos de red para acceder a la información almacenada en su base de datos MIB (Management Information Base), facilitando así la supervisión y gestión centralizada del rendimiento y estado de los equipos.
187. ¿Qué comando se usaría como parte de la configuración de NAT o PAT para vincular las direcciones locales internas al grupo de direcciones disponibles para la traducción PAT?
- ip nat inside source list 14 pool POOL-STAT overload
- ip nat translation timeout 36000
- ip nat inside source static 172.19.89.13 198.133.219.65
- ip nat inside source list ACCTNG pool POOL-STAT
Este comando es el necesario para configurar PAT (Port Address Translation) utilizando un grupo de direcciones (pool).
- list 14: Hace referencia a la ACL que define qué tráfico (direcciones locales internas) debe ser traducido.
- pool POOL-STAT: Especifica el grupo de direcciones públicas disponibles.
- overload: Es la palabra clave fundamental que activa la sobrecarga (PAT), permitiendo que múltiples direcciones internas compartan las direcciones IP del pool mediante la multiplexación de puertos TCP/UDP.
188. ¿Qué paso en el proceso de enrutamiento de estado de vínculo se describe por un router que inserta las mejores rutas en la tabla de enrutamiento?
- declarando que un vecino es inaccesible
- rutas de equilibrio de carga igual costo
- eligiendo la mejor ruta
- Ejecucuta el algoritmo SPF
En el proceso de enrutamiento de estado de enlace, el algoritmo SPF (Shortest Path First) calcula la ruta más corta hacia cada red de destino. Una vez que el router ha ejecutado dicho algoritmo y ha seleccionado la mejor ruta (basada en el costo calculado), procede a insertar esas rutas en su tabla de enrutamiento para reenviar los paquetes correctamente.
189. Se aplica una ACL entrante en una interfaz de router. La ACL consta de una sola entrada:
access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www.
Si se recibe un paquete con una dirección de origen 192.168.10.45, una dirección de destino 10.10.3.27 y un protocolo 80 en la interfaz, ¿está permitido o denegado el paquete?
- Permitido
- Denegado
El paquete cumple con todos los criterios de la ACL configurada:
- Protocolo: El paquete utiliza TCP (implícito en el protocolo 80/HTTP).
- Dirección de origen: La IP 192.168.10.45 está dentro del rango permitido por la red 192.168.10.0 con máscara comodín 0.0.0.255.
- Puerto: La ACL especifica el puerto www (que es el puerto 80), coincidiendo con el protocolo 80 del paquete recibido.
Al coincidir todos los parámetros, el router permite el paso del paquete.
190. ¿Qué se utiliza para rellenar previamente la tabla de adyacencia en los dispositivos Cisco que utilizan CEF para procesar paquetes?
- el FIB
- la tabla de enrutamiento
- la tabla ARP
- el DSP
El mecanismo CEF (Cisco Express Forwarding) utiliza dos tablas principales para el reenvío rápido de paquetes: la FIB (cuyo origen es la tabla de enrutamiento) y la tabla de adyacencia.
La tabla de adyacencia se encarga de mantener la información del direccionamiento de Capa 2 (como las direcciones MAC del siguiente salto). Para rellenar previamente esta tabla de forma automática, el dispositivo de red extrae directamente los datos de la tabla ARP.
191. Se aplica una ACL entrante en una interfaz de enrutador. La ACL consta de una sola entrada:
access-list 210 permit tcp 172.18.20.0 0.0.0.31 172.18.20.32 0.0.0.31 eq ftp .
Si se recibe un paquete con una dirección de origen 172.18.20.14, una dirección de destino 172.18.20.40 y un protocolo 21 en la interfaz, ¿el paquete está permitido o denegado?
- permitido
El paquete cumple estrictamente con todos los criterios de la línea de la ACL:
- Dirección de origen: La IP 172.18.20.14 se encuentra dentro del rango permitido 172.18.20.0 a 172.18.20.31 (definido por la máscara comodín 0.0.0.31).
