Banco de preguntas CCNP ENCOR 350-401 actualizado 15 de diciembre 2025
Si ya estudiaste para tu examen de certificación y crees que dominas todos los temas, solo te queda practicar y practicar. Ponemos a tu disposición el banco de preguntas oficial. Respondiendo a estas preguntas, ten la certeza que conseguirás la certificación. Este banco de preguntas se actualiza de manera periódica.
NOTA: Accede a este contenido a través de la compra de la membresía anual, a través de la compra del curso CCNP ENCOR 350-401, o a través de una membresía mensual de 30 USD.
1272 preguntas Incluyen preguntas de laboratorio
Soporte incluido para cualquier duda que tengas
Precio de 30 USD/Mes
Preguntas
Las preguntas prácticas (simulaciones), pueden verlas en este curso: Laboratorios del examen CCNP ENCOR 350-401. Es importante que vean por lo menos la primera clase para analizar el formato de las preguntas.
1. What are two characteristics of Cisco SD-Access elements? (Choose two)
A. Fabric endpoints are connected directly to the border node B. The border node is required for communication between fabric and nonfabric devices C. The control plane node has the full RLOC-to-EID mapping database D. Traffic within the fabric always goes through the control plane node E. The border node has the full RLOC-to-EID mapping database
2. Refer to the exhibit. An engineer must assign an IP address of 192.168.1.1/24 to the GigabitEthemet1 interface. Which two commands must be added to the existing configuration to accomplish this task? (Choose two)
Current configuration: 142 bytes
vrf definition STAFF
!
!
interface GigabitEthernet1
vrf forwarding STAFF
no ip address
negotiation auto
no mop enabled
no mop sysid
end
A. Router(config-vrf)#address-family ipv6 B. Router(config-if)#ip address 192.168.1.1 255.255.255.0 C. Router(config-vrf)#ip address 192.168.1.1 255.255.255.0 D. Router(config-if)#address-family ipv4 E. Router(config-vrf)#address-family ipv4
3. What is the data policy in a Cisco SD-WAN deployment?
A. List of ordered statements that define node configurations and authentication used within the SD-WAN overlay B. Set of statements that defines how data is forwarded based on IP packet information and specific VPNs C. Detailed database mapping several kinds of addresses with their corresponding location D. Group of services tested to guarantee devices and links liveliness within the SD-WAN overlay
4. Which action resolves the EtherChannel issue between SW2 and SW3?
Switch2#show etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------
1 Po1(SD) PAgP Gi0/0(I) Gi0/1(I)
Switch3#show etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------
1 Po1(SD) LACP Gi0/0(I) Gi0/1(I)
A. Configure switchport mode trunk on SW2 B. Configure switchport nonegotiate on SW3 C. Configure channel-group 1 mode auto on both interfaces D. Configure channel-group 1 mode active on both interfaces
5. Drag and drop the solutions that comprise Cisco Cyber Threat Defense from the left onto the objectives they accomplish on the right.
6. Refer to the exhibit. A network engineer configures OSPF and reviews the router configuration. Which interface or interfaces are able to establish OSPF adjacency?
No hellos (passive interface)
Supports Link-local Signaling (LLS)
! lines omitted for brevity
GigabitEthernet0/1 is up, line protocol is up
Internet Address 72.16.30.1/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 72.16.11.29, Network Type BROADCAST, Cost:1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 172.16.11.29, Interface address 172.16.30.1
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
No Hellos (Passive Interface)
Supports Link-local Signaling (LLS)
! lines omitted for brevity
GigabitEthernet0/0 is up, line protocol is up
Internet Address 72.16.11.29/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 72.16.11.29, Network Type BROADCAST, Cost:1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Transmit Delay is 1 sec, State DROTHER, Priority 1
Designated Router (ID) 172.16.11.27, Interface address 172.16.11.27
Backup Designated Router (ID) 172.16.11.30, Interface address 172.16.11.30
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:007
Supports Link-local Signaling (LLS)
! lines omitted for brevity
A. GigabitEthemet0/1 and GigabitEthernet0/1.40 B. Gigabit Ethernet0/0 and GigabitEthemet0/1 C. only GigabitEthernet0/0 D. only GigabitEthernet0/1
