服务器CPU过高，一般都是由于某个进程引起，或者是内存，硬盘等综合因素，需要综合分析，下面以linux操作系统来演示一般的排查过程。

1.查看系统整体情况，top。确认当前占用CPU高的进程。

2.查看当前内存情况，free

3.查看当前使用文件数。lsof |wc -l

4.查看当前理论可用文件数。ulimit -n

5.查看当前端口进程数。netstat -ntlp 端口

6.查看io读写情况：安装 yum install sysstat

iostat

7.查看磁盘整体使用情况。df -h

上面基本就是本人在运维过程中排查的基本方法，实际上遇到的问题可能更复杂，需要具体问题具体分析，特别是程序级别的更难排查。

如果有更好的方法，欢迎留言讨论

感谢悟空小秘书的邀请。

根据我所知道的回答一下这个问题。

首先梳理一下题主的问题和需求：

组网终端数：人数150人左右，加上办公设备、监控设备、无线设备，接入终端数估计在500左右；

无线需求：使用ac+ap的部署无线网络；

网络安全：需要上网行为管控。

根据题主提出的几个要求，这里给出一个组网方案，仅供参考，如有不当之处，请在评论区，留言讨论。

网络拓扑和设备的选择

网络结构建议采用两层结构，核心层和接入层；

核心层：核心层设备用于完成企业内网的高速数据转发，各个VLAN的接口地址，即网关地址可设置在核心层交换机；

由于核心层设备是整个网络的关键所在，影响到整个网络的稳定性、可靠性。建议使用两台核心层设备，开启VRRP协议进行网关冗余、开启LACP协议链路聚合，提高可靠性；

核心层设备可以参考华为的S9300系列的交换机，S5700系列的交换机也可以满足需求；

接入层设备：用于连接用户终端，无线AC控制器等，性能指标方面参考华为的S1700、S2700系列的交换机。

IP地址规划

500多个终端地址，可以考虑用多个C类私有地址组网，比如192.168.0.0、192.168.1.0等，也可用一个B类私有地址比如172.16.0.0，然后划分子网的；

500多个终端根据部门、功能等划分不同的VLAN，用于隔离广播域，同时为了方便网络管理；

服务器、监控等使用静态IP地址，办公终端等根据VLAN使用DCHP自动分配IP地址；

网络设备采用32位掩码，全网统一规划。

无线接入

题主要求无线接入使用AC+AP的，将AC管理器连接到接入交换机，对所有的AP进行集中管理；

在部署AP时，要注意信道的干扰问题，使用完全相互隔离的频道，防止无线AP之间的信道干扰。AP信道设置如下图所示：

网络安全需求

接入控制，可以使用成熟的802.1x接入认证，认证数较少时，可以考虑交换机设备认证，由于有500多个终端设备，建议使用radius服务器进行统一认证，绑定mac地址和ip地址，实现接入控制；

题主要求对网络流量进行监控，可以考虑部署天融兴等厂商提供的IDS或者IPS设备，对网络流量进行监控。

对于组建企业局域网，大家有什么看法呢，欢迎在评论区，留言讨论。

如需更多帮助，请私信关注。谢谢

防火墙在哪里设置?有时候需要对电脑防火墙进行设置，对于一些与防火墙相的软件，需要关闭防火墙，有时网络安全有问题时，又需要启用防火墙，还有一种既可以安装软件又启动防火墙的方法，那就是针对防火墙设置例外名单，具体操作如下。防火墙在哪里设置

1、首先需要了解电脑防火墙的位置，最简单的办法就是进入控制面板，然后在右上方的【查看】中，切换为【大图标】，找到windows 防火墙，点击打开就可以进入到具体设置页面；

2、打开电脑windows防火墙后，如果仅仅是想禁用或者启用防火墙，那么直接选定【启用】或者【关闭】，然后确定就可以了；

3、启用防火墙之后，如果想让一些软件可以进行网络连接，对另外一些程序和服务禁用网络连接，那么可以在电脑windows防火墙中选择【允许程序通过Windows防火墙通信】，如果要禁用已经联网的程序或服务，只需将勾选去除，按确定就可以了；

4、如果有一些需要的程序或服务没有在例外列表中，而防火墙又是开启的，那么这部分程序和服务就不能连接外网。添加方法如下，点击【允许运行另一程序】，然后在新窗口列表中选择要添加的程序，选择确定保存就可以了；

