CCNA 2 v7.0 SRWE Módulos 10 al 13 Preguntas y Respuestas
1. Un administrador de red está trabajando para mejorar el rendimiento de la WLAN en un router inalámbrico de doble banda. ¿Cuál es una forma sencilla de lograr un resultado de división del tráfico?
Verifique y mantenga actualizado el firmware del router inalámbrico.
Requiere que todos los dispositivos inalámbricos utilicen el estándar 802.11n.
Agregue un extensor de rango Wi-Fi a la WLAN y configure el AP y el extensor de rango para servir a diferentes bandas.
Asegúrese de que se utilicen SSID diferentes para las bandas de 2,4 GHz y 5 GHz.*
Explicación: De forma predeterminada, los routers de doble banda y los AP utilizan el mismo nombre de red tanto en la banda de 2,4 GHz como en la de 5 GHz. La forma más sencilla de segmentar el tráfico es cambiar el nombre de una de las redes inalámbricas.
2. ¿Qué dos estándares inalámbricos IEEE 802.11 operan solo en el rango de 5 GHz? (Elija dos.)
802.11b
802.11n
802.11g
802.11ª*
802.11ad
802.11ac*
Explicación: Los estándares 802.11a y 802.11ac operan solo en el rango de 5 GHZ. Los estándares 802.11b y 802.11g funcionan solo en el rango de 2,4 GHz. El estándar 802.11n opera en los rangos de 2,4 y 5 GHz. El estándar 802.11ad opera en los rangos de 2.4, 5 y 60 GHz.
3. ¿Qué componente de AAA permite a un administrador rastrear a las personas que acceden a los recursos de la red y cualquier cambio que se realice en esos recursos?
accesibilidad
contabilidad*
autenticación
autorización
Explicación: Uno de los componentes de AAA es la contabilidad. Después de que un usuario se autentica a través de AAA, los servidores AAA mantienen un registro detallado de las acciones exactas que realiza el usuario autenticado en el dispositivo.
4. Como parte de la nueva política de seguridad, todos los switchs de la red están configurados para aprender automáticamente las direcciones MAC de cada puerto. Todas las configuraciones en ejecución se guardan al inicio y al cierre de cada día hábil. Una tormenta eléctrica intensa provoca un apagón prolongado varias horas después del cierre de operaciones. Cuando los switchs vuelven a estar en línea, se conservan las direcciones MAC aprendidas dinámicamente. ¿Qué configuración de seguridad de puerto habilitó esto?
Direcciones MAC seguras automáticas.
Direcciones MAC seguras estáticas.
Direcciones MAC seguras pegajosas.*
Direcciones MAC seguras dinámicas.
Explicación: Con el direccionamiento MAC seguro y fijo, las direcciones MAC se pueden aprender dinámicamente o configurarse manualmente y luego se almacenan en la tabla de direcciones y se agregan al archivo de configuración en ejecución. Por el contrario, el direccionamiento MAC seguro dinámico proporciona un direccionamiento MAC aprendido dinámicamente que se almacena solo en la tabla de direcciones.
5. Un administrador de red está configurando una conexión de servidor RADIUS en un WLC de las Cisco 3500 Series. La configuración requiere una contraseña secreta compartida. ¿Cuál es el propósito de la contraseña secreta compartida?
Lo utiliza el servidor RADIUS para autenticar a los usuarios de WLAN.
Se utiliza para autenticar y cifrar los datos del usuario en la WLAN.
Se utiliza para cifrar los mensajes entre el WLC y el servidor RADIUS.*
Permite a los usuarios autenticarse y acceder a la WLAN.
Explicación: El protocolo RADIUS utiliza funciones de seguridad para proteger las comunicaciones entre el servidor RADIUS y los clientes. Un secreto compartido es la contraseña utilizada entre el WLC y el servidor RADIUS. No es para usuarios finales.
6. ¿Verdadero o falso?
En el estándar 802.1X, el cliente que intenta acceder a la red se denomina suplicante.
Cierto*
Falso
7. Un especialista en seguridad de TI habilita la seguridad de puertos en un puerto de switch de un switch Cisco. ¿Cuál es el modo de infracción predeterminado en uso hasta que el puerto del switch se configura para utilizar un modo de infracción diferente?
restringir
proteger
apagado*
deshabilitado
Explicación: Si no se especifica ningún modo de violación cuando la seguridad del puerto está habilitada en un puerto de switch, el modo de violación de seguridad se establece de manera predeterminada en apagado.
8. ¿Qué componente, implementación o protocolo de control de acceso recopila e informa datos de uso?
802.1x
autenticación
contabilidad*
autorización
9. Un técnico está configurando el canal en un router inalámbrico en 1, 6 u 11. ¿Cuál es el propósito de ajustar el canal?
Para deshabilitar la transmisión del SSID
Para habilitar diferentes estándares 802.11
Para proporcionar modos de seguridad más fuertes
Para evitar interferencias de dispositivos inalámbricos cercanos*
Explicación: Los canales 1, 6 y 11 están seleccionados porque están separados por 5 canales. minimizando así la interferencia con los canales adyacentes. La frecuencia de un canal puede interferir con los canales a ambos lados de la frecuencia principal. Todos los dispositivos inalámbricos deben usarse en canales no adyacentes.
10. ¿Qué representa una mejor práctica en relación con los protocolos de descubrimiento como CDP y LLDP en dispositivos de red?
Utilice LLDP de estándar abierto en lugar de CDP.
Utilice la configuración predeterminada del router para CDP y LLDP.
Habilite CDP en dispositivos periféricos y habilite LLDP en dispositivos interiores.
Deshabilite ambos protocolos en todas las interfaces donde no sean necesarios.*
Explicación: Ambos protocolos de descubrimiento pueden proporcionar a los piratas informáticos información confidencial de la red. No deben habilitarse en dispositivos de borde y deben deshabilitarse globalmente o por interfaz si no es necesario. CDP está habilitado de forma predeterminada.
11. Consulte la exposición.
CCNA 2 v7.0 SRWE Módulos 10 al 13 Preguntas y Respuestas p11
¿Qué se puede determinar sobre la seguridad de los puertos a partir de la información que se muestra?