7. Refer to the exhibit. What step resolves the authentication issue?
Type PROT SYSTEM IP ID ID PRIVATE IP PORT
PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------
vsmart dtls 0.0.0.0 100 1 192.168.100.80
12346 10.10.20.70 12446 default No up
0:02:24:09 0
vbond dtls 0.0.0.0 0 0 192.168.100.81
12346 10.10.20.80 12346 default - up
0:02:24:10 0
vmanage dtls 4.4.4.90 100 0 192.168.100.82
12346 10.10.20.90 12446 default
A. Restart the vsmart host B. Target 192.168.100.82 in the URI C. Change the port to 12446 D. Use basic authentication
8. Which encryption hashing algorithm does NTP use for authentication?
A. SSL B. AES256 C. AES128 D. MD5
9. What is a VPN in a Cisco SD-WAN deployment?
A. Virtual channel used to carry control plane information B. Attribute to identify a set of services offered in specific places in the SD-WAN fabric C. Common exchange point between two different services D. Virtualized environment that provides traffic isolation and segmentation in the SD-WAN fabric
10. Refer to the exhibit. Communication between London and New York is down. Which command set must be applied to resolve this issue?
London(config)#interface fa0/1
London(config-if)#switchport trunk encapsulation dot1q
London(config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
London(config-if)#end
NewYork#show dtp interface fa0/1
DTP information for FastEthernet0/1:
TOS/TAS/TNS: ACCESS/AUTO/ACCESS
TOT/TAT/TNT: NATIVE/ISL/NATIVE
Buenas,
en la 497, se aplica el comando «no spanning-tree bpduguard enable». ¿Esto no provocaría la deshabilitación del bpduguard en modo global? Por lo que el err-disabled state se mantendría hasta que la interfaz fuera reiniciada. Por todo esto, ¿la opción correcta podría ser la A? ya que al aplicar el comando en global, no haría falta desabilitarlo de la interfaz específicamente.
Tienes que configurar los grupos utilizando estos comandos aaa group server {radius | tacacs+} group-name , por lo tanto cuando configuras esto debes especificar si tu grupo de servidores utiliza TACACs+ o RADIUS. De acuerdo a lo mencionado, en la pregunta nos indican que una respuesta posible es «ACE servers of ACE group», esta respuesta no tiene nada de malo ya que solo indica que tenemos un grupo de servidores configurado que será utilizando para validar la autenticación, en esta opción tenemos abierta la posibilidad que el grupo de servidores pueda ser RADIUS o TACACs+. Por el otro lado, la otra opción es «TACACs servers of ACE group»; esta opción te dice que el grupo configurado es TACACs+, sin embargo de acuerdo a lo mencionado, a nosotros no nos muestran la configuración del grupo para realmente aceptar que ese grupo haya sido configurado con TACACs+. Por lo tanto esta opción no puede ser validada del todo a comparación de la opción «ACE servers of ACE group». Espero que ahora quede claro.
Respecto a la pregunta 497, ese es un error nuestro ya que la respuesta correcta claramente es A. Sin embargo una aclaración a tu comentario, el comando «spanning-tree bpguard enable» es aplicado a nivel de interface y NO a nivel global.
Buenas,
en la pregunta 163, ¿podría ser la respuesta correcta C y E en lugar de A y C?. Ya que al tener un threshold por debajo del timeout, ¿no podría generar esto problemas?
En primer lugar descartemos las incorrectas, la opción B es incorrecta ya que debemos realizar la operación de SLA hacia nuestro enlace primario, estamos monitoreando nuestro enlace primario que tiene la IP 172.20.20.2, no necesitamos monitorear el enlace secundario con la IP 172.30.30.2.
