Podstawy - 200 pytań
Poniżej 259 pytań (1–259) z krótkimi odpowiedziami i opisem dlaczego (krótka teoria) – od podstaw (INF.02) do poziomu admina sieci. Możesz czytać po kolei, wracać do numerów lub uczyć się blokami.
Pytania 201–259 (default route, maski, testy rekrutacyjne, rekruter hotelowy) są w blokach 6–9 – przewiń w dół.
BLOK 1 — PODSTAWY SIECI (INF.02 FUNDAMENT) (1–25)
1. Co to jest sieć komputerowa?
Sieć to zbiór urządzeń połączonych w celu wymiany danych.
Dlaczego: Bez sieci każdy host pracowałby w izolacji; sieć umożliwia współdzielenie zasobów, komunikację i dostęp do usług.
2. Co to jest LAN?
Sieć lokalna – np. dom, biuro, hotel.
Dlaczego: LAN ma mały zasięg, wysoką prędkość i jest zwykle pod jednym zarządem – stąd osobna nazwa od WAN.
3. Co to jest WAN?
Sieć rozległa – Internet, połączenie z ISP.
Dlaczego: WAN łączy wiele LAN-ów na dużą odległość; zarządzają nią operatorzy, opóźnienia są większe niż w LAN.
4. Co to jest adres IP?
Logiczny adres urządzenia w sieci (warstwa 3).
Dlaczego: IP identyfikuje hosta w warstwie sieciowej; można go zmienić (w odróżnieniu od MAC). Routing działa po IP.
5. IPv4 – ile bitów?
32 bity.
Dlaczego: 4 oktety × 8 bitów = 32 bity; stąd ograniczona pula adresów i potrzeba NAT / IPv6.
6. Co to jest maska podsieci?
Określa część sieci i hosta w adresie IP.
Dlaczego: Maska mówi, które bity oznaczają sieć, a które hosta – bez niej nie wiadomo, kto jest w tej samej sieci.
7. Co oznacza /24?
24 bity sieci, 8 bitów hosta (255.255.255.0).
Dlaczego: Notacja CIDR: pierwsze 24 bity to adres sieci, ostatnie 8 to host – do 254 hostów w podsieci.
8. Kiedy dwa hosty są w tej samej sieci?
Gdy po zastosowaniu maski mają ten sam adres sieci.
Dlaczego: Porównujesz (IP & maska) u obu; jeśli wynik równy – ta sama sieć, ruch może iść bez routera.
9. Czy router jest potrzebny w tej samej podsieci?
Nie.
Dlaczego: W tej samej sieci hosty komunikują się przez switch (L2); router służy do przekazywania ruchu między sieciami.
10. Co to jest brama domyślna?
Adres routera, do którego wysyłany jest ruch poza podsieć.
Dlaczego: Host nie zna wszystkich sieci – nieznany cel idzie na bramę; router dalej decyduje (tablica routingu).
11. Kiedy brama jest potrzebna?
Gdy komunikacja wychodzi poza własną sieć.
Dlaczego: Do hostów w tej samej sieci brama nie jest używana; do Internetu czy innej podsieci – tak.
12. Co to jest DNS?
System zamiany nazw na adresy IP.
Dlaczego: Ludzie pamiętają nazwy (google.com), sieć działa na IP; DNS to „książka telefoniczna” między nimi.
13. Czy DNS jest potrzebny do pinga IP?
Nie.
Dlaczego: Ping po adresie IP nie wymaga rozwiązywania nazwy – DNS jest potrzebny tylko przy używaniu nazw.
14. Ping po IP działa, po nazwie nie — dlaczego?
Problem z DNS.
Dlaczego: IP działa na warstwie 3; nazwa musi być najpierw zamieniona na IP przez DNS – jeśli DNS nie działa, nazwa się nie rozwiąże.
15. Co to jest ARP?
Mapowanie IP → MAC w tej samej sieci.
Dlaczego: Switch przekazuje ramki po MAC; host zna IP celu, ale musi poznać MAC – ARP wysyła zapytanie w sieci i zapisuje odpowiedź.
16. Czy ARP działa między sieciami?
Nie.
Dlaczego: ARP jest broadcastem w jednej sieci L2; router nie przekazuje broadcastów, a w innej sieci jest inny zestaw MAC-ów.
17. Co to jest MAC address?
Sprzętowy adres karty sieciowej (warstwa 2).
Dlaczego: Unikalny identyfikator karty (zwykle na stałe); w LAN ramki są adresowane po MAC, nie po IP.
18. Co to jest switch?
Urządzenie warstwy 2, przełącza ramki po MAC.
Dlaczego: Switch buduje tablicę MAC–port i kieruje ramki tylko tam, gdzie trzeba; nie zmienia adresów IP.
19. Co to jest router?
Urządzenie warstwy 3, routuje pakiety IP.
Dlaczego: Router sprawdza adres IP celu, konsultuje tablicę routingu i przekazuje pakiet do następnego skoku (inna sieć).
20. Co to jest pakiet?
Jednostka danych warstwy 3.
Dlaczego: IP dodaje nagłówek z adresami IP; pakiet jest opakowaniem danych na czas przekazywania między sieciami.
21. Co to jest ramka?
Jednostka danych warstwy 2.
Dlaczego: Ramka ma nagłówek z MAC źródła i celu; to format, w którym dane idą w obrębie jednego segmentu L2 (np. przez switch).
22. Co to jest broadcast?
Pakiet do wszystkich hostów w sieci.
Dlaczego: Adres broadcastowy (np. 192.168.1.255 w /24) – każdy host w sieci odbiera; służy m.in. ARP, DHCP.
23. Czy broadcast przechodzi przez router?
Nie.
Dlaczego: Router nie przekazuje broadcastów między sieciami – inaczej cały Internet byłby zalany rozgłoszeniami; broadcast kończy się na granicy L3.
24. Co to jest collision domain?
Obszar, gdzie mogą wystąpić kolizje (historyczne).
Dlaczego: W sieciach z hubem wiele hostów dzieliło medium i kolizje były możliwe; switch ma port per segment – kolizje w praktyce zniknęły.
25. Co to jest broadcast domain?
Zakres rozgłoszeń – VLAN = osobna domena.
Dlaczego: Wszystkie hosty w jednej domenie broadcast odbierają ten sam ruch rozgłoszeniowy; VLAN ogranicza ten zakres.
BLOK 2 — DHCP / DNS / DIAGNOSTYKA (26–55)
26. Co to jest DHCP?
Automatyczny przydział IP.
Dlaczego: Ręczne IP na dziesiątkach hostów się nie skaluje; DHCP daje adres, maskę, bramę i DNS z jednego serwera.
27. DHCP działa w jakim trybie?
Klient–serwer.
Dlaczego: Klient (host) prosi o konfigurację, serwer DHCP ma pulę adresów i odpowiada – bez serwera klient nie dostanie IP z DHCP.
28. Cztery kroki DHCP?
Discover → Offer → Request → Ack.
Dlaczego: Discover (szukam), Offer (mam dla ciebie), Request (biorę), Ack (potwierdzenie) – tak klient i serwer uzgadniają adres.
29. Co to jest DHCP reservation?
Stałe IP przypisane do MAC.
Dlaczego: Dla drukarki czy serwera chcesz zawsze to samo IP; reservation wiąże MAC z konkretnym adresem z puli DHCP.
30. Czy DHCP gwarantuje Internet?
Nie.
Dlaczego: DHCP daje tylko konfigurację IP (adres, brama, DNS); łączność z Internetem zależy od routingu, firewalla i ISP.
31. Co oznacza IP 169.254.x.x?
APIPA – brak DHCP.
Dlaczego: Gdy klient nie dostanie oferty DHCP, Windows/Linux sam przypisuje adres z zakresu 169.254 – sieć lokalna działa, Internet zwykle nie.
32. Co sprawdzasz przy „nie ma Internetu”?
IP, maskę, bramę, DNS.
Dlaczego: Kolejno: czy mam sensowne IP, czy brama jest osiągalna, czy DNS rozwiązuje nazwy – to odcina większość błędów konfiguracji.
33. Co sprawdza ping?
ICMP – łączność.
Dlaczego: Ping to echo ICMP; odpowiedź znaczy, że warstwa 3 między tobą a celem działa. Nie testuje portów ani aplikacji.
34. Czy ping = usługa działa?
Nie.
Dlaczego: Ping sprawdza tylko łączność (ICMP); serwer WWW może być wyłączony albo blokować ICMP – wtedy ping nie działa, a strona tak.
35. Dlaczego ping może nie działać, a WWW tak?
ICMP zablokowany.
Dlaczego: Firewall lub operator może blokować ICMP; ruch HTTP (port 80/443) idzie osobno – dlatego strona ładuje się, a ping nie.
36. Co sprawdza nslookup?
DNS.
Dlaczego: nslookup pyta serwer DNS o rekordy dla danej nazwy; jeśli zwraca IP – DNS działa, jeśli timeout – problem z DNS lub siecią.
37. Ping 8.8.8.8 działa, google.com nie?
DNS.
Dlaczego: Łączność do Internetu jest (ping IP), ale nazwa nie jest rozwiązywana – więc błąd po stronie DNS (serwer, konfiguracja klienta).
38. Ping bramy nie działa — co to oznacza?
Problem lokalny (LAN).
Dlaczego: Brama to pierwszy router; jeśli jej nie ma, ruch nie wyjdzie z sieci – sprawdź kabel, VLAN, adresację w LAN.
39. Co to jest TTL (DNS)?
Czas cache'owania rekordu.
Dlaczego: Serwer zwraca TTL w sekundach; klient lub resolver może trzymać odpowiedź w cache przez ten czas, żeby nie pytać za każdym razem.
40. Reverse DNS (PTR) — po co?
IP → nazwa (logi, mail).
Dlaczego: Niektóre serwery (np. mail) sprawdzają PTR: czy IP ma „przypisaną” nazwę; brak PTR bywa powodem odrzucenia, ale nie blokuje samej sieci.
41. Brak PTR — czy blokuje sieć?
Nie.
Dlaczego: PTR służy weryfikacji i logom; ruch IP działa bez PTR; problemem jest tylko tam, gdzie aplikacja (np. SMTP) wymaga PTR.
42. Recursive DNS?
Szuka odpowiedzi w imieniu klienta.
Dlaczego: Klient pyta jednego resolvera; resolver sam pyta inne serwery (root, TLD, autorytatywny), zbiera odpowiedź i zwraca ją klientowi.
43. Authoritative DNS?
Posiada rekordy strefy.
Dlaczego: Serwer autorytatywny ma „oficjalne” rekordy domeny (np. prokursy.online.pl); reszta świata pyta go o tę domenę.
44. DNS używa UDP czy TCP?
UDP domyślnie, TCP przy dużych danych.
Dlaczego: Zapytania zwykle mieszczą się w jednym UDP; przy dużych odpowiedziach (np. wiele rekordów) używany jest TCP.
