El administrador de red desea acceder de forma remota a la CLI del router desde la PC1 con el módem 1. ¿Qué puerto del router se debe conectar al módem 2 para permitir este acceso?

Clasificado en Informática

Escrito el en español con un tamaño de 181,41 KB

111. ¿Qué ataque de capa 2 dará lugar a que los usuarios legítimos no obtienen direcciones IP válidas?

  • Suplantación de ARP
  • Hambre de DHCP
  • Suplantación de direcciones IP
  • Inundación de direcciones MAC

2. ¿Qué plan de mitigación es mejor para frustrar un ataque DoS que está creando un desbordamiento de tabla de direcciones MAC?

  • Inhabilite el DTP.
  • Inhabilite el STP.
  • Habilite la seguridad del puerto.
  • Coloque los puertos no utilizados en una VLAN no utilizada.

3. ¿Qué tres productos de Cisco se centran en las soluciones de seguridad del punto final? (Elija tres.)

  • Dispositivo de sensor IPS
  • Dispositivo de seguridad web
  • Dispositivo de seguridad de correo electrónico
  • Dispositivo VPN SSL/IPsec
  • Dispositivo de seguridad adaptable
  • Dispositivo NAC

4. ¿Verdadero o Falso?
En el estándar 802.1X, el cliente que intenta acceder a la red se refiere como el supplicant.

  • Verdad
  • Falso

5. ¿Qué método de autenticación almacena nombres de usuario y contraseñas en el router y es ideal para redes pequeñas?

  • AAA basado en servidor sobre TACACS+
  • AAA local sobre RADIUS
  • servidor basado en AAA
  • AAA local sobre TACACS+
  • AAA local
  • basado en servidor AAA sobre RADIUS

Explicación: En una pequeña red con algunos dispositivos de red, la autenticación AAA se puede implementar con la base de datos local y con los nombres de usuario y contraseñas almacenados en los dispositivos de red. La autenticación usando el protocolo TACACS+ o RADIUS requerirá los servidores ACS dedicados aunque esta solución de autenticación se escala bien en una red grande.

6. ¿Qué representa una práctica recomendada con respecto a los protocolos de detección como CDP y LLDP en dispositivos de red?

  • Habilite CDP en dispositivos perimetrales y habilite LLDP en dispositivos interiores.
  • Utilice el LLDP estándar abierto en lugar de CDP.
  • Utilice la configuración predeterminada del router para CDP y LLDP.
  • Inhabilite ambos protocolos en todas las interfaces donde no son necesarios.

Explicación: Ambos protocolos de descubrimiento pueden proporcionar a los hackers información de red confidencial. No se deben habilitar en los dispositivos perimetrales y deben deshabilitarse globalmente o por interfaz si no es necesario. CDP está habilitado de forma predeterminada.

7. ¿Qué protocolo se debe utilizar para mitigar la vulnerabilidad del uso de Telnet para administrar de forma remota los dispositivos de red?

  • Snmp
  • Tftp
  • Ssh
  • Scp

Explicación: Telnet utiliza texto sin formato para comunicarse en una red. El nombre de usuario y la contraseña se pueden capturar si se intercepta la transmisión de datos. SSH cifra las comunicaciones de datos entre dos dispositivos de red. TFTP y SCP se utilizan para la transferencia de archivos a través de la red. SNMP se utiliza en soluciones de administración de red.

8. ¿Qué declaración describe el comportamiento de un Switch cuando la tabla de la dirección MAC está llena?

  • Trata las tramas como unidifusión desconocida e inunda todas las tramas entrantes a todos los puertos en el Switch.
  • Trata las tramas como unidifusión desconocida e inunda todas las tramas entrantes a todos los puertos a través de los switches múltiples.
  • Trata las tramas como unidifusión desconocida e inunda todas las tramas entrantes a todos los puertos dentro del VLA N local.
  • Trata las tramas como unidifusión desconocida e inunda todas las tramas entrantes a todos los puertos dentro del dominio de colisión.

Explicación: Cuando la tabla de la dirección MAC está llena, el Switch trata la trama como un unicast desconocido y comienza a inundar todo el tráfico entrante a todos los puertos solamente dentro del VLA N local.

9. ¿Qué dispositivo se considera un supplicant durante el proceso de autenticación 802.1X?

  • el router que está sirviendo como el gateway predeterminado
  • el servidor de autenticación que está realizando la autenticación de cliente
  • el cliente que está solicitando autenticación
  • el conmutador que controla el acceso a la red

Explicación: Los dispositivos implicados en el proceso de autenticación 802.1X son los siguientes:

  • El supplicant, que es el cliente que está solicitando acceso a la red
  • El autenticador, que es el Switch al que el cliente se está conectando y que está controlando realmente el acceso a la red física

  • El servidor de autenticación, que realiza la autenticación real

10. Consulte la exposición. El puerto Fa0/2 ya se ha configurado correctamente. El teléfono IP y el PC funcionan correctamente. ¿Qué configuración del switch sería más apropiada para el puerto Fa0/2 si el administrador de la red tiene los siguientes objetivos?


Nadie puede desconectar el teléfono ip o el PC y conectar algún otro dispositivo cableado.
Si se conecta un dispositivo diferente, se apaga el puerto Fa0/2.
El Switch debe detectar automáticamente la dirección MAC del teléfono del IP y del PC y agregar esas direcciones a la configuración corriente.

  • SWA(config-if)- switchport port-security

    SWA(config-if)- switchport port-security mac-address sticky
  • SWA(config-if)- switchport port-security

    SWA(config-if)- switchport port-security máximo 2

    SWA(config-if)- switchport port-security mac-address sticky

    SWA(config-if)- switchport port-security violation restrict
  • SWA(config-if)- switchport port-security mac-address sticky

    SWA(config-if)- switchport port-security máximo 2
  • SWA(config-if)- switchport port-security

    SWA(config-if)- switchport port-security máximo 2

    SWA(config-if)- switchport port-security mac-address sticky

Explicación: El modo predeterminado para una violación de seguridad del puerto es apagar el puerto así que el comando switchport port-security violation no es necesario. El comando switchport port-security se debe ingresar sin opciones adicionales para habilitar la seguridad del puerto para el puerto. A continuación, se pueden agregar opciones de seguridad de puerto adicionales.