El puerto se ha cerrado.
El puerto tiene la cantidad máxima de direcciones MAC que admite un puerto de switch de capa 2 que está configurado para la seguridad del puerto.
El modo de violación de puerto es el predeterminado para cualquier puerto que tenga activada la seguridad de puerto.*
El puerto tiene dos dispositivos conectados.
Explicación: La línea Port Security simplemente muestra un estado Enabled si se ingresó el comando switchport port-security (sin opciones) para un puerto de switch en particular. Si se ha producido una violación de la seguridad del puerto, aparece un mensaje de error diferente, como secure-shutdown. El número máximo de direcciones MAC admitidas es 50. La línea Maximum MAC Addresses se usa para mostrar cuántas direcciones MAC se pueden aprender (2 en este caso). La línea Sticky MAC Addresses muestra que solo un dispositivo ha sido conectado y aprendido automáticamente por el switch. Esta configuración podría usarse cuando un puerto es compartido por dos empleados que comparten cubículos y que traen computadoras portátiles separadas.
12. ¿Cuáles son las tres técnicas para mitigar los ataques de VLAN?(Elija tres.)
Por favor, selecciona 3 respuestas correctas
Habilite el enlace troncal manualmente.*
Deshabilitar DTP.*
Utilice VLAN privadas.
Habilite la protección de BPDU.
Configure la VLAN nativa en una VLAN no utilizada.*
Habilite Protección de origen.
Explicación: Se puede mitigar un ataque de VLAN deshabilitando DTP, configurando manualmente los puertos en modo troncal y configurando la VLAN nativa de los enlaces troncales a las VLAN que no están en uso.
13. ¿Qué plan de mitigación es mejor para frustrar un ataque DoS que está creando un desbordamiento de la tabla de direcciones MAC?
Por favor, selecciona 2 respuestas correctas
Deshabilitar DTP.
Deshabilitar STP.*
Habilitar la seguridad del puerto.*
Colocar los puertos no utilizados en una VLAN no utilizada.
14. El manual de la empresa establece que los empleados no pueden tener hornos microondas en sus oficinas. En cambio, todos los empleados deben usar los hornos de microondas ubicados en la cafetería de los empleados. ¿Qué riesgo de seguridad inalámbrica está tratando de evitar la empresa?
Puntos de acceso no autorizados
Dispositivos configurados incorrectamente
Interferencia accidental*
Interceptación de datos
Explicación: Los ataques de denegación de servicio pueden ser el resultado de dispositivos configurados incorrectamente que pueden desactivar la WLAN. La interferencia accidental de dispositivos como hornos microondas y teléfonos inalámbricos puede afectar tanto la seguridad como el rendimiento de una WLAN. Los ataques man-in-the-middle pueden permitir que un atacante intercepte datos. Los puntos de acceso no autorizados pueden permitir que usuarios no autorizados accedan a la red inalámbrica.
15. Un administrador de red está configurando la seguridad del puerto en un switch Cisco. La política de seguridad de la empresa especifica que cuando ocurre una infracción, los paquetes con direcciones de origen desconocidas deben descartarse y no deben enviarse notificaciones. ¿Qué modo de violación se debe configurar en las interfaces?
apagado
restringir
proteger*
off
Explicación: En un switch Cisco, se puede configurar una interfaz para uno de los tres modos de violación, especificando la acción que se debe tomar si ocurre una violación: • Proteger: Los paquetes con direcciones de origen desconocidas se eliminan hasta que se elimina una cantidad suficiente de direcciones MAC seguras. o aumenta el número de direcciones máximas permitidas. No hay ninguna notificación de que ha ocurrido una violación de seguridad. • Restringir: Los paquetes con direcciones de origen desconocidas se eliminan hasta que se elimina una cantidad suficiente de direcciones MAC seguras o se aumenta la cantidad máxima de direcciones permitidas. En este modo, hay una notificación de que se ha producido una infracción de seguridad. • Apagado: La interfaz se desactiva inmediatamente por error y el LED del puerto se apaga.
16. ¿Qué tipo de trama de administración puede emitir regularmente un AP?
autenticación
solicitud de sondeo
beacon*
respuesta de sondeo
Explicación: Las beacon son la única trama de administración que un AP puede emitir con regularidad. Las tramas de sondeo, autenticación y asociación se utilizan solo durante el proceso de asociación (o reasociación).
17. ¿Cuál es una ventaja del encubrimiento SSID?
Los SSID son muy difíciles de descubrir porque los AP no los transmiten.
Es la mejor forma de proteger una red inalámbrica.
Proporciona acceso gratuito a Internet en lugares públicos donde conocer el SSID no es un problema.
Los clientes deberán identificar manualmente el SSID para conectarse a la red.*
Explicación: El encubrimiento de SSID es una característica de seguridad débil que realizan los AP y algunos routers inalámbricos al permitir que se deshabilite la trama de baliza SSID. Aunque los clientes deben identificar manualmente el SSID para conectarse a la red, el SSID se puede descubrir fácilmente. La mejor forma de proteger una red inalámbrica es utilizar sistemas de autenticación y cifrado. El encubrimiento de SSID no proporciona acceso gratuito a Internet en lugares públicos, pero en esa situación se podría utilizar una autenticación de sistema abierto.
18. ¿Qué tres parámetros deberían cambiarse si se implementan las mejores prácticas para un AP inalámbrico doméstico?(Elija tres.)
Contraseña del sistema operativo del cliente inalámbrico
Frecuencia de antena
Contraseña AP*
Tiempo de baliza inalámbrica
SSID*
Contraseña de red inalámbrica*
Explicación: Tan pronto como se saca un AP de la caja, se deben configurar la contraseña predeterminada del dispositivo, el SSID y los parámetros de seguridad (contraseña de la red inalámbrica). La frecuencia de una antena inalámbrica se puede ajustar, pero no es necesario. El tiempo de la baliza normalmente no está configurado. La contraseña del sistema operativo del cliente inalámbrico no se ve afectada por la configuración de una red inalámbrica doméstica.