45. Co to jest split DNS?
Różne odpowiedzi DNS wewnątrz i na zewnątrz.
Dlaczego: Wewnątrz firmy np. serwer.local wskazuje na wewnętrzny IP; z Internetu ta sama nazwa może wskazywać na inny adres – cel: separacja wewnętrzna/zewnętrzna.
46. Co to jest cache DNS?
Pamięć odpowiedzi DNS.
Dlaczego: Zamiast za każdym razem pytać serwer, resolver/klient zapisuje odpowiedź na czas TTL; skraca to opóźnienia i obciążenie DNS.
47. Co to jest hosts file?
Lokalna mapa nazw.
Dlaczego: Plik na komputerze (np. /etc/hosts) mapuje nazwy na IP; jest sprawdzany przed DNS – służy testom i blokowaniu (np. reklam).
48. Czy hosts omija DNS?
Tak.
Dlaczego: System najpierw sprawdza hosts; jeśli nazwa tam jest, nie wysyła zapytania DNS – przydatne przy debugowaniu lub wymuszeniu adresu.
49. Czy DNS działa w VLAN?
DNS nie zależy od VLAN – zależy od routingu.
Dlaczego: VLAN to warstwa 2; DNS to aplikacja i ruch IP. Ważne, żeby host w VLAN miał routing do serwera DNS (brama, trasy).
50. Co to jest FQDN?
Pełna nazwa domenowa.
Dlaczego: Nazwa od hosta do roota, np. www.prokursy.online.pl. – jednoznacznie identyfikuje host w DNS; krótkie „www” zależy od kontekstu (suffix).
51. DNS działa na porcie?
Port 53 (UDP/TCP).
Dlaczego: Standardowo DNS używa portu 53; firewall musi go przepuszczać do serwera DNS, jeśli ma działać rozwiązywanie nazw.
52. DNS = routing?
Nie.
Dlaczego: DNS tylko zamienia nazwę na IP; routing to decyzja, którą ścieżką wysłać pakiet – to dwa osobne mechanizmy w sieci.
53. Co to jest timeout DNS?
Brak odpowiedzi serwera.
Dlaczego: Klient wysłał zapytanie, ale w określonym czasie nie dostał odpowiedzi – serwer niedostępny, sieć, firewall lub błędny adres DNS.
54. Co to jest round-robin DNS?
Kilka IP dla jednej nazwy.
Dlaczego: Serwer DNS zwraca listę IP w zmiennej kolejności; klienci trafiają na różne serwery – prosty podział obciążenia, bez prawdziwego LB.
55. Czy DNS = load balancing?
Bardzo prosty, nieprawdziwy LB.
Dlaczego: Round-robin DNS rozdziela ruch, ale nie sprawdza stanu serwerów ani sesji – prawdziwy LB robi health check i utrzymuje sesje.
BLOK 3 — VLAN / SWITCHING (56–90)
56. Co to jest VLAN?
Logiczna separacja w warstwie 2.
Dlaczego: Jeden fizyczny switch można podzielić na kilka logicznych sieci L2; ruch z jednego VLAN-u nie trafia do drugiego bez routingu.
57. VLAN działa w jakiej warstwie?
Warstwa 2.
Dlaczego: VLAN to tag w ramce Ethernet (802.1Q); switch decyduje po tagu, do którego VLAN należy ramka – to nie adresy IP.
58. Czy VLAN to podsieć?
Nie.
Dlaczego: VLAN to separacja L2; podsieć to zakres adresów IP (L3). Często 1 VLAN = 1 podsieć, ale to konwencja, nie wymóg protokołu.
59. Dlaczego często 1 VLAN = 1 podsieć?
Bo routing działa między sieciami IP.
Dlaczego: Router łączy sieci IP; wygodnie jest przypisać jednej sieci IP jeden VLAN – wtedy routing między VLAN-ami = między podsieciami.
60. Czy VLAN musi mieć inną klasę IP?
Nie.
Dlaczego: VLAN nie narzuca adresacji; teoretycznie dwa VLAN-y mogłyby mieć ten sam zakres IP (bałagan), więc w praktyce daje się różne podsieci.
61. Czy VLAN-y widzą się bez routingu?
Nie.
Dlaczego: Ruch między VLAN-ami to ruch między sieciami L3; potrzebny router lub switch L3 (inter-VLAN routing).
62. Co to jest port access?
Port przypisany do jednego VLAN.
Dlaczego: Urządzenie podłączone do portu access należy do jednego VLAN-u; ramki wychodzące nie mają taga (dla hosta VLAN jest niewidoczny).
63. Do czego access?
PC, drukarki, kamery.
Dlaczego: Hosty końcowe zwykle nie rozumieją tagów 802.1Q; port access przypisuje je do VLAN-u, więc nie trzeba konfigurować VLAN po stronie klienta.
64. Co to jest trunk?
Port przenoszący wiele VLAN-ów.
Dlaczego: Między switchami trzeba przenosić ruch wszystkich VLAN-ów; trunk niesie ramki z tagiem VLAN (802.1Q), żeby każdy switch wiedział, do którego VLAN-u kierować.
65. Trunk działa w jakiej warstwie?
Warstwa 2.
Dlaczego: Trunk to nadal Ethernet z tagiem w nagłówku; nie ma tu routingu – tylko przełączanie ramek z zachowaniem informacji o VLAN-ie.
66. Co to jest 802.1Q?
Tagowanie VLAN.
Dlaczego: Standard dodający 4 bajty do ramki Ethernet (identyfikator VLAN); switch i drugi switch po trunku rozpoznają, do którego VLAN-u należy ramka.
67. Czy komputer pod trunk?
Nie (bez VLAN taggingu).
Dlaczego: Komputer zwykle nie wysyła ramek z tagiem 802.1Q; gdy podłączysz go do trunku, trafi do native VLAN (ramki bez taga) – często niepożądane.
68. Native VLAN?
VLAN dla ramek bez taga.
Dlaczego: Na trunku ramki bez taga są traktowane jako należące do native VLAN; musi być ten sam po obu stronach, inaczej błędna przypisanie.
69. Dlaczego native VLAN jest ryzykowny?
VLAN hopping.
Dlaczego: Atakujący może wysłać ramki z podwójnym tagowaniem; switch zdjąć zewnętrzny tag i przekazać ramkę do innego VLAN-u – stąd native VLAN często zmieniany z 1.
70. VLAN 1 — używać?
Nie w produkcji.
Dlaczego: VLAN 1 jest domyślny (management, native); trzymanie w nim ruchu użytkowników utrudnia bezpieczeństwo i analizę – lepiej osobne VLAN-y.
71. Broadcast a VLAN?
VLAN ogranicza broadcast.
Dlaczego: Broadcast z hosta w VLAN 10 nie wychodzi do VLAN 20 – każdy VLAN to osobna domena broadcast; zmniejsza to zalew niepotrzebnym ruchem.
72. Czy switch L2 routuje?
Nie.
Dlaczego: Switch L2 pracuje po adresach MAC i tagach VLAN; nie ma tablicy routingu ani adresów IP na interfejsach – routing to warstwa 3.
73. Czy switch L2 może mieć VLAN?
Tak.
Dlaczego: VLAN to funkcja warstwy 2; zarządzalny switch L2 konfiguruje VLAN-y, porty access/trunk – to standard.
74. Co to jest inter-VLAN routing?
Routing między VLAN-ami.
Dlaczego: Żeby host w VLAN 10 mówił z hostem w VLAN 20, ruch musi przejść przez urządzenie L3 (router lub switch L3), które ma adresy w obu sieciach.
75. Kto robi inter-VLAN routing?
Router lub switch L3.
Dlaczego: Router ma subinterfejsy (po jednym na VLAN) albo switch L3 ma SVI (interfejsy wirtualne) – oba mogą być bramą dla hostów w VLAN-ach.
76. Co to jest SVI?
Interfejs VLAN na switchu L3.
Dlaczego: SVI to wirtualny interfejs (np. interface VLAN 10) z adresem IP; hosty w tym VLAN-ie ustawiają ten adres jako bramę – switch L3 routuje między SVI.
77. SVI pełni rolę?
Bramy domyślnej VLAN-u.
Dlaczego: Host w VLAN 10 ma bramę = adres SVI dla VLAN 10; ruch do innych sieci idzie na switch L3, który routuje między SVI (VLAN-ami).
78. Czy switch L3 potrzebuje bramy do VLAN↔VLAN?
Nie.
Dlaczego: Switch L3 ma bezpośrednio sieci na SVI; routing między nimi odbywa się wewnętrznie – brama jest potrzebna tylko do sieci „na zewnątrz” (Internet).
79. Kiedy switch L3 potrzebuje bramy?
Do Internetu / zarządzania.
Dlaczego: Dla ruchu między VLAN-ami wystarczą trasy bezpośrednie (SVI); default route (brama) potrzebna jest do wyjścia do ISP lub do zdalnego zarządzania.
80. VLAN a bezpieczeństwo?
Separacja ≠ firewall.
Dlaczego: VLAN ogranicza kto z kim może rozmawiać na L2; nie filtruje portów ani sesji – do prawdziwej polityki bezpieczeństwa potrzebny firewall.
81. VLAN gości — dlaczego osobny?
Bezpieczeństwo.
Dlaczego: Goście nie powinni widzieć sieci firmowej ani siebie nawzajem w pełni; osobny VLAN + reguły na firewallu ograniczają ryzyko i zakres ataku.
82. VLAN monitoring — dlaczego osobny?
Stabilność i bezpieczeństwo.
Dlaczego: Kamery, NVR, rejestratory nie powinny być w tym samym VLAN co goście; osobny VLAN chroni monitoring przed zalaniem i ułatwia politykę dostępu.
83. Czy VLAN zastępuje firewall?
Nie.
Dlaczego: VLAN dzieli ruch; firewall decyduje, jaki ruch między segmentami jest dozwolony (porty, protokoły, stany) – to dwa różne mechanizmy.
84. Czy VLAN to HA?
Nie.
Dlaczego: HA (wysoka dostępność) to redundancja – dwa routery, dwa switche, VRRP/HSRP; VLAN to tylko logiczny podział sieci, nie zapasowe ścieżki.
85. Co to jest port security?
Ograniczenie MAC na porcie.
Dlaczego: Można zezwolić tylko na jeden lub kilka adresów MAC; nieznane urządzenie nie dostanie ruchu lub port zostanie zablokowany – ochrona przed podpięciem obcego sprzętu.
86. Co to jest STP?
Zapobieganie pętlom.
Dlaczego: Przy redundantnych łączach między switchami powstają pętle L2; STP blokuje część portów, tworząc drzewo bez pętli – po awarii łącza odblokowuje zapas.
87. Co się dzieje przy pętli?
Broadcast storm.
Dlaczego: Broadcast w pętli jest kopiowany w kółko; w krótkim czasie sieć jest zatłoczona, hosty tracą łączność, switche się przeciążają.
88. VLAN a STP?
STP działa per VLAN.
