TRẮC NGHIỆM THỰC TẾ VLAN ACCESS TRUNK

1. Một công ty mới thành lập phòng Marketing và kỹ sư mạng cần đảm bảo rằng traffic của phòng Marketing được cách ly hoàn toàn khỏi các phòng ban khác để tăng cường bảo mật và dễ quản lý. Để đáp ứng yêu cầu này một cách hiệu quả nhất, kỹ sư nên triển khai giải pháp nào sau đây?

A: Sử dụng một ACL extended phức tạp để lọc traffic giữa địa chỉ IP của phòng Marketing và các địa chỉ IP của các phòng ban khác trên router trung tâm.
B: Tạo một VLAN mới dành riêng cho phòng Marketing và gán tất cả các cổng mạng của họ vào VLAN đó, từ đó tạo ra một miền quảng bá và phân đoạn logic riêng biệt.
C: Lắp đặt một con switch vật lý hoàn toàn riêng biệt chỉ dành cho phòng Marketing và nối nó vào một cổng riêng trên router.
D: Cấu hình Policy-Based Routing (PBR) trên router để xác định traffic từ MAC address của các máy tính phòng Marketing và điều hướng chúng đi một con đường riêng.

2. Một người dùng phàn nàn rằng sau khi chuyển đến một bàn làm việc mới, máy tính của họ không thể kết nối mạng. Kỹ sư kiểm tra và thấy cổng mạng đó trước đây được dùng cho một điện thoại IP. Vấn đề có khả năng nhất là gì, liên quan đến cấu hình VLAN trên cổng switch đó?

A: Cổng switch có thể đã được cấu hình với một Voice VLAN và không được cấu hình đúng cách để xử lý traffic dữ liệu (data) từ một máy tính, hoặc data VLAN được gán không chính xác.
B: Cổng switch đã bị tính năng Port Security vô hiệu hóa vì nó phát hiện địa chỉ MAC của máy tính mới là một mối đe dọa an ninh.
C: Giao thức Spanning Tree đã xác định cổng đó là một cổng dự phòng và đã đưa nó vào trạng thái blocking để tránh vòng lặp mạng.
D: Địa chỉ IP của máy tính bị xung đột với địa chỉ IP của điện thoại IP đã được sử dụng trước đó, gây ra lỗi trên switch.

3. Một kỹ sư cần kết nối hai switch với nhau và cho phép lưu lượng của các VLAN 10, 20, và 50 đi qua liên kết này. Anh ta phải cấu hình các cổng kết nối giữa hai switch với công nghệ nào?

A: Cấu hình các cổng ở chế độ access và gán chúng vào cùng một VLAN đặc biệt được tạo ra cho mục đích quản lý.
B: Thiết lập một kênh EtherChannel giữa hai switch để gộp băng thông và tăng tốc độ truyền tải cho các VLAN.
C: Cấu hình các cổng ở chế độ 802.1Q Trunk.
D: Bật tính năng VTP trên cả hai switch và đặt chúng ở chế độ server để chúng tự động đồng bộ và cho phép tất cả các VLAN đi qua.

4. Một junior admin kết nối hai switch Cisco mới (với cấu hình mặc định) lại với nhau bằng một sợi cáp mạng và mong đợi chúng sẽ tự tạo thành một đường trunk. Tuy nhiên, liên kết này chỉ hoạt động như một cổng access. Tại sao đường trunk đã không được hình thành?

A: Vì cấu hình mặc định của DTP trên các dòng switch gần đây là dynamic auto, và khi cả hai bên cùng ở chế độ thụ động này, chúng sẽ không chủ động thương lượng để tạo trunk.
B: Vì VTP domain trên hai switch chưa được cấu hình, do đó chúng không thể đồng bộ thông tin VLAN cần thiết để tạo trunk.
C: Vì Spanning Tree Protocol (STP) mặc định sẽ chặn các liên kết giữa các switch để tránh vòng lặp cho đến khi được cấu hình thủ công.
D: Vì hai switch có các phiên bản IOS khác nhau, gây ra sự không tương thích trong giao thức DTP và ngăn cản việc thương lượng.

