Recorreremos los distintos temas que abarca el examen de certificación, y la idea es que cada uno aporte sus comentarios o información sobre el tema planteado. A la semana siguiente (el día lunes), cuando propongamos una nueva cuestión, publicaremos la respuesta de la pregunta planteada.
Esperamos la participación de todos para enriquecer el debate y que todos ganemos en conocimiento.
Saludos....
Índice de cuestionarios
1. La empresa acaba de instalar un nuevo router de acceso en el que usted ha aplicado la lista de acceso que se muestra más abajo, en la interfaz Ethernet 0, sobre el tráfico que ingresa a través de esa interfaz. La interfaz está conectada a la red LAN 192.168.166.18/29.
access-list 123 deny tcp 192.168.166.18 0.0.0.7 any eq 20 any
access-list 123 deny tcp 192.168.166.18 0.0.0.7 any eq 21 any
¿Cómo afectará esta lista de acceso el tráfico?
- A. Se permitirá todo el tráfico saliente por la E0 con excepción del tráfico ftp.
B. El tráfico ftp de 192.168.166.19 a cualquier nodo será denegado.
C. El tráfico ftp de 192.168.166.22 a cualquier nodo será denegado.
D. Todo el tráfico saliente a través de la interfaz E0 será denegado.
E. Todo el tráfico ftp a la red 192.168.166.18/29 desde cualquier nodo será denegado.
-------
access-list 101 permit tcp any 10.18.10.0 0.0.0.255 eq 80
¿Cuál es el efecto de la palabra any en esa sentencia?
- A. Verifica cualquiera de los bits en la dirección de origen.
B. Permite cualquier máscara de wildcard para la dirección.
C. Acepta cualquier dirección de origen.
D. Verifica cualquier bit en la dirección de destino.
E. Equivale a un permit 255.255.255.255 0.0.0.0
F. Acepta cualquier dirección de destino.
-------
3. ¿Cuál de los siguientes comandos le permite verificar la ubicación y dirección de una lista de control de acceso IP sobre la interfaz de un router?
- A. show interface list
B. show ip route
C. show ip interface
D. show ip interface brief
E. show interfaces
C - Los comandos Cisco IOS que permiten monitorear listas de acceso son 3: show running-config, show access-list y show ip interface.
De los mencionados, show ip interface es el único que permite verificar simultáneamente la ubicación de la lista de acceso y el modo en que ha sido asociada a una interfaz (filtrando tráfico entrante o saliente).
-------
4. Se muestra a continuación una porción relevante de la configuración del Router_1:
Router_1#show running-config
!
username Central password 0 cisco
!
interface BRI0/0
ip address 192.168.0.1 255.255.255.0
encapsulation ppp
dialer idle-timeout 180
dialer map ip 192.168.0.2 name Remote 5552000
dialer-group 1
isdn switch-type basic-ni
no fair-queue
ppp authentication chap
!
ip route 192.168.20.0 255.255.255.0 192.168.0.2
!
router rip
network 192.168.0.0
!
access-list 128 permit ip any any
dialer-list 1 protocol ip list 128
!
Con el objetivo de preservar el ancho de bando, se ha configurado una ACL para evitar que el acceso a un servidor remoto cuya dirección IP es 192.168.20.5
Luego de modificar la configuración de acuerdo a lo que se muestra arriba, se constata de que aún es posible acceder al servidor remoto que se ha querido restringir.
Tomando entonces como referencia la información brindada, ¿cuál sospecha que es posiblemente la causa de que todavía haya tráfico hacia el servidor web que se desea evitar?
- A. El broadcast de RIP está generando "tráfico interesante".
B. La lista de acceso no ha sido configurada correctamente.
C. La lista de acceso 129 no ha sido aplicada a la interfaz BRI0/0.
D. El dialer-group no ha sido aplicado a la interfaz BRI0/0.
E. La autenticación chap está bloqueando todo el tráfico.
C - Al revisar la configuración se observa que se ha creado una lista de acceso (129) que permite filtrar el tráfico deseado, pero esa lista de acceso no ha sido aplicada a la interfaz para que comience a operar.
-------
5. Como parte de su tarea de semi-Senior del área de networking, debe revisar la tarea que le encomendó ejecutar a uno de los técnicos bajo su responsabilidad. Debe verificar la ubicación y dirección en que está aplicada una lista de control de acceso. ¿Cuál es el comando Cisco IOS que deberá utilizar?
- A. show access-list
B. show ip access-list
C. show ip interface
D. show interfaces
E. show interface list
C - Los comandos Cisco IOS que permiten monitorear listas de acceso son básicamente 3: show running-config, show access-list y show ip interface.
De los mencionados, solamente show ip interface permite verificar simultáneamente la ubicación de la lista de acceso y el modo en que ha sido asociada a una interfaz (filtrando tráfico entrante o saliente). El otro comando que permite esto es show running-config, pero no es una opción entre las respuestas posibles
-------
6. Con el objeto de brindar acceso a Internet a la red LAN de la oficina, se ha definido la implementación de NAT en el router de salida. Para responder a esta necesidad se han ingresado los siguientes comando:
Borde(config)#ip nat pool publico 166.79.248.33 166.79.248.34 netmask 255.255.255.248
Borde(config)#access-list 1 permit 192.168.9.0 0.0.0.240
Borde(config)#ip nat inside source list 1 pool publico overload
Borde(config)#interface f0/0
Borde(config-if)#ip nat inside
Borde(config-if)#interface s0/0
Borde(config-if)#ip nat ouside
Teniendo en cuenta que para el direcionamiento de la LAN se utiliza la subred 192.168.9.224/28
¿Cuál de los siguientes puede ser el motivo por el cual los usuarios reportan que no pueden acceder a Internet?
