IAT_B4_4_Administración de redes LAN. Gestión de usuarios

1. En una LAN, el dispositivo que opera principalmente en capa 2 conmutando tramas por MAC es: a) Router. b) Switch. c) Hub. d) Proxy.

2. Un hub se caracteriza por: a) Aprender direcciones MAC. b) Separar dominios de colisión. c) Repetir bits a todos los puertos (un solo dominio de colisión). d) Hacer NAT.

3. ¿Qué tecnología permite segmentar una LAN en dominios de broadcast lógicos usando etiquetas?. a) VLAN (802.1Q). b) ARP. c) ICMP. d) NAT.

4. Un puerto “access” en un switch (concepto VLAN) normalmente: a) Transporta múltiples VLAN etiquetadas. b) Pertenece a una sola VLAN y envía/recibe sin etiquetas (para host). c) Solo se usa para enlaces WAN. d) Solo admite IPv6.

5. Un enlace “trunk” (802.1Q) se usa típicamente para: a) Conectar host final a su VLAN sin tags. b) Transportar varias VLAN entre switches o switch-router. c) Evitar el uso de STP. d) Reemplazar DHCP.

6. STP (Spanning Tree Protocol) se usa para: a) Repartir direcciones IP. b) Evitar bucles de capa 2 bloqueando enlaces redundantes. c) Cifrar tráfico en LAN. d) Traducir direcciones privadas a públicas.

7. Un síntoma típico de un bucle de capa 2 en una LAN es: a) Baja latencia y mejor rendimiento. b) “Broadcast storm” y caída de rendimiento general. c) Imposibilidad de usar VLANs. d) Los hosts pasan a usar IPv6 automáticamente.

8. En switches, “MAC flapping” suele indicar: a) DNS mal configurado. b) Bucle o conexión de la misma MAC por dos puertos alternándose. c) Falta de gateway. d) DHCP sin reservas.

9. ¿Qué protocolo asigna IPs automáticamente en una LAN?. a) ARP. b) DHCP. c) SNMP. d) NTP.

10. “Default gateway” en una LAN es: a) El servidor DNS. b) El switch principal. c) La IP del router/interfaz que enruta fuera de la subred. d) La IP del servidor DHCP.

11. En una red /24 típica, ¿qué dirección es la de red?. a) La primera IP del rango. b) La última IP del rango. c) La primera IP del rango con host bits a 0. d) La IP del gateway.

12. ¿Qué servicio traduce nombres a direcciones IP dentro de una LAN (habitualmente)?. a) DNS. b) DHCP. c) STP. d) LLDP.

13. “LLDP” se usa para: a) Cifrar enlaces. b) Descubrir vecinos y anunciar información de capa 2. c) Asignar IPs. d) Enrutar entre VLANs.

14. En un entorno de dominio, el servicio típico de directorio centralizado es: a) Active Directory. b) DHCP. c) SMTP. d) NFS.

15. ¿Cuál es una ventaja clave de un dominio frente a cuentas locales dispersas?. a) Eliminar la necesidad de red. b) Gestión centralizada de usuarios, grupos y políticas. c) Obligar a usar POP3. d) Cambiar el direccionamiento IP automáticamente.

16. En Windows, un “grupo” se usa principalmente para: a) Asignar permisos a varios usuarios de forma conjunta. b) Cambiar IPs en masa. c) Reemplazar DNS. d) Reemplazar el firewall.

17. En control de acceso, la práctica correcta es asignar permisos: a) Directamente a cada usuario siempre. b) A grupos/roles y meter usuarios en esos grupos. c) A “Everyone: Full Control” y ya. d) Solo al usuario Administrador.

18. En un dominio Windows, la aplicación de directivas a equipos/usuarios se asocia a: a) GPO. b) NAT. c) ARP. d) PPP.

19. “Autenticación” significa: a) Determinar qué puede hacer un usuario. b) Verificar identidad del usuario. c) Cifrar el tráfico. d) Traducir IPs.

20. “Autorización” significa: a) Verificar identidad. b) Asignar una IP. c) Determinar permisos/acciones permitidas tras autenticación. d) Enviar correo.

21. Un mecanismo típico para autenticar usuarios en red corporativa (Windows) es: a) Kerberos. b) RIP. c) OSPF. d) ARP.

22. Un servidor RADIUS se usa típicamente para: a) Resolver nombres. b) Autenticación/AAA centralizada (Wi-Fi 802.1X, VPN, etc.). c) Transporte de correo. d) Asignar direcciones MAC.

23. 802.1X se asocia principalmente a: a) Control de acceso a red por puerto (NAC) usando autenticación. b) VLAN tagging. c) Spanning Tree. d) DHCP relay.

