Какое подключение обеспечивает безопасный сеанс cli с шифрованием к коммутатору cisco

Обновлено: 05.07.2024

Коммутаторы Cisco поддерживают два других метода безопасного входа, которые используют пары имя пользователя / пароль вместо общего пароля без ввода имени пользователя. Первый метод, использует ввод локального имени пользователя и пароля. Происходит настройка пары имя пользователя / пароль локально-то есть в конфигурации коммутатора. Коммутаторы поддерживают режим локального имени пользователя / пароля для входа по консоли, по Telnet и даже по SSH, но не изменяют пароль от привилегированного режима (enable), используемый для входа в режим enable.

Настройки для перехода от использования простых общих паролей к использованию локальных имен пользователей/паролей требует лишь небольших изменений конфигурации, как показано на рис.3.

Настройка коммутаторов с использованием локальной аутентификации по имени пользователя Настройка коммутаторов с использованием локальной аутентификации по имени пользователя

На рисунке показаны два ПК, пытающиеся получить доступ к пользовательскому режиму. Один из ПК подключен по консольному кабелю в пользовательский режим через линию console 0, а другой ПК по Telnet, соединяющийся через терминальные линии vty 0 15. Оба ПК не имеют паролей для входа, и задано имя пользователя для обоих ПК - " local."

На рисунке в Пользовательском режиме используется две команды:

• 1- username ulanbaby secret box
• 2- username landy secret box

Глядя на настройки на рисунке, видно, во-первых, коммутатору, необходимо задать пару имя пользователя/пароль . Для их создания, в режиме глобальной конфигурации, введите команду создания имени пользователя и зашифрованного пароля -username <имя пользователя> secret <пароль>. Затем, чтобы включить тип безопасности входа с проверкой логина (имени пользователя ) по консоли или Telnet, просто добавьте команду login local . По сути, эта команда означает " использовать локальный список имен пользователей для входа в систему."

Вы также можете использовать команду no password, чтобы очистить все оставшиеся команды паролей из консоли или режима vty, потому что эти команды не нужны при использовании локальных имен пользователей и паролей.

Ниже подробно описаны шаги для настройки доступа к к коммутатору с использованием логина и пароля:

Шаг 1. В режиме глобальной конфигурации используйте команду username <имя пользователя > secret <пароль>, чтобы создать одну или несколько пар имя пользователя/пароль в локальной базе коммутатора.

Шаг 2. Настройте консоль на использование пар имя пользователя / пароль из локальной базы коммутатора:

• используйте команду line con 0 для входа в режим конфигурации консоли.
• используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль, совпадающие со списком локальных имен пользователей/паролей.
• (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации.

Шаг 3. Настройте Telnet (vty) для использования пар имя пользователя / пароль из локальной базы коммутатора:

• 1. используйте команду line vty 0 15 для входа в режим конфигурации vty для всех 16 терминальных линий vty (пронумерованных от 0 до 15).
• 2. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль для всех входящих пользователей Telnet, со списком локальных имен пользователей/паролей.
• 3. (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации.

При попытке подключиться по Telnet к коммутатору, настроенному как показано на рисунке, пользователю будет предложено сначала ввести имя пользователя, а затем пароль, как показано в Примере 4. Пара имя пользователя / пароль должна быть в локальной базе коммутатора.В противном случае вход в систему будет отклонен.

В примере 4 коммутаторы Cisco не отображает символы при вводе пароля по соображениям безопасности.

ЗАЩИТА ДОСТУПА В ПОЛЬЗОВАТЕЛЬСКОМ РЕЖИМЕ С ПОМОЩЬЮ ВНЕШНИХ СЕРВЕРОВ АУТЕНТИФИКАЦИИ

Однако использование имени пользователя / пароля, настроенного непосредственно на коммутаторе, не всегда удобно при администрировании. Например, каждому коммутатору и маршрутизатору требуется настройка для всех пользователей, которым может потребоваться войти на устройства. Затем, когда возникнет необходимость внесения изменений в настройки, например, изменение паролей для усиления безопасности, настройки всех устройств должны быть изменены.