11. Consulte la exposición. La seguridad del puerto se ha configurado en la interfaz Fa 0/12 del Switch S1. ¿Qué acción ocurrirá cuando el PC1 se asocia al Switch S1 con la configuración aplicada?


  • Frames from PC1 will be forwarded Sincé the switchport port-security violation command is missing.
  • Frames from PC1 will be forwarded to its destination, and a log entry will be created.
  • Frames from PC1 will be forwarded to its destination, but a log entry will not be created.
  • Frames from PC1 will cause the interface to shut down immediately, and a log entry will be made.
  • Frames from PC1 will be dropped, and there will be no log of the violation.
  • Frames from PC1 will be dropped, and a log message will be created.

Explanation: Manual configuration of the single allowed MAC address has been entered for port fa0/12. PC1 has a different MAC address and when attached will cause the port to shut down (the default action), a log message to be automatically created, and the violation counter to increment. The default action of shutdown is recommended because the restrict option might fail if an attack is underway.

12. Which type of VLAN-hopping attack may be prevented by designating an unused VLAN as the native VLAN?

  • Suplantación de DHCP
  • Hambre de DHCP
  • Etiquetado doble VLAN
  • Suplantación de DTP

Explicación: La suplantación de mensajes DTP fuerza un switch en el modo de enlace troncal como parte de un ataque de VLAN-hopping, pero el etiquetado doble VLAN funciona incluso si se inhabilitan los puertos troncales. Cambiar el VLAN nativo del valor por defecto a un VLA N no utilizado reduce la posibilidad de este tipo de ataque. La suplantación de DHCP y la inanición DHCP aprovechan las vulnerabilidades en el intercambio de mensajes DHCP.

13. Un administrador de red está configurando el DAI en un Switch con el comando ip arp inspection validate src-mac. ¿Cuál es el propósito de este comando configuration?

  • Comprueba la dirección MAC de origen en el encabezado Ethernet contra los ACL ARP configurados por el usuario.
  • Comprueba la dirección MAC de origen en el encabezado Ethernet contra la tabla de direcciones MAC.
  • Marca la dirección MAC de origen en el encabezado Ethernet contra la dirección MAC del remitente en el cuerpo ARP.
  • Marca la dirección MAC de origen en el encabezado Ethernet contra la dirección MAC de destino en el cuerpo ARP.

Explicación: DAI se puede configurar para comprobar si hay direcciones MAC e IP de destino o de origen:

  • MAC de destino – Marca la dirección MAC de destino en el encabezado Ethernet contra la dirección MAC de destino en el cuerpo ARP.
  • MAC de origen – Marca la dirección MAC de origen en el encabezado Ethernet contra la dirección MAC del remitente en el cuerpo ARP.

  • Dirección IP: comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.

14. ¿Qué dos comandos se pueden utilizar para habilitar la protección BPDU en un Switch? (Elija dos.)

  • S1(config) BPduguard default
  • S1(config-if) - spanning-tree portfast bpduguard
  • S1(config) á spanning-tree portfast bpduguard default
  • S1(config-if) á habilitar bpduguard de árbol de expansión
  • S1(config-if)- spanning-tree bpduguard enable

Explicación: La protección BPDU se puede habilitar en todos los puertos habilitados para PortFast usando el comando spanning-tree portfast bpduguard default global configuration. Alternativamente, la protección BPDU se puede habilitar en un puerto PortFast-habilitado a través del uso del comando spanning-tree bpduguard enable interface configuration.

15. Como parte de la nueva política de seguridad, todos los switches en la red se configuran para aprender automáticamente las direcciones MAC para cada puerto. Todas las configuraciones en ejecución se guardan al inicio y al cierre de cada día laborable. Una tormenta severa causa un corte de energía prolongado varias horas después del cierre del negocio. Cuando el Switches se pone de nuevo en línea, se conservan las direcciones MAC aprendidas dinámicamente. ¿Qué configuración de seguridad de puerto habilitó esto?

  • direcciones MAC seguras automáticas
  • direcciones MAC seguras dinámicas
  • direcciones MAC estáticas seguras
  • direcciones MAC seguras pegajosos

Explicación: Con el direccionamiento MAC seguro pegajoso, las direcciones MAC se pueden aprender dinámicamente o configurar manualmente y después se salvan en la tabla de direcciones y se agregan al archivo de configuración en ejecución. En contraste, el direccionamiento MAC seguro dinámico proporciona para el direccionamiento MAC aprendido dinámicamente que se salva solamente en la tabla de direcciones.

16. ¿Qué tipo de trama de gestión puede ser difundida regularmente por un AP?

  • Autenticación
  • solicitud de la sonda
  • respuesta de la sonda
  • Faro

Explicación: Las balizas son la única trama de administración que puede ser difundida regularmente por un AP. El sondeo, la autenticación, y las tramas de asociación se utilizan solamente durante el proceso de asociación (o reasociación).

17. ¿Cuáles son los dos métodos que son utilizados por una NIC inalámbrica para descubrir un AP? (Elija dos.)

  • entrega de un marco de difusión
  • recibir una trama de baliza de difusión
  • iniciando un apretón de manos de tres vías
  • enviar una solicitud ARP
  • transmitir una solicitud de sonda

Explicación: Un dispositivo inalámbrico puede utilizar dos métodos para descubrir y registrarse con un punto de acceso: modo pasivo y modo activo. En el modo pasivo, el AP envía una trama de la baliza de broadcast que contenga el SSID y otras configuraciones inalámbricas. En el modo activo, el dispositivo inalámbrico se debe configurar manualmente para el SSID y, a continuación, el dispositivo transmite una solicitud de sondeo.

18. Un técnico está configurando el canal en un router inalámbrico a 1, 6 o 11. ¿Cuál es el propósito de ajustar el canal?

  • para permitir diferentes normas 802.11
  • para evitar interferencias de dispositivos inalámbricos cercanos
  • para desactivar la difusión del SSID
  • para proporcionar modos de seguridad más fuertes

Explicación: Los canales 1, 6 y 11 se seleccionan porque están separados por 5 canales. Minimizando así la interferencia con los canales adyacentes. Una frecuencia de canal puede interferir con los canales a ambos lados de la frecuencia principal. Todos los dispositivos inalámbricos deben utilizarse en canales no adyacentes.