5、如果你设置了很多例外，到最后都想取消，取消一些不当的操作，只需要将防火墙还原为默认值就可以了，点击选择左边的菜单中【还原默认设置】即可；

6、还原后，也就是说以后有程序和服务要访问网络时，都会被阻止，这时需要在例外菜单中设置【防火墙阻止程序时通知我】，这样就可以通过辨别来对某些有用的程序放行了；

7、最后建议将防火墙一直开着，这是保护电脑不被利用的有利防线； 以上就是关于防火墙在哪里设置的方法介绍，希望大家重视网络安全，提高网络安全意识。

哈哈，这道题我比较有发言权。因为刚刚在家里组建了黑群晖。可以点击我的文章， https://www.toutiao.com/i6722335553888453134/ 查看如何利用闲置笔记本，搭建黑群晖。搭好黑群晖后，就要解决如何在办公室访问家里的黑群晖问题。

软件实现内外网穿透。这个是研究时间最长的，看网上的各种攻略看的头大，什么SSH、各种命令，晕啊。还好最后发现一个方法很容易就实现了。这就是zeroTier，它的原理就是在各种终端上都可以安装一个软件，这个软件会模拟一个网卡出来，然后通过它的服务器将这些虚拟网卡组成了一个局域网，就可以像内网一样访问家里的黑群晖啦。经实践，效果非常好，p2p传输，速度仅由你网络带宽限定。电脑上连接非常快，iphone上连VPN稍微慢点，但连上后速度也很快。至此，黑群晖算是装好啦，可以享用黑群晖的各种phone、video、影院套件服务啦。

ZeroTier的介绍

通过ZeroTier管理虚拟局域网

ZeroTier原理：

ZeroTier虚拟了一个网段，网段为192.147.17.0/24，公司和家里分别安装ZeroTier客户端，客户端会虚拟出一个网络并加入192.147.17.0/24这个网段，在家即可访问192.147.17.22地址，反之同理。

ZeroTier部署流程：

1、注册账号并创建一个网段2、下载客户端并加入这个网段

开始部署：

1、创建账号

https://my.zerotier.com

2、创建网络

进入https://my.zerotier.com/network点击Create创建网络

3、点击进入已创建的网络

此时可以看到Network ID，后续添加设备都会需要这个ID。

我这里说下Access Control，默认是Certificate (Private Network)，选择此模式表示每次在添加新的主机时，需要手动勾选是否允许连接，如果选择None (Public Network)模式，表示加入网络后自动分配IP并允许连接，从安全性来说建议使用默认选项Certificate (Private Network)，方便性来看None (Public Network)更方便，不用每次加入网络后手动勾选。

另外根据个人情况你也可以自由设置网段，此处不做过多说明

好了，一个中转的ZeroTier就配置完成了，接下来只需要在其他设备安装所对应的客户端，然后加入到这个网络中就可以了。

Windows客户端安装

下载zerotier windos客户端

https://download.zerotier.com/dist/ZeroTier%20One.msi

安装后点击Log In登陆，登陆成功后会看到当前创建的网络，点击Join加入

或者右键点击zerotier图标，点击Join Network加入

然后在https://my.zerotier.com/network页面所创建的网络中刷新即可看到，刚刚加入的主机，如果使用的是Certificate (Private Network)模式，需要在页面中手动勾选一下允许加入网络。

Centos7客户端安装

1、编辑添加yum源

1vi /etc/yum.repos.d/zerotier.repo12345[zerotier]name=ZeroTier, Inc. RPM Release Repositorybaseurl=http://download.zerotier.com/redhat/el/$releaseverenabled=1gpgcheck=0

2、安装zerotier

12yum clean allyum install zerotier-one

3、启动服务

1zerotier-one -d

4、查看服务状态

1zerotier-cli status

看到200 info 596811110b 1.2.12 ONLINE表示服务正常

可以使用netstat命令看到所启动的服务端口（这里192.168.1.162是centos本机的IP）

5、加入网络（后面是你自己的ID号）

1zerotier-cli join Network ID

加入后会提示200 join OK

进入https://my.zerotier.com/network

刷新几次页面即可看到新加入的主机，然后在前面勾选即可，勾选后Version会变成版本号，并且会分配出一个IP地址

6、主机验证

回到centos7主机上通过ifconfig命令即可看到，此处又多了一个内网IP，此内网IP和zerotier一致，表示配置完成

附：加入、离开、列出网络状态

123zerotier-cli join Network IDzerotier-cli leave Network IDzerotier-cli listnetworks