19. ¿Qué componente, implementación o protocolo de control de acceso se basa en nombres de usuario y contraseñas?
autorización
contabilidad
autenticación*
802.1x
20. ¿Qué tipo de antena inalámbrica es más adecuada para proporcionar cobertura en grandes espacios abiertos, como pasillos o grandes salas de conferencias?
Yagi
Direccional
Plato
Omnidireccional*
21. ¿Qué componente, implementación o protocolo de control de acceso indica el éxito o el fracaso de un servicio solicitado por el cliente con un mensaje PASS o FAIL?
contabilidad
802.1x
autenticación
autorización*
22. ¿Qué tipo de red inalámbrica usa comúnmente dispositivos Bluetooth o ZigBee?
Red de área personal inalámbrica*
Red inalámbrica de área metropolitana
Red de área amplia inalámbrica
Red inalámbrica local
23. ¿Qué paso se requiere antes de crear una nueva WLAN en un WLC de la serie Cisco 3500?
Construya o tenga un servidor SNMP disponible.
Cree una nueva interfaz VLAN.*
Crea un nuevo SSID.
Cree o tenga disponible un servidor RADIUS.
Explicación: Cada nueva WLAN configurada en un WLC de la serie Cisco 3500 necesita su propia interfaz VLAN. Por lo tanto, se requiere que se cree primero una nueva interfaz VLAN antes de que se pueda crear una nueva WLAN.
24. ¿Qué tipo de red inalámbrica utiliza a menudo dispositivos montados en edificios?
Red de área personal inalámbrica
Red de área amplia inalámbrica
Red inalámbrica de área metropolitana*
Red inalámbrica local
25. Un técnico está solucionando problemas de una WLAN lenta que consta de dispositivos 802.11b y 802.11g. Se implementó un nuevo router 802.11n/ac de doble banda en la red para reemplazar el antiguo router 802.11g. ¿Qué puede hacer el técnico para solucionar la baja velocidad inalámbrica?
Configure los dispositivos para usar un canal diferente.
Cambie el SSID.
Actualice el firmware en el nuevo router.
Divida el tráfico inalámbrico entre la banda 802.11n de 2,4 GHz y la banda de 5 GHz.*
Explicación: La división del tráfico inalámbrico entre la banda 802.11n de 2,4 GHz y la banda de 5 GHz permitirá que 802.11n utilice las dos bandas como dos redes inalámbricas independientes para ayudar a gestionar el tráfico, mejorando así el rendimiento inalámbrico.
26. ¿Qué es un modo de seguridad inalámbrica que requiere un servidor RADIUS para autenticar a los usuarios inalámbricos?
Empresarial*
clave compartida
WEP
personal
Explicación: WPA y WPA2 vienen en dos tipos: personal y empresarial. Personal se utiliza en redes domésticas y de oficinas pequeñas. La clave compartida permite tres técnicas de autenticación diferentes: (1) WEP, (2) WPA y (3) 802.11i / WPA2. WEP es un método de encriptación.
27. ¿Qué tipo de red inalámbrica se basa en el estándar 802.11 y una frecuencia de radio de 2.4 GHz o 5 GHz?
Red de área amplia inalámbrica
Red inalámbrica de área metropolitana
Red inalámbrica local*
Red de área personal inalámbrica
28. ¿Cuál es la función que proporciona el protocolo CAPWAP en una red inalámbrica corporativa?
CAPWAP proporciona la encapsulación y el reenvío del tráfico de usuarios inalámbricos entre un punto de acceso y un controlador de LAN inalámbrica.*
CAPWAP crea un túnel en los puertos del Protocolo de control de transmisión (TCP) para permitir que un WLC configure un punto de acceso autónomo.
CAPWAP proporciona el cifrado del tráfico de usuarios inalámbricos entre un punto de acceso y un cliente inalámbrico.
CAPWAP proporciona conectividad entre un punto de acceso que usa direcciones IPv6 y un cliente inalámbrico que usa direcciones IPv4.
Explicación: CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y WLAN. CAPWAP también es responsable del encapsulado y reenvío del tráfico de clientes WLAN entre un AP y un WLC.
29. ¿Qué componente de control de acceso, implementación o protocolo audita qué acciones de los usuarios se realizan en la red?
802.1x
Contabilización*
autenticación
autorización
Explicación: La tabla final en el marco AAA es la contabilización, que mide los recursos que consume un usuario durante el acceso. Esto puede incluir la cantidad de tiempo del sistema o la cantidad de datos que un usuario ha enviado y / o recibido durante una sesión. La contabilidad se lleva a cabo mediante el registro de estadísticas de sesión e información de uso y se utiliza para actividades de control de autorización, facturación, análisis de tendencias, utilización de recursos y planificación de capacidad.
30. ¿Qué componente de control de acceso, implementación o protocolo controla a quién se le permite acceder a una red?
contabilidad
802.1x
Autenticación*
autorización
31. En una página Resumen de WLC de Cisco 3504 (Advanced> Summary), ¿qué pestaña permite que un administrador de red acceda y configure una WLAN para una opción de seguridad específica como WPA2?
Inalámbrica
WLANs*
Administración
Seguridad
32. ¿Qué tipo de red inalámbrica es adecuada para su uso en el hogar u oficina?
Red de área amplia inalámbrica
Red inalámbrica de área metropolitana
Red de área personal inalámbrica
Red inalámbrica local*
33. ¿Cuáles son los dos métodos que utiliza una NIC inalámbrica para descubrir un AP? (Elija dos.)
Por favor, selecciona 2 respuestas correctas
Transmitir una solicitud de sondeo*
Iniciando un acuerdo de tres vías
Enviando una solicitud ARP
Entregar un cuadro de transmisión
Recibir una trama de beacon de difusión*
Explicación: Un dispositivo inalámbrico puede utilizar dos métodos para descubrir y registrarse con un punto de acceso: modo pasivo y modo activo. En modo pasivo, el AP envía una trama de beacon de transmisión que contiene el SSID y otras configuraciones inalámbricas. En el modo activo, el dispositivo inalámbrico debe configurarse manualmente para el SSID y luego el dispositivo transmite una solicitud de sondeo.