Лучшим вариантом было бы использовать инструменты, подобные тем, которые используются для многих других функций входа в ИТ. Эти инструменты обеспечивают центральное место для безопасного хранения всех пар имя пользователя / пароль, с инструментами, чтобы заставить пользователей регулярно менять свои пароли, инструменты, чтобы отключать пользователей, когда они завершают сеанс работы, и так далее.

Коммутаторы Cisco позволяют именно этот вариант, используя внешний сервер, называемый сервером аутентификации, авторизации и учета (authentication, authorization, and accounting)(AAA). Эти серверы содержат имена пользователей / пароли. Сегодня многие существующие сети используют AAA-серверы для входа на коммутаторы и маршрутизаторы.

Да для настройки данного входа по паре имя пользователя / пароль необходимо произвести дополнительные настройки коммутатора.

На рисунке показано, что пользователь сначала вводит имя пользователя / пароль, коммутатор запрашивает AAA-сервер, а сервер отвечает коммутатору, заявляя, что имя пользователя/пароль действительны.

Основной процесс аутентификации с внешним AAA-сервером Основной процесс аутентификации с внешним AAA-сервером

На рисунке процесс начинается с того, что ПК " А " отправляет регистрационную информацию через Telnet или SSH на коммутатор SW1. Коммутатор передает полученную информацию на сервер "AAA" через RADIUS или TACACS+. Сервер отправляет подтверждение коммутатору, который, в свою очередь, отправляет приглашение (разрешение) на ввод команды в пользовательскую систему.

Хотя на рисунке показана общая идея, обратите внимание, что информация поступает с помощью нескольких различных протоколов. Слева, соединение между Пользователем и коммутатором или маршрутизатором использует Telnet или SSH. Справа коммутатор и AAA-сервер обычно используют протокол RADIUS или TACACS+, оба из которых шифруют пароли, при передаче данных по сети.

НАСТРОЙКА ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА ПО SSHL

SSH может использовать тот же метод аутентификации локального входа, что и Telnet, с настроенными именем пользователя и паролем в локальной базе коммутатора. (SSH не работает с методами аутентификации, которые не используют имя пользователя, например только общие пароли.)

Итак, в настройке доступа для локальных пользователей по Telnet, как показано ранее на рисунке, также включена локальная аутентификация по имени пользователя для входящих соединений SSH.

На рисунке показан один пример настройки того, что требуется для поддержки SSH. Рисунок повторяет конфигурацию создания локального пользователя, (см. рисунок) для подключения по Telnet. На скриншоте показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе.

Есть несколько способов получить доступ к среде CLI. Наиболее распространенные методы:

Консоль

К CLI можно получить доступ через консольный сеанс, также известный как строка CTY. Консоль использует низкоскоростное последовательное соединение, которое происходит через непосредственное подключение компьютера или терминала к консольному порту на маршрутизаторе или коммутаторе.

Консольный порт является портом управления, который обеспечивает внеполосный доступ к маршрутизатору. Консольный порт доступен, даже если никакие сетевые службы не были сконфигурированы на устройстве. Консольный порт часто используется, чтобы получить доступ к устройству, когда сетевые службы не были запущены или перестали работать.

Примеры использования консоли:

Начальная конфигурация сетевого устройства

Процедуры аварийного восстановления и поиск и устранение неисправностей, когда удаленный доступ не возможен

Процедуры восстановления пароля

Когда маршрутизатор впервые начинает использоваться, сетевые параметры еще не сконфигурированы. Поэтому, маршрутизатор не может осуществлять связь через сеть. Чтобы подготовить его к начальному запуску и конфигурации, на компьютере запускают программное обеспечение эмуляции терминала для соединения с консольным портом устройства. Команды конфигурации для настройки маршрутизатора могут быть введены через соединенный компьютер.

