⑴ 網路廣播風暴產生的原因以及如何避免
產生原因:當廣播數據充斥網路無法處理,並佔用大量網路帶寬,導致正常業務不能運行,甚至徹底癱瘓,這就發生了「廣播風暴」。一個數據幀或包被傳輸到本地網段 (由廣播域定義)上的每個節點就是廣播;由於網路拓撲的設計和連接問題,或其他原因導致廣播在網段內大量復制,傳播數據幀,導致網路性能下降,甚至網路癱瘓,這就是廣播風暴。
解決網路廣播風暴最快捷的方法是給集線器斷電然後上電啟動即可,但這只是治標不治本的方法,要徹底解決,最好使用交換機設備,並劃分VLAN、通過埠控制網路廣播風暴。
⑵ 區域網內出現網路風暴,該怎麼解決
網路風暴的產生有多種原因,如蠕蟲病毒、交換機埠故障、網卡故障、鏈路冗餘沒有啟用生成樹協議、網線線序錯誤或受到干擾等,其常見的產生網路風暴的原因及解決方法如下:
1、網線短路。
(1)產生原因:壓制網線時沒有做好,或者網線表面有磨損導致短路,會引起交換機的埠阻塞。當網線發生短路時,該交換機將接收到大量的不符合封裝原則的包,造成交換機處理器工作繁忙,
數據包來不及轉發,從而導致緩沖區溢出產生丟包現象,導致廣播風暴。
(2)對策:使用MRGT等流量查看軟體可以查看出現短路的埠,若交換機是可網管的,可以通過逐個封閉埠來進行處理查找,進而找到有問題的網線,找到短路的網線後,更換一根網線。
2、接入層拓撲環路。
(1)產生原因:當網路中存在環路,就會造成每一幀都在網路中重復廣播,引起廣播風暴。
(2)解決方案:在接入層啟用樹生成協議,或者在診斷故障時打開樹生成協議。
3、計算機網卡損壞或者交換器埠損壞。
(1)產生原因:當計算機網卡損壞或者交換器埠損壞,交換機埠不斷產生大量的廣播報文,會使交換機有一個埠傳輸速率非常緩慢,廣播包阻塞不能及時發出。
(2)對策:可將正常的計算機接到有問題的埠上,若故障解決,則是原先計算機的網卡損壞或網路故障所致,更換新網卡並檢測線路及網路配置即可解決。若故障依舊,則說明原先計算機的網卡未損壞,則是交換機的該埠已損壞,應檢查並確認該埠的指示燈是否正常。
4、 蠕蟲病毒。
(1)產生原因:當網路中某計算機感染蠕蟲病毒時,如Funlove、震盪波、RPC等病毒,如果查看該網卡的發送包和接收包的數量時發現發包數在快速增加,則說明該計算機感染了蠕蟲病毒,通過網路傳播,損耗大量的網路帶寬,引起網路堵塞,導致廣播風暴。
(2)對策:為每台計算機安裝殺毒軟體,並配置補丁伺服器(WSUS)來保證區域網內所有的計算機都能及時打上最新的補丁。
5、arp攻擊。
(1)產生原因:攻擊者發送大量的ARP請求包,阻塞正常網路寬頻,使區域網中有限的網路資源被無用的廣播信息所佔用,造成網路擁堵。
(2)對策:激活防止ARP病毒攻擊,在路由器中打開該選項,或者為計算機安裝防範ARP攻擊的軟體,如360安全衛士的區域網ARP攻擊攔截的保護功能等,對區域網內每一台計算機綁定網管的IP和其mac地址等。
(2)網路風暴抑制設置擴展閱讀:
網路風暴的預防措施
1、做好網路病毒的預防工作
在允許的前提下為各終端安裝殺毒軟體,將計算機系統中一些不必要的網路服務暫時停止掉,將使用不到的網路埠關閉掉,對於U盤等存儲設備的使用應當專網專用,盡量切斷病毒的跨網傳播途徑。
2、啟用生成樹協議,做好網路拓撲圖
當網路里有鏈路存在環接現象,就會導致廣播數據幀在網路中重復產生,引起廣播風暴,應提前開啟交換機中的STP協議。另外,應建立完善的各項文檔資料,包括:網路布線圖、網路拓撲圖、IP-MAC地址對應表等,避免在對現有網路進行變動時造成網路環路。
3、劃分VLAN
通過劃分vlan,做到每用戶每vlan,盡量減少廣播域。在同一個Vlan中,所有設備都是同一個廣播域的成員,並接收所有的廣播,所有的埠都會對廣播數據進行過濾。因此,通過VLAN的劃分可以有效地縮小廣播風暴產生的范圍,也能夠在產生廣播風暴時得到更准確的定位,減少排故時間。
⑶ smtp網路出現環路
網路環路無法避免,但是我們可以採取措施來將環路影響降到最低,可以通過以下配置來降低產生的影響:
1、在交換機中啟用生成樹協議;
12、在交換機埠上設置廣播風暴抑制比,設置允許通過的最大廣播報文流量,當埠超過設置值後丟棄後面的報文;
3、對不同的業務辦公劃分不同的VLAN,將網路風暴控制在一定的范圍內。
⑷ 如何通過抑制廣播風暴及減少沖突域來提高區域網傳輸速率200字,謝謝啦~~~
首先可以用設置交換機VLAN,把網段分開,用抓包軟體查看網路中,數據量異常的IP將其歸納設置進入迴路VLAN0。這個只有高端的交換機才可以做。至少要2900系列的交換設備。
低端的交換設備可以用抓包軟體找出IP後。把Mak地址封死,就可以了。
⑸ 實戰VLAN故障 如何避免網路風暴