- Dirección de destino: La IP 172.18.20.40 se encuentra dentro del rango permitido 172.18.20.32 a 172.18.20.63 (definido por la máscara comodín 0.0.0.31).
- Protocolo y Puerto: El protocolo número 21 corresponde exactamente al servicio FTP, que está explícitamente permitido en la regla (eq ftp).
Al coincidir todos los parámetros, el paquete es permitido.
192. ¿Cuáles son los dos beneficios de extender la conectividad de la capa de acceso a los usuarios a través de un medio inalámbrico? (Elija dos opciones.)
- costos reducidos
- disminución del número de puntos críticos de falla
- mayor flexibilidad
- mayor disponibilidad de ancho de banda
- mayores opciones de administración de red
Mayor flexibilidad: Permite a los usuarios moverse libremente dentro de la cobertura y conectarse desde diferentes ubicaciones sin depender de un cable físico.
Costos reducidos: Se ahorran gastos significativos en infraestructura al disminuir la necesidad de cablear canaletas, instalar tomas de red en las paredes y adquirir cableado estructurado para cada puesto de trabajo.
193. Consulte la ilustración. ¿Qué formato de datos se utiliza para representar los datos para aplicaciones de automatización de redes?
- XML
- YAML
- HTML
- JSON
Los formatos de datos comunes que se utilizan en muchas aplicaciones, incluida la automatización y la programación de redes, son los siguientes:
- Notación de objetos JavaScript (JSON): en JSON, los datos conocidos como objeto son uno o más pares clave/valor entre llaves {}. Las claves deben ser cadenas entre comillas dobles «». Las claves y los valores están separados por dos puntos.
- Lenguaje de marcado extensible (XML): en XML, los datos se incluyen en un conjunto relacionado de etiquetas & lt; tag & gt; data & lt;/tag & gt ;.
- YAML no es lenguaje de marcado (YAML): en YAML, los datos conocidos como objeto son uno o más pares clave-valor. Los pares clave-valor están separados por dos puntos sin el uso de comillas. YAML usa sangría para definir su estructura, sin el uso de corchetes o comas.
194. ¿Qué paso de QoS debe ocurrir antes de que se puedan marcar los paquetes?
- clasificando
- dar forma
- hacer cola
- vigilancia
Para que un dispositivo de red pueda marcar un paquete (añadirle un valor de prioridad en el encabezado como CoS o DSCP), primero debe clasificarlo. La clasificación es el proceso de analizar el flujo de tráfico e identificar a qué categoría o clase específica pertenece según las políticas de Calidad de Servicio (QoS) definidas.
195. ¿Cómo ayuda la virtualización con la recuperación ante desastres dentro de un centro de datos?
- mejora de las prácticas comerciales
- suministro de flujo de aire constante
- compatibilidad con la migración en vivo
- garantía de poder
La migración en vivo permite mover un servidor virtual a otro servidor virtual que podría estar en una ubicación diferente que esté a cierta distancia del centro de datos original.
196. ¿Qué protocolo es un protocolo de capa 2 independiente del proveedor que anuncia la identidad y las capacidades del dispositivo host a otros dispositivos de red conectados?
- LLDP
- NTP
- TFTP
- SNMP
LLDP es un protocolo estándar abierto de la industria (IEEE 802.1AB) que opera en la Capa 2. Al ser independiente del proveedor (neutral), permite que dispositivos de diferentes marcas descubran de forma automática a sus vecinos, anunciando su propia identidad, funciones y capacidades dentro de la misma red local.
Por el contrario, NTP, TFTP y SNMP son protocolos que operan en capas superiores (Capa 7 de la pila TCP/IP o Capa de Aplicación).
197. ¿Qué paso en el proceso de enrutamiento del estado del vínculo es descrito por un router que ejecuta un algoritmo para determinar la mejor ruta a cada destino?