5. Công ty muốn chỉ cho phép các nhân viên phòng Kế toán (VLAN 30) truy cập vào máy chủ kế toán (IP: 192.168.100.10, port TCP 1433) và chặn mọi truy cập khác từ họ đến các máy chủ còn lại. Giải pháp sử dụng ACL nào là phù hợp và chính xác nhất?

A: Một ACL standard đặt trên router, permit mạng của phòng Kế toán và deny các mạng khác.
B: Một ACL extended, permit tcp từ mạng Kế toán đến IP của máy chủ kế toán với eq 1433, theo sau là lệnh deny ip từ mạng Kế toán đến bất kỳ đâu, được áp dụng gần nguồn.
C: Một VACL trên VLAN của các máy chủ, permit địa chỉ MAC của các máy tính phòng Kế toán.
D: Một reflexive ACL trên router để tự động học các kết nối hợp lệ từ phòng Kế toán và chỉ cho phép traffic trả về.

6. Một chính sách bảo mật yêu cầu người dùng chỉ có thể truy cập Internet, nhưng các kết nối mới từ Internet vào mạng nội bộ phải bị chặn hoàn toàn. Từ khóa nào trong một ACL extended cho phép thực hiện điều này một cách hiệu quả?

A: Từ khóa log, dùng để ghi lại tất cả các traffic đi ra và tự động tạo quy tắc cho phép traffic trả về.
B: Từ khóa dynamic, dùng để tạo ra các entry ACL tạm thời cho các kết nối hợp lệ từ bên trong.
C: Từ khóa established.
D: Từ khóa reflexive, đây là cách duy nhất để tạo một bộ lọc trạng thái trên router.

7. Một quản trị viên muốn đảm bảo rằng các cổng dành cho người dùng sẽ không bao giờ có thể thương lượng để trở thành một đường trunk, ngay cả khi có người cắm nhầm một switch vào đó. Lệnh nào sẽ đặt cổng vào chế độ access một cách tĩnh và vô hiệu hóa DTP?

A: switchport mode dynamic auto
B: switchport access vlan 10
C: switchport mode access.
D: switchport nonegotiate

8. Một công ty muốn ngăn chặn việc nhân viên tự ý mang laptop cá nhân vào cắm mạng. Chính sách yêu cầu khi phát hiện một thiết bị lạ, cổng mạng phải tự động bị vô hiệu hóa. Kỹ sư mạng nên sử dụng công nghệ nào để thực thi chính sách này?

A: DHCP Snooping với limit rate được đặt là 1, sẽ giới hạn mỗi cổng chỉ nhận được một yêu cầu DHCP.
B: Spanning Tree với BPDU Guard được kích hoạt, sẽ tắt cổng nếu phát hiện một switch được cắm vào.
C: Port Security với maximum 1 và chế độ vi phạm là shutdown.
D: Một ACL extended để deny tất cả các địa chỉ MAC ngoại trừ các địa chỉ MAC đã được đăng ký trước.

9. Sau khi cấu hình một đường trunk, quản trị viên thấy log của switch liên tục báo lỗi "Native VLAN Mismatch". Tình huống này có thể gây ra rủi ro bảo mật nào?

A: Nó có thể làm cho VTP ngừng đồng bộ cơ sở dữ liệu VLAN giữa hai switch, dẫn đến cấu hình không nhất quán.
B: Nó có thể cho phép traffic từ một VLAN này "nhảy" sang một VLAN khác, vì switch sẽ chuyển tiếp các frame không được gắn thẻ của Native VLAN này sang Native VLAN khác ở đầu kia.
C: Nó sẽ khiến cho giao thức Spanning Tree không thể hoạt động trên đường trunk, gây ra nguy cơ vòng lặp mạng.
D: Nó sẽ làm giảm hiệu suất của đường trunk xuống một nửa vì các gói tin phải được kiểm tra và xử lý lại nhiều lần.

10. Một kỹ sư muốn chặn tất cả traffic từ phòng Nhân sự (VLAN 20 - 192.168.20.0/24) truy cập vào máy chủ tài chính (IP: 192.168.50.5), nhưng vẫn cho phép họ truy cập các tài nguyên khác. Đâu là vị trí và loại ACL tốt nhất để áp dụng?