前幾天,筆者所在單位網路突然出現大面積癱瘓故障,並導致單位業務無法正常運轉。經過一番的努力,查出的原因是一個工作人員把兩個不同網路同時接入到一台普通的交換機上,導致交換機內引起的網路風暴。大多數人認為只要網路內使用VLAN規劃,在網路內就不會造成網路風暴。而其實並隨人願,從這次網路故障中,有許多東西需要我們認真的反思?理清頭緒有許多分支機構反映網路連接情況時通時斷,網上鄰居有時也不能互訪,由於故障用戶分布在多個節點,故障點又不集中,很難判斷故障的根源?剛開始以為是信息量過大交換機的埠堵塞,把交換機、伺服器重啟了N遍,還是不行。然後從伺服器上殺毒,然後把各個交換機關掉,對每台機器殺毒,可是故障仍然存在。在Ping網路中的部分伺服器或計算機時,依舊丟包,網路時斷時續。造成每一幀都在網路中重復廣播,引起了廣播風暴。 從上述故障現象上看,不是我們直接能夠看出來的故障根源,而是要通過仔細觀察發現的。首先要詢問當事人當時發生的故障現象,來判斷是網路故障還是終端故障?快速地定位故障來源。比如,這次故障是一次人為所造成的。如果當事人不能告訴你他所做的操作,你需要很長時間找到問題的根源。我們知道VLAN的確使得將網路業務進行隔離成為可能,這些業務共享同一交換機甚至共享一組交換機。但是交換機的設計者們在把這種隔離功能加入到產品之中時,優先考慮的並不是安全問題。VLAN的工作原理是限制和過濾廣播業務流量,不幸的是,VLAN是依靠軟體和配置機制而不是通過硬體來完成這一任務的。 網路行為管理和維護策略1、合理劃分VLAN :進行了細致的VLAN劃分,防止大規模的病毒爆發和擴散,減少故障影響的范圍。VLAN劃分的基本原則:集中辦公的樓宇建築,按層次劃分;分散辦公的區域,按整動樓宇和功能區域進行劃分。 2、建立域管理:建立域控制器,並規定所有辦公電腦必須加入域,接受域控制器的管理,同時嚴格控制用戶的許可權。員工帳號只有標准user許可權。不允許信息系統管理員泄露域管理員密碼和本地管理員密碼。在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網路環境中,普通員工只具備標準的user許可權,實際上是對該員工辦公環境的非常實際有效的保護。辦公PC必須嚴格遵守OU命名規則,同時實現實名負責制。指定員工對該PC負責,這不但是固定資產管理的要求,也是網路安全管理的要求。對PC實施員工實名負責是至關重要的,一旦發現該員工電腦中毒和在廣播病毒包,信息系統管理員能准確定位,迅速做出反應,避免擴大影響。 3、PC維護包干到戶 :信息系統管理員在實際工作中可能存在拿本地管理員許可權作為人情,這其實是一種自殺行為。任何一個具備管理管理員許可權的員工,即使是信息系統管理員,使用Administrator許可權上網,稍有不慎,便掉入網路陷阱。為避免這種情況,對PC維護人員,採取區域包干到戶的管理,同時區域負責人的域用戶帳號具備該區域內所有辦公電腦本地管理員的許可權;如果區域負責人他願意增加本地電腦管理員許可權,增加的風險和工作量將由他自己承擔。另外所有的辦公電腦本地管理員密碼由域控制器負責人掌握、設定或變更。 4、接入網路的計算機必須接受信息中心的管理 :通過DHCP伺服器的配合,在DHCP伺服器上根據辦公電腦網卡的MAC地址固定某些辦公電腦的IP,在防火牆上設置相關的策略,允許經信息中心核準的某些IP組可以在本機上直接訪問Internet,或某些IP組只能連接區域網的應用伺服器,對於不遵守OU命名規則的機器IP和沒有經過信息系統管理員授權的機器IP,不允許訪問Internet和Internat,只能單機使用。
⑹ 工業乙太網交換機怎麼防止網路風暴
這個故障描述有些簡單,一般來說,更換備件不會出現網路風暴。
網路風暴的原因來源於數據包的泛洪,一般來說,組播包、廣播包、DLF包(未知目的)包會引起網路風暴。網路風暴的大部分原因在於交換機有環路,我們知道交換機是工作於數據鏈路層上,是基於MAC地址進行通信,它的轉發和交換基於一張MAC地址表,用它標識MAC地址和交換機埠的對應關系,由於MAC地址表的建立是靠交換機的MAC地址學習來實現的,所以如果MAC地址出現被反復學習的時候就會出現網路風暴。
防止網路風暴可以採取以下思路:
1、隔離沖突域,把大環改成小環,把風暴隔離於小范圍內。
2、更新MAC地址age時間,如果MAC地址更新速度過快也會造成MAC地址表的不斷膨脹,造成廣播風暴。
3、採用廣播抑制技術,對於不斷循環的MAC信息進行篩選和過濾,並且抑制轉發速度,可以將風暴緩解在一定區域。
再有疑問,歡迎繼續討論。
⑺ 網路風暴的預防
(以CISCO catalyst switch為例)
1、首先使用網管分析你網路的baseline,這樣可以明確你的網路當中正常情況下的廣播包比例是多少。
2、絕大多數交換機都支持廣播風暴抑制特性,配置了這個特性以後,你可以控制每個埠的廣播包維持在特定的比例之下,這樣可以保留帶寬給必須的應用。
配置:(以CISCO catalyst switch為例)
Int XX
storm-control broadcast level 20.00
switch#sh storm