19. Mientras asisten a una conferencia, los participantes utilizan computadoras portátiles para la conectividad de red. Cuando un altavoz invitado intenta conectarse a la red, el portátil no puede mostrar ninguna red inalámbrica disponible. ¿El punto de acceso debe estar funcionando en qué modo?

  • Mezclado
  • Pasiva
  • Activo
  • Abierto

Explicación: El activo es un modo usado para configurar un Punto de acceso de modo que los clientes deben conocer el SSID para conectar con el Punto de acceso. Los AP y los routers inalámbricos pueden funcionar en un modo mixto, lo que significa que se admiten varios estándares inalámbricos. Abrir es un modo de autenticación para un punto de acceso que no tiene ningún impacto en la lista de redes inalámbricas disponibles para un cliente. Cuando un punto de acceso se configura en modo pasivo, el SSID se transmite de modo que el nombre de la red inalámbrica aparezca en la lista de redes disponibles para los clientes.

20. Se requiere un administrador de red para actualizar el acceso inalámbrico a los usuarios finales de un edificio. Para proporcionar velocidades de datos de hasta 1,3 Gb/s y seguir siendo compatible con dispositivos antiguos, ¿qué estándar inalámbrico se debe implementar?

  • 802.11n
  • 802.11ac
  • 802.11g
  • 802.11b

Explicación: 802.11ac proporciona velocidades de datos de hasta 1,3 Gb/s y sigue siendo compatible con dispositivos 802.11a/b/g/n. 802.11g y 802.11n son estándares más antiguos que no pueden alcanzar velocidades superiores a 1 Gb/s. 802.11ad es un estándar más reciente que puede ofrecer velocidades teóricas de hasta 7 Gb/s.

21. Un técnico está a punto de instalar y configurar una red inalámbrica en una pequeña sucursal. ¿Cuál es la primera medida de seguridad que el técnico debe aplicar inmediatamente al encender el router inalámbrico?

  • Habilite el filtrado de direcciones MAC en el router inalámbrico.
  • Configure el cifrado en el router inalámbrico y los dispositivos inalámbricos conectados.
  • Cambie el nombre de usuario y la contraseña predeterminados del router inalámbrico.
  • Inhabilite la difusión SSID de la red inalámbrica.

Explicación: La primera acción que un técnico debe hacer para asegurar una nueva red inalámbrica es cambiar el nombre de usuario y la contraseña predeterminados del router inalámbrico. La siguiente acción normalmente sería configurar el cifrado. Entonces una vez que el grupo inicial de host inalámbricos se haya conectado a la red, el filtrado de direcciones MAC se habilitaría y la difusión SSID se inhabilitaría. Esto evitará que los nuevos hosts no autorizados encuentren y se conecten a la red inalámbrica.

22. ¿En un panel del WLC del Cisco 3504, qué opción proporciona el acceso al menú completo de las carácterísticas?

  • Puntos de acceso
  • Resumen de la red
  • Avanzada
  • Pícaros

Explicación: El panel del WLC del Cisco 3504 visualiza cuando un usuario inicia sesíón en el WLC. Proporciona algunos ajustes básicos y menús a los que los usuarios pueden acceder rápidamente para implementar una variedad de configuraciones comunes. Haciendo clic el botón avanzado, el usuario accederá la página de resumen avanzado y accederá todas las carácterísticas del WLC.

23. ¿Qué paso se requiere antes de crear una nueva red inalámbrica (WLAN) en un WLC de las Cisco 3500 Series?

  • Cree un nuevo SSID.
  • Cree o tenga un servidor SNMP disponible.
  • Cree o tenga un servidor RADIUS disponible.
  • Cree una nueva interfaz VLAN.

Explicación: Cada nueva red inalámbrica (WLAN) configurada en un WLC de las Cisco 3500 Series necesita su propia interfaz VLAN. Así se requiere que una nueva interfaz VLAN sea creada primero antes de que se pueda crear una nueva red inalámbrica (WLAN).

24. Un ingeniero de red está solucionando problemas con una red inalámbrica recién implementada que está utilizando los últimos estándares 802.11. Cuando los usuarios acceden a servicios de ancho de banda alto, como la transmisión de vídeo, el rendimiento de la red inalámbrica es deficiente. Para mejorar el rendimiento, el ingeniero de red decide configurar un SSID de banda de frecuencia de 5 Ghz y capacitar a los usuarios para que utilicen ese SSID para los servicios multimedia de streaming. ¿Por qué esta solución podría mejorar el rendimiento de la red inalámbrica para ese tipo de servicio?

  • Exigir a los usuarios que cambien a la banda de 5 GHz para la transmisión de contenido multimedia es inconveniente y dará lugar a que menos usuarios accedan a estos servicios.
  • La banda de 5 GHz tiene más canales y está menos concurrida que la banda de 2,4 GHz, lo que la hace más adecuada para la transmisión multimedia.
  • La banda de 5 GHz tiene un mayor alcance y, por lo tanto, es probable que esté libre de interferencias.
  • Los únicos usuarios que pueden cambiar a la banda de 5 GHz serán aquellos con las últimas NIC inalámbricas, lo que reducirá el uso.

Explicación: El rango inalámbrico está determinado por la antena del punto de acceso y la potencia de salida, no por la banda de frecuencia que se utiliza. En este escenario se afirma que todos los usuarios tienen NIC inalámbricas que cumplen con el estándar más reciente, y por lo tanto todos pueden acceder a la banda de 5 GHz. Aunque a algunos usuarios les puede resultar inconveniente cambiar a la banda de 5 Ghz para acceder a los servicios de streaming, es el mayor número de canales, no sólo menos usuarios, lo que mejorará el rendimiento de la red.

25. Un administrador de red está configurando una conexión del servidor de RADIUS en un WLC de las Cisco 3500 Series. La configuración requiere una contraseña secreta compartida. ¿Cuál es el propósito de la contraseña secreta compartida?