La opción D es incorrecta, ya que no hay nada malo con las rutas por defecto, la primera ruta es hacia nuestro ISP primario, la eliminación de la segunda ruta no afecta en nada a la primera, y la tercera ruta apunta hacia el router ISP secundario R3 así que no hay ningún problema.
Nos dicen que el timeout corresponde a cuánto tiempo espera la operación para recibir una respuesta a su requerimiento. La frecuencia por el otro lado, define que tan rápido realizamos las operaciones definidas. Por lo tanto, el valor del timeout no puede ser mayor al valor especificado en la frecuencia. Por otro lado nos indican que el threshold define un tiempo límite para calcular las estadísticas de la operación SLA hasta ese momento, se puede configurar un valor desde 0 hasta 60000. En otras palabras el Threshold es simplemente un punto intermedio para sacar estadísticas de la operación sin la necesidad de esperar a que la operación fallé, por lo tanto siempre tiene que tener un menor valor al timeout.
A continuación nos dan la regla para configurar estos 3 parámetros cuando hacemos cualquier otra operación SLA que no sea UDP jitter:
La regla se cumple y no hay nada malo con la configuración del threshold. Por lo tanto esta opción E es incorrecta.
La opción C es la más correcta de todas, ya que si nuestra interface de origen es la fastethernet0/0, eso significa que el ISP tendría que tener una ruta de vuelta hacia la IP de esa interface o de lo contrario fallaría toda la operación SLA. Y finalmente nos queda como única opción restante la opción A.
Atento a tus comentarios.
Saludos!
Esta respuesta fue modificada hace 3 años, 6 meses por AlvaroM.
De entrada sabemos que la configuración de la interface tunnel está incompleta ya que no existe el comando tunnel source.
La opción D no sirve, ya que solo ingresa la interface tunnel y no realiza ninguna configuración. La opción C tampoco configura el tunnel source.
La opción B podría ser correcta, sin embargo si te fijas la interface Giga0/1 no tiene ninguna IP y además está apagada, por lo tanto eso no ayudara a que la interface tunnel se encuentre UP/UP. Por lo tanto solo te queda la opción A donde el origen del túnel es la interface loopback. Acá fácilmente llegas a la respuesta correcta a través de descarte.
Respecto a la pregunta 310.
Esta pregunta esta sacada del examen CCIE antiguo, pero como en algunas otras preguntas, algunas personas afirman que la vieron en el examen ENCOR y por ello la colocamos acá (seguramente si está presente, será pregunta sin puntaje). Esta pregunta hace referencia a configuraciones de DMVPN que no son estudiadas en el curso ENCOR. Por cuestiones obvias no podemos expicar acá todo DMVPN ya que es un tema extenso, pero de todas formas DMVPN se enfoca en manejar múltiples túneles GRE Over IPSEC en forma multipunto de manera dinámica, donde no necesitamos tener todas las configuraciones de IPsec entre todos los dispositivos. En DMVPN existe un router Central denominado «Hub» (Headend) que es el punto inicial de los túneles IPSec, y después tenemos los «Spokes» (remote) que son las oficinas remotas a las cuales nos comunicamos a través de los túneles. La cuestión es que en esta tecnología, es el router «Spoke» que se comunica con el router central para establecer los túneles GRE/IPsec de manera dinámica, no es el router Central que inicia la conexión. Por ello que la respuesta correcta es D.
«The neighbor shutdown command terminates any active session for the specified neighbor or peer group and removes all associated routing information. In the case of a peer group, a large number of peering sessions could be terminated suddenly.
To display a summary of BGP neighbors and peer group connections, use the show ip bgp summary command. Those neighbors with an Idle status and the Admin entry have been disabled by the neighbor shutdown command. »
Básicamente ahí nos indican que si vemos el estado «idle» conjuntamente con «Admin», significa que el vecino fue deshabilitado con el comando shutdown. Para habilitarlo nuevamente simplemente tenemos que eliminar ese comando. Por ello que la respuesta correcta es C.