Для многих устройств с IOS консольный доступ не требует никакой формы безопасности по умолчанию. Однако, консоль должна быть сконфигурирована с паролями, чтобы предотвратить несанкционированный доступ к устройству. Когда пароль теряется, существует специальный набор процедур для того, чтобы обойти пароль и получить доступ к устройству. Устройство должно быть расположено в заблокированной комнате или стойке для оборудования, чтобы предотвратить физический доступ.

Telnet и SSH

Telnet - метод для получения удаленного доступа к сеансу CLI маршрутизатора. В отличие от консольного соединения, сеансы Telnet требуют активных сетевых служб на устройстве. У сетевого устройства должен быть по крайней мере один активный интерфейс, сконфигурированный с адресом Уровня 3, таким как адрес IPv4. Устройства с Cisco IOS включают процесс сервера Telnet, который запускается при запуске устройства. IOS также содержит клиент Telnet.

Узел с клиентом Telnet может получить доступ к сеансам vty, работающим на устройстве Cisco. Из соображений безопасности IOS требует, чтобы сеанс Telnet использовал пароль в качестве минимальный метода аутентификации. Методы установки учетных записей и паролей будут обсуждаться в последующих статьях данной рубрики.

Протовол Безопасной Оболочки (SSH) является более безопасным методом для удаленного доступа к устройству. Этот протокол обеспечивает удаленный вход в систему, подобный Telnet, за исключением того, что он использует более безопасные сетевые службы.

SSH обеспечивает более сильную аутентификацию по паролю, чем Telnet, и использует шифрование, транспортируя данные сеанса. Сеанс SSH шифрует все передачи данных между клиентом и устройством IOS. Это защищает идентификатор пользователя, пароль и детали сеанса управления. Следуя передовой практике, всегда используйте SSH вместо Telnet, когда только это возможно.

Большинство более новых версий IOS содержат сервер SSH. В некоторых устройствах эта служба включена по умолчанию. Другие устройства требуют, чтобы сервер SSH был включен.

Устройства IOS также включают клиент SSH, который может использоваться, чтобы установить сеансы SSH с другими устройствами. Точно так же можно использовать удаленный компьютер с клиентом SSH, чтобы запустить безопасный сеанс CLI. Клиентское программное обеспечение SSH не поставляется по умолчанию на всех компьютерных операционных системах. Вы, возможно, должны будете получить, установить и сконфигурировать клиентское программное обеспечение SSH для Вашего компьютера.

Другой способ установить сеанс CLI удаленно - через телефонное коммутируемое соединение, используя модем, соединенный с портом маршрутизатора AUX. Подобно консольному соединению, этот метод не требует конфигурации каких-либо сетевых служб или их доступности на устройстве.

Обычно, единственный случай, когда порт AUX используется локально вместо консольного порта - когда есть проблемы с использованием консольного порта, например, если некоторые параметры консоли неизвестны.

Всем привет!
Многие из вас видели и читали прекрасные материалы под общим названием «Сети для самых маленьких». Собственно, я не претендую на лавры, но решил написать нечто подобное в области безопасности сети на основе оборудования Cisco.

Первый материал будет посвящен BaseLine/L2 Security, т.е. тем механизмам, которые можно использовать при начальной конфигурации устройств а также на L2 коммутаторах под управлением IOS.
Всем, кому интересно, поехали!

Допустим, у нас brand-new [switch/router], для первой главы не принципиально. Мы подключаемся к нему с помощью консольного провода (более подробно описано Часть.1 Сети для самых маленьких). Т.к. мы не хотим, чтобы железка лежала у нас на столе или (если она уже в стойке) стоять и мерзнуть в серверной, сразу настроим на ней удаленное управление.

