# CCNA 111B Final Paper Exam 題號以 `Q__. ` 開頭的，是 2023 年 CCNA 考試選用的題目 其餘 `[A-F]_. ` 開頭的題目，是經討論後覺得沒那麼適合的候選題 ## Table of Contents [ToC] # Static Route ## Q13. Metric 跟 AD 各別代表什麼意義 (2 pts) > 請說明在 Routing Table 中，Metric 跟 AD（Administrative Distance）各別代表什麼意義。 ### 給分依據（滿分 7 人） - AD 代表不同路由協定 (1 pts) - Metric 從路由 cost 決定 (1 pts) ### 預期答案 AD 根據 Routing Source 決定，代表不同路由協定的可信度 Metric 根據路由協定有不同決定方式，例如 hop count、link cost、手動設定等 比較的順序是 prefix 長度、AD 距離、Metric ## Q14-A. 當 PC 1-1 ping PC 2-2 時會發生什麼事 (4 pts) > 參考以下拓樸並回答問題（寫出概念即可，不須寫出詳細指令）： > > A. 如果只設定 R1 到 Core、Core 到 R2 的路由，當 PC 1-1 ping PC 2-2 時會發生什麼事？ > 並說明 ICMP 封包傳遞的路徑。 > >  ### 給分依據 - PC 2-2 能接收到封包 (1 pts) - 回到 R2 後丟掉封包 (1 pts) - 寫出正確路徑及理由 (2 pts) #### 預期答案 PC 1-1 → Sw1 → R1 → Core → R2 → Sw2 → PC 2-3 → Sw2 → R2 → (drop) 去程可正常傳輸，不過回程因為 R2 認不得 192.168.11.0/24 網段，只好丟棄封包 ### 非預期正確答案（2 人） R1 不認識 R2，直接丟棄封包 ### 常見錯誤 傳到目的地後，PC 2-2 因為不知道 192.168.11.0/24 怎麼走，直接丟棄封包 Core 傳給 R2 後，因為找不到 PC 2-2 網段而失敗 ## Q14-B. 如何讓 PC 1-2 不能對 PC 2-3 發送任何封包 (2 pts) > 如果想讓 PC 1-2 不能對 PC 2-3 發送任何封包，該在圖中哪台設備下什麼設定？ ### 給分依據 - 在任一台 Router 設定 (1 pts) - 用 ACL，指出 src、dst 是誰 (1 pts) ### 預期答案 在 R1 設定 Extended ACL，禁止 from PC 1-2 to PC 2-3 的流量 ### 常見錯誤 更改路由表，讓 PC 1-2 找不到 PC 2-3 在 R2 設定 ACL，阻擋來自 PC 1-2 的連線 ## Q14-C. 如何讓 PC 1-2 不能對 PC 1-3 發送任何封包 (2 pts) > 如果是禁止 PC 1-2 傳送封包到 PC 1-3，該在圖中哪台設備下什麼設定？ ### 非預期正確答案（6 人） 在 Sw1 用 L2 的 MAC ACL，禁止來自 PC 1-2 MAC 位址到 PC 1-3 MAC 位址的封包 ### 非預期正確答案（8 人） 在 R1 跟 Sw1 都設定好 VLAN、trunk，把 PC 1-2 及 PC 1-3 分開，再從 R1 阻擋 （但不同 VLAN 的網段不同，稍微違反題目設定） ### 非預期正確答案（1 人） 在同個 LAN 下辦不到，直接 shutdown！ ### 預期答案（0 人） 無法達成，因為 Sw1 是 L2 設備，在同個 LAN 的封包看到就直接 forward，擋不下來 ### 常見錯誤 從 Sw1 用 IP 過濾封包 在 R1 設定 ACL ## A2. AD 的值由 Route Source 決定 > AD 的值由 Route Source 決定 > 請寫出 OSPF、Connected、Static 各別為多少 > （選項：0、1、110） ## A3. next-hop 有哪兩種設定方式，各有什麼優點 > 靜態路由可以透過 `ip route network-address subnet-mask next-hop` 設定，請問 `next-hop` 有哪兩種設定方式，各有什麼優點 ## A5. 請問 ip default-gateway、ip routing、ip route 之間的關係 > 在 Project 2 的 Demo 問題中問到為什麼不用設定 `ip default-gateway` 請解釋是否啟用 `ip routing` 與設定 `ip route` 之間的關係 # RIP ## Q17. 