悦分享

思路: 这道题考查的知识点，不仅仅是数字签名，数字证书，很可能面试官也会问你https的原理的，因为https原理跟数字证书有关的哈，大家需要掌握https原理哦。数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。它的出现，是为了避免身份被篡改冒充的。比如Https的数字证书，就是为了避免公钥被中间人冒充篡改：数字证书构成：公钥和个人等信息，经过Hash摘要算法加密，形成消息摘要；

随着物联网（IoT）行业的发展，越来越多的无线技术应运而生。众所周知，在物联网行业中，我们有两种典型的网络。一个是WAN（广域网），另一个是PAN（个人区域网）。对于LoRa，NB-IoT，2G/3G/4G等无线技术，通常传输距离超过1km，因此它们主要用于广域网（WAN）。对于WiFi，蓝牙，BLE，Zigbee和Zwave等无线技术，通常的传输距离小于1公里，因此它们主要用于个人局域网（PAN）。Zigbee是IoT网络（尤其是家庭自动化行业）中最流行的无线技术之一。...

什么是物联网？在你学习有关IPv6的时候，你的老师或许说过，有一天在你的房子每个设备都会有一个IP。物联网基本上就是处理每天的事务，并把它们连接到互联网上。一些常见的物联网设备：如灯光，窗帘，空调。也有像冰箱这样的不太常见的设备，甚至一个卫生间。物联网的定义是：“提出了互联网的发展，日常物品有网络连接，允许，发送和接收数据。”物联网体系结构，通常有这五个部分：物联网环境本身的控制传感器和执行器通常使用这些无线协议（还有更多的）：每个协议都有其优缺点，也有很多的限制。当谈到选择哪种协议时，最大的问题是兼容性。

1.1 物联网的定义和特征1、物联网的定义物联网的英文名称是“The Internet of things（I OT）”。意即“物物相连的互联网”。也就是说，物联网是在互联网基础上的延伸和扩展的网络，其用户端延伸和扩展到了任何物品与物品之间，进行信息交换和通信。物联网是互联网、传统电信网等信息承载体，让所有能行使独立功能的普通物体实现互联互通的网络。物联网是新一代信息技术的重要组成部分，也是“信息化”时代的重要发展阶段。物联网就是“物物相连的互联网”。本质特征：物联网是现代信息技术发展到一定阶段后出现的一种

新技术总是带来许多对其负面潜力的担忧，5G也不例外。什么是 5G，它面临哪些安全风险，以及专家如何努力确保 5G 安全？什么是5G？G代表第五代蜂窝移动网络。在架构和协议方面，5G 无线接入网 (RAN) 和 5G 核心与 4G LTE 有很大不同。例如，5G RAN 使用新的射频 (RF) 协议，提供更宽更高的频段频谱，并具有开放的分布式架构。5G网络技术架构：传统ICT系统中，资产包括∶硬件、软件和通信组件;软硬件和通信组件之间的通信链路;控制系统功能的数据、系统生产的数据、以及数据流;5G系统部署中

在移动互联网时代，最核心的技术是移动通信技术。而在通信行业，标准之争是最高话语权的争夺。一旦标准确立，将对全球通信产业产生巨大影响。第一代是模拟技术;第二代是2G，实现了语音的数字化;第三代是3G，以多媒体通信为特征;第四代是4G，通信进入无线宽带时代，速率大大提高;第五代是5G，全球网络无线接入，速度极快，信息时代到来;

3G 网络是指使用支持高速数据传输的蜂窝移动通讯技术的第三代移动通信技术的线路和设备铺设而成的通信网络。3G 网络将无线通信与国际互联网等多媒体通信手段相结合，是新一代移动通信系统。在偏远地区或旅游途中无法获取有线或 Wi-Fi 信号时，则可以考虑使用 3G 网络，此上网方式具有信号强、速度快且稳定等优点，但费用较高，主要适合于商务人士，普通用户可以在紧急情况下临时使用。如果需要临时在较短的时间访问互联网，则可以利用手机作为Modem 来使用使电脑能访问网络。