34. ¿Qué dispositivo se considera un suplicante durante el proceso de autenticación 802.1X?
El router que sirve como puerta de enlace predeterminada.
El cliente que solicita autenticación.*
El servidor de autenticación que realiza la autenticación del cliente.
El switch que controla el acceso a la red.
Explicación: Los dispositivos involucrados en el proceso de autenticación 802.1X son los siguientes: • El suplicante, que es el cliente que solicita acceso a la red. • El autenticador, que es el switch al que se conecta el cliente y que en realidad controla el acceso a la red física. • El servidor de autenticación, que realiza la autenticación real
35. En un tablero de instrumentos Cisco 3504 WLC, ¿qué opción proporciona acceso al menú completo de funciones?
Avanzado*
Puntos de acceso
Rogues
Resumen de red
Explicación: El tablero de instrumentos de Cisco 3504 WLC se muestra cuando un usuario inicia sesión en el WLC. Proporciona algunas configuraciones y menús básicos a los que los usuarios pueden acceder rápidamente para implementar una variedad de configuraciones comunes. Al hacer clic en el botón Advanced el usuario accederá a la página Summary avanzado y accederá a todas las funciones del WLC.
36. ¿Qué afirmación describe el comportamiento de un switch cuando la tabla de direcciones MAC está llena?
Trata las tramas como unicast desconocidas e inunda todas las tramas entrantes a todos los puertos dentro del dominio de colisión.
Trata las tramas como unicast desconocidas e inunda todas las tramas entrantes a todos los puertos del switch.
Trata las tramas como unicast desconocidas e inunda todas las tramas entrantes a todos los puertos en varios switchs.
Trata las tramas como unicast desconocidas e inunda todas las tramas entrantes a todos los puertos dentro de la VLAN local.*
Explicación: Cuando la tabla de direcciones MAC está llena, el switch trata la trama como unicast desconocida y comienza a inundar todo el tráfico entrante a todos los puertos solo dentro de la VLAN local.
37. Abra la Actividad PT. Realice las tareas en las instrucciones de la actividad y luego responda la pregunta.
CCNA 2 v7.0 SRWE Módulos 10 al 13 Preguntas y Respuestas p37
¿Qué evento tendrá lugar si hay una violación de seguridad del puerto en la interfaz Fa0 / 1 del switch S1?
Se envía una notificación.
La interfaz entrará en estado de desactivación por error.
Se registra un mensaje de syslog.
Los paquetes con direcciones de origen desconocidas se descartarán.*
Explicación: El modo de violación se puede ver emitiendo el comando show port-security interface . La interfaz FastEthernet 0/1 está configurada con el modo de violación protect. Si hay una violación, la interfaz FastEthernet 0/1 descartará los paquetes con direcciones MAC desconocidas.
38. ¿Qué tipo de red inalámbrica utiliza transmisores para cubrir una red de tamaño mediano, generalmente hasta 300 pies (91,4 metros)?
SAN
PAN
MAN
LAN inalámbricas (WLAN)*
39. Un técnico está a punto de instalar y configurar una red inalámbrica en una pequeña sucursal. ¿Cuál es la primera medida de seguridad que el técnico debe aplicar inmediatamente después de encender el router inalámbrico?
Desactive la transmisión SSID de la red inalámbrica.
Habilite el filtrado de direcciones MAC en el router inalámbrico.
Configure el cifrado en el router inalámbrico y los dispositivos inalámbricos conectados.
Cambie el nombre de usuario y la contraseña predeterminados del router inalámbrico.*
Explicación: La primera acción que debe realizar un técnico para asegurar una nueva red inalámbrica es cambiar el nombre de usuario y la contraseña predeterminados del router inalámbrico. La siguiente acción suele ser configurar el cifrado. Luego, una vez que el grupo inicial de hosts inalámbricos se haya conectado a la red, se habilitará el filtrado de direcciones MAC y se deshabilitará la transmisión SSID. Esto evitará que nuevos hosts no autorizados encuentren y se conecten a la red inalámbrica.
40. ¿Qué componente de control de acceso, implementación o protocolo registra los comandos EXEC y de configuración realizados por un usuario?
Contabilidad*
autenticación
802.1x
autorización
41. Consulte la exposición.
CCNA 2 v7.0 SRWE Módulos 10 al 13 Preguntas y Respuestas p41
La seguridad del puerto se ha configurado en la interfaz Fa 0/12 del switch S1. ¿Qué acción ocurrirá cuando la PC1 se conecte al switch S1 con la configuración aplicada?
Las tramas de PC1 se eliminarán y se creará un mensaje de registro.
Las tramas de PC1 se eliminarán y no habrá ningún registro de la infracción.
Las tramas de la PC1 se reenviarán a su destino, pero no se creará una entrada de registro.
Las tramas de la PC1 harán que la interfaz se apague inmediatamente y se realizará una entrada de registro.*
Las tramas de la PC1 se reenviarán ya que falta el comando de violación de seguridad del puerto del puerto del switch.
Las tramas de la PC1 se reenviarán a su destino y se creará una entrada de registro.
Explicación: Se ingresó la configuración manual de la única dirección MAC permitida para el puerto fa0/12. La PC1 tiene una dirección MAC diferente y cuando se conecta hará que el puerto se apague (la acción predeterminada), se cree un mensaje de registro automáticamente y se incremente el contador de violaciones. Se recomienda la acción predeterminada de apagado porque la opción de restricción puede fallar si hay un ataque en curso.
42. ¿Qué componente, implementación o protocolo de control de acceso se basa en los roles de dispositivo de solicitante, autenticador y servidor de autenticación?
autenticación
contabilidad
802.1x*
autorización
43. ¿Cuál es el resultado de un ataque de inanición DHCP?
Los clientes legítimos no pueden arrendar direcciones IP.*
El atacante proporciona información incorrecta sobre el DNS y la puerta de enlace predeterminada a los clientes.
Los clientes reciben asignaciones de direcciones IP de un servidor DHCP no autorizado.
