办公室突然断网,所有人都在刷新页面,打印机连不上,服务器响应慢得像蜗牛。你检查路由器、防火墙,一切正常,最后发现罪魁祸首竟然是某台交换机的一个端口——它正在疯狂转发广播包,把整个局域网拖垮了。这就是典型的“交换机端口广播风暴”。
什么是广播风暴?
在局域网中,设备通信除了单播和组播,还有一种叫广播的方式。比如一台电脑刚接入网络,不知道网关在哪,就会发一个广播:“谁是192.168.1.1?”所有设备都会收到这个消息,但只有网关会回应。这种机制本身没问题,但如果广播包被不断复制、转发,数量呈指数级增长,网络带宽很快就被占满,这就是广播风暴。
交换机会“帮倒忙”
很多人以为交换机只会智能转发数据,其实它也有“犯傻”的时候。当网络中存在环路(比如网线接错了,两台交换机之间连了两条线),或者某个端口连接的设备故障,开始不停发送广播帧,交换机就会根据MAC地址学习机制,把这个广播包从所有其他端口转发出去。
更糟的是,如果另一台交换机也收到了这些广播包,又原样转回来,形成循环。几秒钟内,网络里可能就充斥着成千上万的重复广播帧,正常的业务数据根本抢不到通道。
常见诱因有哪些?
最常见的就是物理接线错误。比如实习生为了图方便,把一根网线两端都插在同一个交换机上,形成了环路。还有可能是虚拟机软件配置不当,虚拟网卡开启了混杂模式,或者中毒的电脑不停地发ARP广播请求。
有些老旧设备驱动异常,网卡故障也会持续输出畸形广播包。曾经有公司排查一周网络问题,最后发现是一台长期无人使用的测试主机,系统崩溃后一直在狂发广播。
怎么快速定位问题端口?
登录交换机管理界面,查看各端口的流量统计。通常风暴端口的广播包计数会远高于其他口,有的甚至每秒几十兆的广播流量。华为、H3C等厂商的命令行可以这样查:
display interface GigabitEthernet 0/0/1看输出里的“Broadcast”字段,如果数值飙升,基本就能锁定目标。然后临时关闭这个端口,观察网络是否恢复正常。
预防比抢救更重要
开启生成树协议(STP)是最基本的防护。它能自动检测环路,并阻塞冗余链路,避免广播循环。虽然新式网络多用堆叠或VXLAN,但只要用到传统二层交换,STP就不能省。
另外,可以在交换机上配置端口广播抑制,限制每个端口允许通过的广播流量上限。例如:
broadcast-suppression 5%意思是该端口广播流量超过总带宽5%时,超出部分将被丢弃。这样即使出现异常,也不至于拖垮整张网。
定期检查日志也很关键。很多交换机会记录“MAC flapping”告警,即同一个MAC地址频繁在不同端口间跳动,这往往是环路或攻击的前兆。
广播风暴不像黑客攻击那样引人注意,但它杀伤力一点不小。一次小小的接线失误,可能让几十人停工半小时。在网络布线和变更操作时多留个心眼,能省去太多麻烦。