下圖 OSPF 設定出了什麼問題？要如何修復？ (3 pts) > 根據下圖網路拓樸，OSPF 的設定出了什麼問題？ > 為什麼無法正常運作、要如何修復？ > （寫出概念即可，不須寫出詳細指令） > >  ### 預期答案 network 只設定自己內網，與對方 Router 的 p2p 連線忘了加進去 導致 OSPF 不會網 p2p 連線傳送封包，兩邊看不到彼此 在 CS-Core、EE-Core 都加上 network 10.0.0.0/30 area 0 即可修復 ### 常見錯誤 兩邊 area 不能相同 要把兩邊的 passive-interface 刪掉 ## B2. default-information originate 指令會產生什麼效果 > 動態路由協定中的 `default-information originate` 指令會產生什麼效果，請舉出一個合適的使用情境 # AAA ## Q11. 為何 RADIUS 需要設定 Secret，如果少了這項機制可能會發生什麼資安隱憂？ (2 pts) > 在第 13 週 AAA 課堂中，我們將 RADIUS 伺服器及 Router 的 Secret 都設為 `radiuskey`，為何 RADIUS 需要這項設定，如果少了這項機制可能會發生什麼資安隱憂? ### 滿分解（4 人） Server 用來驗證 Client 身份，避免被亂 try 密碼 ### 預期解答（0 人） 同時也避免 Switch 被 ARP Spoofing 攻擊後，攻擊者使用惡意 RADIUS Server 強行登入 ### 常見錯誤 避免其他人連上看到密碼 為了作為加密金鑰 ## C1. 簡單說明 AAA 各別代表什麼意思，並用一兩句話舉例說明 > 簡單說明 AAA（Authentication、Authorization、Accounting）各別代表什麼意思，並用一兩句話舉例說明 # ACL ## Q18-A. 請說明 Wildcard 跟 Subnet mask 有什麼不同？ (2 pts) > 請說明 Wildcard 跟 Subnet mask 有什麼不同？ ### 給分依據 - 兩者 0/1 bit 相反 (1 pts) - Wildcard 可以不連續 (1 pts) ### 常見錯誤 只寫出如何從 Subnet mask 計算相應 Wildcard ## Q18-B. 有哪些情境用 Wildcard 才能做到？ (1 pts) > 有哪些情境用 Wildcard 才能做到？ ### 預期答案（8 人） 例如要看 IP 末碼決定能否通過３ ### 常見錯誤 OSPF network、ACL 要用 Wildcard 設定 ## Q19. 哪邊適合設定 Standard / Extended ACL，為什麼？ (4 pts) > 根據以下拓樸，哪邊比較適合設定 Standard ACL、哪邊比較適合設定 Extended ACL，為什麼？ > >  ### 給分依據 - 寫出合理情境 (2 pts) - 清楚解釋理由 (2 pts) ### 預期答案（7 人） Standard ACL 只能看來源，放在 Router Z 靠近 Destination 比較不會誤擋 Extended ACL 可以看到 src/dst 的 IP/port，既然放哪沒差，就盡量設在 Router A, B, C 靠近 Source 減少網路負擔 ### 非預期滿分答案（4 人） Standard ACL 靠近 Source 可以及早擋下威脅 身為 Destination 網管，用 Extended ACL 可以清楚過濾流量 ## D1. 經過 ACL 判斷後，可能有哪幾種結果 > 在經過 ACL 判斷後，可能有哪幾種結果？如果每條規則都不符合，預設的行為是什麼？ ## D3. 請比較 Standard ACL 與 Extended ACL 的差異 > 請比較 Standard ACL 與 Extended ACL 的差異 ## D5. 為何 2960 Switch 不支援 ip access-group？ > 在 2911 Router 上可以透過 `ip access-group` 將 ACL 套用於網路介面，為何 2960 Switch 不支援這項設定？ # VyOS ## Q15. 打通 GRE Tunnel 後，請大家先將 Static Route 移除。沒移除有什麼影響？ (2 pts) > 在 VyOS 實驗課程中，兩邊用 GRE Tunnel 打通後，設定 OSPF 前，請大家先將 Static Route 移除。 > 這個步驟為什麼重要，如果沒有移除會有什麼影響？ ### 預期答案 避免建立完 OSPF 後，仍然只用 Static Route 的路由表，無法測試是否成功 ### 常見錯誤 Static Route 讓封包不會進到 GRE Tunnel 都有 Static Route 了，OSPF 偷懶不去學路由 會不小心將 Static Route 的路由資訊洩露給 OSPF 的另一端 ## Q20. 請解釋為什麼 IP Header 會出現兩次，各別有什麼作用？ (2 pts) > 經過 GRE Tunnel 封裝的 ICMP 封包，結構大致上是：Ethernet Header、Outer IP、GRE、 Inner IP、ICMP。 > 請解釋為什麼 IP Header 會出現兩次，各別有什麼作用？ ### 預期答案 Outer IP Header 指定 Tunnel 兩端的 Public IP 位址，讓 GRE 封包能被順利傳遞 Inner IP Header 存放 Tunnel 兩端內網的 Private IP 位址，在解開 GRE 封裝後成為新的 IP Header ## E2. 在 VyOS 系統中，哪些情境適合使用 commit-confirm > 在 VyOS 系統中，哪些情境適合使用 `commit-confirm` 而非直接 `commit`？ 如果 10 分鐘內沒 `confirm` 會自動重開機的理由為何？ ## E3. 請解釋 GRE Tunnel 每條指令對系統來說為什麼是必要的 > 在 VyOS 實驗課程中，設定 GRE Tunnel 時我們用到了這四個指令 ``` set address 10.113.77.1/30 set encapsulation gre set source-interface eth0 set remote 192.168.24.99 ``` 這四個指令只要少了任何一個，都會在 `commit` 時出現錯誤，無法順利儲存 請解釋每條指令對系統來說為什麼是必要的，少了各別會造成什麼問題 ## E5. 為什麼 OSPF 的 neighbor 要使用 GRE 的 Tunnel IP 位址 > 在 VyOS 實驗課程中，為什麼 OSPF 的 neighbor 要使用 GRE 的 Tunnel IP 位址而非對方的 WAN IP 位址 # Cable ## Q16-A. 壓製 RJ45 網路線時，為什麼要遵照 T-568B 規範的順序？ (2 pts) > 壓製 RJ45 網路線時，為什麼要遵照 T-568B 規範的順序？ ### 預期答案 依照雙絞線特性，T-568B 規範的順序能降低干擾 ### 常見錯誤 這樣兩端才對得上 讓線材更耐用 ## Q16-B. 如果兩邊都照自訂的順序，會有什麼影響？ (2 pts) > 如果兩邊都照自訂的「橘白 綠白 藍白 棕白 橘 綠 藍 棕」順序，會有什麼影響？ ### 給分依據 - 提到雙絞特性 (2 pts) ### 預期答案 因為原本該雙絞的 pair 都被拆開了，增加被干擾的影響，網速可能降低 ### 常見錯誤 沒差、速度可能變慢、整條不能用 ## F2. 你認為為什麼要使用保護套、可以如何延長線材使用的壽命 > 壓製 RJ45 網路線時，保護套（Strain Relief Boots）字面翻譯是「壓力釋放罩」 你認為為什麼要使用、可以如何延長線材使用的壽命 # 相關連結 Lab 6. Static Route, RIP 課程簡報 https://tg.pe/oQ6 Lab 12. LACP, FHRP 課程錄影 https://youtu.be/I3qfKhwi7Jw Lab 13. AAA, ACL 課程錄影 https://youtu.be/IGejk4OlkfE Lab 14. VyOS, Cable 課程錄影 https://youtu.be/lOJYH2GbfkU 110B 期末手寫作業 https://hackmd.io/@Sean64/ccna-110b-final 112B 期末考題庫 https://hackmd.io/@Sean64/ccna-112b-final <style> .toc > ul > li:first-child { display: none; } .toc ul ul ul { display: none; } .markdown-body blockquote { border-left: .2em solid #77B55A; padding: 0 0.8em; color: #333; } </style>