Redes e informatica

Conceptual: En el diseño jerárquico de MIEMPRESA, ¿Cuál es la principal justificación técnica para utilizar una ruta estática por defecto en el Router de la sede Lima hacia el Router ISP1 e ISP2, en lugar de recibir la tabla de enrutamiento completa de Internet?. Porque el Router de Puno no soporta NAT/PAT. Para evitar bucles de enrutamiento en la topología Hub-and-Spoke. Porque las rutas estáticas tienen una Distancia Administrativa de 1, lo que las hace más rápidas que OSPF. Para permitir la sumarización automática de las VLANs de voz y datos. Porque Lima es una red "Hub and Spoke" y conservar recursos de memoria y CPU en el router de borde es prioritario.

El Router Lima maneja cientos de rutas hacia las diferentes sedes (Puno, Ica, etc.). Si se decide implementar una ruta estática sumarizada hacia un grupo de subredes contiguas, ¿Qué riesgo de "enrutamiento subóptimo" se introduce si no se planifica bien el direccionamiento?. Se podría enviar tráfico a destinos inexistentes dentro del bloque resumen, generando bucles o tráfico innecesario hacia la ruta por defecto. Se crea un bucle infinito si la interfaz null0 no se configura. Se descarta tráfico legítimo destinado a una subred que existe pero que no está en la sumarización. Se aumenta la latencia debido al procesamiento de la máscara de subred. La distancia administrativa de la ruta sumarizada se vuelve 255 y se invalida.

Caso RLIMA-ISP: Para el enlace primario hacia ISP1 (Movistar), se configura la ruta ip route 0.0.0.0 0.0.0.0 Serial0/0/0. Sin embargo, el ingeniero senior critica esta configuración y sugiere usar la IP del siguiente salto. ¿Por qué es técnicamente preferible usar la IP del siguiente salto en redes Ethernet/GigabitEthernet, aunque en el proyecto final fue Serial?. Porque en interfaces seriales es obligatorio usar la IP del siguiente salto. Porque la interfaz de salida no tiene una dirección MAC asociada. Porque RIPv2 no puede redistribuir rutas estáticas si se configuran por interfaz. Para que la distancia administrativa cambie automáticamente de 1 a 0. Para evitar la sobrecarga de ARP (en Ethernet) o procesos innecesarios de búsqueda recursiva si la interfaz es multipunto.

Caso RLIMA-ISP: Se requiere configurar la redundancia hacia ISP2 (Claro) solo cuando el enlace a ISP1 falle. El comando ingresado es: "ip route 0.0.0.0 0.0.0.0 190.239.10.9". ¿Cuál es el error crítico en este comando para lograr el objetivo de "Ruta Flotante"?. Falta asignar una Distancia Administrativa (AD) superior a 1 al final del comando. Falta especificar la interfaz de salida GigabitEthernet. La máscara de subred debería ser /30 en los enlaces seriales de RLima a ISPs. No se ha configurado el comando wildcard para la máscara /30. Se está usando la IP del router local en lugar del remoto.

Caso RLIMA: Si se configuran dos rutas estáticas por defecto, una hacia ISP1 y otra hacia ISP2, ambas con la misma distancia administrativa y métrica. ¿Qué comportamiento adoptará el Router Cisco 2911 de Lima para el tráfico saliente?. Usará solo la ruta que se configuró primero en la NVRAM. Entrará en modo de error y no enviará tráfico. Usará ISP1 para tráfico TCP y ISP2 para tráfico UDP. Usará la interfaz con la dirección IP más alta. Realizará balanceo de carga (ECMP - Equal Cost Multi-Path) distribuyendo paquetes o flujos entre ambos enlaces.

Caso ISPs: El tráfico sale correctamente de Lima hacia Internet, pero las respuestas no regresan. El ISP1 indica que no tiene rutas hacia la red interna 172.21.0.0/16 de MIEMPRESA. Considerando que no se usa NAT en esta prueba específica, ¿Qué ruta estática debe configurar el ISP1 para alcanzar la red interna a través de Lima (IP WAN: 200.48.225.6 para el próximo salto)?. ip route 172.21.0.0 255.255.0.0 200.48.225.6. ip route 172.21.0.0 255.255.0.0 200.48.225.5. ip route 0.0.0.0 0.0.0.0 200.48.225.6. ip route 172.21.0.0 255.255.255.0 200.48.225.6. ip route 200.48.225.0 255.255.255.252 172.21.0.1.