  • Es utilizado por el servidor de RADIUS para autenticar a los usuarios WLAN.
  • Se utiliza para autenticar y cifrar los datos del usuario en la red inalámbrica (WLAN).
  • Se utiliza para cifrar los mensajes entre el WLC y el servidor de RADIUS.
  • Permite que los usuarios autentiquen y accedan la red inalámbrica (WLAN).

Explicación: El protocolo RADIUS utiliza las carácterísticas de seguridad para proteger las comunicaciones entre el servidor RADIUS y los clientes. Un secreto compartido es la contraseña usada entre el WLC y el servidor de RADIUS. No es para usuarios finales.

26. ¿Qué tres parámetros necesitarían ser cambiados si se están implementando las mejores prácticas para un dispositivo ap inalámbrico doméstico? (Elija tres.)

  • contraseña del sistema operativo cliente inalámbrico
  • frecuencia de antena
  • contraseña de red inalámbrica
  • tiempo de baliza inalámbrica
  • Contraseña de AP
  • Ssid

Explicación: Tan pronto como un AP se toma de un cuadro, la contraseña predeterminada del dispositivo, el SSID, y los parámetros de seguridad (contraseña de red inalámbrica) se deben fijar. La frecuencia de una antena inalámbrica se puede ajustar, pero no es necesario hacerlo. El tiempo de la baliza no se configura normalmente. La contraseña del sistema operativo del cliente inalámbrico no se ve afectada por la configuración de una red inalámbrica doméstica.

27. ¿Qué componente, implementación o protocolo de control de acceso se basa en nombres de usuario y contraseñas?

  • 802.1X
  • Contabilidad
  • Autenticación
  • Autorización

28. ¿Qué tipo de red inalámbrica se basa en el estándar 802.11 y una frecuencia de radio de 2,4 GHz o 5 GHz?

  • red inalámbrica del área metropolitana
  • red inalámbrica de área amplia
  • red inalámbrica de área local
  • red inalámbrica de área personal

29. ¿Qué dos soluciones de Cisco ayudan a prevenir los ataques de hambre DHCP? (Elija dos.)

  • DHCP Snooping
  • IP Source Guard
  • Inspección ARP dinámica
  • Seguridad portuaria
  • Dispositivo de seguridad web

Explicación: Cisco proporciona las soluciones para ayudar a mitigar los ataques de la capa 2 incluyendo éstos:

  • IP Source Guard (IPSG): previene los ataques de suplantación de direcciones MAC e IP
  • Inspección dinámica de ARP (DAI): previene la suplantación de ARP y los ataques de envenenamiento de ARP
  • DHCP Snooping: evita la inanición DHCP y los ataques de suplantación de SCP
  • Seguridad de puertos: previene muchos tipos de ataques, incluidos ataques de desbordamiento de tablas MAC y ataques de inanición DHCP

Web Security Appliance (WSA) es una tecnología de mitigación para amenazas basadas en web.

30. ¿Cuáles son tres técnicas para mitigar los ataques VLAN? (Elija tres.)

  • Habilite el enlace troncal manualmente.
  • Inhabilite el DTP.
  • Habilite la protección de origen.
  • Fije el VLAN nativo a una VLAN no utilizada.
  • Utilice los VLA N privados.
  • Habilite la protección BPDU.

Explicación: La mitigación de un ataque VLAN se puede hacer inhabilitando el Dynamic Trunking Protocol (DTP), estableciendo manualmente los puertos al modo de enlace troncal, y estableciendo el VLAN nativo de los links troncales a los VLA N no en uso.

31. Consulte la exposición. ¿Qué se puede determinar acerca de la seguridad del puerto a partir de la información que se muestra?


  • El puerto tiene el número máximo de direcciones MAC que es soportada por un puerto del switch de la capa 2 que se configura para la seguridad del puerto.
  • El puerto ha sido cerrado.
  • El modo de infracción de puerto es el valor predeterminado para cualquier puerto que tenga habilitada la seguridad de puerto.
  • El puerto tiene dos dispositivos conectados.

Explicación: La línea de seguridad del puerto muestra simplemente un estado de habilitado si el comando switchport port-security (sin opciones) se ha ingresado para un puerto de switch determinado. Si se ha producido una infracción de seguridad de puerto, aparece un mensaje de error diferente, como Apagado seguro. El número máximo de direcciones MAC soportadas es 50. La línea de las direcciones MAC máximas se utiliza para mostrar cuántas direcciones MAC se pueden aprender (2 en este caso). La línea sticky MAC Addresses muestra que solamente un dispositivo ha sido conectado y aprendido automáticamente por el Switch. Esta configuración se podría utilizar cuando un puerto es compartido por dos personal de cubículo compartido que traen computadoras portátiles separadas.

32. Un administrador de red de una universidad está configurando el proceso de autenticación de usuario WLAN. Los usuarios inalámbricos deben introducir credenciales de nombre de usuario y contraseña que serán verificadas por un servidor. ¿Qué servidor proporcionaría dicho servicio?

  • Aaa
  • Nat
  • Radio
  • Snmp

Explicación: El servicio de usuario de acceso telefónico de autenticación remota (RADIUS) es un software de protocolo y servidor que proporciona autenticación basada en usuarios para una organización. Cuando una red inalámbrica (WLAN) se configura para utilizar a un servidor de RADIUS, los usuarios ingresarán las credenciales del nombre de usuario y de la contraseña que son verificadas por el servidor de RADIUS antes de permitir a la red inalámbrica (WLAN).

33. Un técnico está solucionando problemas con una red inalámbrica (WLAN) lenta que consiste en dispositivos 802.11b y 802.11g. Un nuevo router de doble banda 802.11n/ac se ha desplegado en la red para reemplazar al viejo router 802.11g. ¿Qué puede hacer el técnico para abordar la velocidad inalámbrica lenta?

  • Divida el tráfico inalámbrico entre la banda 802.11n 2.4 GHz y la banda de 5 GHz.
  • Actualice el firmware en el nuevo router.
  • Configure los dispositivos para que utilicen un canal diferente.
  • Cambie el SSID.

Explicación: La división del tráfico inalámbrico entre la banda 802.11n 2.4 GHz y la banda de 5 GHz permitirá que el 802.11n utilice las dos bandas como dos redes inalámbricas separadas para ayudar a administrar el tráfico, mejorando así el rendimiento inalámbrico.