A: Một ACL standard deny 192.168.20.0 0.0.0.255, áp dụng theo chiều out trên interface của máy chủ tài chính.
B: Một ACL extended, áp dụng theo chiều in trên SVI của VLAN 20, với dòng lệnh deny ip any host 192.168.50.5.
C: Một ACL standard deny host 192.168.50.5, áp dụng theo chiều in trên SVI của VLAN 20.
D: Một VACL trên VLAN 50, deny địa chỉ MAC của tất cả các máy tính trong phòng Nhân sự.

11. Một quản trị viên muốn cho phép một đối tác truy cập vào máy chủ web của công ty trong một khoảng thời gian nhất định vào cuối tuần để bảo trì. Để thực hiện yêu cầu này một cách tự động, anh ta nên sử dụng giải pháp nào?

A: Một ACL extended thông thường và sau đó nhớ xóa nó đi một cách thủ công khi hết thời gian.
B: Một Time-based ACL, bằng cách tạo một time-range xác định khoảng thời gian cuối tuần và áp dụng nó vào một dòng permit trong ACL.
C: Một Dynamic ACL (Lock-and-Key), yêu cầu đối tác phải Telnet vào trước để kích hoạt quyền truy cập web.
D: Cấu hình một tài khoản người dùng riêng cho đối tác với quyền truy cập chỉ trong khoảng thời gian đó.

12. Hai máy chủ quan trọng được đặt trong cùng một VLAN và cùng một dải IP trong trung tâm dữ liệu. Chính sách yêu cầu chúng không được phép giao tiếp trực tiếp với nhau ở Layer 2 để tránh lây lan rủi ro. Công nghệ VLAN nào cho phép thực hiện việc cô lập này?

A: VTP (VLAN Trunking Protocol) bằng cách đặt các máy chủ vào các VTP domain khác nhau.
B: VLAN Access Maps (VACLs) bằng cách tạo một access-map để chặn traffic giữa hai địa chỉ IP của máy chủ.
C: Private VLANs (PVLAN).
D: Voice VLAN, bằng cách cấu hình một máy chủ là data và máy chủ kia là voice.

13. Một kỹ sư muốn đảm bảo rằng chỉ có traffic HTTP và HTTPS từ mạng người dùng (10.10.10.0/24) được phép đi ra Internet. Dòng lệnh nào trong một ACL extended sẽ thực hiện đúng yêu cầu này?

A: permit ip 10.10.10.0 0.0.0.255 any
B: permit tcp 10.10.10.0 0.0.0.255 any eq 80 và permit tcp 10.10.10.0 0.0.0.255 any eq 443.
C: permit tcp any any eq 80 và permit tcp any any eq 443
D: access-list 10 permit 10.10.10.0 0.0.0.255

14. Khi một kỹ sư cấu hình một đường trunk đến một switch không phải của Cisco, anh ta nên làm gì để đảm bảo kết nối ổn định?

A: Bật DTP ở chế độ desirable trên switch Cisco để nó chủ động thương lượng với thiết bị kia.
B: Cấu hình cổng ở chế độ switchport mode trunk và switchport nonegotiate trên switch Cisco để tắt hoàn toàn việc gửi các gói tin DTP.
C: Sử dụng VTP để đồng bộ hóa cấu hình VLAN, vì VTP là một chuẩn mở và được tất cả các hãng hỗ trợ.
D: Để cổng ở chế độ dynamic auto và cho phép hai thiết bị tự động tìm ra cấu hình chung tốt nhất.

15. Một máy tính trong VLAN 20 không thể ping đến gateway của nó (SVI interface Vlan20 trên switch). Các máy tính khác trong cùng VLAN thì vẫn ping được. Kỹ sư đã kiểm tra IP và cáp mạng của máy tính đó đều tốt. Vấn đề có khả năng nhất là gì?