Remote control & credentials

• 0 уровень: enable password Qwerty!23 – хранение данных в открытом виде.
• 4 уровень: enable secret Qwerty!23 – преобразование данных в SHA256 Encryption в IOS 15, т.к. «change to new encryption, md5 can be deprecated soon».
• 5 уровень: enable secret Qwerty!23 – преобразование данных в MD5 Hash.

Вроде бы все, если что забыл, прошу отписаться в комментарии, по крайней мере JDima, всегда делал стоящие комментарии.

L2 Security

• Vlans бывают: Primary и Secondary: Isolated или Community.
• Vlans types: Isolated (может быть только в единственном экземпляре, связь внутри vlan отсутствует, только с Promiscuous), Community (много, связь внутри Vlan есть и с Promiscuous)
• Ports Types: Promiscuous — Primary Vlan port что-то типа dg, также Isolated и Community
• Private Vlans требуют включения VTP transparent: vtp mode transparent.

Применять или нет решать вам в зависимости от целей.
Вроде бы все ясно, однако если Promiscuous port маршрутизируем, то существует возможность попасть из ISOLATED в другие VLAN, путем посылки подкрафченного пакета до L3 устройства. Закрывается такая возможность с помощью ACL на маршрутизаторе.
Примерно схожий функционал c Isolated VLAN имеется при настройке PVLAN Edge или Protected port. Настраивается это на каждом интерфейсе отдельно командой: switchport protected.
Ну и в завершении с VLAN рассмотрим ACL для VLANs: VLAN ACL (VACL) или VLAN map а также MacSec.
Если возникает необходимость контролировать трафик внутри VLAN нужно определить трафик и повесить его на нужный VLAN, примерно вот так:

Создаем обычный список доступа, который будет использоваться в VACL. Определим VLAN access map. Определим действие при совпадении трафика со списком. Применим к VLAN. 1 класс трафика будет останавливаться, весь другой пересылаться.
Интересная функция в IOS — MacSec.
Вот такой набор команд (к примеру на 2 устройствах):

Настроив на L2 устройствах, на портах через которые два коммутатора соединены между собой, получим симметрично зашифрованный канал (pmk на устройствах должен быть одинаковым).

CAM protection
Если взять утилиту macof (есть в Kali) и запустить ее на генерирование MAC адресов с клиента подключенного к коммутатору, то в зависимости от модели коммутатора через некоторое время он станет хабом. Почему? Из-за того, что место в CAM таблице закончится. Для того чтобы это предотвратить существует режим port security на интересующем нас интерфейсе:
и
Работает этот режим только на trunk или access port, но не на dynamic port.
У режима имеются параметры: Protect (no packets if violation, no log), Restrict (no packets if violation, log: snmp, sylog), Shut down port (default, max=1, log: snmp, sylog), Shut down Vlan. Есть режимы Dynamic (memorize 5 first mac), Static (manually write into running config static mac) и еще sticky (brand new network -> auto write in running config).
Да и в конце настройки нужно не забыть активировать сам режим.

Snooping table
Для того, чтобы обезопасить себя от атак на dhcp можно применять dhcp snooping table. Суть заключается в том, что коммутатор запоминает за каким портом у него легальный dhcp сервер, тем самым выполнить dhcp starvation attack (ну или кто-то просто принес из дома dlink) с портов доступа не получится.

Включается режим отдельно на всю железку и vlans:

Ограничить количество запросов dhcp можно командой ip dhcp snooping limit rate 20. И по необходимости посмотреть имеющиеся связи:

Изначально в этом режиме по умолчанию все порты являются не доверенными.

DAI
На основе snooping table работает DAI – dynamic arp inspection, т.е. динамически сравнивает MAC-IP и тем самым предотвращает ARP poisoning: ip arp inspection vlan 456.
Это тип атаки при которой рассылаются ARP пакеты с измененными MAC адресами, после обновления ARP таблицы проводится MITM.