Dlaczego: W wariantach jak MSTP różne VLAN-y mogą mieć różne drzewa; nawet w Per-VLAN STP każdy VLAN ma spójną topologię bez pętli.
89. Co to jest trunk allowed VLAN?
Lista VLAN-ów na trunku.
Dlaczego: Na trunku można ograniczyć, które VLAN-y są dozwolone; tylko te VLAN-y przechodzą – reszta jest odfiltrowana (bezpieczeństwo, porządek).
90. Co jeśli VLAN nie jest dozwolony na trunku?
Ruch nie przejdzie.
Dlaczego: Ramki z niedozwolonego VLAN-u są odrzucane na trunku; hosty w tym VLAN-ie po drugiej stronie nie zobaczą ruchu – trzeba dodać VLAN do allowed.
BLOK 4 — ROUTING / NAT / INTERNET (91–130)
91. Co to jest routing?
Kierowanie pakietów między sieciami.
Dlaczego: Router sprawdza adres IP celu, szuka w tablicy routingu i wysyła pakiet odpowiednim interfejsem do następnego skoku.
92. Routing działa w jakiej warstwie?
Warstwa 3.
Dlaczego: Routing opiera się na adresach IP i tablicy routingu – to warstwa sieciowa (L3); L2 to przełączanie po MAC.
93. Co to jest routing statyczny?
Trasy wpisywane ręcznie.
Dlaczego: Administrator sam dodaje trasy (np. sieć X przez next-hop Y); prosty, przewidywalny, ale nie skaluje się przy wielu sieciach i zmianach.
94. Routing dynamiczny?
Automatyczny (OSPF, RIP).
Dlaczego: Routery wymieniają informacje o sieciach (protokoły OSPF, RIP, BGP); tablica routingu buduje się sama – lepsze przy wielu routerach.
95. Co to jest default route?
0.0.0.0/0 – trasa „w świat”.
Dlaczego: Gdy router nie ma trasy do sieci docelowej, wysyła pakiet na bramę z default route (zwykle do ISP) – stąd „wszystko nieznane idzie tam”.
96. Co jeśli brak default route?
Brak Internetu.
Dlaczego: Hosty wysyłają ruch do nieznanych sieci na bramę; jeśli router nie ma default route, nie wie, gdzie wysłać ruch do Internetu – brak łączności.
97. Co to jest NAT?
Translacja adresów IP.
Dlaczego: Zamiana adresu źródłowego (lub celu) na inny przy przejściu przez router – typowo prywatne IP na publiczne, żeby wiele hostów mogło wyjść jednym adresem.
98. Dlaczego NAT istnieje?
Brak IPv4.
Dlaczego: Pula publicznych IPv4 się skończyła; NAT pozwala wielu hostom (prywatne IP) współdzielić jedno lub kilka publicznych IP przy wyjściu do Internetu.
99. Co to jest PAT?
Wiele IP → jedno publiczne (porty).
Dlaczego: NAT overload: wiele połączeń rozróżniane po porcie źródłowym; jedno publiczne IP obsługuje setki sesji – typowe w routerze domowym.
100. Czy NAT to firewall?
Nie.
Dlaczego: NAT zmienia adresy; firewall filtruje ruch (zezwala/blokuje). NAT przy okazji ukrywa hosty (brak inicjacji z zewnątrz), ale to nie polityka bezpieczeństwa.
101. Inside local?
Prywatny IP hosta.
Dlaczego: Adres hosta w sieci wewnętrznej (np. 192.168.1.10) – tak widzi się sam i tak może być w nagłówku przed NAT.
102. Inside global?
Publiczny IP hosta.
Dlaczego: Adres, pod którym host jest widziany z Internetu po translacji – zwykle publiczny IP routera (przy PAT + port).
103. Outside global?
Publiczny IP serwera.
Dlaczego: Adres serwera w Internecie (np. serwer Google) – ten sam z perspektywy klienta przed i za NAT.
104. Static NAT?
Mapowanie 1:1.
Dlaczego: Jeden prywatny IP na stałe mapowany na jeden publiczny; używane gdy serwer w LAN ma być dostępny z Internetu pod stałym adresem.
105. Kiedy static NAT?
Serwer dostępny z Internetu.
Dlaczego: Żeby z zewnątrz wejść na serwer w LAN, trzeba mieć stałe mapowanie publiczny IP:port → wewnętrzny host – static NAT lub port forwarding.
106. Dynamic NAT?
Pula publicznych IP.
Dlaczego: Wiele prywatnych hostów dzieli pulę publicznych IP; przy wyjściu przypisywany jest wolny adres z puli – gdy sesja się kończy, adres wraca do puli.
107. Dlaczego rzadki?
Nieefektywny.
Dlaczego: Jedno połączenie = jedno publiczne IP; przy setkach hostów potrzeba setek publicznych IP – PAT (jeden IP, porty) jest dużo oszczędniejsza.
108. CGNAT?
NAT u operatora.
Dlaczego: Operator (ISP) robi NAT zanim ruch wyjdzie do Internetu; „twój” publiczny IP jest tak naprawdę adresem w sieci operatora – prawdziwy Internet za kolejnym NAT.
109. Skutek CGNAT?
Brak port forwarding.
Dlaczego: Nie możesz otworzyć portu na „swoim” IP, bo to nie jest końcowy adres w Internecie – inicjacja połączenia z zewnątrz do twojego hosta jest zablokowana.
110. Co to jest port forwarding?
Publiczny port → host LAN.
Dlaczego: Ruch na publiczny IP:port jest przekierowany na wybrany host:port w LAN – potrzebne do serwera, kamery, zdalnego pulpitu za NAT.
111. NAT + firewall?
Dwa różne mechanizmy.
Dlaczego: NAT zmienia adresy; firewall decyduje, co przepuścić. Często na jednym urządzeniu, ale logika jest inna – firewall może blokować nawet po translacji.
112. Co to jest MTU?
Maks. rozmiar pakietu.
Dlaczego: Maksymalna długość ramki/pakietu (np. 1500 B w Ethernet); większe pakiety są fragmentowane lub odrzucane – źle ustawiony MTU = dziwne błędy.
113. Objaw złego MTU?
Strony się nie ładują.
Dlaczego: Duże pakiety (np. z dużym nagłówkiem VPN) przekraczają MTU; fragmentacja lub ICMP „unreachable” – efekt: część ruchu działa, część nie (np. małe requesty tak, duże odpowiedzi nie).
114. Co to jest ISP?
Dostawca Internetu.
Dlaczego: Operator łączy twoją sieć z resztą Internetu; dostarcza łącze, adresację (często CGNAT), DNS – od niego zależy dostęp do sieci zewnętrznej.
115. Co to jest publiczne IP?
Widoczne w Internecie.
Dlaczego: Adres routowalny globalnie; każdy w Internecie może w teorii wysłać pakiet na ten adres – w przeciwieństwie do prywatnego (RFC 1918).
116. Prywatne IP?
Tylko lokalnie (RFC1918).
Dlaczego: Zakresy 10/8, 172.16/12, 192.168/16 nie są routowane w Internecie; używane wewnątrz sieci, wyjście przez NAT.
117. Zakresy prywatne?
10/8, 172.16/12, 192.168/16.
Dlaczego: Zdefiniowane w RFC 1918; można ich używać dowolnie w sieci lokalnej bez konfliktu z Internetem – muszą być translowane przy wyjściu.
118. Co to jest ASN?
Numer sieci autonomicznej.
Dlaczego: Identyfikator sieci w BGP; operatorzy wymieniają trasy po ASN – „ja obsługuję sieci tego AS”, żeby ruch do ciebie trafiał poprawnie.
119. BGP w 1 zdaniu?
Routing między operatorami.
Dlaczego: BGP łączy różne sieci autonomiczne (AS); operatorzy ogłaszają, które prefiksy obsługują – to szkielet routingu w Internecie.
120. Czy każdy router zna Internet?
Nie.
Dlaczego: Router ma trasy do sąsiadów i ewentualnie default; nie ma pełnej tablicy BGP (setki tysięcy sieci) – tylko edge routery operatorów mają duże tablice.
121. Co to jest HA?
Wysoka dostępność.
Dlaczego: Redundancja: dwa urządzenia, dwa łącza, failover – gdy jedno padnie, drugie przejmuje; celem jest brak pojedynczego punktu awarii.
122. VRRP/HSRP?
Redundancja bramy.
Dlaczego: Dwa routery udają jedną bramę (wspólny wirtualny IP); hosty mają jedną bramę, a w tle działa master i backup – przy awarii backup przejmuje.
123. Czy 2 routery w jednej sieci?
Tak, z HA.
Dlaczego: Bez protokołu typu VRRP/HSRP byłby konflikt (dwie bramy); z VRRP/HSRP jest jedna wirtualna brama i dwa fizyczne routery w rezerwie.
124. Routing a VLAN?
Routing łączy VLAN-y.
Dlaczego: VLAN-y to osobne sieci L2; żeby między nimi był ruch, potrzebny jest routing (router lub switch L3) – routing „skleja” VLAN-y w całość.
125. Czy router musi znać VLAN?
Tylko przez interfejsy.
Dlaczego: Router pracuje po adresach IP; VLAN jest istotny tylko na łączu (trunk/subinterfejs) – router widzi sieci IP przypisane do interfejsów, nie „VLAN” jako taki.
126. Router-on-a-stick?
Trunk + subinterfejsy.
Dlaczego: Jeden fizyczny port routera podłączony do trunku; subinterfejsy (np. 0.10, 0.20) mają adresy w różnych VLAN-ach – router routuje między nimi.
127. Switch L3 vs router?
Wydajność vs funkcje.
Dlaczego: Switch L3 routuje wewnętrznie między VLAN-ami bardzo szybko; router ma zwykle więcej funkcji (NAT, zaawansowany firewall, usługi) przy mniejszej przepustowości L3.
128. Firewall a router?
Firewall = polityka bezpieczeństwa.
Dlaczego: Router przekazuje pakiety według trasy; firewall dodatkowo filtruje (zezwala/blokuje) według reguł – często firewall ma też funkcje routingu.
129. Czy firewall zawsze routuje?
Tak.
Dlaczego: Żeby przekazać pakiet między interfejsami (np. LAN a WAN), urządzenie musi mieć włączony routing – firewall zwykle łączy segmenty i routuje między nimi.
130. Czy routing = bezpieczeństwo?
Nie.
Dlaczego: Routing tylko kieruje ruch; kto może z kim rozmawiać i na jakich portach określa firewall i polityka – sam routing nie blokuje ataków.
BLOK 5 — BEZPIECZEŃSTWO / ADMIN (131–200)
131. Telnet — dlaczego zły?
Plaintext.
Dlaczego: Hasła i polecenia idą niezaszyfrowane; kto ma dostęp do sieci (sniffer), może je przechwycić – do zarządzania używa się SSH.
132. SSH — dlaczego dobry?
Szyfrowany.