企业网络安全需求大致分为三部分，但是在设计对应的网络安全技术方案时，通常根据企业结构划分网络，从五个方面制定方案。某游戏公司当前的企业网络拓扑如右图所示，考虑到该公司运行的业务可能面临众多安全威胁，需要网络实施工程师针对安全方面进行设计改造：设计一个企业网络安全方案需要考虑如下因素，以上述案例为例：具体的企业网络安全方案设计案例如下：1. 设备冗余网络拓扑图如下：根据安全需求1,设计设备冗余安全方案：在设计该企业网络安全方案时，通常考虑在出口区域冗余部署防火墙和IPS设备。防火墙双机热备关键配置，以防火墙A

按优先级匹配页面推送规则。此处以AP_1为例，其他AP添加方法类似，不再赘述。步骤1：在AC_1和AC_2上执行display ap all命令，检查当前AP的状态，显示以下信息表示AP上线成功。配置S12700_A和S12700_B的接口连接S7700、AC_1和AC_2加入VLAN730和VLAN800。配置AC_1、AC_2连接S12700_A和S12700_B的接口加入VLAN800和VLAN730。步骤2：配置S12700_A和S12700_B、RADIUS服务器与AC_1、AC_2设备互通。

设置路由器(TP-LINK))前，先把硬件设备连接好。一般TP-LINK路由器有5个网线接口，其中一个wan口，4个lan口，路由器(TP-LINK)的WAN口连接到宽带运营商提供的光纤带宽MODEM(光猫)、ADSL带宽MODEM（A猫）、小区带宽的网络接口，路由器(TP-LINK)的LAN口连接到电脑、机顶盒等需要有线连接的网络设备。

有线局域网虽然技术成熟、普及率高而且网络结构简单，但其因为整个网络需要许多线缆来实现相互的连接，这对于网络环境来说会造成一定影响。而无线局域网则很好地避免了这一问题，它主要的特点就是移动性好，可以随时随地构建电脑网络。无线网络技术主要是指 Wi-Fi，它是一种可以将个人电脑（主要是笔记本电脑）、手持设备（如 PDA、手机）等终端以无线方式互相连接的技术。带 Wi-Fi 无线上网功能的笔记本在工作、生活、学习中的应用已经相当普遍，它的方便性也得到了公众的认可。

路由器是网络的关键设备，它的上方链路连接 Modem，下方链路连接交换机或电脑，同时带有无线功能的路由器还具有向周围一定范围内发射无线信号的功能。它相当于整个网络的“神经中枢”，一旦路由器配置不当或存在故障，整个网络就会出现异常，甚至瘫痪。因此在组建无线和有线网络时，一定要注意路由器的配置。

需求：要求ISP01用户，使用ISP01解析地址访问；ISP02用户，使用ISP02解析地址访问。SW1在Vlan10中是主，Vlan20是备；SW2在Vlan10中是备，Vlan20是主。交换机连路由器和PC机都是Access，只有做单臂路由的时候交换机连路由器是trunk。

某企业拥有多个部门，如财务部、研发部、技术部等，每个部门使用的 IP 地址网段各不相同。为了便于管理，现需要将同一种部门的业务划分到同一 VLAN 中，不同类型的部门划分到不同 VLAN 中。二层交换原理二层交换是指数据帧在数据流链路层的转发。二层数据的转发是依据链路层信息MAC地址来完成的。交换机通过解析和学习数据帧的源MAC地址建立MAC地址表，根据目的MAC来查找MAC地址表决定向哪个端口转发数据帧。总结：根据收到报文源Mac地址学习MAC，根据目的MAC进行转发二层交换机数据帧转发原理 - 单播 二

某公司，A,B,C,D四个部门，A部门需要100个IP地址，B部门需要50个IP地址，C和D部门需要25个IP地址，现在公司申请了一个C类地址块，192.168.147.0/24.请给出合理的子网划分方案？我现在有4个网络需要50个IP地址，那就从这64个网络中，拿出4个，给上面有需要的网络用，那么还剩下60个网络那现在图里面还剩下4个网络，这4个网络，每个网络需要2个IP地址，分别作为路由器的接口IP。上面红色标记的部分就是使用的6个主机位，那么还剩下6个主机位，那就使用这个6个主机位用作网络位。