34. El manual de la empresa establece que los empleados no pueden tener hornos microondas en sus oficinas. En su lugar, todos los empleados deben utilizar los hornos microondas ubicados en la cafetería de los empleados. ¿Qué riesgo de seguridad inalámbrica intenta evitar la empresa?

  • dispositivos mal configurados
  • puntos de acceso no fiables
  • interferencia accidental
  • interceptación de datos

Explicación: Los ataques de denegación de servicio pueden ser el resultado de los dispositivos configurados incorrectamente que pueden inhabilitar la red inalámbrica (WLAN). La interferencia accidental de dispositivos como hornos microondas y teléfonos inalámbricos puede afectar tanto la seguridad como el rendimiento de una red inalámbrica (WLAN). Los ataques man-in-the-middle pueden permitir que un atacante intercepte datos. Los puntos de acceso no fiables pueden permitir que usuarios no autorizados accedan a la red inalámbrica.

35. ¿Cuál es la función proporcionada por el protocolo CAPWAP en una red inalámbrica corporativa?

  • El CAPWAP crea un túnel en los puertos del Transmission Control Protocol (TCP) para permitir que un WLC configure un Punto de acceso autónomo.
  • CAPWAP proporciona la encapsulación y el reenvío del tráfico de usuario inalámbrico entre un Punto de acceso y un regulador del Wireless LAN.
  • CAPWAP proporciona conectividad entre un punto de acceso mediante el direccionamiento IPv6 y un cliente inalámbrico mediante el direccionamiento IPv4.
  • CAPWAP proporciona el cifrado del tráfico del usuario de red inalámbrica entre un Punto de acceso y un cliente de red inalámbrica.

Explicación: CAPWAP es un protocolo estándar IEEE que permite que un WLC administre los AP múltiples y los WLAN. EL CAPWAP es también responsable de la encapsulación y del reenvío del tráfico del cliente WLAN entre un AP y un WLC.

36. Abra la actividad PT. Realice las tareas en las instrucciones de actividad y, a continuación, responda a la pregunta.

Modules 10 – 13: L2 Security and WLANs Exam Answers

Módulos 10 – 13: Respuestas de seguridad L2 y cuestionarios wlan

¿Qué evento tendrá lugar si hay una violación de seguridad del puerto en la interfaz del switch S1 Fa0/1?

  • Se registra un mensaje de Syslog.
  • La interfaz entrará en estado de inhabilitación por error.
  • Los paquetes con direcciones de origen desconocidas se eliminarán.
  • Se envía una notificación.

Explicación: El modo de la violación se puede ver publicando el comando show port-security interface <int>. La interfaz FastEthernet 0/1 se configura con el modo de violación de la protección. Si hay una violación, la interfaz FastEthernet 0/1 caerá los paquetes con las direcciones MAC desconocidas.

37. Haga coincidir cada componente funcional de AAA con su descripción. (No se utilizan todas las opciones.)

38. ¿Cuáles son dos protocolos que son utilizados por AAA para autenticar a los usuarios contra una base de datos central de nombres de usuario y contraseña? (Elija dos.)

  • Ssh
  • HTTPS
  • TACACS+
  • Radio
  • Chap
  • Ntp

Explicación: Mediante el uso de TACACS+ o RADIUS, AAA puede autenticar a los usuarios de una base de datos de nombres de usuario y contraseñas almacenados centralmente en un servidor tal como un servidor ACS de Cisco.

39. ¿Cuál es el resultado de un ataque de inanición DHCP?

  • El atacante proporciona DNS incorrecto y información de puerta de enlace predeterminada a los clientes.
  • Las direcciones IP asignadas a clientes legítimos son secuestradas.
  • Los clientes reciben asignaciones de direcciones IP de un servidor DHCP no autorizado.
  • Los clientes legítimos no pueden arrendar direcciones IP.

Explicación: Los ataques de inanición de DCHP son lanzados por un atacante con la intención de crear un DoS para clientes DHCP. Para lograr este objetivo, el atacante utiliza una herramienta que envía muchos mensajes DHCPDISCOVER para arrendar todo el grupo de direcciones IP disponibles, negándolos así a hosts legítimos.

40. ¿Qué carácterística o configuración en un Switch lo hace vulnerable a los ataques de doble etiquetado VLAN?

  • el tamaño limitado del espacio de memoria direccionable por contenido
  • la función de puerto troncal automático habilitada para todos los puertos de forma predeterminada
  • el VLAN nativo del puerto troncal es lo mismo que un VLA N del usuario
  • modo dúplex mixto habilitado para todos los puertos de forma predeterminada

Explicación: Un ataque de salto VLAN de doble etiquetado (o doble encapsulado) aprovecha la forma en que el hardware en la mayoría de los switches funciona. La mayoría de los switches realizan solamente un nivel de desencapsulación 802.1Q, que permite a un atacante incrustar una etiqueta 802.1Q oculta dentro de la trama. Esta etiqueta permite que la trama sea remitida a un VLA N que la etiqueta 802.1Q original no especificó. Una carácterística importante del ataque de salto VLAN de doble encapsulación es que trabaja incluso si se inhabilitan los puertos troncales, porque un host envía típicamente una trama en un segmento que no sea un link troncal. Este tipo de ataque es unidireccional y trabaja solamente cuando el atacante está conectado con un puerto que reside en el mismo VLA N que el VLAN nativo del puerto troncal.

41. ¿Qué componente de AAA permite a un administrador realizar un seguimiento de las personas que acceden a los recursos de la red y a los cambios que se realizan en esos recursos?

  • Autenticación
  • Contabilidad
  • Accesibilidad
  • Autorización

Explicación: Uno de los componentes en AAA es contabilidad. Después de que un usuario se autentique con AAA, los servidores AAA mantienen un registro detallado de exactamente qué acciones toma el usuario autenticado en el dispositivo.

42. Consulte la exposición. PC1 y PC2 deben poder obtener asignaciones de direcciones IP del servidor DHCP. ¿Cuántos puertos entre los switches se deben asignar como puertos de confianza como parte de la configuración del snooping DHCP?