Caso ISP3 (Cloud): Se necesita acceder específicamente al servidor de base de datos en la nube de Cirion (Red 200.107.200.0/29) a través del enlace ISP3- ISP1. ¿Qué configuración en RLIMA garantiza que este tráfico específico vaya por ese enlace y no por la ruta por defecto?. Configurar una ruta por defecto con AD 254 hacia el ISP1. Usar una ACL para permitir el tráfico hacia Cirion (ISP3). Configurar RIPv2 para aprender la ruta de Cirion (ISP3). Configurar ip route 0.0.0.0 0.0.0.0 [IP_Next_Hop]. Configurar una ruta estática específica: ip route 200.107.200.0 255.255.255.248 [IP_Next_Hop] 1.

Caso Redistribución: RLIMA tiene conectividad a Internet mediante rutas estáticas, pero necesita que las sedes (Puno, Ica) sepan cómo llegar a Internet sin configurar rutas estáticas manuales en cada una. ¿Qué comando en el proceso RIP de RLIMA inyecta la Ruta hacia las sucursales?. network 0.0.0.0. default-information originate. ip default-network 0.0.0.0. redistribute ospf 1. ip route 0.0.0.0 0.0.0.0 null0.

Caso Limitación de Métrica (RIP vs OSPF): La gerencia decide invertir en un enlace de respaldo de Fibra Óptica (1 Gbps) entre Lima y la sede crítica de La Libertad, manteniendo el enlace serial antiguo (1.5 Mbps) como secundario. Sin embargo, al configurar RIPv2 en ambos enlaces, el ingeniero nota que el tráfico se divide 50/50 entre la fibra y el serial lento, saturando este último. ¿Por qué ocurre este comportamiento ineficiente y crítico?. Porque RIPv2 balancea carga automáticamente basándose en el ancho de banda disponible en cada enlace. Porque no se configuró el comando bandwidth y se cambió a 1Gbps en la interfaz serial. Porque RIPv2 utiliza exclusivamente el "conteo de saltos" como métrica; al ver 1 salto en ambos enlaces, los considera idénticos sin importar que uno sea 1000 veces más rápido que el otro. Porque la distancia administrativa de RIP es 120 en ambos enlaces. Porque el enlace de fibra tiene una mucho menos que el enlace sería que está basado en cobre.

Caso Métrica: Si la empresa se expande y la ruta desde una filial en Argentina hasta una subred profunda en Colombia atraviesa 16 routers utilizando RIPv2. ¿Cuál será el resultado de la conectividad para esa red específica?. La conectividad será lenta pero funcional. RIPv2 cambiará automáticamente a métrica infinita y luego a OSPF. El paquete se fragmentará en cada salto. La red se considerará inalcanzable, ya que RIP descarta rutas con 16 saltos o más. Funcionará solo si se configura ip rip ttl 20.

Caso Defensa en Profundidad (Seguridad): El enlace WAN hacia Puno ya está protegido con autenticación CHAP en la capa PPP. El auditor de seguridad insiste en que, ADICIONALMENTE, se debe configurar autenticación MD5 en el protocolo RIPv2 (ip rip authentication...). El administrador de red argumenta que es redundante. ¿Cuál es el argumento técnico crítico que da la razón al auditor?. CHAP encripta la contraseña, pero MD5 encripta todo el paquete de datos de usuario. CHAP protege el acceso al enlace (Capa 2), pero no evita que un atacante interno o un dispositivo comprometido dentro de la LAN inyecte rutas falsas maliciosas en la tabla de enrutamiento (Capa 3/Plano de Control). RIPv2 sin autenticación no soporta VLSM. CHAP solo autentica la conexión física inicial; MD5 en RIP es necesario para cifrar el tráfico de los usuarios finales. MD5 reduce la carga de la CPU en comparación con CHAP.

Caso Versión: Un router antiguo de la serie 1841 en una sucursal solo soporta RIPv1 y está enviando actualizaciones de broadcast (255.255.255.255). Los routers nuevos 2911 están configurados con version 2. ¿Cómo procesan los routers 2911 estas actualizaciones por defecto?. Las aceptan y actualizan su tabla. Las convierten automáticamente a multicast 224.0.0.9. El router se reinicia por error de formato. Por defecto, RIPv2 suele ignorar actualizaciones RIPv1. Envían un mensaje ICMP "Protocol Unreachable".

Conceptual OSI: En el proceso de encapsulamiento cuando un usuario de Puno envía un correo, ¿Qué unidad de datos de protocolo (PDU) se procesa en la Capa de Transporte antes de pasar a la Capa de Red?. Trama (Frame). Paquete (Packet). Datos (Data). Segmento (Segment). bit.

