山雨欲来风满楼——广播风暴及其主要应对手段详解

山雨欲来风满楼——广播风暴及其主要应对手段详解

广播风暴的成因

首先我们了解一下帧的传输方式，它分为单播帧（Unicast Frame）、多播帧（Multicast Frame）和广播帧（Broadcast Frame）。

1、单播帧

单播帧也称“点对点”通信。此时帧的接收和传递只在两个节点之间进行，帧的目的MAC地址就是对方的MAC地址，网络设备（指交换机和路由器）根据帧中的目的MAC地址，将帧转发出去。

2、多播帧

多播帧可以理解为一个人向多个人（但不是在场的所有人）说话，这样能够提高通话的效率。多播占网络中的比重并不多，主要应用于网络设备内部通信、网上视频会议、网上视频点播等。

3、广播帧

广播帧可以理解为一个人对在场的所有人说话，这样做的好处是通话效率高，信息一下子就可以传递到全体。在广播帧中，帧头中的目的MAC地址是“FF.FF.FF.FF.FF.FF”，代表网络上所有主机网卡的MAC地址。

广播帧在网络中是必不可少的，如客户机通过DHCP自动获得IP地址的过程就是通过广播帧来实现的。而且，由于设备之间也需要相互通信，因此在网络中即使没有用户人为地发送广播帧，网络上也会出现一定数量的广播帧。

同单播和多播相比，广播几乎占用了子网内网络的所有带宽。网络中不能长时间出现大量的广播帧，否则就会出现所谓的“广播风暴”（每秒的广播帧数在1000以上）。就如同开会一样，在会场上只能有一个人发言，如果所有人都同时发言的话，会场上就会乱成一锅粥。广播风暴就是网络长时间被大量的广播数据包所占用，使正常的点对点通信无法正常进行，其外在表现为网络速度奇慢无比。出现广播风暴的原因有很多，一块故障网卡就可能长时间地在网络上发送广播包而导致广播风暴。

产生广播风暴的几种原因 

一般情况下，产生网络广播风暴的原因，主要有以下几种： 

1、网络设备原因：我们经常会有这样一个误区，交换机是点对点转发，不会产生广播风暴。在我们购买网络设置时，购买的交换机，通常是智能型的Hub，却被奸商当做交换机来卖。这样，在网络稍微繁忙的时候，肯定会产生广播风暴了。 

2、网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除，由于损坏的网卡一般还能上网，我们一般借用Sniffer局域网管理软件，查看网络数据流量，来判断故障点的位置。 

3、网络环路：如果一条双绞线，两端插在同一个交换机的不同端口上，就能导致网络性能急骤下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中。 

4、网络病毒：目前，一些比较流行的网络病毒，Funlove、震荡波、RPC等病毒，一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播，就会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。 

5、***软件的使用：目前，一些上网者，经常利用网络执法官、网络剪刀手等***软件，对网吧的内部网络进行***，由于这些软件的使用，网络也可能会引起广播风暴。

解决方法

如果网络中已经产生了网络风暴（现象通常为网络丢包、响应迟缓、时断时通等），则可以利用如下的方法来排障

1、首先查询硬件故障。，观察交换机的指示灯状态以及各端口的状态，显示正常。对核心交换机清除缓存、关闭重启，并检查交换机的配置情况，一切正常的话则进行下一步工作。

2、确认是否是网络风暴或其他异常流量引起的网络异常，查看核心交换机的CPU使用情况，如果交换机的CPU利用率较高，且大部分的资源都被“IP Input”进程占用，则基本可以确定网络中有大流量的数据。

3、发现网络有大数量后， 查找异常流量是从交换机的那一个端口来的？如果找到一个端口的input rate非常高，且接收到的广播包也非常多，则基本可以找到来源，如果该端口下联的也是可管理的交换机，则再次执行此过程，直到找到一个连接PC或者HUB的端口。接着利用Sniffer抓包分析软件将网络中的数据包抓下来分析，查看大量数据包是否来自同一个MAC地址，如果目的地址是根本不存在的IP，就怀疑是类似于“冲击波杀手”一类会造成网络堵塞的蠕虫病毒。

4、 如果发现是病毒作怪，则根据网络正常时建立的IP地址及MAC地址对应表查出病毒计算机，确认故障点后将MAC地址对应的计算机从网络中断开并升级杀毒软件，然后重新接入网络。

5、 如果上述问题都不存在，则查找网络中有环路存在，如果存在的话可以通过使用STP协议（生成树协议）来消除这种网络循环连接带来的网络广播风暴。STP协议是以网络中一台交换机为节点生成一棵转发树，而树是没有环路的，这样所有的数据都只在这棵树所指示的路径上传输，就不会产生广播风暴，但由于SPT算法的开销非常大，所以交换机上都未启用该协议。

预防措施

对于网络中广播风暴的预防，主要有以下几种措施：

1. 划分VLAN：VLAN又称虚拟局域网，就是将一个物理的网络逻辑地划分成不同的广播域，从而避免广播风暴的出现。目前，电脑的使用范围越来越大，拥有数百台电脑的公司已不罕见。电脑数量规模的变大，也增加了广播风暴产生的机率，我们需要对本地网络划分VLAN就可以避免广播风暴的产生。

2.合理使用广播协议：如果内网中有大量客户机在使用IPX这样的广播协议，无疑会增加整个网络中的广播数据包，这也是广播风暴产生的根本诱因。所以建议尽量少使用IPX协议软件，多使用基于TCP协议的软件，减少网络广播数据包，避免广播风暴产生。

3、全面预防病毒：现在很多破坏力强大的病毒都是网络病毒，也是产生广播风暴的罪魁祸首。为此，网吧客户机必须安装功能强大的杀毒软件，对于操作系统及应用软件的漏洞要及时安装安全补丁。

4、及时更换故障网络设备：有故障的网卡或交换机都会频繁发送网络数据包，必须及时更换这些有故障的网络设备。

5、杜绝网络环路：网络环路有非常强的隐蔽性，也是引发广播风暴的一个原因。技术人员必须记录好交换机每一个端口的连接信息，这样就可以杜绝网络产生环路，从而杜绝广播风暴。

总结

广播风暴虽然是网络管理方面的一个顽疾，但并非无方可医。在网络维护过程中，只要网络技术人员细心查看，全面布防，就可以让网络远离广播风暴的骚扰。

本文出自 51CTO.COM技术博客