Dlaczego: Cała sesja (logowanie, polecenia) jest szyfrowana; przechwycenie ruchu nie daje atakującemu treści – standard przy zdalnym zarządzaniu.
133. Enable password vs enable secret?
Secret jest haszowany.
Dlaczego: Secret jest hashowany w konfiguracji (nie da się odczytać); zwykłe hasło może być widoczne lub słabo zabezpieczone – secret to bezpieczniejsza opcja.
134. Czy service password-encryption jest bezpieczne?
Nie (obfuscation).
Dlaczego: To tylko zaciemnienie w pliku konfiguracji; algorytm jest słaby i odwracalny – nie traktuj tego jako prawdziwego szyfrowania haseł.
135. Console vs VTY?
Lokalny vs zdalny dostęp.
Dlaczego: Konsola = fizyczne wejście (kabel); VTY = sesje zdalne (Telnet/SSH). Oba wymagają zabezpieczenia – hasło, ACL, tylko SSH na VTY.
136. Czy enable secret chroni konsolę?
Nie.
Dlaczego: Enable secret chroni tryb uprzywilejowany (po wejściu na urządzenie); wejście na konsolę chroni hasło konsoli (login) – to osobna konfiguracja.
137. ACL — po co?
Filtrowanie ruchu.
Dlaczego: Lista reguł zezwalających lub blokujących ruch (źródło, cel, port); prosty mechanizm „kto może gdzie” – bez śledzenia stanu sesji.
138. Implicit deny?
Domyślne blokowanie.
Dlaczego: Na końcu ACL jest domyślna reguła: wszystko, czego nie dopuściły wcześniejsze wpisy, jest odrzucane – dlatego często na końcu dodaje się „zezwól na resztę”.
139. Standard vs extended ACL?
Źródło vs źródło+cel+port.
Dlaczego: Standardowa ACL filtruje tylko po źródle IP; rozszerzona po źródle, celu i porcie/protokole – precyzyjna kontrola (np. tylko HTTP do serwera).
140. Stateful firewall?
Śledzi stan połączeń.
Dlaczego: Pamięta nawiązane sesje (np. TCP); odpowiedź na dozwolone żądanie jest przepuszczana bez osobnej reguły – ACL tego nie robi.
141. QoS — po co?
Priorytety przy przeciążeniu.
Dlaczego: Gdy łącze jest pełne, QoS decyduje, który ruch ma iść pierwszy (np. VoIP przed pobieraniem) – bez QoS wszystko się wali równo.
142. Latency?
Opóźnienie.
Dlaczego: Czas od wysłania do odbioru (ms); ważne dla VoIP, gier, zdalnego pulpitu – wysoka latency = opóźnienia w rozmowie lub obrazie.
143. Jitter?
Zmienność opóźnień.
Dlaczego: Opóźnienie nie jest stałe; jitter to wahania (np. 20 ms, potem 80 ms); dla VoIP i streamingu jitter powoduje zrywania i „skaczący” obraz.
144. VoIP wrażliwe na?
Jitter i latency.
Dlaczego: Głos musi iść w czasie rzeczywistym; duże opóźnienie lub niestabilne opóźnienie (jitter) daje zrywania, echo, nieczytelność.
145. NTP — po co?
Spójny czas/logi.
Dlaczego: Wszystkie urządzenia mają ten sam czas; logi z różnych miejsc da się porównać, certyfikaty i sesje działają poprawnie.
146. Brak NTP — skutki?
Chaos w logach.
Dlaczego: Każde urządzenie żyje swoim zegarem; przy incydencie nie wiadomo, co było pierwsze – analiza i audyt są niemal niemożliwe.
147. SNMP?
Monitoring.
Dlaczego: Protokół do zbierania metryk z urządzeń (obciążenie, błędy, stan portów); system monitoringu pyta urządzenia (polling) lub dostaje alarmy (trap).
148. Trap vs polling?
Push vs pull.
Dlaczego: Polling = monitor pyta urządzenie co X sekund; trap = urządzenie samo wysyła zdarzenie (np. link down) – trap szybszy przy awariach.
149. Syslog?
Centralne logi.
Dlaczego: Urządzenia wysyłają logi na centralny serwer; w jednym miejscu masz zdarzenia z całej sieci – łatwiejsza analiza i archiwum.
150. Backup konfiguracji — po co?
Odtwarzanie po awarii.
Dlaczego: Po błędzie, upgrade’u lub wymianie sprzętu możesz wrócić do znanej konfiguracji – bez backupu odtwarzanie trwa długo i bywa błędne.
151. Running-config?
RAM.
Dlaczego: Aktualna konfiguracja w pamięci; po restarcie znika, jeśli nie została zapisana do startup-config – zmiany „na żywo” są tylko w running.
152. Startup-config?
NVRAM.
Dlaczego: Konfiguracja przechowywana po wyłączeniu; z niej urządzenie ładuje się przy starcie – zapis „write memory” / „copy run start” przenosi running do startup.
153. Po restarcie zniknęła konfiguracja?
Nie zapisano.
Dlaczego: Zmiany były tylko w running-config; przed restartem trzeba zapisać do startup-config (NVRAM), inaczej urządzenie startuje ze starą konfiguracją.
154. Czy można mieć 2 IOS?
Tak (rollback).
Dlaczego: Niektóre platformy trzymają poprzednią wersję IOS; po złym upgrade można wrócić do starej wersji bez konieczności ponownego wgrywania.
155. Co decyduje który IOS startuje?
Boot order.
Dlaczego: Urządzenie sprawdza konfigurację boot (np. boot system flash); kolejność i ścieżki decydują, który obraz IOS zostanie załadowany.
156. VLAN gości — zabezpieczenie?
Izolacja + firewall.
Dlaczego: VLAN oddziela ruch gości; firewall blokuje dostęp do sieci wewnętrznej i ogranicza porty – sama izolacja VLAN to za mało.
157. Czy VLAN chroni przed atakiem?
Nie w pełni.
Dlaczego: VLAN utrudnia podsłuch i dostęp do innych segmentów, ale błąd konfiguracji (np. trunk do gościa) lub atak na warstwę 2 może to obejść.
158. Port security — po co?
Blokada obcych MAC.
Dlaczego: Tylko znane adresy MAC mogą korzystać z portu; podpięcie obcego laptopa nie da dostępu – ochrona przed fizycznym wejściem do sieci.
159. Monitoring VLAN — Internet?
Zwykle nie.
Dlaczego: Kamery i rejestratory nie muszą wychodzić do Internetu; brak routingu z VLAN monitoringu na zewnątrz ogranicza powierzchnię ataku.
160. Dlaczego nie restartować „w ciemno”?
Utrata stanu/logów.
Dlaczego: Przed restartem warto zebrać logi, zrzuty, opisać objawy; po restarcie stan znika – diagnoza potem jest trudniejsza.
161. Co ważniejsze: dostępność czy bezpieczeństwo?
Balans.
Dlaczego: Zależy od kontekstu; w krytycznej awarii często najpierw przywraca się działanie, potem zabezpieczenia – ale na co dzień oba idą w parze.
162. Incident w sezonie — co pierwsze?
Przywrócić działanie.
Dlaczego: W hotelu w sezonie priorytet to goście i działające usługi; pełna analiza forensyczna może poczekać – najpierw odciąć zagrożenie i przywrócić serwis.
163. Eskalacja — kiedy?
Gdy wykracza poza SLA.
Dlaczego: Gdy problem przekracza twoje uprawnienia, czas lub umowę (SLA) – eskalujesz do wyższego poziomu lub dostawcy.
164. „U mnie działa” — dlaczego złe?
Nie rozwiązuje problemu.
Dlaczego: To nie diagnoza; trzeba ustalić różnice (sieć, konfiguracja, użytkownik) między „u mnie” a u klienta – inaczej problem wróci.
165. Czy admin musi tłumaczyć nietechnicznie?
Tak.
Dlaczego: Kierownictwo i użytkownicy nie znają VLAN-ów i BGP; trzeba mówić „sieć gości jest oddzielona” zamiast „mamy VLAN 30” – inaczej brak zrozumienia.
166. VLAN ≠ firewall — dlaczego?
Brak kontroli ruchu.
Dlaczego: VLAN dzieli ruch; nie decyduje, które porty i protokoły są dozwolone między segmentami – to robi firewall (lub ACL z pełną polityką).
167. ACL vs firewall?
ACL prosty, firewall stanowy.
Dlaczego: ACL to lista reguł bez śledzenia sesji; firewall pamięta połączenia i może przepuszczać odpowiedzi, ma też często inspection aplikacji.
168. Co to jest captive portal?
Autoryzacja Wi-Fi.
Dlaczego: Przed dostępem do Internetu użytkownik widzi stronę (logowanie, akceptacja regulaminu); po autoryzacji ruch jest puszczany – typowe w hotelach, hotspotach.
169. Hotel Wi-Fi — co ważne?
Stabilność > prędkość.
Dlaczego: Goście potrzebują sprawnego maila i przeglądarki; częste zrywania i „nie działa” są gorsze niż wolniejszy, ale działający dostęp.
170. Gość widzi drukarkę recepcji — co źle?
Brak separacji VLAN.
Dlaczego: Goście i recepcja powinni być w osobnych VLAN-ach; w jednym broadcast gość widzi zasoby wewnętrzne – błąd projektowania lub konfiguracji.
171. Czy ping do ISP wystarczy?
Nie.
Dlaczego: Ping sprawdza tylko łączność; nie testuje DNS, portów ani aplikacji – pełna diagnostyka „Internetu” wymaga sprawdzenia bramy, DNS i np. HTTP.
172. Monitoring po restarcie nie nagrywa — dlaczego?
Adresacja / routing.
Dlaczego: Kamery lub NVR mogły dostać inne IP (DHCP), brama jest niedostępna albo routing między VLAN-ami się zmienił – sprawdź IP i trasy.
173. Co to jest failover Internetu?
Automatyczne przełączenie.
Dlaczego: Dwa łącza (np. dwa ISP); gdy jedno padnie, drugie przejmuje ruch – bez failoveru jedno przerwane łącze = brak Internetu.
174. Jeden ISP — ryzyko?
Tak.
Dlaczego: Jedno łącze = pojedynczy punkt awarii; awaria u operatora lub na odcinku oznacza brak Internetu – stąd failover lub drugi ISP w krytycznych miejscach.
175. Firewall a NAT — kolejność?
Najpierw firewall.
Dlaczego: Najpierw sprawdzane są reguły (kto, gdzie, port), potem translacja; kolejność ma znaczenie przy logowaniu i polityce (np. blokuj przed NAT).
176. ACL inbound vs outbound?
Kierunek ruchu.
Dlaczego: Inbound = ruch wchodzący do interfejsu; outbound = wychodzący. Reguła na innym „kierunku” nie złapie tego samego ruchu – trzeba wiedzieć, gdzie stosować ACL.
177. Dlaczego testować zmiany?
Bo produkcja ≠ lab.
Dlaczego: W labie nie ma pełnego ruchu ani wszystkich integracji; zmiana w produkcji bez testu może wyłączyć usługi – test w labie lub na oknie zmian.