24. Si un usuario cambia de equipo pero debe mantener el mismo acceso a recursos, lo más consistente es: a) Dar permisos al equipo (MAC) en vez de al usuario. b) Usar cuentas locales distintas en cada equipo. c) Gestionar permisos por grupos en un directorio central (dominio). d) Desactivar autenticación y usar recursos públicos.

25. Señala la afirmación INCORRECTA: a) VLAN separa dominios de broadcast. b) STP evita bucles de capa 2. c) DHCP asigna IP automáticamente. d) Un hub separa dominios de colisión como un switch.

26. ARP se usa para: a) Resolver nombre DNS a IP. b) Resolver IP a MAC en una LAN. c) Enrutar entre subredes. d) Cifrar tráfico.

27. Un “ARP spoofing/poisoning” consiste en: a) Enviar ICMP con TTL bajo. b) Falsificar respuestas ARP para asociar una IP a una MAC del atacante. c) Cambiar el registro MX. d) Crear VLANs dinámicas.

28. Una medida L2 típica para mitigar ARP spoofing en switches gestionables es: a) Port mirroring. b) DHCP snooping + Dynamic ARP Inspection. c) Desactivar STP. d) Activar hub mode.

29. DHCP asigna, entre otros parámetros, típicamente: a) MAC del router. b) IP, máscara, gateway y DNS. c) VLAN ID del switch siempre. d) Certificados TLS.

30. Un problema típico si hay dos servidores DHCP en la misma LAN sin coordinación es: a) Mejora redundancia siempre. b) Conflictos de configuración (IPs/gateway/DNS incoherentes). c) Se desactiva ARP. d) Se rompe 802.1Q.

31. “DHCP relay” se usa cuando: a) El servidor DHCP está en la misma subred siempre. b) El servidor DHCP está en otra subred y hay que reenviar broadcasts. c) Se quiere cifrar DHCP. d) Se quiere sustituir DNS.

32. En inter-VLAN routing, ¿qué elemento es necesario para que VLANs distintas se comuniquen?. a) Un hub. b) Un router o switch de capa 3. c) Un repetidor. d) Un access point.

33. “Router-on-a-stick” significa: a) Un router con múltiples interfaces físicas, una por VLAN. b) Un router con una interfaz trunk 802.1Q y subinterfaces por VLAN. c) Un switch sin VLANs. d) Un router que hace NAT obligatoriamente.

34. En un switch, un puerto trunk mal configurado puede causar: a) Que el host reciba IP por DHCP más rápido. b) Que tramas de VLAN equivocada lleguen a donde no deben o que no haya conectividad. c) Que STP se desactive solo. d) Que ARP se cifre.

35. Una ACL (Access Control List) en red se usa para: a) Conmutar tramas por MAC. b) Permitir/denegar tráfico según criterios (IP/puerto/protocolo). c) Resolver IP a MAC. d) Asignar direcciones IP.

36. NAT se usa típicamente para: a) Separar dominios de colisión. b) Traducir direcciones privadas a públicas (y viceversa). c) Reemplazar DNS. d) Gestionar usuarios de dominio.

37. ¿Cuál es una afirmación INCORRECTA?. a) Un switch L2 no enruta entre subredes por defecto. b) Un router opera en capa 3. c) Una VLAN separa broadcast domains. d) Un switch L2 hace NAT entre VLANs automáticamente.

38. En un recurso compartido de Windows, la forma recomendada de asignar permisos es: a) Dar Control total a Everyone y confiar en que se porten bien. b) Asignar permisos a grupos (roles) y meter usuarios en esos grupos. c) Dar permisos directamente a usuarios individuales siempre. d) Desactivar NTFS y usar solo permisos de compartición.

39. Si en NTFS un usuario tiene “Lectura” pero en el recurso compartido tiene “Cambiar”, el permiso efectivo por red será: a) Cambiar (el más permisivo). b) Lectura (el más restrictivo). c) Control total. d) Depende del DNS.

40. “Herencia” de permisos significa que: a) Los permisos nunca se propagan. b) Un objeto hijo puede recibir permisos del contenedor padre. c) Solo existe en Linux. d) Solo aplica a permisos de compartición.

41. En Linux, el fichero que define usuarios locales es: a) /etc/shadow. b) /etc/passwd. c) /etc/group. d) /etc/hosts.

42. En Linux, para permisos avanzados por ACL en ficheros, comando típico para establecer ACL es: a) setfacl. b) chmod. c) chown. d) useradd.