- construye la tabla de topología
- seleccionando la ID del router
- declarando que un vecino es inaccesible
- Ejecucuta el algoritmo SPF
En el enrutamiento de estado de enlace (como OSPF), el paso en el que un router calcula las mejores rutas hacia cada destino se realiza específicamente al ejecutar el algoritmo SPF (Shortest Path First o algoritmo de Dijkstra). Este algoritmo toma la información completa de la base de datos de topología y procesa los costos de los enlaces para determinar el camino más corto y eficiente, el cual es finalmente insertado en la tabla de enrutamiento.
198. ¿Qué tipo de VPN se conecta mediante la función Transport Layer Security (TLS)?
- VPN SSL
- Interfaz de túnel virtual IPsec
- GRE sobre IPsec
- VPN multipunto dinámica
Una VPN SSL (Secure Sockets Layer) utiliza el protocolo TLS (Transport Layer Security) para establecer sus conexiones seguras. Cuando un usuario remoto negocia la conexión con la puerta de enlace de la VPN a través de un navegador web, se emplea TLS (que es la versión moderna y actualizada de SSL) para cifrar todo el tráfico de la sesión.
199. ¿Qué tipo de VPN utiliza una configuración de concentrador y radio para establecer una topología de malla completa?
- VPN MPLS
- GRE sobre IPsec
- Interfaz de túnel virtual IPsec
- VPN multipunto dinámica
DMVPN utiliza una arquitectura de concentrador y radio (hub-and-spoke) para la fase de configuración inicial, pero permite que los radios (spokes) descubran las direcciones IP públicas de los demás de forma dinámica a través del protocolo NHRP.
Esto hace posible que los sitios remotos establezcan túneles directos entre sí bajo demanda, creando una topología de malla completa (full-mesh) temporal sin necesidad de que todo el tráfico pase permanentemente por el concentrador central.
200. Consulte la ilustración. Los privilegios de Internet para un empleado se han revocado debido a abusos, pero el empleado aún necesita acceso a los recursos de la empresa. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
- ACL estándar entrante en la interfaz R2 WAN que se conecta a Internet
- ACL estándar saliente en la interfaz R2 WAN hacia Internet
- ACL estándar entrante en R1 G0/0
- ACL estándar saliente en R1 G0/0
las ACL estándar permiten o niegan paquetes basándose únicamente en la dirección IPv4 de origen. Debido a que todos los tipos de tráfico están permitidos o denegados, las ACL estándar deben ubicarse lo más cerca posible del destino.
– Las ACL extendidas permiten o niegan paquetes según la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y más. Debido a que el filtrado de las ACL extendidas es tan específico, las ACL extendidas deben ubicarse lo más cerca posible de la fuente del tráfico que se va a filtrar. El tráfico no deseado se niega cerca de la red de origen sin cruzar la infraestructura de la red.
201. ¿Qué tipo de tráfico se describe como tráfico que requiere una mayor prioridad si es interactivo?
- voz
- datos
- video
El tráfico de datos se subdivide según su criticidad. Si los datos provienen de una aplicación interactiva y de misión crítica (como consultas a bases de datos o transacciones financieras en tiempo real), el sistema de QoS requiere asignarle una mayor prioridad para garantizar un tiempo de respuesta óptimo (entre 1 y 2 segundos), a diferencia de los datos no interactivos que pueden esperar.
Por el contrario, la voz y el video siempre son altamente sensibles al retraso y tienen prioridades máximas asignadas por defecto, independientemente de este factor.
202. ¿Qué tipo de VPN implica el reenvío de tráfico a través de la red troncal mediante el uso de etiquetas distribuidas entre los enrutadores centrales?