178. Co to jest change window?
Okno zmian.
Dlaczego: Ustalony czas (np. noc, weekend), gdy dopuszczalne są zmiany w sieci; ogranicza ryzyko w godzinach szczytu i daje czas na rollback.
179. Dokumentacja — po co?
Ciągłość pracy.
Dlaczego: Bez opisu sieci, adresacji i procedur kolejna osoba (lub ty za pół roku) nie odtworzy konfiguracji – dokumentacja to ubezpieczenie na awarię i rotację.
180. Czy admin musi znać biznes?
Tak.
Dlaczego: Żeby projektować sieć i priorytety (np. POS, rezerwacje), trzeba wiedzieć, co jest krytyczne dla hotelu – inaczej rozwiązania są oderwane od rzeczywistości.
181. VLAN w hotelu?
Goście / staff / monitoring.
Dlaczego: Typowy podział: osobny VLAN dla gości, dla pracowników (recepcja, IT), dla monitoringu – separacja i różne polityki dostępu.
182. Dlaczego osobny VLAN POS?
Bezpieczeństwo.
Dlaczego: Systemy płatności (POS) muszą być odizolowane; osobny VLAN + firewall ogranicza dostęp tylko do uprawnionych systemów (PCI-DSS, dobre praktyki).
183. Czy VLAN zwiększa wydajność?
Tak (mniej broadcast).
Dlaczego: Broadcast nie wychodzi poza VLAN; mniej hostów w jednej domenie broadcast = mniej zbędnego ruchu i mniejsze obciążenie.
184. Czy switch L3 zastępuje firewall?
Nie.
Dlaczego: Switch L3 routuje i ewentualnie ma proste ACL; nie ma inspekcji stanowej ani zaawansowanej polityki – do granicy sieci nadal potrzebny firewall.
185. Czy firewall zawsze ma GUI?
Nie.
Dlaczego: Wiele firewalli (np. iptables, pf, część urządzeń) konfiguruje się z CLI lub plików; GUI to wygoda, nie wymóg.
186. Backup offline?
Tak.
Dlaczego: Kopia konfiguracji powinna być też poza urządzeniem (serwer, chmura); przy awarii sprzętu lub ransomware masz kopię do odtworzenia.
187. Najczęstszy błąd juniora?
Restart zamiast analizy.
Dlaczego: „Restart i zobaczmy” bez zbierania logów i opisu objawów – po restarcie przyczyna znika z widoku i problem wraca.
188. Najczęstszy błąd seniora?
Brak komunikacji.
Dlaczego: Zmiany bez informowania użytkowników, brak dokumentacji, brak eskalacji – technicznie może być OK, ale ludzie i procesy cierpią.
189. Co to jest SLA?
Umowa poziomu usług.
Dlaczego: Określa dostępność, czas reakcji, kary; dostawca (ISP, hosting) zobowiązuje się do poziomu usług – bez SLA trudno egzekwować jakość.
190. Czy admin to tylko technik?
Nie — to odpowiedzialność.
Dlaczego: Admin odpowiada za dostępność i bezpieczeństwo sieci; błędy wpływają na całą organizację – to rola z zaufaniem i odpowiedzialnością.
191. Jak rozbroić rekrutera „od skrótów”?
Przykładem z praktyki.
Dlaczego: Zamiast wyliczać skróty (VLAN, BGP…), opowiedz konkret: „Wdrożyłem failover Internetu, bo…”. Pokazuje myślenie, nie tylko słówka.
192. Co sprawdzasz ZAWSZE najpierw?
Warstwa fizyczna.
Dlaczego: Kabel odłączony, zły port, wyłączone zasilanie – wiele „problemów sieciowych” to błąd na L1; sprawdzenie fizyki oszczędza godziny.
193. Czy kabel to banał?
Nie.
Dlaczego: Uszkodzona skrętka, zła końcówka, za długa odległość – dają dziwne błędy (np. tylko w jedną stronę). Fizyka bywa najtrudniejsza do zdiagnozowania.
194. Czy VLAN działa bez IP?
Tak.
Dlaczego: VLAN to warstwa 2; hosty w VLAN-ie mogą teoretycznie nie mieć IP (np. tylko ruch L2). W praktyce zwykle nadajemy IP do zarządzania i routingu.
195. Czy routing działa bez VLAN?
Tak.
Dlaczego: Routing łączy sieci IP; VLAN to jeden ze sposobów wydzielenia sieci. Router może łączyć sieci na zwykłych interfejsach bez VLAN-ów.
196. Czy Internet = Wi-Fi?
Nie.
Dlaczego: Internet to sieć globalna (dostęp przez ISP); Wi-Fi to medium dostępu w LAN. Można mieć Wi-Fi bez Internetu i Internet bez Wi-Fi (kabel).
197. Czy DNS = Internet?
Nie.
Dlaczego: DNS tylko zamienia nazwy na IP; łączność z Internetem to routing, łącze, ISP. DNS jest usługą ułatwiającą korzystanie z Internetu.
198. Czy NAT = bezpieczeństwo?
Nie.
Dlaczego: NAT ukrywa wewnętrzne IP i ogranicza inicjację z zewnątrz; to nie polityka bezpieczeństwa – do blokowania ataków i filtrowania służy firewall.
199. Czy ping = działa?
Nie.
Dlaczego: Ping sprawdza tylko łączność (ICMP); usługa może być wyłączona, firewall może blokować – zielony ping nie gwarantuje działającej aplikacji.
200. Co jest celem admina?
Stabilność + bezpieczeństwo + spokój użytkowników.
Dlaczego: Sieć ma działać przewidywalnie, być zabezpieczona i nie generować zgłoszeń „nie działa” – to miernik dobrej pracy admina.
BLOK 6 — DEFAULT ROUTE / ROUTING / NTP / BACKUP / ENABLE (201–232)
201. Po co routerowi trasa 0.0.0.0/0?
Do wysyłania ruchu do nieznanych sieci (np. Internetu).
Dlaczego: Router sprawdza tablicę routingu: jeśli zna trasę → używa jej; jeśli nie zna → używa default route. 0.0.0.0/0 = „wszystko inne”. Bez default route → brak Internetu.
202. Co zrobi router, jeśli nie ma trasy i nie ma default route?
Odrzuci pakiet.
Dlaczego: Router nie „zgaduje”. Jeśli brak wpisu w tablicy routingu: pakiet trafia do kosza, często komunikat destination unreachable.
203. Dlaczego ping do 8.8.8.8 działa, a do google.com nie?
Problem z DNS.
Dlaczego: ping 8.8.8.8 → test IP / routingu. ping google.com → najpierw DNS zamienia nazwę na IP, dopiero potem ping. Jeśli DNS nie działa → nazwa się nie rozwiąże.
204. Czy DNS ma wpływ na routing?
Nie.
Dlaczego: DNS tylko zamienia nazwę na IP. Routing decyduje, gdzie wysłać pakiet. To dwie różne rzeczy. Możesz pingować IP bez DNS.
205. Jeśli router zna tę samą sieć z OSPF i EIGRP – którą wybierze i dlaczego?
EIGRP, bo ma niższą Administrative Distance.
Dlaczego: Router najpierw porównuje AD, potem metrykę. Domyślne AD: EIGRP → 90, OSPF → 110. Niższe AD = bardziej zaufane źródło trasy.
206. Co jest ważniejsze: metryka czy administrative distance?
Administrative Distance.
Dlaczego: Kolejność: 1) AD (zaufanie do protokołu), 2) Metryka (w obrębie tego samego protokołu). Metryki nie są porównywane między protokołami.
207. Dlaczego statyczna trasa wygrywa z dynamiczną?
Bo ma niższe AD.
Dlaczego: Static route → AD = 1. OSPF → 110, RIP → 120. Router uznaje trasę statyczną za najbardziej pewną. Statyczna = „wiem lepiej”.
208. Czy router może mieć jednocześnie RIP, OSPF i EIGRP? Czy to ma sens?
Tak, może. W produkcji – zwykle nie ma sensu.
Dlaczego: Zwiększa złożoność, komplikuje troubleshooting, wymaga redistribucji. Sensowne w labach, migracjach, testach.
209. Dlaczego różny czas na routerach utrudnia troubleshooting?
Bo logi i zdarzenia nie mają wspólnej chronologii.
Dlaczego: Logi nie pasują, trudno odtworzyć kolejność zdarzeń. „Co było pierwsze?” – nie da się ustalić.
210. Co to jest stratum w NTP?
To odległość od źródła czasu.
Dlaczego: Stratum 0 → zegar atomowy/GPS. Stratum 1 → serwer przy stratum 0. Im niższe stratum, tym dokładniejszy czas.
211. Dlaczego router nie ma poprawnego czasu po restarcie?
Bo nie ma sprzętowego zegara RTC lub baterii.
Dlaczego: Po restarcie startuje z czasem domyślnym; NTP ustawia poprawny czas. Bez NTP → zły czas po restarcie.
212. Dlaczego NTP działa po UDP, a nie TCP?
Bo liczy się szybkość i niskie opóźnienia.
Dlaczego: UDP: mniejszy narzut, brak zestawiania połączenia. TCP: retransmisje, opóźnienia – zbędne dla czasu. Jedna zgubiona paczka ≠ problem.
213. Różnica między running-config a startup-config?
running-config → RAM (bieżąca). startup-config → NVRAM (po restarcie).
Dlaczego: Zmiany trafiają do running. Bez zapisu → znikną po restarcie.
214. Co się stanie, gdy skopiujesz startup-config z TFTP do routera?
Nadpiszesz obecną konfigurację startową.
Dlaczego: Po restarcie router uruchomi się z nową konfiguracją. To operacja destrukcyjna.
215. Dlaczego loopback zniknął po restore startup-config?
Bo był tylko w running-config, nie zapisany.
Dlaczego: Brak copy running-config startup-config. Restart → konfiguracja znika. Klasyczny błąd egzaminacyjny.
216. Czy można mieć dwa obrazy IOS w flash? Po co?
Tak – dla rollbacku i bezpieczeństwa.
Dlaczego: Nowy IOS → test. Stary IOS → zapas. Awaria → powrót. Standard w produkcji.
217. Co decyduje, który IOS się uruchomi po restarcie?
boot system i boot order.
Dlaczego: Router sprawdza: 1) boot system w konfiguracji, 2) zawartość flash, 3) ROMMON (awaryjnie).
218. Czym różni się enable password od enable secret?
enable password → tekst jawny/słabe szyfrowanie. enable secret → hash (bezpieczny).
Dlaczego: Enable secret nie da się odwrócić, zgodny z dobrymi praktykami.
219. Jeśli oba (enable password i enable secret) są skonfigurowane – które działa?
enable secret.
Dlaczego: Router ignoruje enable password, jeśli istnieje enable secret. Zawsze wybiera bezpieczniejszą opcję.
220. Czy service password-encryption naprawdę zabezpiecza hasła?
Nie.
