Domande di colloquio per Network Engineer junior

Introduzione

Nei colloqui per Network Engineer junior di solito vogliono capire se sai spiegare le basi e risolvere i problemi con metodo. Aspettati domande su OSI e TCP/IP, subnetting, VLAN, DHCP, DNS, routing, switching, sicurezza di base e scenari di connettività.

Usa queste risposte come modello, poi esercitati a dirle con parole tue. Una buona risposta junior non è solo una definizione: collega il concetto a un problema reale, ai controlli da fare e a come verificare la soluzione.

Fondamenti di TCP/IP

1. Spiega il modello OSI e il modello TCP/IP.

Risposta:

Modello OSI (7 Livelli):

1. Fisico - Cavi, segnali
2. Collegamento Dati - Indirizzi MAC, switch
3. Rete - Indirizzi IP, routing
4. Trasporto - TCP/UDP, porte
5. Sessione - Connessioni
6. Presentazione - Crittografia, formattazione
7. Applicazione - HTTP, FTP, DNS

Modello TCP/IP (4 Livelli):

1. Accesso alla Rete - Fisico + Collegamento Dati
2. Internet - IP
3. Trasporto - TCP/UDP
4. Applicazione - Applicazione + Presentazione + Sessione

Rarità: Molto Comune Difficoltà: Facile

2. Qual è la differenza tra TCP e UDP?

Risposta:

Handshake a tre vie TCP:

Client          Server
  |---SYN--->      |
  |<--SYN-ACK--|   |
  |---ACK--->      |

Rarità: Molto Comune Difficoltà: Facile

Indirizzamento IP

3. Spiega il subnetting e calcola le subnet mask.

Risposta: Il Subnetting divide una rete in sottoreti più piccole.

Esempio: 192.168.1.0/24

• Rete: 192.168.1.0
• Subnet Mask: 255.255.255.0
• IP utilizzabili: 192.168.1.1 - 192.168.1.254
• Broadcast: 192.168.1.255

Esempio di Subnetting:

Rete: 192.168.1.0/24
Necessità: 4 sottoreti

/24 → /26 (4 sottoreti, 62 host ciascuna)

Subnet 1: 192.168.1.0/26   (192.168.1.1 - 192.168.1.62)
Subnet 2: 192.168.1.64/26  (192.168.1.65 - 192.168.1.126)
Subnet 3: 192.168.1.128/26 (192.168.1.129 - 192.168.1.190)
Subnet 4: 192.168.1.192/26 (192.168.1.193 - 192.168.1.254)

Notazione CIDR:

• /24 = 255.255.255.0 (256 indirizzi)
• /25 = 255.255.255.128 (128 indirizzi)
• /26 = 255.255.255.192 (64 indirizzi)
• /27 = 255.255.255.224 (32 indirizzi)

Rarità: Molto Comune Difficoltà: Media

4. Spiega il NAT e i suoi tipi.

Risposta: NAT (Network Address Translation) traduce gli indirizzi IP privati in indirizzi IP pubblici.

Perché usare NAT:

• Conservare gli indirizzi IP pubblici
• Sicurezza (nascondere la rete interna)
• Flessibilità nella progettazione della rete

Tipi di NAT:

1. NAT Statico:

• Mappatura uno-a-uno
• IP privato ↔ IP pubblico
• Utilizzato per i server

2. NAT Dinamico:

• Pool di IP pubblici
• Primo arrivato, primo servito
• Mappatura temporanea

3. PAT (Port Address Translation):

• Mappatura molti-a-uno
• Utilizza i numeri di porta
• Più comune (router domestici)

Configurazione NAT Statico (Cisco):

! Configura l'interfaccia interna
Router(config)# interface fastethernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# exit

! Configura l'interfaccia esterna
Router(config)# interface fastethernet 0/1
Router(config-if)# ip address 203.0.113.5 255.255.255.0
Router(config-if)# ip nat outside
Router(config-if)# exit

! Crea una mappatura NAT statica
Router(config)# ip nat inside source static 192.168.1.10 203.0.113.10

! Verifica
Router# show ip nat translations

Configurazione NAT Dinamico:

! Definisci un pool di IP pubblici
Router(config)# ip nat pool PUBLIC_POOL 203.0.113.10 203.0.113.20 netmask 255.255.255.0

! Definisci quali IP privati possono usare NAT
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255

! Collega ACL al pool
Router(config)# ip nat inside source list 1 pool PUBLIC_POOL