  • 1
  • 3
  • 5
  • 7

Explicación: La configuración de snooping DHCP incluye la creación de la base de datos de enlace de DHCP Snooping y la asignación de puertos de confianza necesarios en los conmutadores. Un puerto de confianza apunta a los servidores DHCP legítimos. En este diseño de red, porque el servidor DHCP se asocia al AS3, siete puertos del switch se deben asignar como puertos de confianza, uno en el AS3 hacia el servidor DHCP, uno en el DS1 hacia el AS3, uno en el DS2 hacia el AS3, y dos conexiones en el AS1 y el AS2 (hacia DS1 y DS2), para un total de siete.

43. Un especialista en seguridad de TI habilita la seguridad del puerto en un puerto del switch de un switch Cisco. ¿Cuál es el modo de violación predeterminado en uso hasta que el puerto del switch esté configurado para utilizar un diverso modo de violación?

  • Apagado
  • Deshabilitado
  • Restringir
  • Proteger

Explicación: Si no se especifica ningún modo de infracción cuando se habilita la seguridad del puerto en un puerto del conmutador, el modo de infracción de seguridad se apaga de forma predeterminada.

44. Un portátil no puede conectarse a un punto de acceso inalámbrico. ¿Qué dos pasos de solución de problemas se deben tomar primero? (Elija dos.)

  • Asegúresé de que está seleccionado el medio de red correcto.
  • Asegúresé de que la antena del ordenador portátil esté conectada.
  • Asegúresé de que la NIC inalámbrica esté habilitada.
  • Asegúresé de que se elija el SSID inalámbrico.
  • Asegúresé de que la NIC esté configurada para la frecuencia adecuada.

45. ¿Cuál es una ventaja de la ocultación SSID?

  • Los clientes tendrán que identificar manualmente el SSID para conectarse a la red.
  • Es la mejor manera de proteger una red inalámbrica.
  • Los SSID son muy difíciles de descubrir porque los AP no los transmiten.
  • Proporciona acceso gratuito a Internet en lugares públicos donde el conocimiento del SSID no es motivo de preocupación.

Explicación: El ocultamiento SSID es una carácterística de seguridad débil que es realizada por los AP y algunos routeres inalámbricos permitiendo que la trama de la baliza SSID sea inhabilitada. Aunque los clientes tienen que identificar manualmente el SSID que se conectará a la red, el SSID se puede descubrir fácilmente. La mejor manera de proteger una red inalámbrica es utilizar sistemas de autenticación y cifrado. La ocultación SSID no proporciona acceso gratuito a Internet en ubicaciones públicas, pero se podría utilizar una autenticación de sistema abierto en esa situación.

46. ¿Qué es un modo de seguridad inalámbrica que requiere un servidor RADIUS para autenticar a los usuarios de red inalámbrica?

  • Personal
  • clave compartida
  • Empresa
  • Wep

Explicación: WPA y WPA2 vienen en dos tipos: personal y empresarial. Personal se utiliza en redes domésticas y pequeñas de oficinas. La clave compartida permite tres técnicas de autenticación diferentes: (1) WEP, (2) WPA y (3) 802.11i/WPA2. WEP es un método de cifrado.

47. Una empresa ha implementado recientemente una red inalámbrica 802.11n. Algunos usuarios se quejan de que la red inalámbrica es demasiado lenta. ¿Qué solución es el mejor método para mejorar el rendimiento de la red inalámbrica?

  • Inhabilite el DHCP en el Punto de acceso y asigne los direccionamientos estáticos a los clientes de red inalámbrica.
  • Actualice el firmware en el punto de acceso inalámbrico.
  • Divida el tráfico entre las bandas de frecuencia de 2,4 GHz y 5 GHz.
  • Reemplace las NIC inalámbricas en los equipos que experimentan conexiones lentas.

Explicación: Debido a que algunos usuarios se quejan de que la red es demasiado lenta, la opción correcta sería dividir el tráfico de modo que haya dos redes que utilizan diferentes frecuencias al mismo tiempo. Reemplazar las NIC inalámbricas no necesariamente corregirá que la red sea lenta y podría ser costosa para la empresa. El DHCP frente al direccionamiento estático no debe tener ningún impacto de que la red sea lenta y sería una tarea enorme tener a todos los usuarios asignados el direccionamiento estático para su conexión inalámbrica. Actualizar el firmware en el punto de acceso inalámbrico siempre es una buena idea. Sin embargo, si algunos de los usuarios están experimentando una conexión de red lenta, es probable que esto no mejoraría sustancialmente el rendimiento de la red.

48. ¿Qué protocolo se puede utilizar para supervisar la red?

  • Dhcp
  • Snmp
  • Radio
  • Aaa

Explicación: El Simple Network Management Protocol (SNMP) se utiliza para monitorear la red.

49. Un administrador de red despliega un router inalámbrico en un pequeño bufete de abogados. Los portátiles del empleado se unen a la red inalámbrica (WLAN) y reciben las direcciones IP en la red 10.0.10.0/24. ¿Qué servicio se utiliza en el router inalámbrico para permitir que los portátiles de los empleados accedan a Internet?

  • Dhcp
  • Radio
  • Dns
  • Nat

Explicación: Cualquier dirección con el 10 en el primer octeto es una dirección IPv4 privada y no se puede enrutar en Internet. El router inalámbrico utilizará un servicio llamado Traducción de direcciones de red (NAT) para convertir direcciones IPv4 privadas en direcciones IPv4 enrutables por Internet para que los dispositivos inalámbricos obtengan acceso a Internet.

50. ¿Qué servicio se puede utilizar en un router inalámbrico para priorizar el tráfico de red entre diferentes tipos de aplicaciones para que los datos de voz y vídeo se prioricen sobre el correo electrónico y los datos web?

  • Qos
  • Dns
  • Dhcp
  • Nat

Explicación: Muchos routers inalámbricos tienen una opción para configurar la calidad de servicio (QoS). Al configurar QoS, ciertos tipos de tráfico sensibles al tiempo, como voz y vídeo, se priorizan sobre el tráfico que no es tan sensible al tiempo, como el correo electrónico y la navegación web.

51. ¿Qué componente de control de acceso, implementación o protocolo se basa en roles de dispositivo de supplicant, authenticator y servidor de autenticación?