Dlaczego: To tylko obfuscation. Łatwe do odszyfrowania. Chroni tylko przed „zerkaniem”.
221. Dlaczego enable password jest uznawane za niebezpieczne?
Bo jest odwracalne i łatwe do złamania.
Dlaczego: Stare mechanizmy, brak realnego bezpieczeństwa.
222. Co chroni enable secret – dostęp fizyczny czy logiczny?
Dostęp logiczny.
Dlaczego: Chroni tryb uprzywilejowany; nie chroni przed fizycznym dostępem (console, reset). Fizyczny dostęp = pełna kontrola.
223. Ping działa, DNS nie działa. Co sprawdzasz jako pierwsze?
Konfigurację DNS.
Dlaczego: Ping po IP działa → routing OK. Problem jest w rozwiązywaniu nazw.
224. Czym różni się default gateway od DNS?
Gateway → gdzie wysłać pakiet. DNS → jak zamienić nazwę na IP.
Dlaczego: To zupełnie różne funkcje.
225. Co oznacza wpis 0.0.0.0/0 w tablicy routingu?
Trasę domyślną – „wszystko, czego nie znam”.
Dlaczego: Najczęściej kieruje ruch do Internetu.
226. Dlaczego administrative distance jest ważniejsze niż metryka?
Bo router najpierw wybiera źródło trasy, potem najlepszą trasę.
Dlaczego: AD = zaufanie do protokołu. Metryka = wybór w obrębie tego samego protokołu.
227. Która trasa wygra: OSPF (110) vs EIGRP (90) i dlaczego?
EIGRP, bo ma niższe AD.
Dlaczego: Router porównuje najpierw Administrative Distance.
228. Czy static route może nadpisać trasę dynamiczną?
Tak.
Dlaczego: Static route ma AD = 1, więc wygrywa z dynamicznymi.
229. Dlaczego RIP praktycznie nie jest używany w produkcji?
Bo jest wolny i ograniczony.
Dlaczego: Max 15 hopów, wolna konwergencja, brak skalowalności.
230. Co to jest NTP i co się stanie, jeśli go nie ma?
NTP synchronizuje czas.
Dlaczego: Bez NTP: błędne logi, trudny troubleshooting, problemy z certyfikatami.
231. Dlaczego enable secret jest lepszy niż enable password?
Bo jest haszowany, a nie odwracalny.
Dlaczego: Enable password można łatwo odszyfrować.
232. (Hotelowe) Gość hotelowy widzi drukarkę z recepcji. Co poszło nie tak?
Brak separacji sieci.
Dlaczego: Goście i recepcja są w tym samym VLAN-ie. Brak VLAN-ów / firewall / ACL.
BLOK 7 — MASKI / VLSM / CIDR (233–237)
233. Po co VLSM, skoro można wszędzie dać /24?
Bo /24 marnuje adresy IP i źle się skaluje.
Dlaczego: /24 = 254 hosty – większość sieci nie potrzebuje tyle. VLSM: /30 dla 2 urządzeń, /26 dla 50 hostów. VLSM = różne maski w jednej sieci.
234. Dlaczego na łączu punkt–punkt używa się /30 albo /31?
Bo potrzebne są tylko 2 adresy IP.
Dlaczego: /30 – 4 adresy (sieć, 2 hosty, broadcast). /31 – 2 adresy, brak broadcastu. /24 na P2P = 252 adresy zmarnowane.
235. Czym różni się CIDR od classful addressing?
CIDR nie używa klas A/B/C, classful jest na nich oparty.
Dlaczego: Classful: klasa A→/8, B→/16, C→/24. CIDR: dowolna maska (/19, /27, /30), VLSM, summarization. CIDR uratował IPv4.
236. Co oznacza zapis 172.16.32.0/19 – ile to sieci, ile hostów?
Jedna sieć, 8192 adresy, 8190 hostów.
Dlaczego: /19 → 13 bitów na hosty. 2¹³ = 8192, −2 = 8190 hostów. Zakres: 172.16.32.0 – 172.16.63.255. /19 = 32 podsieci /24.
237. Dlaczego summarization zmniejsza tablicę routingu?
Bo jedna trasa zastępuje wiele mniejszych.
Dlaczego: Zamiast 32 wpisów jedna: 172.16.32.0/19. Mniej wpisów, szybsze decyzje. Summarization = porządek + wydajność.
BLOK 8 — TESTY 1 (scenariusze rekrutacyjne) (238–244)
238. Bezpieczeństwo dostępu do urządzeń: konsola bez uwierzytelnienia – dlaczego problem i co wdrożyć?
Osoba z fizycznym dostępem może w minutach zmienić konfigurację, odciąć Internet. Wdrożyć: hasło na konsoli i trybie uprzywilejowanym, SSH/VPN, indywidualne konta, logi; w większej firmie RBAC, RADIUS/TACACS.
Dlaczego: Checklist: hasła/konta, wyłącz Telnet/HTTP, SSH/VPN, logi (syslog) + backup konfiguracji.
239. „Komputer ma IP, ale nie ma Internetu” – co sprawdzasz i w jakiej kolejności?
IP, maska, brama, DNS → ping do bramy → ping 8.8.8.8 → nslookup. Brak pinga do bramy = problem lokalny; brama OK, IP w Internecie nie = wyjście; IP działa, nazwy nie = DNS.
Dlaczego: Komendy: ipconfig /all, ping <brama>, ping 8.8.8.8, nslookup google.com, tracert.
240. Dwie podsieci 192.168.1.0/24 i 192.168.2.0/24 nie gadają – przyczyny i co sprawdzasz?
Sprawdzam bramę na hoście, ping do bramy; interfejsy i trasy na routerze; ACL/firewall; bramę zwrotną na serwerze; przy VLAN: porty, trunk, allowed VLAN, SVI.
Dlaczego: Przyczyny: zła brama, brak routingu/SVI, ACL/firewall, błąd VLAN/trunk, serwer blokuje ICMP/porty.
241. VLAN użytkownicy / serwery / goście – dlaczego nie razem, gdzie routing?
Goście odseparowani (bezpieczeństwo, RODO). Bez routingu VLAN-y nie widzą się. Routing na L3 (switch L3 lub firewall); ruch między VLAN-ami kontrolowany regułami.
Dlaczego: Switch L3 = wydajność; firewall = kontrola i polityki.
242. Firewall/NAT: dlaczego blokować inbound, różnica allow vs port forwarding, dlaczego NAT to nie zabezpieczenie?
Inbound blokujemy – wystawienie usług zwiększa powierzchnię ataku. Allow = dopuszcza ruch; port forwarding = publikuje usługę (publiczny port → IP:port wewnętrzny). NAT tylko zmienia adresy, nie filtruje.
Dlaczego: Bez reguł zapory można niebezpiecznie wystawić usługi.
243. Działa po IP, nie po nazwach – co to oznacza i co sprawdzasz?
Problem z DNS. Sprawdzam: DNS na kliencie, łączność z serwerem DNS, nslookup; czy problem na jednym urządzeniu czy w sieci.
Dlaczego: Możliwe: zły DNS na kliencie, niedziałający DNS w LAN, filtr na firewallze. Rozstrzygam nslookup/dig.
244. DHCP dało IP, maskę, bramę – a Internetu nie ma. Jak to możliwe i co sprawdzisz?
DHCP tylko nadaje parametry – nie gwarantuje routingu/NAT/DNS. Przyczyny: DNS nie działa/zły, brak NAT/default route, błędny VLAN/port security. Najpierw: ping do bramy, potem 8.8.8.8, potem test nazwy.
Dlaczego: Polityka sieci (VLAN, filtr MAC), MTU – też możliwe.
BLOK 9 — REKRUTER HOTELOWY (245–259)
245. Internet padł o 19:00, goście wkurzeni – co robisz?
Ustalam skalę (cały hotel czy tylko guest Wi‑Fi). Sprawdzam łącze i bramę, uruchamiam failover. Informuję recepcję.
Dlaczego: Plan awaryjny i komunikacja z recepcją.
246. Recepcja nie może meldować – co robisz?
Sprawdzam łączność recepcji z LAN i serwerem. Daję jasny komunikat: co padło i jaki plan.
Dlaczego: LAN vs serwer vs usługa.
247. Wi‑Fi w lobby działa, w pokojach nie – dlaczego?
AP w pokojach offline, brak uplinku, PoE, błędny VLAN/SSID, przeciążenie. Zaczynam od widoczności AP i uplinku.
Dlaczego: Najczęściej: AP offline lub uplink.
248. Netflix/YouTube nie działa – przyczyna?
Limit pasma, QoS, filtr treści, przeciążenie. Nie zawsze wina ISP.
Dlaczego: Często polityka sieci hotelu.
249. Dlaczego guest / recepcja / monitoring osobno?
Bezpieczeństwo i stabilność. Goście nie mają dostępu do systemów ani kamer.
Dlaczego: Rozdział ogranicza incydenty i broadcast.
250. Monitoring nie nagrywa po restarcie – co sprawdzasz?
Łączność kamera → rejestrator, czy adresacja się nie zmieniła. Sprawdzam, że nagrywanie wróciło.
Dlaczego: Restart to nie rozwiązanie – potwierdzić, że nagrywanie działa.
251. „Goście nie mogą nic zepsuć” – jak to zapewnić?
Izolacja, brak dostępu do LAN, kontrola na firewallze, limity pasma, blokady P2P.
Dlaczego: VLAN gości + reguły firewall.
252. Zdalna księgowość – jak bezpiecznie?
VPN, tylko potrzebne zasoby, logi, MFA. Nie wystawiam portów do Internetu.
Dlaczego: Dostęp zdalny bez wystawiania usług.
253. Jeden ISP – czy wystarczy?
W małym obiekcie może wystarczyć; przy krytycznych usługach i sezonie – łącze zapasowe uzasadnione.
Dlaczego: Ryzyko vs koszt.
254. „Nie ma Wi‑Fi = nie ma Internetu” – czy to prawda?
Nie. Wi‑Fi to sposób dostępu. Internet może działać, a Wi‑Fi nie – i odwrotnie.
Dlaczego: To dwa różne pojęcia.
255. Dlaczego nie aktualizujesz od razu?
Aktualizacja w złym momencie może zrobić większą awarię. Planuję i testuję.
Dlaczego: Okno zmian, test w labie.
256. Bezpieczeństwo vs dostępność?
Balans. Musi działać i być bezpiecznie – priorytety i procedury.
Dlaczego: Zależy od kontekstu.
257. Jak zabezpieczyć guest Wi‑Fi?
Izolacja, limity pasma, proste logowanie, monitoring, rozsądne blokady.
Dlaczego: VLAN + firewall + polityka.
258. „Ktoś mi wchodzi na laptopa” (gość) – co robisz?
Sprawdzam izolację i anomalie; bezpieczeństwo laptopa gościa to jego sprawa – mogę doradzić kroki.
Dlaczego: Izolacja sieci gości + edukacja.
