試題三（20分）

【說明】

某企業(yè)網(wǎng)絡拓撲如圖1，網(wǎng)絡規(guī)劃詳見表1。所有業(yè)務網(wǎng)關均位于交換機Core上，有線終端、無線終端、無線AP均由DHCP服務器分配IP地址及網(wǎng)絡參數(shù)。

【問題1】(4分)

管理員在Core上規(guī)劃了ACL，需求如下:

1.只允許無線、有線終端訪問DNS服務器的DNS服務。

2.禁止無線用戶訪問設備管理、無線AP管理網(wǎng)絡。

請補充下表中的空缺項:

【問題2】(8分)

網(wǎng)管員發(fā)現(xiàn)某臺主機感染了病毒，大部分的文件后綴都變成了.LOCK，桌面背景被篡改，提示“ your data has been locked, mail to xxxx@lock.xyz”。該主機可能感染(5)類型的病毒，網(wǎng)管員應采取的(6)措施(至少回答3點措施)

【問題3】(8分)

網(wǎng)絡使用一段時間后，用戶反饋互聯(lián)網(wǎng)業(yè)務變慢，網(wǎng)絡管理員發(fā)現(xiàn)NGFW和Core之間下行帶寬長時間利用率100%，計劃利用空閑的千兆端口，在NGFW和Core之間增加一條鏈路，實現(xiàn)鏈路帶寬擴容以解決網(wǎng)絡故障。

網(wǎng)管員規(guī)劃以下兩種擴容技術方案:

方案一:原有鏈路不變，兩臺設備之間新增鏈路采用新的互聯(lián)地址，通過配置靜態(tài)路由形成(7)從而實現(xiàn)兩條鏈路的流量負載。

方案二:采用鏈路聚合技術，將原有鏈路和新增鏈路捆綁在一起形成一條邏輯鏈路，實現(xiàn)鏈路帶寬的提升。為防止接收端接收到的數(shù)據(jù)包亂序，可采用(8)負載機制，既能保證同一數(shù)據(jù)流在同一條物理鏈路上轉(zhuǎn)發(fā)，又實現(xiàn)了各物理鏈路上的負載分擔。

網(wǎng)絡管理員選擇方案二進行配置，防火墻的鏈路聚合配置如下:

[NGFW] interface eth-trunk 1

[NGFW-Eth-Trunk1] trunkport gigabitethernet 0/1

[NGFW-Eth-Trunk1] trunkport gigabitethernet 0/2

[NGFW-Eth-Trunk1] load-balance src-dst mac

[NGFW-Eth-Trunk1] port link- type trunk

[NGFW-Eth-Trunk1] port trunk allow-pass vlan 100

交換機Core的鏈路聚合配置與防火墻相同，配置完成后，網(wǎng)管員發(fā)現(xiàn)網(wǎng)絡體驗并未得到改善，查看物理鏈路、聚合鏈路狀態(tài)均正常，但流量依然集中在原有的鏈路上，新增鏈路幾乎無流量。請分析其原因是(9)，可采取(10)措施解決該故障。