  • Contabilidad
  • Autenticación
  • Autorización
  • 802.1X

52. ¿Qué tipo de red inalámbrica es adecuada para las comunicaciones nacionales y mundiales?

  • red inalámbrica del área metropolitana
  • red inalámbrica de área local
  • red inalámbrica de área personal
  • red inalámbrica de área amplia

53. ¿Qué carácterística en un Switch lo hace vulnerable a los ataques de salto VLAN?

  • el modo dúplex mixto habilitado para todos los puertos por defecto
  • el tamaño limitado del espacio de memoria direccionable por contenido
  • soporte de ancho de banda de puerto mixto habilitado para todos los puertos de forma predeterminada
  • la función de puerto troncal automático habilitada para todos los puertos de forma predeterminada

Explicación: Un ataque de salto VLAN permite que el tráfico de un VLA N sea visto por otro VLA N sin ruteo. En un ataque de salto VLAN básico, el atacante aprovecha la carácterística automática del puerto troncal habilitada por abandono en la mayoría de los puertos del switch.

54. ¿Qué componente de AAA se utiliza para determinar a qué recursos puede acceder un usuario y qué operaciones el usuario puede realizar?

  • Contabilidad
  • Autenticación
  • Auditoría
  • Autorización

Explicación: Uno de los componentes en AAA es autorización. Después de que un usuario se autentique con el AAA, los servicios de autorización determinan qué recursos puede acceder el usuario y qué operaciones el usuario puede realizar.

55. Consulte la exposición. La interfaz Fa0/2 en el Switch S1 se ha configurado con el comando switchport port-security mac-address 0023.189d.6456 y una estación de trabajo se ha conectado. ¿Cuál podría ser la razón por la que la interfaz Fa0/2 está apagada?

CCNA 2 v7 Modules 10 - 13: L2 Security and WLANs Exam Answers 55

CCNA 2 v7 Módulos 10 – 13: Seguridad L2 y WLANs Examen Respuestas 55

  • La interfaz Fa0/24 del S1 se configura con la misma dirección MAC que la interfaz Fa0/2.
  • La conexión entre S1 y PC1 se realiza a través de un cable de cruce.
  • El S1 se ha configurado con un comando.switchport port-security aging
  • La dirección MAC del PC1 que conecta con la interfaz Fa0/2 no es la dirección MAC configurada.

Explicación: El contador de infracciones de seguridad para Fa0/2 se ha incrementado (evidenciado por el 1 en la columna SecurityViolation). Las direcciones más seguras permitidas en el puerto Fa0/2 son 1 y esa dirección se introdujo manualmente. Por lo tanto, el PC1 debe tener una dirección MAC diferente que la configurada para el puerto Fa0/2. Las conexiones entre los dispositivos finales y el conmutador, así como las conexiones entre un router y un conmutador, se realizan con un cable directo.

56. Un administrador de red introduce los siguientes comandos en el switch SW1.

SW1(config)# interface range fa0/5 - 10
SW1(config-if)# ip dhcp snooping limit rate 6

¿Cuál es el efecto después de que se ingresen estos comandos?

  • Si cualquiera de los puertos FastEthernet 5 a 10 recibe más de 6 mensajes DHCP por segundo, el puerto se apagará.
  • Los puertos FastEthernet 5 a 10 pueden recibir hasta 6 mensajes DHCP por segundo de cualquier tipo.
  • Si alguno de los puertos FastEthernet 5 a 10 recibe más de 6 mensajes DHCP por segundo, el puerto seguirá funcionando y se enviará un mensaje de error al administrador de red.
  • Los puertos FastEthernet 5 a 10 pueden recibir hasta 6 mensajes de detección DHCP por segundo.

Explicación: Cuando se configura el snooping DHCP, el número de mensajes de detección DHCP que los puertos no confiables pueden recibir por segundo debe ser velocidad limitada usando el comando ip dhcp snooping limit rate interface configuration. Cuando un puerto recibe más mensajes de los que permite la velocidad, se descartarán los mensajes adicionales.

57. Un administrador de red está configurando la seguridad del puerto en un switch Cisco. La directiva de seguridad de la empresa especifica que cuando se produce una infracción, se deben descartar los paquetes con direcciones de origen desconocidas y no se debe enviar ninguna notificación. ¿Qué modo de violación se debe configurar en las interfaces?

  • fuera
  • Restringir
  • Proteger
  • Apagado

Explicar: En un switch Cisco, una interfaz se puede configurar para uno de los tres modos de violación, especificando la acción que se tomará si ocurre una violación: Proteja – Los paquetes con las direcciones de origen desconocidas se caen hasta que se quite un número suficiente de direcciones MAC seguras, o se aumente el número de direcciones máximas permitidas. No hay ninguna notificación de que se ha producido una infracción de seguridad.
Restringir: los paquetes con direcciones de origen desconocidas se descartan hasta que se elimina un número suficiente de direcciones MAC seguras o se aumenta el número de direcciones máximas permitidas. En este modo, hay una notificación de que se ha producido una infracción de seguridad.
Apagado: la interfaz se desactiva inmediatamente de errores y el LED de puerto está apagado.

58. Un administrador de red está trabajando para mejorar el rendimiento WLAN en un router inalámbrico de doble banda. ¿Cuál es una manera sencilla de lograr un resultado de división del tráfico?

  • Agregue un extensor de alcance Wi-Fi a la red inalámbrica (WLAN) y fije el AP y el extensor de alcance para servir a diferentes bandas.
  • Compruebe y mantenga actualizado el firmware del router inalámbrico.
  • Asegúresé de que se utilizan diferentes SSID para las bandas de 2,4 GHz y 5 GHz.
  • Requerir que todos los dispositivos inalámbricos utilicen el estándar 802.11n.

Explicación: Por abandono, los routers de doble banda y los AP utilizan el mismo nombre de red en la banda de 2,4 GHz y la banda de 5 GHz. La forma más sencilla de segmentar el tráfico es renombrar una de las redes inalámbricas.

59. ¿Qué componente de control de acceso, implementación o protocolo controla lo que los usuarios pueden hacer en la red?

  • Contabilidad
  • 802.1X
  • Autorización
  • Autenticación

60. ¿Qué tipo de red inalámbrica es adecuada para proporcionar acceso inalámbrico a una ciudad o distrito?

