1. Mục đích cơ bản và quan trọng nhất của việc chia VLAN trong một mạng chuyển mạch Layer 2 là gì?

• A: Để gộp băng thông của nhiều cổng lại với nhau, tạo ra một liên kết logic duy nhất có tốc độ cao hơn cho các máy chủ quan trọng.
• B: Để phân chia một miền quảng bá (broadcast domain) lớn thành nhiều miền quảng bá nhỏ hơn, giúp giảm thiểu lưu lượng không cần thiết và tăng hiệu suất mạng.
• C: Để cho phép các switch của các hãng khác nhau (ví dụ: Cisco và Juniper) có thể trao đổi thông tin cấu hình VLAN một cách tự động và nhất quán.
• D: Để cung cấp một cơ chế định tuyến động giữa các nhóm người dùng khác nhau mà không cần đến router vật lý.

2. Theo khuyến nghị bảo mật, tại sao người quản trị nên thay đổi Native VLAN trên các đường trunk sang một VLAN ID không được sử dụng thay vì để mặc định là VLAN 1?

• A: Vì VLAN 1 không thể truyền tải lưu lượng thoại (Voice VLAN) và dữ liệu cùng lúc, gây ra sự cố cho các điện thoại IP.
• B: Để giảm thiểu rủi ro từ các cuộc tấn công VLAN hopping kiểu double-tagging, vốn lợi dụng việc các switch thường không kiểm tra kỹ các frame không được gắn thẻ thuộc về VLAN 1.
• C: Vì VLAN 1 có giới hạn băng thông thấp hơn so với các VLAN khác do được ưu tiên cho các giao thức điều khiển như CDP và STP.
• D: Để cho phép giao thức DTP (Dynamic Trunking Protocol) có thể thương lượng các thông số nâng cao hơn giữa hai switch.

3. Một cổng switch được cấu hình với các lệnh switchport mode access và switchport voice vlan 150. Cấu hình này có ý nghĩa gì?

• A: Cổng này sẽ chỉ cho phép lưu lượng thoại từ VLAN 150 và chặn tất cả các loại lưu lượng dữ liệu khác để đảm bảo chất lượng cuộc gọi.
• B: Cổng này hoạt động ở chế độ access cho một VLAN dữ liệu (mặc định là VLAN 1 nếu không chỉ định) và đồng thời mang theo lưu lượng thoại được gắn thẻ VLAN 150 từ một IP Phone.
• C: Cổng này sẽ chuyển đổi giữa data VLAN và voice VLAN 150 tùy thuộc vào loại thiết bị kết nối vào, sử dụng DTP để phát hiện.
• D: Cổng này sẽ gộp tất cả traffic dữ liệu và thoại vào cùng một VLAN 150 để đơn giản hóa việc quản lý và áp dụng QoS.

4. Chuẩn IEEE 802.1Q hoạt động như thế nào để truyền tải lưu lượng của nhiều VLAN qua một đường trunk?

• A: Nó sử dụng một địa chỉ IP ảo riêng cho mỗi VLAN để định tuyến các gói tin qua đường trunk một cách logic.
• B: Nó chèn một trường (tag) 4-byte vào giữa địa chỉ MAC nguồn và trường EtherType của Ethernet frame để định danh VLAN ID của frame đó.
• C: Nó tạo ra các kênh con (sub-channels) vật lý riêng biệt bên trong một liên kết cáp quang duy nhất cho mỗi VLAN.
• D: Nó thương lượng với switch đầu xa để chỉ gửi lưu lượng của một VLAN tại một thời điểm, sau đó luân phiên thay đổi.

5. Khi một cổng switch được cấu hình với lệnh switchport mode dynamic auto, nó sẽ hoạt động như thế nào?

• A: Nó sẽ chủ động gửi các gói tin DTP để cố gắng thiết lập một đường trunk và sẽ trở thành trunk nếu đầu kia được cấu hình là trunk, desirable, hoặc auto.
• B: Nó sẽ gửi một yêu cầu đến VTP server để hỏi xem nó nên hoạt động ở chế độ access hay trunk dựa trên chính sách của toàn mạng.
• C: Nó hoạt động ở chế độ thụ động, không chủ động tạo trunk, nhưng sẽ đồng ý trở thành trunk nếu cổng ở đầu kia gửi yêu cầu (ở chế độ trunk hoặc desirable).
• D: Nó sẽ tự động phát hiện loại thiết bị được kết nối (PC, switch, router) và chọn chế độ phù hợp nhất cho thiết bị đó.

6. Để đảm bảo một liên kết trunk giữa switch Cisco và switch của một hãng khác (không hỗ trợ DTP) hoạt động ổn định, cấu hình nào sau đây là phù hợp nhất trên switch Cisco?