259. Awaria w sezonie – co pierwsze?
Stabilizacja i przywrócenie kluczowych usług. Rzeczy u dostawcy – eskaluję od razu.
Dlaczego: Najpierw działanie, potem analiza.
Default route / routing
7️⃣ Po co routerowi trasa 0.0.0.0/0?
Odpowiedź
Do wysyłania ruchu do nieznanych sieci (np. Internetu).
Teoria
-
Router sprawdza tablicę routingu:
-
jeśli zna trasę → używa jej
-
jeśli nie zna → używa default route
-
-
0.0.0.0/0= „wszystko inne”
📌 Bez default route → brak Internetu
8️⃣ Co zrobi router, jeśli nie ma trasy i nie ma default route?
Odpowiedź
❌ Odrzuci pakiet.
Teoria
-
Router nie „zgaduje”
-
Jeśli brak wpisu w tablicy routingu:
-
pakiet trafia do kosza
-
często komunikat destination unreachable
-
9️⃣ Dlaczego ping do 8.8.8.8 działa, a do google.com nie?
Odpowiedź
❌ Problem z DNS.
Teoria
-
ping 8.8.8.8→ test IP / routingu -
ping google.com→ najpierw:-
DNS zamienia nazwę na IP
-
dopiero potem ping
-
📌 Jeśli DNS nie działa → nazwa się nie rozwiąże
🔟 Czy DNS ma wpływ na routing?
Odpowiedź
❌ Nie.
Teoria
-
DNS:
-
tylko zamienia nazwę na IP
-
-
Routing:
-
decyduje gdzie wysłać pakiet
-
-
To dwie różne rzeczy
📌 Możesz pingować IP bez DNS
4️⃣ Wybór trasy (Administrative Distance)
1. Jeśli router zna tę samą sieć z OSPF i EIGRP – którą wybierze i dlaczego?
Odpowiedź
➡️ EIGRP, bo ma niższą Administrative Distance.
Teoria
Router najpierw porównuje Administrative Distance (AD), a dopiero potem metrykę.
Domyślne AD:
-
EIGRP → 90
-
OSPF → 110
📌 Niższe AD = bardziej zaufane źródło trasy
2. Co jest ważniejsze: metryka czy administrative distance?
Odpowiedź
➡️ Administrative Distance.
Teoria
Kolejność wyboru trasy:
1️⃣ Administrative Distance (zaufanie do protokołu)
2️⃣ Metryka (najlepsza trasa w obrębie TEGO SAMEGO protokołu)
📌 Metryki nie są porównywane między protokołami
3. Dlaczego statyczna trasa „wygrywa” z dynamiczną?
Odpowiedź
Bo ma niższe AD.
Teoria
-
Static route → AD = 1
-
OSPF → 110
-
RIP → 120
Router uznaje trasę statyczną za:
-
najbardziej pewną
-
ręcznie potwierdzoną przez administratora
📌 Statyczna = „wiem lepiej”
4. Czy router może mieć jednocześnie RIP, OSPF i EIGRP? Czy to ma sens?
Odpowiedź
✅ Tak, może
❌ W produkcji – zwykle nie ma sensu
Teoria
Router może uruchamiać wiele protokołów, ale:
-
zwiększa to złożoność
-
komplikuje troubleshooting
-
wymaga redistribucji tras
📌 Sensowne głównie:
-
w labach
-
w migracjach sieci
-
w testach
5️⃣ NTP / czas
1. Dlaczego różny czas na routerach utrudnia troubleshooting?
Odpowiedź
Bo logi i zdarzenia nie mają wspólnej chronologii.
Teoria
Jeśli czas się różni:
-
logi nie pasują do siebie
-
trudno odtworzyć kolejność zdarzeń
-
korelacja błędów jest niemożliwa
📌 „Co było pierwsze?” – nie da się ustalić
2. Co to jest stratum w NTP?
Odpowiedź
To odległość od źródła czasu.
Teoria
-
Stratum 0 → zegar atomowy / GPS
-
Stratum 1 → serwer podłączony bezpośrednio do stratum 0
-
Stratum 2, 3… → kolejne poziomy
📌 Im niższe stratum, tym dokładniejszy czas
3. Dlaczego router nie ma poprawnego czasu po restarcie?
Odpowiedź
Bo nie ma sprzętowego zegara RTC lub baterii.
Teoria
Po restarcie:
-
router startuje z czasem domyślnym
-
dopiero NTP ustawia poprawny czas
📌 Bez NTP → zły czas zawsze po restarcie
4. Dlaczego NTP działa po UDP, a nie TCP?
Odpowiedź
Bo liczy się szybkość i niskie opóźnienia, nie niezawodność.
Teoria
-
UDP:
-
mniejszy narzut
-
brak zestawiania połączenia
-
mniejsze opóźnienie
-
-
TCP:
-
retransmisje
-
opóźnienia
-
zbędne dla czasu
-
📌 Jedna zgubiona paczka ≠ problem
6️⃣ Backup konfiguracji i IOS
1. Różnica między running-config a startup-config?
Odpowiedź
-
running-config → RAM (bieżąca konfiguracja)
-
startup-config → NVRAM (po restarcie)
Teoria
-
Zmiany trafiają najpierw do running-config
-
Bez zapisu → znikną po restarcie
2. Co się stanie, gdy skopiujesz startup-config z TFTP do routera?
Odpowiedź
➡️ Nadpiszesz obecną konfigurację startową.
Teoria
Po restarcie:
-
router uruchomi się z nową konfiguracją
-
bieżąca (running) może być inna
📌 To operacja destrukcyjna
3. Dlaczego loopback zniknął po restore startup-config?
Odpowiedź
Bo był tylko w running-config, nie zapisany.
Teoria
-
Interface loopback utworzony
-
Brak
copy running-config startup-config -
Restart → konfiguracja znika
📌 Klasyczny błąd egzaminacyjny
4. Czy można mieć dwa obrazy IOS w flash? Po co?
Odpowiedź
✅ Tak – dla rollbacku i bezpieczeństwa.
Teoria
-
nowy IOS → test
-
stary IOS → zapas
-
awaria → powrót
📌 Standard w produkcji
5. Co decyduje, który IOS się uruchomi po restarcie?
Odpowiedź
➡️ boot system i boot order.
Teoria
Router sprawdza kolejno:
1️⃣ boot system w konfiguracji
2️⃣ zawartość flash
3️⃣ ROMMON (awaryjnie)
7️⃣ Enable / secret / bezpieczeństwo
1. Czym różni się enable password od enable secret?
Odpowiedź
-
enable password → tekst jawny / słabe szyfrowanie
-
enable secret → hash (bezpieczny)
Teoria
Enable secret:
-
nie da się odwrócić
-
zgodny z dobrymi praktykami
2. Jeśli oba są skonfigurowane – które działa i dlaczego?
Odpowiedź
➡️ enable secret
Teoria
Router ignoruje enable password, jeśli istnieje enable secret.
📌 Zawsze wybiera bezpieczniejszą opcję
3. Czy service password-encryption naprawdę zabezpiecza hasła?
Odpowiedź
❌ Nie.
Teoria
-
To tylko obfuscation
-
Łatwe do odszyfrowania
-
Chroni tylko przed „zerkaniem”
4. Dlaczego enable password jest uznawane za niebezpieczne?
Odpowiedź
Bo jest odwracalne i łatwe do złamania.
Teoria
-
stare mechanizmy
-
brak realnego bezpieczeństwa
5. Co chroni enable secret – dostęp fizyczny czy logiczny?
Odpowiedź
➡️ Dostęp logiczny.
Teoria
Enable secret:
-
chroni tryb uprzywilejowany
-
nie chroni przed fizycznym dostępem (console, reset)
📌 Fizyczny dostęp = pełna kontrola
Pytanie 11
Ping działa, DNS nie działa. Co sprawdzasz jako pierwsze?
Odpowiedź:
Konfigurację DNS.
Teoria:
Ping po IP działa → routing OK
Problem jest w rozwiązywaniu nazw.
Pytanie 12
Czym różni się default gateway od DNS?
Odpowiedź:
-
Gateway → gdzie wysłać pakiet
-
DNS → jak zamienić nazwę na IP
Teoria:
To zupełnie różne funkcje.
Pytanie 13
Co oznacza wpis 0.0.0.0/0 w tablicy routingu?
Odpowiedź:
Trasę domyślną – „wszystko, czego nie znam”.
Teoria:
Najczęściej kieruje ruch do Internetu.
Pytanie 14
Dlaczego administrative distance jest ważniejsze niż metryka?
Odpowiedź:
Bo router najpierw wybiera źródło trasy, potem najlepszą trasę.
Teoria:
-
AD = zaufanie do protokołu
-
Metryka = wybór w obrębie tego samego protokołu
Pytanie 15
Która trasa wygra i dlaczego?
OSPF (110) vs EIGRP (90)
Odpowiedź:
EIGRP, bo ma niższe AD.
Pytanie 16
Czy static route może nadpisać trasę dynamiczną?
Odpowiedź:
Tak.
Teoria:
Static route ma AD = 1, więc wygrywa z dynamicznymi.
Pytanie 17
Dlaczego RIP praktycznie nie jest używany w produkcji?
Odpowiedź:
Bo jest wolny i ograniczony.
Teoria:
-
max 15 hopów
-
wolna konwergencja
-
brak skalowalności
Pytanie 18
Co to jest NTP i co się stanie, jeśli go nie ma?
Odpowiedź:
NTP synchronizuje czas.
Teoria:
Bez NTP:
-
błędne logi
-
trudny troubleshooting
-
problemy z certyfikatami
Pytanie 19
Dlaczego enable secret jest lepszy niż enable password?
Odpowiedź:
Bo jest haszowany, a nie odwracalny.
Teoria:
Enable password można łatwo odszyfrować.
Pytanie 20 (hotelowe)
Gość hotelowy widzi drukarkę z recepcji. Co poszło nie tak?
Odpowiedź:
Brak separacji sieci.
Teoria:
-
goście i recepcja są w tym samym VLAN-ie
-
brak VLAN-ów / firewall / ACL
Maski
Pytania i odpowiedzi o maski podsieci, VLSM, CIDR i summarization – w formacie: pytanie, krótka odpowiedź i teoria (dlaczego).
1. Po co VLSM, skoro można wszędzie dać /24?
Odpowiedź: Bo /24 marnuje adresy IP i źle się skaluje.
Teoria:
- /24 = 254 hosty – większość sieci nie potrzebuje 254 hostów.
- VLSM (Variable Length Subnet Mask) pozwala: /30 dla 2 urządzeń, /26 dla 50 hostów, /28 dla 14 hostów.
- Dzięki temu nie marnujesz adresów, masz więcej podsieci i sieć jest logicznie uporządkowana.
📌 VLSM = różne maski w jednej sieci
2. Dlaczego na łączu punkt–punkt używa się /30 albo /31?
Odpowiedź: Bo potrzebne są tylko 2 adresy IP.