A: SVI interface Vlan20 trên switch đang bị shutdown.
B: Cổng switch mà máy tính đó đang kết nối đã bị gán nhầm sang một VLAN khác (ví dụ VLAN 30).
C: Giao thức định tuyến trên switch chưa được kích hoạt.
D: Có một ACL trên router đang chặn traffic ping.

16. Một công ty muốn cho phép khách truy cập sử dụng mạng Wi-Fi (Guest VLAN 99), nhưng phải đảm bảo họ chỉ có thể đi ra Internet và bị chặn hoàn toàn khi cố gắng truy cập bất kỳ tài nguyên nội bộ nào (ví dụ mạng 10.0.0.0/8). ACL nào sau đây, được áp dụng theo chiều in trên SVI của Guest VLAN, sẽ thực hiện đúng chính sách này?

A: access-list GUEST_POLICY permit ip any any
B: access-list GUEST_POLICY deny ip any 10.0.0.0 0.255.255.255 và access-list GUEST_POLICY permit ip any any.
C: access-list GUEST_POLICY permit ip any 10.0.0.0 0.255.255.255
D: access-list GUEST_POLICY deny ip any any, sau đó cấu hình PBR để điều hướng traffic.

17. Một cổng được cấu hình switchport port-security mac-address sticky. Khi một PC kết nối vào và hoạt động, quản trị viên lưu cấu hình (copy run start). Điều gì sẽ xảy ra nếu PC đó được rút ra và một PC khác cắm vào?

A: PC mới sẽ hoạt động bình thường, và địa chỉ MAC của nó sẽ được học và ghi đè lên địa chỉ MAC cũ.
B: Cổng sẽ kích hoạt vi phạm Port Security vì địa chỉ MAC của PC mới không khớp với địa chỉ MAC đã được học và lưu lại như một cấu hình an toàn.
C: Switch sẽ cho phép cả hai PC hoạt động nếu maximum được đặt là 2 hoặc cao hơn.
D: Switch sẽ yêu cầu PC mới phải xác thực qua 802.1X trước khi cho phép kết nối.

18. Một ACL extended được áp dụng vào interface vật lý GigabitEthernet0/0, nơi đang có nhiều sub-interface cho các VLAN khác nhau (router-on-a-stick). ACL này sẽ ảnh hưởng đến traffic nào?

A: Chỉ traffic trên sub-interface đầu tiên (GigabitEthernet0/0.1).
B: Không có traffic nào, vì ACL không thể được áp dụng trên interface vật lý khi có sub-interface.
C: Tất cả traffic được định tuyến đi qua interface vật lý đó, bất kể nó thuộc về sub-interface hay VLAN nào.
D: Chỉ traffic không được gắn thẻ (untagged traffic) của Native VLAN.

19. Một công ty sử dụng VTP để quản lý VLAN. Một kỹ sư mới vô tình kết nối một switch mới có VTP revision number cao hơn và ở chế độ server vào mạng. Hậu quả có khả năng nhất của hành động này là gì?

A: Switch mới sẽ tự động học và đồng bộ cơ sở dữ liệu VLAN từ server hiện có trong mạng.
B: Có thể gây ra một cuộc "xóa sổ" toàn bộ cơ sở dữ liệu VLAN trên tất cả các switch trong mạng nếu switch mới có một database rỗng, dẫn đến mất kết nối trên diện rộng.
C: Switch mới sẽ bị đưa vào trạng thái err-disabled bởi các switch khác để bảo vệ mạng.
D: Không có gì xảy ra vì VTP yêu cầu phải xác thực mật khẩu trước khi đồng bộ, và switch mới không có mật khẩu đúng.

20. Một quản trị viên muốn cho phép tất cả các host trong mạng 10.1.1.0/24 có thể ping đến bất kỳ đâu, nhưng muốn chặn tất cả các loại traffic khác từ mạng này. ACL extended nào sau đây là chính xác nhất cho yêu cầu này?

A: permit ip 10.1.1.0 0.0.0.255 any
B: permit icmp 10.1.1.0 0.0.0.255 any.
C: permit icmp any 10.1.1.0 0.0.0.255
D: permit tcp 10.1.1.0 0.0.0.255 any eq echo

Bài trắc nghiệm kiến thức