Las direcciones IP asignadas a clientes legítimos son secuestradas.
Explicación: Los ataques de inanición de DCHP son lanzados por un atacante con la intención de crear un DoS para los clientes de DHCP. Para lograr este objetivo, el atacante usa una herramienta que envía muchos mensajes DHCPDISCOVER para ceder todo el grupo de direcciones IP disponibles, negándolas a los hosts legítimos.
44. ¿Qué función o configuración de un switch lo hace vulnerable a los ataques de etiquetado doble de VLAN?
Modo dúplex mixto habilitado para todos los puertos de forma predeterminada.
La función de puerto de enlace troncal automático habilitada para todos los puertos de forma predeterminada.
La VLAN nativa del puerto troncal es la misma que la VLAN de un usuario.*
El tamaño limitado del espacio de memoria direccionable por contenido.
Explicación: Un ataque de salto de VLAN de etiquetado doble (o encapsulado doble) aprovecha la forma en que funciona el hardware en la mayoría de los switchs. La mayoría de los switchs realizan solo un nivel de desencapsulación 802.1Q, lo que permite a un atacante incrustar una etiqueta 802.1Q oculta dentro de la trama. Esta etiqueta permite que la trama se reenvíe a una VLAN que la etiqueta 802.1Q original no especificó. Una característica importante del ataque de salto de VLAN de doble encapsulado es que funciona incluso si los puertos troncales están deshabilitados, porque un host normalmente envía una trama en un segmento que no es un enlace troncal. Este tipo de ataque es unidireccional y funciona solo cuando el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto troncal.
45. Mientras asisten a una conferencia, los participantes utilizan computadoras portátiles para conectarse a la red. Cuando un orador invitado intenta conectarse a la red, la computadora portátil no muestra ninguna red inalámbrica disponible. ¿El punto de acceso debe estar funcionando en qué modo?
abierto
pasivo
mezclado
activo*
Explicación: Activo es un modo que se utiliza para configurar un punto de acceso de modo que los clientes deben conocer el SSID para conectarse al punto de acceso. Los puntos de acceso y los routers inalámbricos pueden funcionar en un modo mixto, lo que significa que se admiten varios estándares inalámbricos. Abierto es un modo de autenticación para un punto de acceso que no tiene ningún impacto en la lista de redes inalámbricas disponibles para un cliente. Cuando un punto de acceso se configura en modo pasivo, el SSID se transmite de modo que el nombre de la red inalámbrica aparecerá en la lista de redes disponibles para los clientes.
46. Un ingeniero de redes está solucionando problemas de una red inalámbrica recién implementada que utiliza los últimos estándares 802.11. Cuando los usuarios acceden a servicios de gran ancho de banda, como la transmisión de vídeo, el rendimiento de la red inalámbrica es deficiente. Para mejorar el rendimiento, el ingeniero de red decide configurar un SSID de banda de frecuencia de 5 Ghz y capacitar a los usuarios para que usen ese SSID para servicios multimedia de transmisión. ¿Por qué esta solución podría mejorar el rendimiento de la red inalámbrica para ese tipo de servicio?
Exigir a los usuarios que cambien a la banda de 5 GHz para la transmisión de medios es un inconveniente y hará que menos usuarios accedan a estos servicios.
Los únicos usuarios que pueden cambiar a la banda de 5 GHz serán aquellos con las últimas NIC inalámbricas, lo que reducirá el uso.
La banda de 5 GHz tiene más canales y está menos concurrida que la banda de 2,4 GHz, lo que la hace más adecuada para la transmisión de multimedia.*
La banda de 5 GHz tiene un mayor alcance y, por lo tanto, es probable que esté libre de interferencias.
Explicación: El alcance inalámbrico está determinado por la antena del punto de acceso y la potencia de salida, no por la banda de frecuencia que se utiliza. En este escenario se afirma que todos los usuarios tienen NIC inalámbricas que cumplen con el último estándar, por lo que todos pueden acceder a la banda de 5 GHz. Aunque a algunos usuarios les puede resultar inconveniente cambiar a la banda de 5 Ghz para acceder a los servicios de transmisión, es la mayor cantidad de canales, no solo la menor cantidad de usuarios, lo que mejorará el rendimiento de la red.
47. ¿Qué topología de red inalámbrica utilizarían los ingenieros de redes para proporcionar una red inalámbrica para todo un edificio universitario?
hotspot
modo mezclado
ad hoc
infraestructura*
48. ¿Qué tipo de red inalámbrica es adecuada para proporcionar acceso inalámbrico a una ciudad o distrito?
Red de área personal inalámbrica
Red de área amplia inalámbrica
Red inalámbrica local
Red inalámbrica de área metropolitana*
49. ¿Qué servicio se puede utilizar en un router inalámbrico para priorizar el tráfico de red entre diferentes tipos de aplicaciones, de modo que los datos de voz y video tengan prioridad sobre el correo electrónico y los datos web?
DNS
DHCP
QoS*
NAT
Explicación: Muchos routers inalámbricos tienen una opción para configurar la calidad de servicio (QoS). Al configurar QoS, ciertos tipos de tráfico urgente, como voz y video, tienen prioridad sobre el tráfico que no es tan urgente, como el correo electrónico y la navegación web.
50. ¿Qué protocolo se debe utilizar para mitigar la vulnerabilidad de usar Telnet para administrar dispositivos de red de forma remota?
SCP
SNMP
SSH*
TFTP
Explicación: Telnet utiliza texto sin formato para comunicarse en una red. El nombre de usuario y la contraseña se pueden capturar si se intercepta la transmisión de datos. SSH cifra las comunicaciones de datos entre dos dispositivos de red. TFTP y SCP se utilizan para la transferencia de archivos a través de la red. SNMP se utiliza en soluciones de gestión de redes.
51. ¿Qué tipo de red inalámbrica utiliza transmisores para proporcionar cobertura en un área geográfica extensa?