43. Para consultar ACLs en Linux, comando típico: a) getfacl. b) net acl. c) showfacl. d) faclstat.

44. Un problema típico si solo usas chmod pero necesitas permisos distintos para dos usuarios concretos sobre un fichero es: a) chmod no puede; necesitas ACL o cambiar propietario/grupo/estructura. b) chmod cifra el fichero. c) chmod rompe TCP/IP. d) chmod cambia el DNS.

45. En Wi-Fi corporativo, el método típico para autenticación por usuario (no PSK compartida) es: a) WEP. b) WPA2-Enterprise (802.1X/RADIUS). c) WPA-Personal con clave “12345678”. d) Open Wi-Fi.

46. 802.1X suele apoyarse en: a) RADIUS como servidor AAA. b) DNS como servidor AAA. c) DHCP como servidor AAA. d) SMTP como servidor AAA.

47. Si en una red corporativa quieres que invitados no accedan a recursos internos, una medida típica es: a) Poner invitados en la misma VLAN que servidores. b) VLAN/SSID de invitados aislada + reglas de firewall (sin acceso a LAN interna). c) Darles credenciales de admin. d) Desactivar el gateway.

48. Port Security en un switch se usa para: a) Limitar/asegurar qué MACs pueden aparecer en un puerto. b) Asignar IPs. c) Firmar correos DKIM. d) Enrutar entre VLANs.

49. Si activas Port Security con “1 MAC máxima” y conectas un switch no autorizado en ese puerto, efecto típico: a) Nada cambia. b) El puerto puede bloquearse/violar política al ver múltiples MACs. c) Se desactiva STP. d) Se cambia el DNS.

50. Señala la afirmación INCORRECTA sobre segmentación: a) VLAN separa dominios de broadcast. b) Segmentar reduce superficie de ataque lateral. c) Inter-VLAN routing debe controlarse con ACL/firewall según necesidad. d) Si hay VLANs, ya no hace falta controlar permisos de usuarios en recursos.

51. Rapid Spanning Tree Protocol (RSTP) corresponde a: a) IEEE 802.1D. b) IEEE 802.1Q. c) IEEE 802.1w. d) IEEE 802.1X.

52. ¿Cuál es una ventaja típica de RSTP sobre STP clásico?. a) Convergencia más rápida ante cambios de topología. b) Sustituye a VLANs. c) Evita la necesidad de switches. d) Cifra tráfico capa 2.

53. BPDU Guard se usa típicamente para: a) Permitir BPDUs en puertos trunk. b) Deshabilitar un puerto si recibe BPDUs donde no debería (puertos de acceso). c) Asignar IPs por puerto. d) Hacer NAT por puerto.

54. PortFast (concepto) se usa para: a) Acelerar la transición de un puerto “edge” a forwarding para hosts. b) Forzar el puerto a ser root port. c) Convertir un access en trunk automáticamente. d) Desactivar STP en toda la red.

55. Trampa típica: PortFast debe usarse principalmente en: a) Puertos hacia otros switches. b) Puertos hacia routers/firewalls siempre. c) Puertos hacia hosts finales (PC, impresoras). d) Puertos en WAN.

56. DHCP snooping se usa para: a) Acelerar DNS. b) Marcar puertos “trusted/untrusted” y bloquear respuestas DHCP no autorizadas. c) Cambiar VLAN IDs automáticamente. d) Encapsular SMTP.

57. Un “rogue DHCP” puede provocar: a) Clientes con gateway/DNS maliciosos (MITM). b) Mejoras de rendimiento. c) Que STP deje de funcionar. d) Que ARP desaparezca.

58. Para que DAI (Dynamic ARP Inspection) funcione bien en un entorno con DHCP, suele apoyarse en: a) Tablas de rutas OSPF. b) Bindings de DHCP snooping. c) Cabeceras MIME. d) VLAN nativa sin tags.

59. Un switch L3 se diferencia de uno L2 porque puede: a) Conmutar por MAC. b) Enrutar entre VLANs/subredes (capa 3). c) Repetir bits como un hub. d) Ejecutar POP3.

60. SVI (Switch Virtual Interface) se usa para: a) Dar una interfaz IP a una VLAN en un switch L3 (gateway de esa VLAN). b) Etiquetar tramas 802.1Q en hosts. c) Hacer NAT en switches L2. d) Desactivar DHCP.

61. En una LAN, si dos hosts están en VLANs distintas y no hay routing entre VLANs, ¿qué ocurre?. a) Se comunican igual por ARP. b) No pueden comunicarse (sin router/L3). c) Solo pueden comunicarse por DNS. d) Se comunican si ambos usan IPv6.