编程级别和运维级别的网络安全，在数智风看来只是视角不同，所以关注点会有所不同。这个不同的关注点就是它们的区别。

1、编程级别关注的安全

在编程这个级别，程序员每天面对的是程序代码。主要工作是：框架设计、代码编写、部署测试、发布上线。而这些工作也涉及管理过程。所以，编程这里讲安全也可以从这个几个方向去说。

①、框架设计安全

在框架设计阶段，一般都必须定义出应用系统的各个层面，组件。以及他们之间的通讯。比如：某个程序设计分为：数据采集、网络传输、数据存储、数据交换，数据展现。那么我们就应该在各个层面都考虑一下安全。一般情况下会包括：

通讯协议：尽量采用加密传输；

数据格式：尽量采用二进制传输，或者加密文本；

数据存储：对核心机密数据需要加密存储，需要完善的权限管理；

②、代码编写安全

代码编写主要是根据功能需求进行编写代码。代码主要考虑尽量少产生bug和漏洞。因为bug和漏洞会给网络安全带来致命的弱点。一般有以意内容：

防止代码注入：源代码中所以涉及关键操作的代码关键字建议转码。避免在人机交互输入、参数传递中，被黑客恶意注入代码，导致执行效果发生变化。

代码bug：变量使用要恰当，不能混乱使用全局变量、局部变量，还有变量的上下边界。不要出现越界bug。导致代码奔溃或者出现漏洞；

内存控制：对内存的控制的代码，需要注意不要出现内存溢出的风险；

统一的权限管理：程序模块的权限应该可以被独立控制，账户权限也应该做到合理，不要一律采用最高权限。

必须输出日志：对于程序运行过程，必须输出日志，这样才可以追踪安全事件。

③、部署测试安全

部署测试，是代码已经编写好，进行部署测试。这里涉及的安全，主要有：

确保部署的测试环境涵盖尽量多的可能环境。

测试样例足够多，确保测试了各种可能性。

以上都是为了找出程序代码的缺陷，把缺陷补上，后面安全问题就少。

④、发布上线安全

这里比较简单，主要是程序即将进行正式环境检验。我们要保持安全追踪，对运行过程发生可疑行为，要及时分析找出原因纠正。

⑤、安全管理制度

整个开发过程，除了前面的技术安全，还需要有一套安全管理制度来确保少发生人为安全因素。安全管理制度要确实可行，有监督检查机制。

2、运维级别关注的网络安全

在运维级别，大家关注的安全就比较多了。关注系统运行的物理安全、主机安全、存储安全、网络通讯安全、数据安全、应用安全。

①、物理安全

主要包括机房是否有完整的隔断，有门禁控制有权限的人员进出。视频监控确保可以追溯。机房的风火水电是否满足系统运行需要。

②、主机安全：

主要包括：物理主机需要有冗余，操作系统经常要打补丁，防病毒、防火墙必须要更新病毒库和特征库。日志需要保存至少90天。

③、存储安全：

主要包括：物理存储有冗余，磁盘应该有RAID、Hotspare保护。电源、控制器都必须有冗余。

④、网络通讯安全

主要包括：网络传输需要加密（比如SSL加密），需对网络按照安全等级划分不同的安全域和安全边界。在每个域的边界需要部署域防火墙，在网络出口边界需要部署出口防火墙。整个网络建议部署IPS入侵防御。高安全的信息系统需要部署在专网，专用网络和互联网采用物理隔离，数据交换通过网闸摆渡。网络日志也必须保存90天以上。

⑤、数据安全

主要包括：数据库加密、数据传输加密，以及防篡改。如果有敏感数据需要传输，必须进行脱敏处理。

⑥、应用安全：

主要包括：应用程序补丁要及时更新，应用程序代码要可审计，应用程序生成的日志也必须保存90天以上。

⑦、安全管理制度

运维同样需要一整套安全管理机制来保障运维过程不会出现人为故障，同时一般还会借助堡垒机和运维管理软件对运维人员进行权限控制和操作追踪。

总结

综上所述，编程级别的网络安全和运维级别的网络安全，大家都是从技术和管理两个大方向去控制。但大家关注的点有所不同，所以他们的区别在于关注的不同。

编程级别：更关注代码的设计、产生、测试以及管理方面的安全。

运维级别：更关注系统运行的环境、主机、网络、存储、数据、管理等多方面的安全。

我是数智风，用经验回答问题，欢迎关注评论。