- A. El pool de direcciones públicas definido no tiene suficientes direcciones IP.
B. La lista de acceso que define las direcciones a ser traducidas no filtra las direcciones de la LAN.
C. Las interfaces inside y ouside de NAT están mala definidas.
D. No se ha definido el conjunto de direcciones privadas a traducir.
B - Para establecer cuáles son las direcciones privadas a traducir para su envío a la interfaz serial se utiliza una lista de acceso. En este caso, la lista de acceso 1. Ahora bien, en esta lista de acceso está mal definida la subred a traducir. Según la lista de acceso, la subred a traducir es la 192.168.9.0 mientras que la subred real de la LAN es la 192.168.9.224. Adicionalmente, la máscara de wildcard de la lista de acceso está mal, es 0.0.0.240, cuando debería ser 0.0.0.15
-------
7. ¿Qué comando del modo EXEC usuario le permitirá determinar cuál es el router -dentro de una ruta hacia una red inalcanzable- es el que deberá examinar más de cerca para determinar la causa de la falla?
- A. Router_A>telnet
B. Router_A>ping
C. Router_A>traceroute
D. Router_A>show ip route
E. Router_A>show interfaces
F- Router_A>show cdp neighbors
C - Traceroute es el comando que utiliza paquetes ICMP para detectar cada salto en la ruta hacia una red destino, por lo tanto, permite detectar en qué punto se interrumpe esa ruta.
-------8. Respecto del comando ping extendido, ¿Cuál de las siguientes afirmaciones es verdadera?
- A. El comando ping extendido es soportado a partir del modo EXEC usuario.
B. El comando ping extendido está disponible en el modo EXEC privilegiado.
C. Con el comando ping extendido se puede especificar el puerto TCP y UDP de destino.
D. Con el comando ping extendido se puede especificar un valor de timeout.
E. Con el comando ping extendido se puede especificar el tamaño del paquete.
B, D y E - El comando ping extendido está disponible solamente en el modo priviletiado. En modo usuario está disponible el ping estándar. Entre las opciones que permite modificar se encuntra el timeout y el tamaño de los paquetes.
-------
9. Luego de ejecutar el comando show host, ¿cuál de las siguientes porciones de información se puede visualizar?
- A. La dirección Ip de la estación de trabajo que puede acceder al router a través de una lista de acceso.
B. Un mapeo nombre a dirección permanente, creado utilizando el comando ip host.
C. Entradas DNS permanentes y temporales.
D. El nombre de los routers generado utilizando el comando hostname.
E. El período de tiempo que un usuario ha estado logueado en el router.
B - El comando show hosts permite visualizar la configucación del servicio de traducción de nombres de Cisco IOS: servidor DNS configurado, estado de activación del servicio de traducción de nombres, y el listado de nombres de nodos y direcciones configurados manualmente.
-------
10. Uno de los routers de su red accede a través de su interfaz serial 0/0 a 3 redes diferentes: 172.16.10.0, 172.16.20.0 y 172.16.30.0. Sin embargo, los usuarios reportan que no pueden acceder a la red 172.16.20.0.Para diagnosticar el problema usted ha ingresado en la CLI del router los comandos debug ip rip y show ip route, con el siguiente resultado:
Router#debug ip rip
ld00h: RIP:received vl update from 172.16.100.2 on serial0/0
ld00h: 172.16.10.0 in l hops
ld00h: 172.16.20.0 in l hops
ld00h: 172.16.30.0 in l hops
Router#show ip route
Gateway of last resort is not set
172.16.0.0/24 is subnetes, 8 subnets
C 172.16.150.0 is directly connected, FastEthernet0/0
C 172.16.220.0 is directly connected, Loopback2
C 172.16.210.0 is directly connected, Loopbackl
C 172.16.200.0 is directly connected, Loopback0
R 172.16.30.0 [120/1] via 172.16.100.2, 00:00:07, serial0/0
S 172.16.20.0 [l/0] via 172.16.150.15
R 172.16.10.0 [120/1] via 172.16.100.2, 00:00:07, serial 0/0
C 172.16.100.0 is directly connected, Serial0/0
A partir de esta información, ¿Cuál podría ser la causa del problema?
- A. La red 172.16.20.0 no se encuentra en la tabla de enrutamiento del router.
B. No hay una ruta por defecto en el router.
C. La ruta estática a la red 172.16.20.0 es incorrecta.
D. El router no está recibiendo actualizaciones de la red 172.16.20.0.
E. Ninguna de las opciones es correcta.
C - Si se observa el debug, se advierte que nuestro dispositivo está conectado a la red 172.16.20.0 a través de su interfaz serial 0/0. Si embargo, al revisar la tabla de enrutamiento se observa que está direccionada utilizando una ruta estática a través de la red 172.16.150.0, la que está conectada a la interfaz FastEthernet 0/0.
tips, simulaciones y abundante material de estudio,
los encontrarás en mi libro:
"Guía de preparación para el examen de certificación CCNA"
Referido a la pregunta de semana III, la respuesta es la B
ResponderBorrarlos access-list deben ser colocados como sigue:
access-list 128 deny 192.168.0.0 0.0.0.255 host 192.168.20.5 eq www
access-list 128 permit ip any any
Saludos