! Verifica
Router# show ip nat translations
Router# show ip nat statistics

Configurazione PAT (Overload):

! Usa un singolo IP pubblico con traduzione di porta
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface fastethernet 0/1 overload

! O con un pool
Router(config)# ip nat inside source list 1 pool PUBLIC_POOL overload

Esempio di Traduzione NAT:

Inside Local    Inside Global    Outside Global    Outside Local
192.168.1.10    203.0.113.5      8.8.8.8          8.8.8.8
192.168.1.11    203.0.113.5      8.8.8.8          8.8.8.8

Con PAT:
192.168.1.10:1234 → 203.0.113.5:50001 → 8.8.8.8:80
192.168.1.11:1234 → 203.0.113.5:50002 → 8.8.8.8:80

Risoluzione dei problemi NAT:

! Cancella le traduzioni NAT
Router# clear ip nat translation *

! Debug NAT
Router# debug ip nat
Router# debug ip nat detailed

! Mostra le statistiche NAT
Router# show ip nat statistics

Limitazioni:

• Interrompe la connettività end-to-end
• Complica alcuni protocolli (FTP, SIP)
• Non adatto per i server (usa NAT statico)
• IPv6 elimina la necessità di NAT

Rarità: Molto Comune Difficoltà: Facile-Media

Switching

5. Cos'è una VLAN e perché usarla?

Risposta: Una VLAN (Virtual LAN) segmenta logicamente una rete.

Vantaggi:

• Sicurezza (isola il traffico)
• Prestazioni (riduce i domini di broadcast)
• Flessibilità (raggruppa per funzione, non per posizione)
• Risparmio sui costi (meno switch fisici)

Configurazione VLAN (Cisco):

! Crea VLAN
Switch(config)# vlan 10
Switch(config-vlan)# name Sales
Switch(config-vlan)# exit

Switch(config)# vlan 20
Switch(config-vlan)# name IT
Switch(config-vlan)# exit

! Assegna la porta alla VLAN
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

! Configura la porta trunk
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20

! Verifica
Switch# show vlan brief
Switch# show interfaces trunk

Rarità: Molto Comune Difficoltà: Media

6. Cos'è lo Spanning Tree Protocol e perché è necessario?

Risposta: STP (Spanning Tree Protocol) previene i loop di livello 2 nelle reti commutate.

Problema senza STP:

• Tempeste di broadcast
• Instabilità della tabella MAC
• Molteplici copie di frame
• Collasso della rete

Come funziona STP:

Stati della porta STP:

1. Blocco: Non inoltra i frame, previene i loop
2. Ascolto: Si prepara a inoltrare, ascolta i BPDU
3. Apprendimento: Apprende gli indirizzi MAC
4. Inoltro: Funzionamento normale
5. Disabilitato: Amministrativamente disattivato

Ruoli della porta:

• Root Port: Miglior percorso verso il root bridge
• Designated Port: Porta di inoltro sul segmento
• Blocked Port: Previene i loop

Processo di selezione STP:

1. Eleggi Root Bridge (Bridge ID più basso)
   Bridge ID = Priorità (predefinita 32768) + Indirizzo MAC

2. Seleziona le Root Port (miglior percorso verso la root)
   Basato su: Costo del percorso → Bridge ID → Port ID

3. Seleziona le Designated Port (una per segmento)

4. Blocca le porte rimanenti

Configurazione STP (Cisco):

! Visualizza lo stato STP
Switch# show spanning-tree

! Imposta la priorità del bridge (rendi questo switch root)
Switch(config)# spanning-tree vlan 1 priority 4096
# La priorità deve essere un multiplo di 4096 (0-61440)

! Oppure usa la scorciatoia
Switch(config)# spanning-tree vlan 1 root primary
Switch(config)# spanning-tree vlan 1 root secondary

! Configura il costo della porta
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# spanning-tree cost 4

! Configura la priorità della porta
Switch(config-if)# spanning-tree port-priority 64

! Abilita PortFast (solo per i dispositivi finali!)
Switch(config-if)# spanning-tree portfast

! Abilita BPDU Guard (spegne la porta se riceve un BPDU)
Switch(config-if)# spanning-tree bpduguard enable

Varianti STP:

RSTP (Rapid Spanning Tree):

! Abilita RSTP
Switch(config)# spanning-tree mode rapid-pvst

! Verifica
Switch# show spanning-tree summary

Stati della porta RSTP (Semplificati):