Если же в инфраструктуре нет DHCP, то аналогичного функционала можно добиться с использованием arp access-list:

Также есть функционал для сравнения ARP Validation Checks.

IP Spoofing/Source Guard
Опять же на основе snooping table функционирует IP Spoofing/Source Guard.
Яркий пример атаки с подменой IP, когда злоумышленник генерирует различные пакеты с разными IP DESTINATION и одинаковым IP SOURCE. В итоге все Destination пытаются ответить Source и проводят его DDoS.

Этот набор команд поможет защититься от атак типа IP Spoofing.

STP
Как вы знаете основной задачей STP является устранение петель в топологии, в которой есть избыточные соединения. Но возможно реализовать такую схему, когда нарушитель станет root bridge и опять же реализует MITM:

Для того, чтобы активировать защиту глобально на всех портах необходимо использовать команду spanning-tree portfast bpduguard default.
Далее переводим порт в режим portfast и получаем… Вместо тысячи слов:

Отдельно на интерфейсе это делается командой: spanning-tree bpduguard enable.

Storm Control

• Производится мониторинг: Broadcast/Multicast/Unicast
• Устанавливаются пороговые значения: %/PPS/BPS
• Выбирается действие: Slow/Shutdown

В дополнение к вышеописанному существуют такие технологии как: Root Guard, EtherChannel Guard, Loop Guard, Port Blocking.

За сим все, спасибо, что дочитали до конца. Надеюсь, информация окажется полезной.

1. Что характерно для отказоустойчивой сети?
— сеть, которая быстро восстанавливается при возникновении сбоя и …

2. Три сотрудника банка используют корпоративную сеть. Первый сотрудник использует веб-браузер для просмотра веб-страницы компании и чтения некоторых объявлений. Второй сотрудник обращается к корпоративной базе данных для выполнения некоторых финансовых транзакций. Третий сотрудник участвует в важной живой аудиоконференции с другими корпоративными менеджерами в филиалах. Если в этой сети будет реализовано QoS, каковы будут приоритеты от наивысшего к низшему для различных типов данных?
— аудиоконференция, финансовые транзакции, веб-страница

3. В чем преимущество использования облачных вычислений в сети?
— Возможности сети расширяются, не требуя инвестиций в новую инфраструктуру, персонал или программное обеспечение

4. Какова функция оболочки в ОС?
— Это интерфейсы между пользователями и ядром

5. Какое соединение обеспечивает безопасный сеанс CLI с шифрованием для коммутатора Cisco?
— соединение SSH

7. Администратор использует комбинацию клавиш Ctrl-Shift-6 на коммутаторе после выполнения команды ping. Какова цель использования этих нажатий клавиш?
— прервать процесс пинга

8. Сетевой администратор настраивает управление доступом для переключения SW1. Если администратор использует консольное соединение для подключения к коммутатору, какой пароль необходим для доступа к пользовательскому режиму EXEC?

9. На каком интерфейсе коммутатора администратор может настроить IP-адрес для удаленного управления коммутатором?
— VLAN 1

10. Какой протокол отвечает за контроль размера сегментов и скорости обмена сегментами между веб-клиентом и веб-сервером?
— TCP

11. В чем преимущество использования протокола, который определяется открытым стандартом?
— Это поощряет конкуренцию и продвигает выбор.

12. Каковы два преимущества использования модели многоуровневой сети? (Выберите два.)
— Это помогает в разработке протокола.
— Это предотвращает влияние технологий в одном слое на другие слои.