Conceptual TCP/IP: ¿Cuál es la función crítica del campo "Número de Secuencia" en el encabezado TCP durante la transferencia de un archivo grande desde el servidor de Lima hacia Puno?. Determinar la ruta IP más rápida. Encriptar los datos del payload. Permitir el reordenamiento de segmentos que llegan desordenados y detectar segmentos perdidos. Identificar el puerto de aplicación de destino. Realizar la comprobación de errores (Checksum) del encabezado.

Aplicativo DNS: Un host en Puno consulta www.google.com. El DNS interno en Lima no tiene la respuesta. ¿Qué tipo de consulta realiza el servidor DNS de Lima hacia el DNS del ISP para obtener la respuesta final en nombre del cliente?. Consulta Iterativa. Consulta Inversa. Consulta de Transferencia de Zona (AXFR). Consulta Recursiva. Consulta de Broadcast.

Aplicativo DHCP: Los usuarios de la VLAN 26 (WCL/WiFi) en Puno no reciben dirección IP. El servidor DHCP está centralizado en Lima. El enlace WAN está activo. ¿Qué configuración falta probablemente en la interfaz VLAN (SVI) del Switch Multicapa/Router de Puno?. ip [IP_Servidor_DHCP_Lima] pool WCL. ip nat inside [IP_Servidor_DHCP_Lima]. no ip routing. ip helper-address [IP_Servidor_DHCP_Lima]. ip address [IP_Servidor_DHCP_Lima].

Aplicativo Servicios Web: Al implementar un servidor Web seguro (HTTPS) en la DMZ de Lima, se debe permitir el tráfico en el firewall. ¿Qué puertos TCP y qué protocolo de seguridad de Capa de Presentación/Aplicación están involucrados?. Puerto 80 y IPsec. Puerto 22 y SSH. Puerto 8080 y GRE. Puerto 25 y PGP. Puerto 443 y TLS/SSL.

Aplicativo SSH: El administrador intenta conectarse vía SSH al Router de Puno pero recibe un error de "Connection Refused". Ha verificado que hay conectividad IP. ¿Qué paso de configuración previo es obligatorio para generar las llaves criptográficas necesarias para levantar el servicio SSH?. Configurar la contraseña de consola. Habilitar Telnet como respaldo. Configurar la interfaz Loopback0. Configurar la versión de SSH a 1. Configurar un nombre de dominio IP (ip domain-name) y luego generar las llaves RSA (crypto key generate rsa).

Aplicativo NAT/PAT: Muchos usuarios de la sede central salen a Internet usando una sola dirección IP pública del Router Lima. De repente, algunos usuarios reportan que no pueden navegar, aunque el enlace está libre. ¿Qué limitación de la tabla PAT podría estar causando esto?. Se agotaron los puertos de origen disponibles en la tabla NAT para la IP pública única. Se agotó el ancho de banda del enlace serial. servidor DNS del ISP está caído. La tabla de enrutamiento está llena. El tiempo de espera (timeout) de NAT es demasiado bajo.

Servicios de Correo: En la arquitectura centralizada, el servidor de correo está en Lima. Cuando un usuario envía un correo a un dominio externo, ¿Qué protocolo usa el cliente para enviar el correo al servidor y qué protocolo usa el servidor de Lima para reenviarlo al servidor de destino en Internet?. SMTP para enviar (Servidor->Servidor MTA), POP3 para reenviar (Cliente->Servidor). POP3 para ambos. IMAP para enviar, SMTP para reenviar. HTTP para enviar, FTP para reenviar. SMTP para enviar (Cliente->Servidor) y SMTP para reenviar (Servidor->Servidor MTA).

Conceptual WAN: En el contexto del proyecto, se menciona el uso de enlaces "Seriales". ¿Cuál es la diferencia fundamental entre una tecnología de conmutación de circuitos (como una línea arrendada T1/E1 tradicional) y una de conmutación de paquetes (como MPLS o Metro Ethernet)?. La conmutación de circuitos comparte el ancho de banda y enruta datos individualmente. La conmutación de circuitos establece un canal físico o lógico dedicado de ancho de banda fijo, mientras que la de paquetes comparte el ancho de banda y enruta datos individualmente. La conmutación de paquetes establece un canal físico o lógico dedicado de ancho de banda fijo no soporta QoS. La conmutación de circuitos usa direcciones IP para enrutar, la de paquetes usa números de teléfono. No hay diferencia, son términos del Modelo OSI utiliza para que sea profesional en la licitación de proyectos.