- VPN MPLS
- GRE sobre IPsec
- Interfaz de túnel virtual IPsec
- VPN multipunto dinámica
Una VPN MPLS (Multiprotocol Label Switching) utiliza un mecanismo basado en el intercambio y distribución de etiquetas (labels) entre los routers centrales del proveedor de servicios (core routers). En lugar de analizar las cabeceras IP completas en cada salto de la red troncal, los routers reenvían el tráfico de forma rápida y aislada guiándose únicamente por estas etiquetas, lo que permite segmentar de manera segura las redes de los distintos clientes.
203. ¿Qué tipo de tráfico se describe como el uso de TCP o UDP según la necesidad de recuperación de errores?
- video
- voz
- datos
El tráfico de datos engloba aplicaciones que eligen su protocolo de transporte según la tolerancia a fallos. Si la aplicación no puede permitir pérdidas y requiere recuperación de errores (como páginas web o correo electrónico), utiliza TCP, que retransmite los paquetes perdidos. Si la aplicación prioriza la velocidad sobre la pérdida de algún paquete aislado, utiliza UDP.
Por el contrario, la voz y el video operan casi exclusivamente sobre UDP (o RTP sobre UDP) debido a que son flujos en tiempo real que no pueden esperar el retraso que genera la retransmisión de datos de TCP.
204. Se aplica una ACL entrante en una interfaz de enrutador. La ACL consta de una sola entrada:
access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www .
Si se recibe un paquete con una dirección de origen de 192.168.10.45, una dirección de destino de 10.10.3.27 y un protocolo de 80 en la interfaz, ¿el paquete está permitido o denegado?
- permitido
- denegado
El paquete cumple con todos los criterios de la regla de la ACL:
- Dirección de origen: La IP 192.168.10.45 se encuentra dentro del rango de la subred 192.168.10.0 (definido por la máscara comodín 0.0.0.255).
- Dirección de destino: Coincide con la palabra clave any (cualquier destino), por lo que la IP 10.10.3.27 es aceptada.
- Protocolo y Puerto: El protocolo número 80 (HTTP) corresponde exactamente al servicio web WWW, el cual utiliza TCP como protocolo de transporte (eq www).
Al coincidir todos los parámetros de manera exacta, el paquete es permitido.
205. ¿Qué término describe agregar un valor al encabezado del paquete, lo más cerca posible de la fuente, para que el paquete coincida con una política definida?
- vigilancia
- marcas de tráfico
- detección temprana aleatoria ponderada (WRED)
- modelado del tráfico
- caída de la cola
Las marcas de tráfico (o marcado) consisten en escribir un valor específico en los campos del encabezado de un paquete o trama (como los bits DSCP en Capa 3 o CoS en Capa 2). Al realizar este proceso lo más cerca posible de la fuente (estableciendo un límite de confianza), los dispositivos intermedios de la red pueden identificar rápidamente la clase de tráfico y aplicar de forma eficiente las políticas de Calidad de Servicio (QoS) definidas.
206. ¿Qué tres factores relacionados con el tráfico influirían en la selección de un tipo de enlace WAN en particular? (Elija tres opciones.)
- costo del enlace
- cantidad de tráfico
- distancia entre sitios
- confiabilidad
- necesidades de seguridad
- tipo de tráfico
Los factores relacionados con el tráfico que influyen en la selección de un tipo de enlace WAN en particular incluyen el tipo de tráfico, la cantidad de tráfico, los requisitos de calidad y los requisitos de seguridad. Los requisitos de calidad incluyen garantizar que el tráfico que no puede tolerar retrasos reciba un tratamiento prioritario, así como el tráfico transaccional comercial importante.
207. ¿Qué protocolo es un protocolo de descubrimiento de capa 2 independiente del proveedor que debe configurarse por separado para transmitir y recibir paquetes de información?
- SNMP
- MPLS
- LLDP
- NTP
LLDP es un protocolo estándar abierto de Capa 2 independiente del proveedor (neutral) que permite a los dispositivos anunciar su identidad y capacidades a sus vecinos.