• A: switchport mode dynamic desirable
• B: switchport mode dynamic auto
• C: switchport mode trunk và switchport nonegotiate.
• D: switchport mode access và switchport trunk encapsulation dot1q

7. Khi áp dụng một Access Control List (ACL) vào một interface, từ khóa in và out có ý nghĩa gì?

• A: in áp dụng cho traffic đi vào từ VTY lines, out áp dụng cho traffic đi ra cổng console.
• B: in áp dụng cho các gói tin đi vào interface đó từ mạng bên ngoài, trước khi router đưa ra quyết định định tuyến. out áp dụng cho các gói tin sắp rời khỏi interface đó, sau khi router đã quyết định định tuyến.
• C: in chỉ có thể được sử dụng với ACL standard, out chỉ có thể được sử dụng với ACL extended.
• D: in lọc traffic TCP, out lọc traffic UDP.

8. Theo khuyến nghị thiết kế, một ACL extended nên được đặt ở vị trí nào trong mạng?

• A: Càng gần đích của traffic càng tốt, để giảm tải xử lý cho các router trung gian.
• B: Càng gần nguồn của traffic càng tốt, để lọc các gói tin không mong muốn ngay từ đầu và tránh làm tốn băng thông mạng một cách vô ích.
• C: Chỉ trên các router biên của mạng, không bao giờ ở các router bên trong.
• D: Chỉ trên các switch Layer 2, vì chúng có phần cứng xử lý ACL nhanh hơn.

9. Một ACL có các dòng lệnh sau. Một gói tin từ IP 10.1.1.50 đến 192.168.1.100 sẽ bị xử lý như thế nào? 10 permit ip 10.1.1.0 0.0.0.255 any và 20 deny ip any 192.168.1.0 0.0.0.255

• A: Gói tin sẽ bị từ chối (deny) bởi dòng 20.
• B: Gói tin sẽ được cho phép (permit) bởi dòng 10 và router sẽ ngừng xử lý các dòng tiếp theo.
• C: Gói tin sẽ bị từ chối bởi quy tắc ẩn deny any ở cuối.
• D: Router sẽ yêu cầu một ACL khác để xử lý gói tin này vì có sự xung đột logic.

10. Tại sao việc sử dụng Named ACL (ACL được đặt tên) thường được ưa chuộng hơn Numbered ACL (ACL bằng số) trong các môi trường mạng lớn?

• A: Vì Named ACL được xử lý nhanh hơn bởi CPU của router.
• B: Vì Named ACL cho phép chỉnh sửa và xóa các dòng lệnh riêng lẻ mà không cần phải xóa và tạo lại toàn bộ ACL, đồng thời tên gọi cũng giúp dễ nhận biết mục đích của ACL.
• C: Vì Named ACL có thể lọc được nhiều giao thức hơn Numbered ACL.
• D: Vì Numbered ACL có giới hạn chỉ 10 dòng lệnh cho mỗi ACL.

11. Một quản trị viên muốn chỉ cho phép các nhân viên IT (từ mạng 10.0.0.0/24) được phép SSH vào các đường VTY của router. Cấu hình nào sau đây là đúng?

• A: Tạo một ACL standard permit 10.0.0.0 0.0.0.255 và áp dụng nó vào interface vật lý của router.
• B: Tạo một ACL standard permit 10.0.0.0 0.0.0.255 và áp dụng nó vào line vty 0 15 bằng lệnh access-class.
• C: Tạo một VACL để lọc traffic SSH đến toàn bộ các VLAN trên switch.
• D: Cấu hình một static route để chỉ định rằng traffic SSH chỉ có thể đến từ mạng 10.0.0.0/24.

12. Điều gì xảy ra nếu một gói tin không khớp với bất kỳ dòng lệnh permit nào trong một ACL và ACL đó không có dòng lệnh deny nào?

• A: Gói tin sẽ được cho phép đi qua theo mặc định.
• B: Gói tin sẽ bị từ chối bởi một quy tắc ẩn deny any luôn tồn tại ở cuối mỗi ACL.
• C: Router sẽ gửi một yêu cầu đến VTP server để hỏi về chính sách mặc định.
• D: Gói tin sẽ được giữ lại trong một hàng đợi để chờ xử lý thủ công.

13. Một cổng access trên switch được cấu hình switchport port-security violation restrict. Khi có một địa chỉ MAC không hợp lệ cố gắng gửi traffic vào cổng này, điều gì sẽ xảy ra?