Conceptual WAN: ¿Cuál es la función del equipo DCE (Data Circuit-terminating Equipment), típicamente un CSU/DSU o módem, en el extremo del proveedor del enlace serial?. Proporcionar la señal de reloj (Clocking) para la sincronización de la transmisión de datos en el enlace serial. Actuar como el origen de los datos del usuario (PC). Enrutar los paquetes de Capa 3. Aplicar las ACLs de entrada para filtrar el acceso no autorizado en conjunto con el Firewall. Asignar direcciones IP por DHCP.

Caso Bloqueo Admin: Se requiere bloquear todo acceso desde la VLAN WIFI (VLAN 26, 172.21.192.0/27) hacia la VLAN de Gestión/Admin (172.21.44.0/25). ¿Cuál es la sentencia ACL correcta para denegar este tráfico IP?. access-list 100 deny tcp 172.21.192.0 255.255.255.224 172.21.44.0 255.255.255.128. access-list 100 deny ip host 172.21.192.0 host 172.21.44.0. access-list 1 permit ip any any. access-list 100 deny ip 172.21.192.0 0.0.0.31 172.21.44.0 0.0.0.127. access-list 100 deny ip 172.21.192.0 0.0.0.255 172.21.44.0 0.0.0.255.

Caso Permitir Web: Una ACL extendida tiene una política de "Deny All" al final. Se necesita permitir que los usuarios accedan a servidores web en Internet (HTTP y HTTPS). ¿Qué sentencias deben agregarse antes del deny?. Permitir solo UDP puerto 53. Permitir IP any any. Permitir TCP any eq 80 any. Permitir ICMP any any. Permitir TCP any any eq 80 y Permitir TCP any any eq 443.

Caso Implicit Deny: Un ingeniero configura una ACL para permitir solo el acceso SSH al servidor y olvida la regla final. Los usuarios reportan que ahora nadie puede hacer Ping ni acceder a la web del servidor. ¿Por qué?. Debido a la "Denegación Implícita" (Implicit Deny) invisible al final de cada ACL que bloquea todo lo que no se permite explícitamente. SSH bloquea otros puertos. El router se reinició. Porque la ACL se aplicó en la dirección incorrecta. Porque SSH usa UDP y TCP simultáneamente.

Caso TCP Established: Se desea permitir que el tráfico de retorno desde Internet (respuestas a navegadores internos) entre a la red, pero bloquear cualquier intento de conexión nueva iniciada desde Internet hacia adentro. ¿Qué palabra clave se usa en la ACL extendida para lograr esto?. echo-reply. stateful. inspect. established. return.

Caso Ubicación: Según las mejores prácticas de diseño de redes, ¿Dónde se debe colocar una ACL Extendida para filtrar tráfico de manera más eficiente y ahorrar ancho de banda?. Lo más cerca posible del origen del tráfico. Lo más cerca posible del destino del tráfico. En el router del ISP en la interfaz G0/0/0. En la interfaz de salida Serial 0/0/0 hacia Internet ISP1. En la interfaz VLAN del switches de multicapa.

Caso Host Infectado: Se detecta que el host 172.21.45.195 (WiFi) está atacando la red. Se debe bloquear inmediatamente su acceso a todo. ¿Cuál es la configuración más precisa?. access-list 101 deny ip 172.21.45.0 0.0.0.255. access-list 101 deny ip host 172.21.45.195 any. access-list 101 permit ip host 172.21.45.195 any. access-list 101 deny tcp any host 172.21.45.195. Apagar el switch core.

Caso Orden ACL: Se tiene la siguiente ACL: 10 deny ip host 10.1.1.1 any 20 permit ip 10.1.1.0 0.0.0.255 any Si el host 10.1.1.1 intenta enviar un paquete, ¿Qué sucede?. Se permite, porque la línea 20 permite toda la subred y procesa la búsqueda al encontrar coincidencia (línea 20). Se permite, porque la máscara wildcard es más específica en la línea 20. Se envía al log de auditoría pero pasa. Se deniega, porque el router procesa de arriba hacia abajo y detiene la búsqueda al encontrar la primera coincidencia (línea 10). La ACL es inválida y se descarta todo.

Caso Auditoría: El CIO solicita un reporte de cuántos intentos de acceso no autorizado se han bloqueado desde la red de invitados hacia la red de finanzas. ¿Qué palabra clave debe agregarse al final de las sentencias deny de la ACL para permitir ver esto en la consola?. Audit. traceroute. wildcard. eq y el Puerto lógico. log.