A diferencia de otros protocolos de descubrimiento que se activan de forma global, LLDP requiere configurarse por separado en las interfaces para controlar de manera independiente si la interfaz debe transmitir (lldp transmit) o recibir (lldp receive) los paquetes de información.
208. Un técnico está trabajando en un switch de capa 2 y se da cuenta de que sigue apareciendo un mensaje% CDP-4-DUPLEX_MISMATCH para el puerto G0/5. ¿Qué comando debería emitir el técnico en el switch para iniciar el proceso de solución de problemas?
- show cdp neighbors
- show ip interface brief
- show interface g0/5
- show cdp
209. ¿Qué recurso virtual se instalaría en un servidor de red para proporcionar acceso directo a los recursos de hardware?
- VMware Fusion
- una consola de administración
- una VLAN dedicada
- un hipervisor de tipo 1
Hipervisores de tipo 1, el hipervisor se instala directamente en el servidor o hardware de red. Luego, las instancias de un sistema operativo se instalan en el hipervisor, como se muestra en la figura. Los hipervisores de tipo 1 tienen acceso directo a los recursos de hardware. Por lo tanto, son más eficientes que las arquitecturas alojadas. Los hipervisores de tipo 1 mejoran la escalabilidad, el rendimiento y la solidez.
210. Consulte la ilustración. Un administrador de red ha configurado una ACL estándar para permitir que solo las dos redes LAN conectadas a R1 accedan a la red que se conecta a la interfaz R2 G0/1. Al seguir las mejores prácticas, ¿en qué ubicación se debe aplicar la ACL estándar?
- R2 G0/1 entrante
- R2 S0/0/1 saliente
- R1 S0/0/0 saliente
- R2 G0/1 saliente
- R2 G0/0 saliente
Siguiendo las mejores prácticas de Cisco, las ACL estándar filtran el tráfico basándose únicamente en la dirección IP de origen, por lo que deben colocarse lo más cerca posible del destino.
Como el objetivo es permitir el acceso de forma exclusiva a la red conectada a la interfaz G0/1 de R2, la ACL debe aplicarse en esa misma interfaz en dirección de salida (saliente o outbound). Si se colocara más cerca del origen (en R1), se bloquearía involuntariamente el acceso de esas LANs hacia cualquier otro destino de la red.
211. ¿Qué base de datos OSPF es idéntica en todos los enrutadores convergentes dentro de la misma área OSPF?
- vecino
- reenvío
- estado de enlace
- adyacencia
Independientemente de en qué área OSPF resida un router, la base de datos de adyacencia, la tabla de enrutamiento y la base de datos de reenvío son únicas para cada enrutador. La base de datos de estado de enlace enumera información sobre todos los demás enrutadores dentro de un área y es idéntica en todos los enrutadores OSPF que participan en esa área.
212. ¿Cuáles son dos características a considerar al crear una ACL con nombre? (Elija dos opciones.)
- Utilice caracteres alfanuméricos si es necesario.
- Utilice caracteres especiales, como! o * para mostrar la importancia de la LCA.
- Modifique la ACL con un editor de texto.
- Sea descriptivo al crear el nombre de ACL.
- Use un espacio para facilitar la lectura para separar el nombre de la descripción
A continuación, se resumen las reglas a seguir para las LCA con nombre:
- Asigne un nombre para identificar el propósito de la ACL.
- Los nombres pueden contener caracteres alfanuméricos.
- Los nombres no pueden contener espacios ni puntuación.
- Se sugiere que el nombre se escriba en MAYÚSCULAS.
- Las entradas se pueden agregar o eliminar dentro de la ACL.
213. Una coincidir el método de la API RESTful con la función CRUD.
214. Anycompany ha decidido reducir su huella ambiental reduciendo los costos de energía, mudándose a una instalación más pequeña y promoviendo el teletrabajo. ¿Qué servicio o tecnología respaldaría este requisito?