20个主机，那至少需要5个主机位才行，现在根据题目，能知道掩码是25，有7个可用的主机位，那至少需要保留5个，所以最多只能借两位来划分子网，那么掩码可以是27，题目要求最好的分配，那就要求IP地址尽量不浪费。8个子公司，所以需要借三个主机位，C类的掩码是24，借位划分了子网后的掩码增长到27，即255.255.255.224，题出错了，正常应该选D。答案：划分32个子网需要借5位，主机位，C类地址的掩码固定是24位，加5位得29，29位掩码的表示为255.255.255.248，所以选D。

IP协议是TCP/IP协议族的基石，它为上层提供无状态、无连接、不可靠的服务，也是Socket网络编程的基础之一。IP协议特点：IP地址就是一个唯一标识，是一段网络编码（计算机只读的懂0和1这样的二进制），我们的IP地址就是由32个0和1的组合而成，十进制的IP地址值也称为点分十进制。IP地址（4个字节，32bit）。IP地址形式：X.X.X.X X的范围：0-255。正确：10.1.1.1 、192.168.1.1。错误：300.1.1.1。IP地址由两部分组成： 第一部分：网络位。第二部分：主机位。网络

在综合布线工程测试中，经常使用的测试仪器有Fluke DSP-100测试仪、Fluke DSP-4000系列测试仪。Fluke DSP-100测试仪可以满足5类线缆系统的测试的要求。Fluke DSP-4000系列测试仪功能强大，可以满足5类、超5类、6类线缆系统的测试。

信息插座是终端（工作站）与水平干线子系统连接的接口，在水平干线子系统中双绞线的两 端是直接压接到配线架和信息插座中的，不需要跳线。

计算机网络是现代通信技术与计算机技术相结合的产物。随着计算机网络本身的发展，人们认为：计算机网络是把地理位置不同、功能独立自治的计算机系统及数据设备通过通信设备和线路连接起来，在功能完善的网络软件运行支持下，以实现信息交换和资源共享为目标的系统。计算机网络发展的四个阶段：计算机网络的组成分为3个层面：第一层面是物理层面的组成，也就是由传输介质、物理设备以及通信线路等构成的物理网络。第二层面是从其逻辑结构层面来看，也就是通过一定的协议规则将物理网络建构成可以通信的逻辑网络。

1 协议概述Modbus是一种串行通信协议，是Modicon公司(现在的施耐德电气 Schneider Electric)于1979年为使用可编程逻辑控制器(PLC)通信而发表。1996年施耐德公司推出基于以太网TCP/IP的Modbus协议：ModbusTCP。目前，modbus协议已经是工控网络中最常用的通信协议之一。Modbus协议是一项应用层报文传输协议，包括ASCII、RTU、TCP三种报文类型。标准的Modbus协议物理层接口有RS232、RS422、RS485和以太网接口，采用master/s

防火墙性能测试标准RFC1242介绍了RFC2544测试所用到的术语。http://www.ietf.org/rfc/rfc1242.txtRFC2544介绍了路由设备（防火墙）性能测试方法，主要是3层的测试。http://www.ietf.org/rfc/rfc2544.txtRFC2544测试吞吐量吞吐量是衡量一款设备转发数据包能力的测试。这个数据是衡量一款防火墙或者路由交换设备的最重要的指标。测试吞吐量首先根据标称性能确定被测试设备的可能吞吐量大小，这样来决定我们测试一款设备所需要的测试仪端口数量。如

作为应用最广泛的网络安全产品，防火墙设备本身的性能何将对最终网络用户得到的实际带宽有决定性的景响。本文从网络层、传输层和应用层三个层面对防火墙的常用性能指标及测试方法进行了分析与总结，并提出了建立包括网络性能测试、IPSec VPN 性能测试及安全性测试在内的完整测试体系及衡量标准的必要性。防火墙是目前网络安全领域广泛使用的设备，其主要目的就是保证对合法流量的保护和对非法流量的抵御。众所周知，在世界范围内网络带宽（包括核心网络及企业边缘网络）总的趋势是不断的提速升级，然而从网络的整体结构上看，防火墙恰处于网