Red de área personal inalámbrica
Red inalámbrica de área metropolitana
Red inalámbrica local
Red de área amplia inalámbrica*
52. Un administrador de red está configurando DAI en un switch con el comando ip arp inspección validate src-mac. ¿Cuál es el propósito de este comando de configuración?
Comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo de ARP.*
Comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo de ARP.
Comprueba la dirección MAC de origen en el encabezado de Ethernet con la tabla de direcciones MAC.
Comprueba la dirección MAC de origen en el encabezado de Ethernet con las ACL ARP configuradas por el usuario.
Explicación: DAI se puede configurar para verificar las direcciones MAC e IP de origen o de destino: • MAC de destino: Compara la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo de ARP. • MAC de origen: Compara la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo de ARP. • Dirección IP: Comprueba el cuerpo de ARP en busca de direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones IP de multidifusión.
53. ¿Qué protocolo se puede utilizar para monitorear la red?
DHCP
AAA
RADIUS
SNMP*
Explicación: El Protocolo simple de administración de redes (SNMP) se usa para monitorear la red.
54. ¿Qué dos comandos se pueden usar para habilitar la protección BPDU en un switch? (Elija dos.)
Por favor, selecciona 2 respuestas correctas
S1(config)# spanning-tree bpduguard default
S1(config-if)# spanning-tree portfast bpduguard
S1(config-if)# spanning-tree bpduguard enable*
S1(config)# spanning-tree portfast bpduguard default*
S1(config-if)# enable spanning-tree bpduguard
Explicación: BPDU guard se puede habilitar en todos los puertos habilitados para PortFast mediante el comando de configuración global spanning-tree portfast bpduguard default. Alternativamente, la protección de BPDU se puede habilitar en un puerto habilitado para PortFast mediante el uso del comando de configuración de interfaz spanning-tree bpduguard enable.
55. ¿Qué característica de un switch lo hace vulnerable a los ataques de salto de VLAN?
Soporte de ancho de banda de puerto mixto habilitado para todos los puertos de forma predeterminada.
El tamaño limitado del espacio de memoria direccionable por contenido.
La función de puerto de enlace troncal automático habilitada para todos los puertos de forma predeterminada.*
El modo dúplex mixto habilitado para todos los puertos de forma predeterminada.
Explicación: Un ataque de salto de VLAN permite que el tráfico de una VLAN sea visto por otra VLAN sin enrutamiento. En un ataque de salto de VLAN básico, el atacante aprovecha la función de puerto de enlace troncal automático habilitada de forma predeterminada en la mayoría de los puertos de switch.
56. ¿Qué componente de AAA se utiliza para determinar a qué recursos puede acceder un usuario y qué operaciones puede realizar el usuario?
revisión de cuentas
autorización*
contabilidad
autenticacion
Explicación: Uno de los componentes de AAA es la autorización. Después de que un usuario se autentica a través de AAA, los servicios de autorización determinan a qué recursos puede acceder el usuario y qué operaciones puede realizar.
57. Un administrador de red está configurando DAI en un switch con el comando ip arp inspección validate src-mac. ¿Cuál es el propósito de este comando de configuración?
Comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo de ARP.*
Comprueba la dirección MAC de origen en el encabezado de Ethernet con la tabla de direcciones MAC.
Comprueba la dirección MAC de origen en el encabezado de Ethernet con las ACL ARP configuradas por el usuario.
Comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo de ARP.
58. ¿Qué beneficio de seguridad se obtiene al habilitar la protección BPDU en las interfaces habilitadas para PortFast?
Evitar que se agreguen switchs no autorizados a la red.*
Hacer cumplir la colocación de puentes raíz.
Protección contra bucles de capa 2.
Prevenir ataques de desbordamiento de búfer.
Explicación: BPDU Guard inmediatamente deshabilita por error un puerto que recibe una BPDU. Esto evita que se agreguen switchs no autorizados a la red. La protección BPDU solo debe aplicarse a todos los puertos de usuario final.
59. ¿Qué componente de control de acceso, implementación o protocolo controla lo que los usuarios pueden hacer en la red?
802.1x
contabilidad
autenticación
autorización*
60. ¿Qué tipo de red inalámbrica es adecuada para comunicaciones nacionales y globales?
Red de área personal inalámbrica
Red inalámbrica de área metropolitana
Red inalámbrica local
Red de área amplia inalámbrica*
61. Consulte la exposición.
CCNA 2 v7.0 SRWE Módulos 10 al 13 Preguntas y Respuestas p61
La PC1 y la PC2 deberían poder obtener asignaciones de direcciones IP del servidor DHCP. ¿Cuántos puertos entre los switchs deben asignarse como puertos de confianza como parte de la configuración de inspección DHCP?
3
5
7*
1
Explicación: La configuración de inspección de DHCP incluye la creación de la base de datos de enlace de inspección de DHCP y la asignación de los puertos de confianza necesarios en los switchs. Un puerto de confianza apunta a los servidores DHCP legítimos. En este diseño de red, debido a que el servidor DHCP está conectado a AS3, se deben asignar siete puertos de switch como puertos confiables, uno en AS3 hacia el servidor DHCP, uno en DS1 hacia AS3, uno en DS2 hacia AS3 y dos conexiones en ambos AS1 y AS2 (hacia DS1 y DS2), para un total de siete.
62. ¿Qué ataque de Capa 2 provocará que los usuarios legítimos no obtengan direcciones IP válidas?
Suplantación de direcciones IP
Agotamiento DHCP*
Inundación de direcciones MAC
Suplantación de ARP
63. Un administrador de red ingresa los siguientes comandos en el switch SW1.
SW1(config)# interface range fa0/5 – 10
SW1(config-if)# ip dhcp snooping limit rate 6
¿Cuál es el efecto después de ingresar estos comandos?
Si alguno de los puertos FastEthernet del 5 al 10 recibe más de 6 mensajes DHCP por segundo, el puerto seguirá funcionando y se enviará un mensaje de error al administrador de la red.
Los puertos FastEthernet del 5 a 10 pueden recibir hasta 6 mensajes DHCP por segundo de cualquier tipo.