• Discarding: Combina Blocco, Ascolto, Disabilitato
• Learning: Apprende gli indirizzi MAC
• Forwarding: Funzionamento normale

Risoluzione dei problemi STP:

! Controlla lo stato STP
Switch# show spanning-tree

! Controlla una VLAN specifica
Switch# show spanning-tree vlan 10

! Controlla i dettagli dell'interfaccia
Switch# show spanning-tree interface gigabitethernet 0/1

! Visualizza il root bridge
Switch# show spanning-tree root

! Debug STP
Switch# debug spanning-tree events

Problemi comuni:

1. Cambiamenti di topologia:

   • Cambiamenti frequenti causano instabilità
   • Usa PortFast sulle porte di accesso

2. Posizionamento del Root Bridge:

   • Dovrebbe essere uno switch centrale, ad alta capacità
   • Imposta la priorità manualmente

3. Loop:

   • Abilita BPDU Guard sulle porte di accesso
   • Monitora i cambiamenti di topologia inattesi

Rarità: Comune Difficoltà: Media

Routing

7. Qual è la differenza tra routing statico e dinamico?

Risposta:

Routing Statico:

• Configurato manualmente
• Nessun overhead
• Non si adatta ai cambiamenti
• Buono per reti piccole e stabili

Routing Dinamico:

• Apprende automaticamente le rotte
• Si adatta ai cambiamenti di topologia
• Più overhead
• Buono per reti grandi e complesse

Esempio di rotta statica:

! Aggiungi una rotta statica
Router(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.1

! Rotta predefinita
Router(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.1

! Verifica
Router# show ip route

Protocolli di Routing Dinamico:

• RIP: Semplice, distance-vector
• OSPF: Link-state, convergenza veloce
• EIGRP: Proprietario Cisco, ibrido
• BGP: Routing Internet

Rarità: Molto Comune Difficoltà: Facile-Media

8. Come si configurano le Access Control List (ACL)?

Risposta: Le ACL filtrano il traffico di rete in base a regole definite.

Tipi di ACL:

1. ACL Standard (1-99, 1300-1999):

• Filtra in base solo all'IP di origine
• Applicata vicino alla destinazione

2. ACL Estesa (100-199, 2000-2699):

• Filtra in base a IP di origine/destinazione, protocollo, porta
• Applicata vicino all'origine

Esempio di ACL Standard:

! Crea una ACL standard
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 10 deny any

! Applica all'interfaccia
Router(config)# interface fastethernet 0/0
Router(config-if)# ip access-group 10 in

! Verifica
Router# show access-lists
Router# show ip interface fastethernet 0/0

Esempio di ACL Estesa:

! Crea una ACL estesa
Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443
Router(config)# access-list 100 deny ip any any

! Applica all'interfaccia
Router(config)# interface fastethernet 0/1
Router(config-if)# ip access-group 100 out

ACL Nominata (Raccomandata):

! ACL nominata standard
Router(config)# ip access-list standard ALLOW_INTERNAL
Router(config-std-nacl)# permit 192.168.1.0 0.0.0.255
Router(config-std-nacl)# deny any
Router(config-std-nacl)# exit

! ACL nominata estesa
Router(config)# ip access-list extended WEB_TRAFFIC
Router(config-ext-nacl)# permit tcp any any eq 80
Router(config-ext-nacl)# permit tcp any any eq 443
Router(config-ext-nacl)# permit icmp any any echo-reply
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit

! Applica all'interfaccia
Router(config)# interface gigabitethernet 0/0
Router(config-if)# ip access-group WEB_TRAFFIC in

Wildcard Mask:

0 = deve corrispondere
1 = non importa

Esempi:
0.0.0.0 = corrispondenza esatta
0.0.0.255 = corrispondi ai primi 3 ottetti (/24)
0.0.255.255 = corrispondi ai primi 2 ottetti (/16)
255.255.255.255 = corrispondi a qualsiasi (come "any")

Host:
192.168.1.10 0.0.0.0 = singolo host
Oppure usa: host 192.168.1.10

Scenari comuni di ACL:

1. Blocca un host specifico:

Router(config)# ip access-list extended BLOCK_HOST
Router(config-ext-nacl)# deny ip host 192.168.1.50 any
Router(config-ext-nacl)# permit ip any any

2. Consenti solo SSH e HTTPS:

Router(config)# ip access-list extended SECURE_ACCESS
Router(config-ext-nacl)# permit tcp any any eq 22
Router(config-ext-nacl)# permit tcp any any eq 443
Router(config-ext-nacl)# deny ip any any