Cisco自适应安全设备管理器（Adaptive Security Device Manager，ASDM）通过一个直观、易用、基于Web的管理界面，提供了世界级的安全管理和监控服务。结合Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备，Cisco ASDM提供的智能向导、强大的管理工具和灵活的监控服务，进一步增强了Cisco安全设备套件提供的先进的集成安全和网络功能，从而加速安全设备的部署。

在生产环境中，安全设备的使用是多元化的，比如存在多个厂商的设备，这时华为USG防火墙与其他厂商设备的配置，企业生产环境完整架构如何设计等都是需要解决的问题。第11步，查看思科ASA防火墙isakmp sa信息，可以看到SA状态激活，IKE Peer为对端华为USG防火墙。第4步，使用命令查看配置思科ASA防火墙运行的软件版本，注意思科ASA防火墙版本不能太低，推荐使用8.×版本。第14步，查看华为USG防火墙IPSec VPN状态，协商状态成功为1，如下图所示。

对于命中DNS透明代理策略的DNS请求报文，FW会根据DNS请求报文选择的出接口，修改请求报文的目的地址(DNS服务器地址),即将其修改为其他ISP内的DNS服务器地址，DNS请求被转发到不同的ISP,解析后的Web服务器地址也就属于不同的ISP,所以上网流量将通过不同的ISP链路转发，充分利用了所有链路资源。当某条链路的带宽使用率达到90%时，已建立会话的流量仍从该链路转发，但是后续新建立会话的流量不再通过此链路转发，FW会在未过载的链路中智能选路，后续流量按照未过载链路之间的带宽比例进行负载分担。

防火墙主要部署在网络边界起到隔离的作用。虽然隔离了内外网，但防火墙也承担起内网与外网互联的作用，内网和外网交互的流量都要经过防火墙来转发。在实际场景中，企业出于带宽和可靠性的要求，会向多个ISP租用多条Internet链路带宽资源，这样处于出口位置的防火墙就有多个出口链路连接到 Internet，如何为用户流量选择合适的出口链路将是企业网络管理员需要考虑的问题。1. 就近选路就近选路是由缺省路由与明细路由配合完成的选路方式，这种方式比较简单，也是最常用的。

802.1X协议起源于WLAN的802.11协议，用于控制无线用户的链路层接入和身份认证。经过扩展后，802.1X也可以使用以太网帧作为承载报文，从而可适用于以太网以及其他的有线接入方式。802.1X认证，又称EAPOE( Extensible Authentication Protocol Over Ethernet)认证，可以用于有线环境解决局域网用户的接入认证问题。1. 802.1X认证角色。

在用户访问内网之前，需要对身份信息进行审核，这就是准入控制。准入控制分为本地认证与认证服务器两种，本地认证把用户/登录口令信息存储在设备本地，而AAA（认证/授权/计费）则把用户/登录口令信息集中存储在AAA认证服务器中。AAA一般采用客户机/服务器结构，客户端运行于NAS(Network Access Server，网络接入服务器，通常是接入交换机)上，服务器上则集中管理用户信息，AAA服务器集中在一个系统中搭建如Windows server、Linu）。

用户认证功能是华为USG防火墙比较有用的功能，特别适用于多种人员组合的综合办公条件，比如某企业办公人员由内勤人员、外勤人员、外部派遣人员等组成，使用用户认证功能可以非常方便地控制用户对网络的访问，或限制隔离访问，以保证内部网络的安全。第7步，在受限制访问虚拟机的情况下打开网页，系统提示“您必须先登录此网络才能访问互联网”，说明密码认证生效，输入用户名以及密码，单击“登录”按钮。至此，配置密码认证完成。第5步，新建认证策略，源地址选择新建的guest，代表guest地址访问网络需要认证，单击“确定”按钮。

网络拓扑如下：注意：专线公网IP可以直接通过easy IP上网，而通过光猫上网，FW出口设备要先做第一次源SNAT到光猫，到了光猫做第二次SNAT。回包无论光猫能不能做回程路由，都必须让FW出口设备做DNAT，不让光猫做公司内网其他地址的NAT会话记录，如果NAT全让光猫做，在流量高峰期光猫性能会扛不住大量会话表项。