Los puertos FastEthernet 5 a 10 pueden recibir hasta 6 mensajes de descubrimiento DHCP por segundo.*
Si alguno de los puertos FastEthernet 5 al 10 recibe más de 6 mensajes DHCP por segundo, el puerto se cerrará.
Explicación: Cuando se está configurando la inspección de DHCP, la cantidad de mensajes de descubrimiento de DHCP que pueden recibir los puertos que no son de confianza por segundo debe tener una velocidad limitada mediante el comando de configuración de interfaz ip dhcp snooping limit rate. Cuando un puerto recibe más mensajes de los que permite la tasa, los mensajes adicionales se eliminarán.
64. Una empresa ha implementado recientemente una red inalámbrica 802.11n. Algunos usuarios se quejan de que la red inalámbrica es demasiado lenta. ¿Qué solución es el mejor método para mejorar el rendimiento de la red inalámbrica?
Deshabilite DHCP en el punto de acceso y asigne direcciones estáticas a los clientes inalámbricos.
Actualice el firmware en el punto de acceso inalámbrico.
Reemplace las NIC inalámbricas en las computadoras que experimentan conexiones lentas.
Divida el tráfico entre las bandas de frecuencia de 2,4 GHz y 5 GHz.*
Explicación: Debido a que algunos usuarios se quejan de que la red es demasiado lenta, la opción correcta sería dividir el tráfico de modo que haya dos redes que usen frecuencias diferentes al mismo tiempo. Reemplazar las NIC inalámbricas no necesariamente corregirá que la red sea lenta y podría ser costoso para la empresa. DHCP versus direccionamiento estático no debería tener ningún impacto en la lentitud de la red y sería una tarea enorme tener a todos los usuarios asignados direccionamiento estático para su conexión inalámbrica. Siempre es una buena idea actualizar el firmware en el punto de acceso inalámbrico. Sin embargo, si algunos de los usuarios experimentan una conexión de red lenta, es probable que esto no mejore sustancialmente el rendimiento de la red.
65. ¿Cuáles son los dos protocolos que utiliza AAA para autenticar a los usuarios frente a una base de datos central de nombres de usuario y contraseñas? (Elija dos.)
NTP
CHAP
HTTPS
TACACS+*
SSH
RADIUS*
Explicación: Al usar TACACS + o RADIUS, AAA puede autenticar a los usuarios a partir de una base de datos de nombres de usuario y contraseñas almacenada centralmente en un servidor como un servidor Cisco ACS.
66. ¿Qué método de autenticación almacena nombres de usuario y contraseñas en el router y es ideal para redes pequeñas?
AAA basado en servidor
AAA basado en servidor sobre RADIUS
AAA local*
AAA basado en servidor sobre TACACS +
AAA local sobre RADIUS
AAA local sobre TACACS +
Explicación: En una red pequeña con algunos dispositivos de red, la autenticación AAA se puede implementar con la base de datos local y con nombres de usuario y contraseñas almacenados en los dispositivos de red. La autenticación mediante el protocolo TACACS + o RADIUS requerirá servidores ACS dedicados, aunque esta solución de autenticación se adapta bien a una red grande.
67. Consulte la exposición.
CCNA 2 v7.0 SRWE Módulos 10 al 13 Preguntas y Respuestas p67
El puerto Fa0/2 ya se ha configurado correctamente. El teléfono IP y la PC funcionan correctamente. ¿Qué configuración de switch sería la más apropiada para el puerto Fa0/2 si el administrador de red tiene los siguientes objetivos?
Nadie puede desconectar el teléfono IP o la PC y conectar algún otro dispositivo cableado. Si se conecta un dispositivo diferente, el puerto Fa0/2 se cierra. El switch debe detectar automáticamente la dirección MAC del teléfono IP y la PC y agregar esas direcciones a la configuración en ejecución.
SWA(config-if)# switchport port-security mac-address sticky
SWA(config-if)# switchport port-security maximum 2
SWA(config-if)# switchport port-security
SWA(config-if)# switchport port-security maximum 2
SWA(config-if)# switchport port-security mac-address sticky
SWA(config-if)# switchport port-security violation restrict
SWA(config-if)# switchport port-security
SWA(config-if)# switchport port-security maximum 2
SWA(config-if)# switchport port-security mac-address sticky***
SWA(config-if)# switchport port-security
SWA(config-if)# switchport port-security mac-address sticky
Explicación: El modo predeterminado para una violación de seguridad de puerto es apagar el puerto para que el comando switchport port-security violation no sea necesario. El comando switchport port-security debe ingresarse sin opciones adicionales para habilitar la seguridad del puerto para el puerto. Luego, se pueden agregar opciones de seguridad de puerto adicionales.
68. Un técnico está solucionando problemas de una WLAN lenta y decide utilizar el enfoque de dividir el tráfico. ¿Qué dos parámetros tendrían que configurarse para hacer esto? (Elija dos.)
Configure la banda de 5 GHz para transmitir multimedia y tráfico sensible al tiempo.*
Configure un SSID común para ambas redes divididas.
Configure el modo de seguridad en WPA Personal TKIP/AES para ambas redes.
Configure el modo de seguridad en WPA Personal TKIP/AES para una red y WPA2 Personal AES para la otra red.
Configure la banda de 2,4 GHz para el tráfico de Internet básico que no es urgente.*
69. Un administrador de red instala un router inalámbrico en un pequeño bufete de abogados. Las computadoras portátiles de los empleados se unen a la WLAN y reciben direcciones IP en la red 10.0.10.0/24. ¿Qué servicio se utiliza en el router inalámbrico para permitir que las computadoras portátiles de los empleados accedan a Internet?
NAT*
DNS
DHCP
RADIUS
Explicación: Cualquier dirección con el 10 en el primer octeto es una dirección IPv4 privada y no se puede enrutar en Internet. El router inalámbrico utilizará un servicio llamado Traducción de direcciones de red (NAT) para convertir direcciones IPv4 privadas en direcciones IPv4 enrutables a Internet para que los dispositivos inalámbricos obtengan acceso a Internet.
70. ¿Qué tipo de red inalámbrica utiliza transmisores de baja potencia para una red de corto alcance, generalmente de 20 a 30 pies (6 a 9 metros)?