3. Previeni lo spoofing:

Router(config)# ip access-list extended ANTI_SPOOF
Router(config-ext-nacl)# deny ip 192.168.1.0 0.0.0.255 any
Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# permit ip any any

Best Practice per le ACL:

1. L'ordine conta:

   • Elaborate dall'alto verso il basso
   • Regole più specifiche prima
   • Implicit deny alla fine

2. Posizionamento:

   • ACL Standard: Vicino alla destinazione
   • ACL Estesa: Vicino all'origine

3. Documentazione:

   • Usa ACL nominate
   • Aggiungi commenti

Router(config)# ip access-list extended FIREWALL
Router(config-ext-nacl)# remark Consenti il traffico web
Router(config-ext-nacl)# permit tcp any any eq 80
Router(config-ext-nacl)# remark Blocca la rete interna
Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any

Modifica delle ACL:

! Visualizza la ACL con i numeri di riga
Router# show ip access-lists WEB_TRAFFIC

! Rimuovi una riga specifica
Router(config)# ip access-list extended WEB_TRAFFIC
Router(config-ext-nacl)# no 10

! Inserisci in una riga specifica
Router(config-ext-nacl)# 15 permit tcp any any eq 8080

Risoluzione dei problemi:

! Mostra i colpi ACL
Router# show access-lists

! Mostra la ACL sull'interfaccia
Router# show ip interface gigabitethernet 0/0

! Cancella i contatori ACL
Router# clear access-list counters

Rarità: Comune Difficoltà: Media

Servizi di Rete

9. Come funziona DHCP?

Risposta: DHCP (Dynamic Host Configuration Protocol) assegna automaticamente gli indirizzi IP.

Processo DORA:

1. Discover: Il client trasmette una richiesta
2. Offer: Il server offre un indirizzo IP
3. Request: Il client richiede l'IP offerto
4. Acknowledge: Il server conferma l'assegnazione

Configurazione DHCP (Cisco):

! Configura il pool DHCP
Router(config)# ip dhcp pool LAN
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# dns-server 8.8.8.8 8.8.4.4
Router(dhcp-config)# lease 7

! Escludi gli indirizzi
Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10

! Verifica
Router# show ip dhcp binding
Router# show ip dhcp pool

Rarità: Molto Comune Difficoltà: Facile-Media

Risoluzione dei Problemi

10. Come si risolvono i problemi di connettività di rete?

Risposta: Approccio sistematico alla risoluzione dei problemi:

1. Verifica il livello fisico:

# Controlla la connessione del cavo
# Controlla le spie di collegamento
# Controlla lo stato della porta

2. Verifica la connettività:

# Ping localhost
ping 127.0.0.1

# Ping il gateway predefinito
ping 192.168.1.1

# Ping un IP esterno
ping 8.8.8.8

# Ping un nome di dominio
ping google.com

3. Controlla la configurazione IP:

# Windows
ipconfig /all

# Linux
ip addr show
ip route show

# Verifica:
# - Indirizzo IP
# - Subnet mask
# - Gateway predefinito
# - Server DNS

4. Testa il DNS:

# Windows
nslookup google.com

# Linux
dig google.com
host google.com

5. Controlla il Routing:

# Traccia la rotta
traceroute google.com  # Linux
tracert google.com     # Windows

6. Controlla il Firewall:

# Testa una porta specifica
telnet server.com 80
nc -zv server.com 80

Rarità: Molto Comune Difficoltà: Media

Conclusione

In un colloquio da Network Engineer junior conta meno ricordare ogni comando e più mostrare un processo di troubleshooting chiaro. Dovresti saper spiegare:

1. TCP/IP: Modello OSI, protocolli, indirizzamento
2. Indirizzamento IP: Subnetting, CIDR, IPv4/IPv6
3. NAT: Tipi, configurazione, casi d'uso
4. Switching: VLAN, trunking, indirizzi MAC
5. STP: Prevenzione dei loop, stati della porta, RSTP
6. Routing: Statico vs dinamico, tabelle di routing
7. ACL: Standard vs estese, wildcard mask
8. Servizi di Rete: DHCP, DNS, NAT
9. Risoluzione dei problemi: Ambito, controlli per livelli, strumenti e verifica

Esercitati con un lab o un simulatore e prova risposte brevi ad alta voce. Di solito cercano basi solide, curiosità e capacità di restringere il problema senza tirare a indovinare.