• A: Cổng sẽ bị tắt ngay lập tức và chuyển sang trạng thái err-disabled.
• B: Switch sẽ chỉ loại bỏ các gói tin từ địa chỉ MAC không hợp lệ, không tắt cổng, nhưng sẽ không tạo ra bất kỳ cảnh báo hay log nào.
• C: Switch sẽ loại bỏ các gói tin từ địa chỉ MAC không hợp lệ, đồng thời gửi một thông điệp log/SNMP và tăng bộ đếm vi phạm (violation counter).
• D: Switch sẽ cho phép địa chỉ MAC mới hoạt động nhưng giới hạn băng thông của nó xuống 1Mbps.

14. Sự khác biệt chính giữa một ACL standard và một ACL extended là gì?

• A: ACL standard chỉ có thể có 10 dòng lệnh, trong khi ACL extended có thể có 100 dòng.
• B: ACL standard chỉ có thể lọc traffic dựa trên địa chỉ IP nguồn, trong khi ACL extended có thể lọc dựa trên IP nguồn, IP đích, giao thức, và số hiệu cổng (port).
• C: ACL standard chỉ có thể được đặt tên, ACL extended chỉ có thể được đánh số.
• D: ACL standard chỉ dùng cho IPv4, ACL extended chỉ dùng cho IPv6.

15. Kỹ thuật "Private VLANs" (PVLAN) cho phép làm gì mà một VLAN thông thường không thể?

• A: Cho phép một cổng thuộc về nhiều VLAN cùng một lúc.
• B: Mở rộng một VLAN qua nhiều switch vật lý khác nhau mà không cần đường trunk.
• C: Cô lập các cổng ở Layer 2 ngay cả khi chúng ở trong cùng một VLAN và cùng một dải IP.
• D: Tự động cân bằng tải traffic giữa các cổng trong cùng một VLAN.

16. Kỹ thuật VLAN Access Map (VACL) được sử dụng để giải quyết vấn đề nào sau đây?

• A: Định tuyến traffic giữa hai VLAN khác nhau mà không cần router.
• B: Lọc traffic giữa các host trong cùng một VLAN, một việc mà ACL trên router không thể làm được.
• C: Tự động gán các cổng vào các VLAN dựa trên địa chỉ MAC của thiết bị.
• D: Ngăn chặn các cuộc tấn công DTP.

17. Bạn cần tạo một chính sách chỉ cho phép nhân viên truy cập máy chủ file vào giờ hành chính (8:00 - 17:00, Thứ Hai - Thứ Sáu). Bạn nên sử dụng tính năng ACL nào?

• A: Reflexive ACL
• B: Dynamic ACL
• C: Time-based ACL (ACL theo thời gian).
• D: Port-based ACL

18. Một cổng được cấu hình spanning-tree portfast và spanning-tree bpduguard enable. Điều gì sẽ xảy ra nếu một người dùng cắm một switch nhỏ vào cổng này?

• A: Switch nhỏ đó sẽ tự động được cấu hình như một phần của mạng.
• B: Cổng sẽ bị đưa vào trạng thái err-disabled ngay khi nhận được gói tin BPDU từ switch nhỏ.
• C: Spanning Tree sẽ tính toán lại và có thể chặn cổng đó để tránh loop.
• D: Cổng sẽ tự động chuyển sang chế độ trunk để kết nối với switch mới.

19. Lệnh show access-lists hiển thị (15 matches) bên cạnh một dòng lệnh. Con số này có ý nghĩa gì?

• A: Dòng lệnh này có 15 tham số khác nhau.
• B: Đã có 15 gói tin khớp với dòng lệnh này kể từ lần cuối bộ đếm được reset.
• C: Dòng lệnh này sẽ hết hạn sau 15 phút.
• D: Dòng lệnh này được áp dụng cho VLAN 15.

20. Một quản trị viên muốn chặn traffic từ mạng 172.16.0.0/16 truy cập vào server 10.10.10.5. Cấu hình ACL standard nào sau đây là đúng?

• A: access-list 10 deny host 172.16.0.0
• B: access-list 10 deny 172.16.0.0 0.0.255.255.
• C: access-list 10 deny any host 10.10.10.5
• D: ACL standard không thể được sử dụng cho yêu cầu này vì nó yêu cầu chỉ định cả nguồn và đích.

21. Một quản trị viên áp dụng một ACL vào một cổng trunk. ACL này sẽ ảnh hưởng đến traffic của VLAN nào?

• A: Chỉ traffic của Native VLAN.
• B: Chỉ traffic của VLAN 1.
• C: Traffic của tất cả các VLAN đi qua đường trunk đó, vì ACL được áp dụng ở Layer 3 và không nhận biết về VLAN ở Layer 2.
• D: Không có VLAN nào, vì ACL không thể được áp dụng trên cổng trunk.