  • red inalámbrica de área amplia
  • red inalámbrica de área personal
  • red inalámbrica de área local
  • red inalámbrica del área metropolitana

61. ¿En una página de resumen del WLC del Cisco 3504 (avanzado > resumen), qué lengüeta permite que un administrador de red acceda y configure una red inalámbrica (WLAN) para una opción de seguridad específica tal como WPA2?

  • Administración
  • Inalámbrico
  • Wlan
  • Seguridad

62. ¿Qué tipo de antena inalámbrica es la más adecuada para proporcionar cobertura en grandes espacios abiertos, como pasillos o grandes salas de conferencias?

  • Yagi
  • Omnidireccional
  • Plato
  • Direccional

64. ¿Qué beneficio de seguridad se obtiene al habilitar la protección BPDU en las interfaces habilitadas para PortFast?

  • prevención de ataques de desbordamiento de búfer
  • impidiendo que los interruptores no autorizados se agreguen a la red
  • proteger contra bucles de Capa 2
  • la aplicación de la colocación de puentes raíz

Explicación: La protección BPDU inhabilita inmediatamente un puerto que recibe un BPDU. Esto evita que los switches rogué sean agregados a la red. La protección BPDU se debe aplicar solamente a todos los puertos del usuario final.

65. ¿Qué componente de control de acceso, implementación o protocolo registra los comandos EXEC y configuration configurados por un usuario?

  • Autenticación
  • Autorización
  • 802.1X
  • Contabilidad

66. ¿Qué tipo de red inalámbrica utiliza transmisores para proporcionar cobertura sobre un área geográfica extensa?

  • red inalámbrica del área metropolitana
  • red inalámbrica de área local
  • red inalámbrica de área personal
  • red inalámbrica de área amplia

67. ¿Qué componente de control de acceso, implementación o protocolo controla a quién se le permite acceder a una red?

  • Autorización
  • 802.1X
  • Contabilidad
  • Autenticación

68. ¿Qué dos estándares inalámbricos IEEE 802.11 funcionan solo en el rango de 5 GHz? (Elija dos.)

  • 802.11g
  • 802.11ad
  • 802.11ac
  • 802.11a
  • 802.11n
  • 802.11b

Explanation: The 802.11a and 802.11ac standards operate only in the 5 GHZ range. The 802.11b and 802.11g standards operate only in the 2.4 GHz range. The 802.11n standard operates in both the 2.4 and 5 GHz ranges. The 802.11ad standard operates in the 2.4, 5, and 60 GHz ranges.

69. Which type of wireless network uses low powered transmitters for a short-range network, usually 20 to 30 ft. (6 to 9 meters)?

  • wireless metropolitan-área network
  • wireless personal-área network
  • wireless local-área network
  • wireless wide-área network

71. Which wireless network topology would be used by network engineers to provide a wireless network for an entire college building?

  • ad hoc
  • hotspot
  • infrastructure
  • mixed mode

72. Which type of wireless network uses transmitters to provide wireless service over a large urban región?

  • wireless wide-área network
  • wireless personal-área network
  • wireless metropolitan-área network
  • wireless local-área network.

73. Which type of wireless network is suitable for use in a home or office?

  • wireless wide-área network
  • wireless personal-área network
  • wireless local-área network
  • wireless metropolitan-área network

74. Which access control component, implementation, or protocol indicates success or failure of a client-requested service with a PASS or FAIL message?

  • accounting
  • authentication
  • 802.1X
  • authorization

75. Which type of wireless network often makes use of devices mounted on buildings?

  • wireless local-área network
  • wireless metropolitan-área network
  • wireless personal-área network
  • wireless wide-área network

76. A network administrator is configuring DAI on a switch with the command ip arp inspection validate src-mac . What is the purpose of this configuration command?

  • It checks the source MAC address in the Ethernet header against the user-configured ARP ACLs.
  • It checks the source MAC address in the Ethernet header against the MAC address table.
  • It checks the source MAC address in the Ethernet header against the sender MAC address in the ARP body.
  • It checks the source MAC address in the Ethernet header against the target MAC address in the ARP body.

77. Which access control component, implementation, or protocol collects and reports usage data?

  • accounting
  • authentication
  • authorization
  • 802.1X

78. Which type of wireless network uses transmitters to cover a médium-sized network, usually up to 300 feet (91.4 meters)?

  • Wireless LANs (WLAN)

79. Which access control component, implementation, or protocol audits what users actions are performed on the network?

  • Accounting
  • Authorization
  • Authentication
  • 802.1X

Explanation:
The final plank in the AAA framework is accounting, which measures the resources a user consumes during access. This can include the amount of system time or the amount of data a user has sent and/or received during a session. Accounting is carried out by logging of session statistics and usage information and is used for authorization control, billing, trend analysis, resource utilization, and capacity planning activities.

80. Which type of wireless network commonly uses Bluetooth or ZigBee devices?

  • wireless wide-área network
  • wireless personal-área network
  • wireless local-área network
  • wireless metropolitan-área network

81. Which access control component, implementation, or protocol is implemented either locally or as a server-based solution?

  • authorization
  • 802.1X
  • accounting
  • authentication

82. A technician is troubleshooting a slow WLAN and decides to use the split-the-traffic approach. Which two parameters would have to be configured to do this? (Choose two.)

  • Configure la banda de 5 GHz para transmitir contenido multimedia y sensible al tiempo.
  • Configure el modo de seguridad a WPA Personal TKIP/AES para una red y WPA2 Personal AES para la otra red
  • Configure la banda de 2,4 GHz para el tráfico básico de Internet que no es sensible al tiempo.
  • Configure el modo de seguridad a WPA Personal TKIP/AES para ambas redes.
  • Configure un SSID común para ambas redes divididas.

83. ¿Qué componente, implementación o protocolo de control de acceso restringe el acceso LAN a través de puertos de conmutador de acceso público?

  • 802.1X
  • Autorización
  • Contabilidad
  • Autenticación
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
El administrador de red desea acceder de forma remota a la CLI del router desde la PC1 con el módem 1. ¿Qué puerto del router se debe conectar al módem 2 para permitir este acceso? ¿Cuál es la dirección MAC de destino en una trama de Ethernet de multicast