13. Какие два уровня модели OSI имеют ту же функциональность, что и два уровня модели TCP / IP? (Выберите два.)
— сетевой
— транспортный

14. Какое имя назначено PDU транспортного уровня?
— segment

15. Сетевой инженер измеряет передачу битов по магистрали компании для критически важного приложения базы данных. Инженер замечает, что пропускная способность сети ниже ожидаемой пропускной способности. Какие три фактора могут повлиять на различия в пропускной способности? (Выберите три.)
— объем трафика, который в настоящее время пересекает сеть
— тип трафика, который пересекает сеть
— задержка, создаваемая количеством сетевых устройств, которые пересекают данные

16. Сетевой администратор устраняет проблемы с подключением на сервере. Используя тестер, администратор замечает, что сигналы, генерируемые сетевой картой сервера, искажены и не могут использоваться. На каком уровне модели OSI классифицируется ошибка?
— физическом уровне

17. Какой тип кабеля UTP используется для подключения ПК к порту коммутатора?
— straight-through

18. Что характерно для UTP-кабелей?
— аннулирование

19. Каковы две характеристики волоконно-оптического кабеля? (Выберите два.)
— Это не зависит от EMI или RFI.
— Это дороже, чем кабели UTP.

20. Что характерно для подуровня LLC?
— Он размещает информацию в кадре, позволяя нескольким протоколам уровня 3 использовать один и тот же сетевой интерфейс и носители.

21. Сетевая команда сравнивает физические топологии WAN для подключения удаленных узлов к зданию штаб-квартиры. Какая топология обеспечивает высокую доступность и связывает некоторые, но не все, удаленные сайты?
— частичная сетка

22. Какой метод используется для управления доступом на основе конкуренции в беспроводной сети?
— CSMA / CA

23. Каковы три основные функции, предоставляемые инкапсуляцией данных уровня 2? (Выберите три.)
— адресация канального уровня
— обнаружение ошибок с помощью вычислений CRC
— разграничение групп битов на фреймы

24. Что будет делать хост в сети Ethernet, если он получит кадр с MAC-адресом назначения, который не соответствует его собственному MAC-адресу?
— Это отбросит фрейм.

25. Каковы два примера метода сквозного переключения? (Выберите два.)
— быстрая перемотка вперед
— переключение без фрагментов

26. Какие два действия выполняет коммутатор Cisco? (Выберите два.)
— использование исходных MAC-адресов кадров для построения и поддержки таблицы MAC-адресов
— использование таблицы MAC-адресов для пересылки кадров через MAC-адрес назначения

27. Какой метод пересылки кадров получает весь кадр и выполняет проверку CRC для обнаружения ошибок перед пересылкой кадра?
— переключение между хранилищами

28. Если узел A отправляет IP-пакет узлу B, каким будет адрес назначения в кадре, когда он покидает узел A?
— BB:BB:BB:BB:BB:BB

29. Какие адреса отображаются ARP?
— MAC-адрес получателя к IPv4-адресу получателя

30. Какая информация добавляется во время инкапсуляции на уровне OSI 3?
— IP-адрес источника и назначения

31. Какие две услуги предоставляются сетевым уровнем OSI? (Выберите два.)
— маршрутизация пакетов к месту назначения
— инкапсуляция PDU из транспортного уровня

32. Сетевой администратор небольшой рекламной компании решил использовать сеть 192.168.5.96/27 для внутренней адресации локальной сети…Какой компонент неправильно настроен?

— адрес шлюза по умолчанию

33. Почему устройство уровня 3 выполняет процесс ANDing для IP-адреса назначения и маски подсети?
— определить сетевой адрес сети назначения

34. Каковы две функции NVRAM? (Выберите два.)
— сохранить содержимое при отключении питания
— сохранить файл конфигурации запуска

35. Каков будет результат ввода этой конфигурации, когда сетевой администратор подключит консольный кабель к маршрутизатору в следующий раз и дополнительные команды не будут введены?

— Администратору будет предложено приглашение R1>.

36. Что такое пунктирное десятичное представление адреса IPv4 1001011.00000000.01110001.11010011?
— 203.0.113.211

37. Каковы три характеристики многоадресной передачи? (Выберите три.)
— Один пакет может быть отправлен группе хостов.
— Многоадресная передача может использоваться маршрутизаторами для обмена информацией о маршрутизации.
— Маршрутизаторы не будут пересылать многоадресные адреса в диапазоне от 224.0.0.0 до 224.0.0.255.