Teoria: Łącze punkt–punkt = np. router ↔ router.
- /30 – 4 adresy: sieć, 2 hosty, broadcast.
- /31 – 2 adresy, brak broadcastu, idealne dla nowoczesnych routerów.
📌 /24 na P2P = 252 adresy zmarnowane
3. Czym różni się CIDR od classful addressing?
Odpowiedź: CIDR nie używa klas A/B/C, a classful jest na nich oparty.
Teoria:
Classful (stare): Klasa A → /8, B → /16, C → /24. Maska zależy od klasy. Brak elastyczności.
CIDR (obecnie): Dowolna maska: /19, /27, /30. Sieć = adres + maska. Umożliwia VLSM, summarization i skalowanie Internetu.
📌 CIDR uratował IPv4
4. Co oznacza zapis 172.16.32.0/19 – ile to sieci, ile hostów?
Odpowiedź:
- Jedna sieć
- 8192 adresy
- 8190 hostów
Teoria: Maska /19 → 32 − 19 = 13 bitów na hosty. 2¹³ = 8192 adresy. −2 (sieć + broadcast) = 8190 hostów. Zakres: start 172.16.32.0, koniec 172.16.63.255.
📌 /19 obejmuje 32 kolejne podsieci /24
5. Dlaczego summarization zmniejsza tablicę routingu?
Odpowiedź: Bo jedna trasa zastępuje wiele mniejszych.
Teoria: Zamiast 32 wpisów (172.16.32.0/24 … 172.16.63.0/24) możesz dać jedną: 172.16.32.0/19. Efekt: mniej wpisów w tablicy, szybsze decyzje routera, mniejsze zużycie pamięci i CPU, stabilniejszy routing dynamiczny.
📌 Summarization = porządek + wydajność
Testy 1
Pytania egzaminacyjne / rekrutacyjne INF.02 – scenariusze z życia, pytania i odpowiedzi idealne. Do nauki i powtórki przed rozmową.
1. Bezpieczeństwo dostępu do urządzeń
Scenariusz: Urządzenie sieciowe (router/firewall/switch). Po podłączeniu lokalnie (konsola) od razu pełny dostęp admina bez uwierzytelnienia.
Pytania: (1) Dlaczego to problem bezpieczeństwa? (2) Co wdrożyć: dostęp lokalny, uprawnienia admina, dostęp zdalny? (3) Minimum w małej vs średniej/dużej firmie?
Odpowiedź idealna: Osoba z fizycznym dostępem może w minutach zmienić konfigurację, odciąć Internet, przejąć sieć, podmienić DNS — to przestój firmy i ryzyko incydentu. Zabezpieczam: hasło na konsoli i trybie uprzywilejowanym, fizyczny dostęp do sprzętu, rozdzielam role (podgląd vs admin). Zdalnie tylko szyfrowany dostęp (SSH/VPN), indywidualne konta, logi, ograniczenie źródeł (sieć admin/VPN), najlepiej MFA. W większej firmie: RBAC, RADIUS/TACACS/AD, segmentacja sieci zarządzania, monitoring i alerty.
Checklist: hasła / konta indywidualne; wyłącz Telnet/HTTP; SSH/VPN + ograniczenie źródeł; logi (syslog) + backup konfiguracji.
2. „Komputer ma IP, ale nie ma Internetu”
Scenariusz: Użytkownik: „Mam adres IP, ale Internet nie działa.”
Pytania: (1) Jakie 3–5 rzeczy sprawdzasz najpierw? (2) Jak rozróżnisz: problem komputera / LAN / wyjścia do Internetu?
Odpowiedź idealna: Zaczynam od konfiguracji IP (IP, maska, brama, DNS). Potem ping do bramy domyślnej — potwierdza LAN. Jeśli brama odpowiada: ping do publicznego IP (8.8.8.8 / 1.1.1.1) — sprawdzam routing/wyjście. Dopiero potem test nazwy (nslookup / google.com) — DNS. Brak pinga do bramy = problem lokalny (kabel, Wi‑Fi, VLAN, port). Brama OK, ale IP w Internecie nie = problem wyjścia (router, NAT, firewall, ISP). IP działa, nazwy nie = problem DNS.
Komendy: ipconfig /all lub ip a; ping <brama>; ping 8.8.8.8; nslookup google.com; tracert / traceroute.
3. Dwie podsieci nie gadają (routing)
Scenariusz: 192.168.1.0/24 (użytkownicy) i 192.168.2.0/24 (serwery). PC z .1 nie łączy się z serwerem .2.x.
Pytania: (1) Najczęstsze przyczyny? (2) Co sprawdzasz po kolei, zanim powiesz „routing nie działa”?
Odpowiedź idealna: Sprawdzam, czy host ma poprawną bramę i czy ping do bramy działa. Potem czy urządzenie routujące ma interfejsy w obu podsieciach i trasy do obu sieci. Sprawdzam filtrację (ACL/firewall) między podsieciami i czy serwer ma poprawną bramę zwrotną. Przy VLAN-ach: przypisanie portów, trunk, allowed VLAN, SVI.
Najczęstsze przyczyny: zła brama na PC lub serwerze; brak routingu / brak SVI / brak trasy; ACL/firewall blokuje; błąd VLAN/trunk/allowed VLAN; serwer blokuje ICMP lub porty.
4. VLAN użytkownicy / serwery / goście
Scenariusz: Masz VLAN użytkowników, serwerów i gości.
Pytania: (1) Dlaczego nie mogą być razem? (2) Co się stanie bez routingu między nimi? (3) Gdzie najlepiej realizować routing i dlaczego?
Odpowiedź idealna: Goście muszą być odseparowani od zasobów firmowych (bezpieczeństwo, RODO, incydenty). Bez routingu VLAN-y są odizolowane i nie widzą się. Routing najlepiej na urządzeniu L3 (switch L3 lub firewall): switch L3 — wydajność w LAN, firewall — kontrola i polityki. Ruch między VLAN-ami powinien być kontrolowany regułami (ACL/firewall), szczególnie guest.
5. Firewall / NAT – trzy pułapki
Scenariusz: Sieć firmowa i Internet przez firewall.
Pytania: (1) Dlaczego inbound z Internetu domyślnie blokujemy? (2) Różnica: reguła „allow” vs port forwarding? (3) Dlaczego NAT nie jest zabezpieczeniem?
Odpowiedź idealna: Domyślnie blokujemy inbound, bo wystawienie usług do Internetu zwiększa powierzchnię ataku (skanowanie, exploity, brute force). Reguła allow dopuszcza konkretny ruch przez zaporę; port forwarding publikuje usługę z LAN na zewnątrz (publiczny port → IP:port wewnętrzny). NAT tylko zmienia adresy — nie filtruje; bez reguł zapory można niebezpiecznie wystawić usługi.
6. DNS – działa po IP, nie po nazwach
Scenariusz: „Internet działa, ale strony otwierają się tylko po IP, nie po nazwie.”
Pytania: (1) Co to oznacza? (2) Co konkretnie sprawdzasz? (3) Czy to może być wina klienta / LAN / Internetu?
Odpowiedź idealna: To objaw problemu z rozwiązywaniem nazw (DNS). Sprawdzam: jakie DNS ma klient (np. z DHCP), czy klient ma łączność z serwerem DNS (ping / port 53), nslookup i porównanie z DNS publicznym. Sprawdzam, czy problem na jednym urządzeniu czy w całej sieci. Możliwe: zły DNS na kliencie, niedziałający DNS w LAN, filtr na firewallu, awaria/timeout u operatora — rozstrzygam testem nslookup/dig.
7. DHCP dało IP, a Internetu nie ma
Scenariusz: Nowy komputer dostał z DHCP: IP, maskę, bramę — ale Internetu nie ma.
Pytania: (1) Jak to możliwe? (2) Min. 3 realne przyczyny. (3) Co sprawdzisz jako pierwsze i dlaczego?
Odpowiedź idealna: DHCP tylko nadaje parametry — nie gwarantuje działania routingu/NAT/DNS/polityk. Przyczyny: (1) DNS nie działa lub jest zły, (2) problem wyjścia — brak NAT/default route/firewall blokuje, (3) polityka sieci — błędny VLAN, port security, captive portal, filtr MAC, (4) MTU lub problemy z trasą. Najpierw: ping do bramy (LAN). Potem ping 8.8.8.8 (wyjście). Dopiero potem test nazwy (DNS).
Dodatek 1: Rekruter hotelowy – pytania i odpowiedzi
- Internet padł o 19:00, goście wkurzeni? Ustalam skalę (cały hotel czy tylko guest Wi‑Fi). Sprawdzam łącze i bramę, uruchamiam failover. Informuję recepcję.
- Recepcja nie może meldować? Sprawdzam łączność recepcji z LAN i serwerem. Daję jasny komunikat: co padło i jaki plan.
- Wi‑Fi w lobby działa, w pokojach nie? AP w pokojach offline, brak uplinku, PoE, błędny VLAN/SSID, przeciążenie. Zaczynam od widoczności AP i uplinku.
- Netflix/YouTube nie działa? Limit pasma, QoS, filtr treści, przeciążenie. Nie zawsze wina ISP.
- Dlaczego guest / recepcja / monitoring osobno? Bezpieczeństwo i stabilność. Goście nie mają dostępu do systemów ani kamer.
- Monitoring nie nagrywa po restarcie? Łączność kamera→rejestrator, czy adresacja się nie zmieniła. Sprawdzam, że nagrywanie wróciło.
- „Goście nie mogą nic zepsuć”? Izolacja, brak dostępu do LAN, kontrola na firewallu, limity pasma, blokady P2P.
- Zdalna księgowość? VPN, tylko potrzebne zasoby, logi, MFA. Nie wystawiam portów do Internetu.
- Jeden ISP? W małym obiekcie może wystarczyć; przy krytycznych usługach i sezonie — łącze zapasowe uzasadnione.
- „Nie ma Wi‑Fi = nie ma Internetu”? Wi‑Fi to sposób dostępu. Internet może działać, a Wi‑Fi nie — i odwrotnie.
- Dlaczego nie aktualizujesz od razu? Aktualizacja w złym momencie może zrobić większą awarię. Planuję i testuję.
- Bezpieczeństwo vs dostępność? Balans. Musi działać i być bezpiecznie — priorytety i procedury.
- Jak zabezpieczyć guest Wi‑Fi? Izolacja, limity pasma, proste logowanie, monitoring, rozsądne blokady.
- „Ktoś mi wchodzi na laptopa”? Sprawdzam izolację i anomalie; bezpieczeństwo laptopa gościa to też jego sprawa — mogę doradzić kroki.
- Awaria w sezonie? Stabilizacja i przywrócenie kluczowych usług. Rzeczy u dostawcy — eskaluję od razu.
Dodatek 2
Czy ping = usługa działa? Nie. Ping testuje tylko ICMP (czy host odpowiada), nie porty ani aplikacje. Serwer może pingować, a HTTP/DNS/DB nie działać; albo ping zablokowany, a usługa działa.