22. Khi nào bạn nên đặt một ACL standard gần đích thay vì gần nguồn?

• A: Không bao giờ, luôn phải đặt gần nguồn.
• B: Luôn luôn, vì nó hiệu quả hơn cho CPU.
• C: Khi bạn muốn chặn traffic từ một mạng nguồn cụ thể đến một đích, nhưng vẫn muốn cho phép traffic từ mạng nguồn đó đến các đích khác.
• D: Khi ACL có nhiều hơn 20 dòng lệnh.

23. Một cổng access kết nối đến một máy tính. Cấu hình nào sau đây là không cần thiết hoặc không được khuyến khích trên cổng này?

• A: switchport mode access
• B: switchport access vlan 10
• C: spanning-tree portfast
• D: switchport mode trunk.

24. Một kỹ sư muốn xóa dòng lệnh số 20 trong một Numbered ACL có tên là 101. Anh ta phải làm gì?

• A: Gõ lệnh no access-list 101 20.
• B: Gõ lệnh no access-list 101, sau đó gõ lại tất cả các dòng lệnh khác trừ dòng 20.
• C: Gõ lệnh access-list 101 resequence để xóa dòng 20.
• D: Gõ lệnh clear access-list 101 line 20.

25. Điều gì xảy ra với một cổng trunk nếu Native VLAN của nó bị xóa hoặc bị shutdown?

• A: Không có gì xảy ra, cổng vẫn hoạt động bình thường.
• B: Cổng sẽ bị đưa vào trạng thái err-disabled vì không thể xử lý traffic không được gắn thẻ.
• C: Giao thức Spanning Tree sẽ chặn cổng đó để ngăn chặn vòng lặp tiềm tàng.
• D: Cổng sẽ tự động chuyển sang chế độ access và thuộc về VLAN 1.

26. Mục đích của từ khóa established trong một ACL extended là gì?

• A: Chỉ cho phép traffic từ các địa chỉ IP đã được thiết lập trong bảng ARP.
• B: Chỉ cho phép các gói tin TCP trả về của một phiên kết nối đã được khởi tạo từ bên trong, giúp tạo ra một bộ lọc trạng thái đơn giản.
• C: Chỉ cho phép traffic đến các máy chủ đã được chứng nhận SSL.
• D: Chỉ cho phép traffic đã được xác thực bởi một VTP server.

27. Một quản trị viên thấy rằng VLAN 1002 đến 1005 (fddi-default, token-ring-default, etc.) luôn xuất hiện trong show vlan brief và không thể xóa được. Tại sao?

• A: Đây là các VLAN được tạo bởi một VTP server khác và đang chờ đồng bộ.
• B: Đây là các VLAN dành riêng cho các công nghệ mạng cũ (FDDI, Token Ring) và được Cisco IOS giữ lại để tương thích ngược; chúng không thể bị xóa hoặc sử dụng.
• C: Đây là các VLAN đang bị lỗi và cần được khắc phục sự cố.
• D: Đây là các VLAN hệ thống được sử dụng cho các kết nối console và VTY.

28. Một cổng trunk được cấu hình để chỉ cho phép các VLAN 10, 20, 30. Một máy tính trong VLAN 40 kết nối vào switch. Điều gì sẽ xảy ra khi nó cố gắng giao tiếp qua đường trunk này?

• A: Traffic của nó sẽ được tự động chuyển sang Native VLAN.
• B: Traffic của nó sẽ bị loại bỏ tại cổng trunk vì VLAN 40 không nằm trong danh sách các VLAN được phép.
• C: Switch sẽ tự động thêm VLAN 40 vào danh sách cho phép.
• D: Traffic của nó sẽ được gửi đi mà không được gắn thẻ.

29. Bạn muốn áp dụng một chính sách bảo mật cho tất cả các máy khách trong VLAN 20, bất kể họ cắm vào cổng switch nào. Phương pháp nào là hiệu quả và dễ quản lý nhất?

• A: Cấu hình một ACL giống hệt nhau trên tất cả các cổng access của VLAN 20.
• B: Sử dụng một VLAN Access Map (VACL) và áp dụng nó cho VLAN 20.
• C: Đặt tất cả các cổng của VLAN 20 vào cùng một nhóm EtherChannel.
• D: Sử dụng Port Security với cùng một địa chỉ MAC tĩnh trên tất cả các cổng.

30. Một ACL được áp dụng vào một sub-interface (ví dụ: GigabitEthernet0/0.10). ACL này sẽ ảnh hưởng đến traffic của ai?

• A: Toàn bộ traffic đi qua interface vật lý GigabitEthernet0/0.
• B: Chỉ traffic thuộc về VLAN được liên kết với sub-interface đó (trong ví dụ này là VLAN 10).
• C: Chỉ traffic quản lý như Telnet và SSH.
• D: Chỉ traffic không được gắn thẻ trên đường trunk.