1. 传统L2L IP-sec V.P.N越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连。hub-spoke总部-分支：中心节点增加数据转发工作 ，延时增大，消耗资源，次优路径；full-mesh全互联：配置/维护过于繁杂，N方 每两个站点要建立GRE Over IPSec配置，总配置5（5-1） = 20。总部/分支所有站点必须有固定IP地址，会增加成本，降低灵活性。2. DSV.P.N解决方案。

当本端发起IPSec隧道协商的IP地址与实际应用IPSec策略的接口IP地址不同时，需要配置local-address为本端发起协商的IP地址，且该地址需要和对端使用remote-address命令设置的目的地址一致。查看IPSec处理报文的统计信息，如受安全保护的进出报文统计信息、加解密报文统计信息、被丢弃的受安全保护的详细统计信息以及IKE协商相关的报文统计信息等，这有助于IPSec故障诊断和维护。当在防火墙B的公网接口增加了sub地址并修改了IPSec配置后，发现隧道建立不成功。

IPSec V.P.N点到多点场景中，进行身份认证时如果使用预共享密钥方式，总部和每个分部之间形成的对等体都要配置预共享密钥。如果所有对等体都使用同一个密钥，存在安全风险，而每个对等体都使用不同的密钥，又不便于管理和维护。为了解决上述问题，可以使用证书认证。IKE通过借用了PKI中的证书机制来进行对等体的身份认证，不必再为每个对等体配置单独的密钥，降低管理成本。证书导入：使用设备的密钥及必要信息到CA颁发证书，并将成对的证书导入到设备；

用户需求： 网络拓扑如下：ISP01初始化配置：企业中路由器与防火墙互联网段都为30位。ISP02初始化配置：g0/0/3是SSL V.P.N的网关。 通过BGP让ISP01与ISP02进行路由交换。ISP01BGP路由：ISP02BGP路由：timer connect-retry 指定BGP1秒建立完路由。完成邻居关系建立：互相发布路由：需求1：站点1/2要求可以访问internet，ISP1为主用线路，ISP2为备用线路。FW3 IP地址：FW3添加安全区域：FW3放行安全策略

网络拓扑如下：用户需求：用户通过Internet接入公司内网，并通过三层交换机访问不同VLAN中的内网服务。

1. SSL (Secure Sockets Layer)安全套接层协议美国网景Netscape公司1994年研发，介于传输层TCP协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。可以通过SSL安全套接将普通的HTTP流量加以HTTPS方式进行保护。SSL历史版本：SSL1.0、SSL2.0、SSL3.0。2. TLS (Transport Layer Security)传输层安全协议。

网络拓扑如下：用户需求：1. IPSEC优点与不足 IPSEC 优势： IPSEC缺点：当对网络进行改造和扩容，或需要手写者网络规模过大使用IPSEC会存在问题。2. GRE优点与不足GRE缺点：GRE优点：ip地址配置：接口安全区域配置：静态路由配置：测试上网：IPSEC模板配置步骤： IKE-v1模板：FW1 IKE-v1配置：FW2 IKE-v1配置：测试ipsec：前6个包是ikev1阶段1协商， 中间3个包是ikev2阶段2协商，最后ESP是被保护的数据。网络拓

早期主模式不能使用在非固定IP场景下 , 进行身份验证密钥查找时，只能根据IP地址进行查找 , 不能根据域名方式进行查找预共享密钥-无法进行身份验证。早期解决方案使用野蛮模式。目前新款网络设备中，大部分设备已经完成主模式功能更新，可以支持通过域名方式完成身份验证。大部分场景下可以不再考虑使用野蛮模式，安全系数低于主模式。

企业业务环境下，注册公司域名比如www.abc.com注册的地址是1.1.1.1，如果企业接口地址发生了变化，变为了1.1.1.2后注册的www.abc.com无法对应到1.1.1.1IP地址。当访问一个站点，如果站点是固定IP，用户可以直接通过固定IP方式进行访问对应站点，也可以通过域名方式进行访问，无需通过DDNS进行动态注册。在域名购买服务商进行静态绑定。先注册DDNS账户，添加DDNS服务器的信息，一旦出口地址发生了变化，会通知DDNS服务器，更新后的DNS提交给全网的DNS-Server。