Red de área personal inalámbrica*
Red de área amplia inalámbrica
Red inalámbrica local
Red inalámbrica de área metropolitana
71. Una computadora portátil no se puede conectar a un punto de acceso inalámbrico. ¿Qué dos pasos de solución de problemas se deben tomar primero? (Elija dos.)
Asegúrese de que la NIC inalámbrica esté habilitada.*
Asegúrese de que la antena de la computadora portátil esté conectada.
Asegúrese de que esté seleccionado el medio de red correcto.
Asegúrese de que la NIC esté configurada para la frecuencia adecuada.
Asegúrese de que se elija el SSID inalámbrico.*
72. ¿Qué componente, implementación o protocolo de control de acceso restringe el acceso a la LAN a través de puertos de switch de acceso público?
CCNA 2 v7.0 SRWE Módulos 10 al 13 Preguntas y Respuestas p72
802.1x*
autorización
autenticación
contabilidad
73. ¿Qué dos soluciones de Cisco ayudan a prevenir los ataques de inanición de DHCP? (Elija dos.)
Dispositivo de seguridad web
Protección de origen IP
Seguridad de puerto*
Inspección dinámica de ARP
Inspección DHCP*
Explicación: Cisco proporciona soluciones para ayudar a mitigar los ataques de Capa 2, incluidos los siguientes: • Protección de origen IP (IPSG): Evita los ataques de suplantación de direcciones IP y MAC. • Inspección dinámica de ARP (DAI): Evita la suplantación de ARP y los ataques de envenenamiento de ARP. • Inspección DHCP: Evita la inanición de DHCP y los ataques de suplantación de DHCP. • Seguridad del puerto: Evita muchos tipos de ataques, incluidos los ataques de desbordamiento de la tabla MAC y los ataques de inanición de DHCP. Web Security Appliance (WSA) es una tecnología de mitigación para amenazas basadas en web.
74. Un administrador de red de una universidad está configurando el proceso de autenticación de usuario de WLAN. Los usuarios inalámbricos deben ingresar credenciales de nombre de usuario y contraseña que serán verificadas por un servidor. ¿Qué servidor proporcionaría dicho servicio?
NAT
SNMP
AAA
RADIUS*
Explicación: El servicio de usuario de acceso telefónico de autenticación remota (RADIUS) es un protocolo y software de servidor que proporciona autenticación basada en el usuario para una organización. Cuando una WLAN está configurada para usar un servidor RADIUS, los usuarios ingresarán credenciales de nombre de usuario y contraseña que son verificadas por el servidor RADIUS antes de permitir la WLAN.
75. ¿Qué tres productos de Cisco se centran en soluciones de seguridad para terminales? (Elija tres.)
Dispositivo de sensor IPS
Dispositivo VPN SSL / IPsec
Dispositivo NAC*
Dispositivo de seguridad de correo electrónico*
Dispositivo de seguridad web*
Dispositivo de seguridad adaptable
76. Consulte la exposición.
CCNA 2 v7.0 SRWE Módulos 10 al 13 Preguntas y Respuestas p76
La interfaz Fa0/2 en el switch S1 se ha configurado con el comando switchport port-security mac-address 0023.189d.6456 y se ha conectado una estación de trabajo. ¿Cuál podría ser la razón por la que se apaga la interfaz Fa0/2?
S1 se ha configurado con un switchport port-security agingcomando.
La interfaz Fa0/24 de S1 está configurada con la misma dirección MAC que la interfaz Fa0/2.
La dirección MAC de la PC1 que se conecta a la interfaz Fa0/2 no es la dirección MAC configurada.*
La conexión entre S1 y PC1 se realiza mediante un cable cruzado.
Explicación: El contador de violaciones de seguridad para Fa0/2 se ha incrementado (evidenciado por el 1 en la columna SecurityViolation). La dirección más segura permitida en el puerto Fa0 / 2 es 1 y esa dirección se ingresó manualmente. Por lo tanto, la PC1 debe tener una dirección MAC diferente a la configurada para el puerto Fa0/2. Las conexiones entre los dispositivos finales y el switch, así como las conexiones entre un router y un switch, se realizan con un cable directo.
77. ¿Qué tipo de ataque de salto de VLAN puede evitarse designando una VLAN no utilizada como VLAN nativa?
Suplantación de DTP
Agotamiento DHCP
Suplantación de DHCP
Etiquetado doble de VLAN*
Explicación: La suplantación de mensajes DTP obliga a un switch al modo de enlace troncal como parte de un ataque de salto de VLAN, pero el etiquetado doble de VLAN funciona incluso si los puertos troncales están desactivados. Cambiar la VLAN nativa de la VLAN predeterminada a una VLAN no utilizada reduce la posibilidad de este tipo de ataque. La suplantación de DHCP y la inanición de DHCP aprovechan las vulnerabilidades en el intercambio de mensajes DHCP.
78. ¿Qué componente, implementación o protocolo de control de acceso se implementa localmente o como una solución basada en servidor?
802.1x
contabilidad
autenticación*
autorización
79. ¿Qué tipo de red inalámbrica utiliza transmisores para proporcionar servicio inalámbrico en una gran región urbana?
Red inalámbrica de área metropolitana*
Red de área personal inalámbrica
Red de área amplia inalámbrica
Red inalámbrica local
80. Se requiere un administrador de red para actualizar el acceso inalámbrico a los usuarios finales en un edificio. Para proporcionar velocidades de datos de hasta 1,3 Gb/s y seguir siendo compatible con dispositivos antiguos, ¿qué estándar inalámbrico debería implementarse?
802.11b
802.11g
802.11n
802.11ac*
Explicación: 802.11ac proporciona velocidades de datos de hasta 1,3 Gb/s y sigue siendo compatible con dispositivos 802.11a/b/g/n. 802.11g y 802.11n son estándares más antiguos que no pueden alcanzar velocidades superiores a 1 Gb/s. 802.11ad es un estándar más nuevo que puede ofrecer velocidades teóricas de hasta 7 Gb/s.