62. El “broadcast” de una VLAN: a) Se propaga a todas las VLANs. b) Se limita al dominio de broadcast de esa VLAN. c) Solo lo ve el router WAN. d) Nunca llega a los switches.

63. En una red /24, el número de direcciones totales es: a) 128. b) 256. c) 512. d) 1024.

64. En una /24, el número de hosts útiles (clásico IPv4) es: a) 254. b) 255. c) 256. d) 253.

65. ¿Qué máscara corresponde a /26?. a) 255.255.255.0. b) 255.255.255.192. c) 255.255.255.224. d) 255.255.255.128.

66. Una red /26 tiene direcciones totales: a) 32. b) 64. c) 128. d) 256.

67. Si en un servidor de ficheros quieres que “Contabilidad” tenga acceso a una carpeta y “Ventas” no, lo más correcto es: a) Dar permisos a cada usuario uno a uno. b) Crear grupos (Contabilidad/Ventas) y asignar permisos al grupo. c) Poner la carpeta pública y confiar. d) Quitar permisos al Administrador.

68. En un entorno con alta rotación de personal, ¿qué práctica reduce errores al revocar accesos?. a) Usar siempre cuentas compartidas. b) Basar permisos en grupos/roles, no en usuarios individuales. c) Dar Control total a Everyone. d) No documentar cambios para ir más rápido.

69. Una cuenta compartida es problemática porque: a) Reduce costes. b) Impide trazabilidad (no sabes quién hizo qué). c) Obliga a usar IPv6. d) Mejora auditoría.

70. En una red corporativa, la autenticación centralizada ayuda porque: a) Elimina la necesidad de backups. b) Permite aplicar políticas y revocar accesos desde un punto central. c) Sustituye a los switches. d) Evita la necesidad de VLANs.

71. Si un host no obtiene IP por DHCP y está en una VLAN distinta del servidor DHCP, la causa más probable es: a) Falta de DHCP relay / helper en el dispositivo L3. b) Falta de DKIM. c) STP desactivado. d) PTR incorrecto.

72. Si un usuario dice “veo la red Wi-Fi invitado pero no puedo acceder a servidores internos”, eso es: a) Un fallo siempre. b) Comportamiento esperado si la VLAN/SSID invitado está aislado por diseño. c) Un problema de ARP. d) Un problema de MX.

73. Si conectas dos switches con un cable pero te olvidas de configurar trunk y cada lado está en VLAN distinta, lo típico es: a) Todo funciona igual. b) Solo pasará tráfico de la VLAN que coincida (o la nativa/untagged) y el resto fallará. c) Se crea un DHCP relay automático. d) NAT corrige el problema.

74. En una red con STP, si un enlace redundante aparece “bloqueado”, eso significa: a) Es un error; STP nunca bloquea. b) STP está funcionando y ha bloqueado para evitar bucles. c) El switch está roto. d) El enlace está cifrado.

75. Señala la afirmación INCORRECTA: a) DHCP snooping puede mitigar rogue DHCP. b) DAI puede mitigar ARP spoofing. c) BPDU Guard protege puertos edge contra BPDUs inesperadas. d) PortFast debe habilitarse en enlaces entre switches para acelerar convergencia.

76. En 802.1X, el “authenticator” suele ser: a) El switch o AP que controla el puerto/acceso. b) El servidor RADIUS. c) El usuario final (supplicant). d) El servidor DNS.

77. En 802.1X, el “supplicant” es: a) El servidor RADIUS. b) El cliente (equipo/usuario) que se autentica. c) El router de borde. d) El switch core.

78. El servidor que valida credenciales y devuelve “accept/reject” en 802.1X es: a) DHCP. b) DNS. c) RADIUS. d) SMTP.

79. Una ventaja de WPA2-Enterprise frente a WPA2-PSK en empresa es: a) Una clave única compartida para toda la organización. b) Autenticación por usuario (credenciales/certificados) y control centralizado. c) No necesita servidor. d) Evita VLANs.

80. NAC (Network Access Control) se usa para: a) Convertir hubs en switches. b) Controlar quién/qué dispositivo entra en la red y con qué nivel de acceso. c) Reemplazar DNS. d) Evitar que exista broadcast.

81. “VLAN hopping” suele asociarse a: a) Ataque para saltar entre VLANs explotando mala configuración de trunks/nativa. b) Técnica para mejorar Wi-Fi. c) Método para cifrar VLAN tags. d) Un protocolo de routing.

82. Medida típica para reducir riesgos de VLAN hopping: a) Poner todos los puertos en modo trunk. b) Deshabilitar DTP/auto-trunking y fijar puertos de usuario en access. c) Habilitar PortFast en trunks. d) Usar hub para “simplificar”.