- centro de datos
- virtualización
- servicios en la nube
- servidores dedicados
Los servicios en la nube permiten a la empresa externalizar su infraestructura tecnológica. Esto elimina la necesidad de mantener centros de datos locales de alto consumo energético, facilita el trabajo remoto al proporcionar acceso a los recursos desde cualquier ubicación a través de Internet y permite escalar la operación a instalaciones físicas más pequeñas, cumpliendo así con los objetivos de reducir la huella ambiental y los costos operativos.
215. ¿Qué técnica de QoS suaviza la tasa de salida de paquetes?
- vigilancia
- dar forma
- detección temprana aleatoria ponderada
- Servicios integrados (IntServ)
- marcado
La técnica de dar forma (traffic shaping) utiliza búferes de memoria para almacenar el tráfico que excede la tasa configurada y luego lo libera de manera controlada. Esto suaviza el flujo de salida, transformando las ráfagas de paquetes en una transmisión más constante y uniforme, evitando así la congestión en los saltos siguientes de la red.
216. Un técnico de red está configurando SNMPv3 y ha establecido un nivel de seguridad de authPriv de SNMPv3. ¿Cuál es una característica de usar este nivel?
- autentica un paquete utilizando solo el algoritmo SHA
- autentica un paquete mediante una cadena que coincide con el nombre de usuario o la cadena de la comunidad
- autentica un paquete mediante el método HMAC con MD5 o el método SHA
- autentica un paquete utilizando los algoritmos HMAC MD5 o HMAC SHA y un nombre de usuario
El nivel de seguridad authPriv en SNMPv3 es el más elevado, ya que proporciona tanto autenticación como privacidad (cifrado). Para la parte de autenticación, el protocolo verifica la identidad del remitente utilizando algoritmos hash de tipo HMAC-MD5 o HMAC-SHA, además de cifrar los datos del paquete para garantizar la confidencialidad.
217. Un estudiante, haciendo un semestre de verano de estudio en el extranjero, ha tomado cientos de fotos en un teléfono inteligente y quiere respaldarlas en caso de pérdida. ¿Qué servicio o tecnología soportaría este requisito?
- Cisco ACI
- Servidores dedicados
- Servicios en la nube
- Redes definidas por software
Los servicios en la nube (como Google Photos, iCloud o OneDrive) permiten almacenar, sincronizar y respaldar automáticamente archivos multimedia desde dispositivos móviles a servidores remotos. Esto garantiza que las fotos estén disponibles de forma segura y accesible desde cualquier lugar a través de Internet, protegiendo al estudiante ante la posible pérdida o daño de su teléfono inteligente.
218. ¿Cuáles de las siguientes son dos ventajas de ampliar la conectividad de la capa de acceso a los usuarios a través de un medio inalámbrico? (Elija dos opciones).
- Reducción de costos
- Mayor flexibilidad
- Mayor disponibilidad de ancho de banda
- Menor cantidad de puntos de error críticos
- Mayor cantidad de opciones de administración de red
La conectividad inalámbrica en la capa de acceso proporciona mayor flexibilidad, menores costos y la capacidad de crecer y adaptarse a los requisitos comerciales en constante cambio. El uso de routers y puntos de acceso inalámbricos puede proporcionar un incremento en la cantidad de puntos de error centrales. Los routers y los puntos de acceso inalámbricos no aumentan la disponibilidad del ancho de banda.
219. Una oficina pequeña utiliza un router inalámbrico para conectarse con un cable módem para tener acceso a Internet. El administrador de la red recibe una llamada en la que le informan que una de las computadoras de la oficina no puede conectarse con sitios Web externos. El primer paso para la solución de problemas que ejecuta el administrador de red es emitir un ping al router inalámbrico desde la computadora de la oficina. ¿Qué técnica de solución de problemas representa?
- Descendente
- Ascendente
- Sustitución
- Divide y vencerás
Un ping al enrutador inalámbrico puede verificar la conectividad de capa 3. Como método de resolución de problemas, este es el enfoque de «dividir y vencer».
wpDiscuz