38. Какие три диапазона IP-адресов зарезервированы для внутреннего частного использования?
— 10.0.0.0/8
— 172.16.0.0/12
— 192.168.0.0/16

39. Какую цель выполняет NAT64 в IPv6?
— Он преобразует пакеты IPv6 в пакеты IPv4.

40. Какое наиболее сжатое представление адреса IPv6 2001: 0000: 0000: abcd: 0000: 0000: 0000: 0001?
— 2001: 0: 0: ABCD :: 1

41. Какой диапазон локальных адресов можно назначить интерфейсу с поддержкой IPv6?
— FE80 :: / 10

42. Какие три адреса являются действительными публичными адресами? (Выберите три.)
— 198.133.219.17
— 128.107.12.117
— 64.104.78.227

43. Исходя из вывода, какие два утверждения о подключении к сети являются правильными?

— Есть соединение между этим устройством и устройством в 192.168.100.1.
— Существует 4 прыжка между этим устройством и устройством по адресу 192.168.100.1.

44. Какой тип IPv6-адреса FE80 :: 1?
— локальная связь

45. Сколько допустимых адресов хоста доступно в подсети IPv4, для которой настроена маска / 26?
— 62

46. Администратору сайта сообщили, что в конкретной сети на сайте должно быть 126 хостов. Какая маска подсети будет использоваться, которая содержит необходимое количество бит хоста?
— 255.255.255.128

47. Администратор сети хочет иметь одинаковую маску подсети для трех подсетей на небольшом сайте. На сайте есть следующие сети и номера устройств: Подсеть A: IP-телефоны — 10 адресов; Подсеть B: ПК — 8 адресов; Подсеть C: Принтеры — 2 адреса. Какую маску подсети целесообразно использовать для трех подсетей?
— 255.255.255.240

48. Сколько хостов адресуется в сети с маской 255.255.255.248?
— 6

49. Какая подсеть будет включать адрес 192.168.1.96 в качестве используемого адреса хоста?
— 192.168.1.64/26

50. Какая маска подсети необходима, если в сети IPv4 есть 40 устройств, которым требуются IP-адреса, и адресное пространство не должно быть потрачено впустую?
— 255.255.255.192

51. Каковы две характеристики, общие для TCP и UDP? (Выберите два.)
— нумерация портов
— использование контрольной суммы

52. Почему номера портов включены в заголовок TCP сегмента?
— разрешить принимающему хосту пересылать данные соответствующему приложению

53. Рассмотрим IP-адрес 192.168.10.0/24, назначенный зданию средней школы. Самая большая сеть в этом здании насчитывает 100 устройств. Если 192.168.10.0 является номером сети для самой большой сети, то каким будет номер сети для следующей крупнейшей сети, которая имеет 40 устройств? — 192.168.10.128

54. Какое утверждение верно для маскировки подсети переменной длины?
— Размер каждой подсети может быть разным, в зависимости от требований.

55. В каких двух ситуациях UDP будет предпочтительным транспортным протоколом по TCP?
— когда требуется более быстрый механизм доставки
— когда приложения не должны гарантировать доставку данных

56. Какая важная информация добавляется в заголовок транспортного уровня TCP / IP для обеспечения связи и подключения к удаленному сетевому устройству?
— номера портов назначения и порта источника

57. Какой механизм TCP используется во избежание перегрузок?
— раздвижное окно
58. Какой сценарий описывает функцию, предоставляемую транспортным уровнем?
— Студент имеет два открытых окна веб-браузера для доступа к двум веб-сайтам…

60. Какими двумя способами TCP использует порядковые номера в сегменте? (Выберите два.)
— определить недостающие сегменты в месте назначения
— собрать сегменты в удаленном месте

61. Какие две задачи являются функциями уровня представления? (Выберите два.)
— компрессия
— шифрование

62. Какие три утверждения характеризуют UDP? (Выберите три.)
— UDP обеспечивает основные функции транспортного уровня без установления соединения.
— UDP использует протоколы прикладного уровня для обнаружения ошибок.
— UDP — это протокол с низкими издержками, который не обеспечивает механизмы последовательности или управления потоком.