83. LACP se asocia a: a) Agregación de enlaces (EtherChannel/port-channel). b) Resolución IP→MAC. c) Autenticación Wi-Fi. d) Traducción de direcciones.

84. Un error típico al configurar un port-channel (LACP) es: a) Tener ambos enlaces con la misma velocidad/duplex. b) Que los puertos del bundle tengan configuraciones distintas (VLAN/trunk/access). c) Usar el mismo switch. d) Tener STP activo.

85. Si un host “no tiene red” y ves IP 169.254.x.x en Windows, lo más probable es: a) Ha recibido IP DHCP válida. b) APIPA: fallo al obtener IP por DHCP. c) Es una IP pública. d) Es una IP multicast.

86. Si un host puede hacer ping a su gateway pero no a Internet por nombre, sospecha principal: a) Switch roto. b) DNS mal configurado o inaccesible. c) STP bloqueando el puerto. d) Falta de 802.1Q.

87. Si un host no puede ni ping al gateway en su VLAN, una comprobación inicial típica es: a) Capa 1/2: enlace, VLAN del puerto, IP/máscara. b) DKIM. c) MX. d) NTP.

88. Un conflicto de IP en una LAN suele producir: a) Conectividad perfecta. b) Problemas intermitentes, ARP inestable, avisos de IP duplicada. c) Mejora de rendimiento. d) “Cifrado automático”.

89. Una medida correcta para evitar conflictos de IP en entornos mixtos es: a) Asignar IPs estáticas aleatorias dentro del rango DHCP. b) Excluir del pool DHCP las IPs estáticas (reservas/exclusiones). c) Desactivar DHCP. d) Cambiar el MX.

90. En Windows, si compartición da “Lectura” y NTFS da “Control total”, el acceso efectivo por red será: a) Control total. b) Lectura. c) Ninguno. d) Depende del DHCP.

91. “Deny” explícito en permisos (Windows) suele: a) Tener prioridad y bloquear aunque haya allow por grupo (salvo casos específicos). b) Ser ignorado si el usuario es miembro de algún grupo con allow. c) Aplicarse solo a administradores. d) No existir.

92. Para que un usuario cree archivos en una carpeta pero no borre los de otros, una estrategia típica es: a) Dar Control total a Everyone. b) Usar permisos granulares/ACL para “crear” pero restringir borrado (y herencia adecuada). c) Desactivar NTFS. d) Ponerlo en VLAN distinta.

93. Si quieres que al autenticarse un usuario (802.1X) caiga en una VLAN específica según su perfil, necesitas: a) RADIUS con políticas (atributos) + switch/AP que aplique VLAN dinámica. b) DHCP snooping. c) STP. d) ARP.

94. Si una red de invitados tiene salida a Internet pero no a la LAN interna, eso se logra típicamente con: a) Misma VLAN para todos. b) VLAN/segmento separado + reglas de firewall/ACL. c) Desactivar gateway. d) Activar PortFast.

95. Si un usuario “pierde acceso” a una carpeta tras cambiar de departamento, la explicación más coherente es: a) Cambió de VLAN. b) Cambió de grupo/rol y con ello los permisos efectivos. c) Cambió el MX. d) Cambió el protocolo SMTP.

96. Señala la afirmación INCORRECTA: a) LACP agrega enlaces y puede aportar redundancia. b) 802.1X usa un servidor AAA (RADIUS) típicamente. c) DHCP snooping ayuda contra rogue DHCP. d) APIPA 169.254.x.x significa “DHCP correcto”.

97. Si el trunk entre switches no permite una VLAN, los hosts de esa VLAN en el switch remoto: a) Funcionarán igual. b) No tendrán conectividad de esa VLAN a través del trunk. c) Saltarán a otra VLAN automáticamente. d) Cambiarán de IP a 169.254 siempre.

98. Un error común al usar 802.1X en puertos de switch es olvidarse de: a) Habilitar DNSSEC. b) Configurar RADIUS/credenciales compartidas y políticas en el switch. c) Configurar MX. d) Configurar MIME.

99. Si un switch recibe BPDUs en un puerto de acceso con BPDU Guard, lo típico es: a) Ignorarlos siempre. b) Poner el puerto en err-disable/shutdown según configuración. c) Convertirlo en trunk automáticamente. d) Activar NAT.

100. Señala la afirmación más correcta: a) VLAN sustituye a la autenticación de usuarios. b) STP cifra el tráfico. c) DHCP relay es necesario aunque servidor y clientes estén en la misma subred. d) Segmentar por VLAN y aplicar control de acceso (ACL/permisos) son medidas complementarias.