63. Что является ключевой характеристикой модели одноранговой сети?
— совместное использование ресурсов без выделенного сервера

64. Технический специалист может пропинговать IP-адрес веб-сервера удаленной компании, но не может успешно пропинговать URL-адрес того же веб-сервера. Какую программную утилиту может использовать технический специалист для диагностики проблемы?
— Nslookup

66. ПК получает свой IP-адрес от сервера DHCP. Если ПК отключен от сети для ремонта, что происходит с настройкой IP-адреса?
— Адрес возвращается в пул для повторного использования по истечении срока аренды.

67. При планировании роста сети, где в сети следует осуществлять захват пакетов для оценки сетевого трафика?
— на как можно большем количестве различных сегментов сети

68. Узел беспроводной сети должен запросить IP-адрес. Какой протокол будет использоваться для обработки запроса?
— DHCP

69. Какой пример вредоносного кода будет классифицирован как троянский конь?
— вредоносная программа, которая была написана, чтобы выглядеть как видеоигра

70. Какая команда при применении к маршрутизатору поможет смягчить атаки с использованием перебора паролем против маршрутизатора?
— вход в систему — на 60 попыток 5 в течение 60

71. Специалист по сети подозревает, что конкретное сетевое соединение между двумя коммутаторами Cisco имеет несоответствие дуплексного режима. Какую команду будет использовать технический специалист, чтобы увидеть сведения об уровне коммутатора на уровне 1 и уровне 2?
— показать интерфейсы

73. Сопоставьте описание со связанным режимом IOS. (не все варианты используются.)

74. Refer to the exhibit. Match the packets with their destination IP address to the exiting interfaces on the router. (Not all targets are used.)

75. Администратор проверяет подключение к удаленному устройству с IP-адресом 10.1.1.1. Что означает вывод этой команды?

— Маршрутизатор вдоль пути не имеет маршрута к месту назначения.

76. Пользователь не может получить доступ к веб-сайту при вводе в веб-браузере, но может получить доступ к тому же сайту, введя. В чем проблема? — DNS

77. Компания расширяет свой бизнес в другие страны. Все филиалы должны всегда оставаться на связи со штаб-квартирой корпорации. Какие сетевые технологии необходимы для поддержки этого требования? — WAN

78. Домашний пользователь ищет интернет-соединение, которое обеспечивает высокоскоростную цифровую передачу по обычным телефонным линиям. Какой тип подключения к Интернет-провайдеру следует использовать? — DSL

79. Как качество обслуживания помогает сети поддерживать широкий спектр приложений и услуг?
— предоставляя механизмы управления перегруженным сетевым трафиком

80. Какой IP-адрес источника используется маршрутизатором по умолчанию при выполнении команды traceroute?
— IP-адрес исходящего интерфейса

81. После внесения изменений в конфигурацию коммутатора Cisco сетевой администратор выдает команду copy running-config startup-config. Каков результат выдачи этой команды?
— Новая конфигурация будет загружена при перезагрузке коммутатора.

82. Сетевой администратор настраивает управление доступом для переключения SW1. Если администратор уже вошел в сеанс Telnet на коммутаторе, какой пароль необходим для доступа в привилегированный режим EXEC?

Читайте также:

  
• Как узнать работает ли блютуз на телефоне
  
• Zyxel nbg6604 настройка роутера
  
• Компьютер как wifi колонка
  
• Wifi 2 4 и 5 одновременно
  
• Kyocera ecosys p5021cdn как настроить wifi