Interface Filter State Level Current
--------- ------------- ------- -------
Fa1/0/1 Forwarding 20.00% 0.00%
3、針對預設STP配置無法排除的網路環路問題,利用STP的BPDUguard特性來預防廣播風暴。此種環路情況示意圖如下:
switch——hub(portA——portB)
Switch啟用了STP,而hub則被人有意無意的用一根網線聯起來,導致引起了環路。SWITCH的埠不會收到其他交換機或本交換機其他埠的 BPDU,不會觸發該埠的STP決策過程,也就不可能blocking該埠,這樣就會引起廣播風暴。我們可以利用CISCO STP的BPDUguard特性來預防這一點。
int xxx
spanning-tree bpguard enable
值得注意的是bpguard可以在全局下配置,也可以在每埠的基礎上配置。如果在全局下配置,則只對配置了portfast的埠起作用,如果在埠下配置,則不用配置portfast。
⑻ 請問網路風暴如何解決...
編輯本段網路風暴-預防(以CISCO catalyst switch為例) 1、首先使用網管分析你網路的baseline,這樣可以明確你的網路當中正常情況下的廣播包比例是多少。 2、目前絕大多數交換機都支持廣播風暴抑制特性,配置了這個特性以後,你可以控制每個埠的廣播包維持在特定的比例之下,這樣可以保留帶寬給必須的應用。 配置:(以CISCO catalyst switch為例) Int XX storm-control broadcast level 20.00 switch#sh storm Interface Filter State Level Current --------- ------------- ------- ------- Fa1/0/1 Forwarding 20.00% 0.00% 3、針對預設STP配置無法排除的網路環路問題,利用STP的BPDUguard特性來預防廣播風暴。此種環路情況示意圖如下: switch——hub(portA——portB) Switch啟用了STP,而hub則被人有意無意的用一根網線聯起來,導致引起了環路。SWITCH的埠不會收到其他交換機或本交換機其他埠的 BPDU,不會觸發該埠的STP決策過程,也就不可能blocking該埠,這樣就會引起廣播風暴。我們可以利用CISCO STP的BPDUguard特性來預防這一點。 int xxx spanning-tree bpguard enable 值得注意的是bpguard可以在全局下配置,也可以在每埠的基礎上配置。如果在全局下配置,則只對配置了portfast的埠起作用,如果在埠下配置,則不用配置portfast。 編輯本段網路風暴-排障(以CISCO catalyst switch為例) [1]如果網路中已經產生了網路風暴(現象通常為網路丟包、響應遲緩、時斷時通等),則可以利用如下的方法來排障 1、首先確認是否是網路風暴或其他異常流量引起的網路異常,在核心交換機上 Switch〉sh proc cpu | e 0.00 CPU utilization for five seconds: 19%/0%; one minute: 19%; five minutes: 19% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 15 20170516 76615501 263 0.31% 0.13% 0.12% 0 ARP Input 26 7383266801839439482 401 5.03% 4.70% 5.08% 0 Cat4k Mgmt HiPri 27 8870781921122570949 790 5.67% 7.50% 6.81% 0 Cat4k Mgmt LoPri 43 730060152 341404109 2138 6.15% 5.29% 5.28% 0 Spanning Tree 50 59141788 401057972 147 0.47% 0.37% 0.39% 0 IP Input 56 2832760 3795155 746 0.07% 0.03% 0.01% 0 Adj Manager 58 4525900 28130423 160 0.31% 0.25% 0.18% 0 CEF process 96 20789148 344043382 60 0.23% 0.09% 0.08% 0 Standby (HSRP) 如果交換機的CPU利用率較高,且大部分的資源都被「IP Input」進程佔用,則基本可以確定網路中有大流量的數據 2、查找異常流量是從交換機的那一個埠來的: switch #sh int | i protocol|rate|broadcasts FastEthernet1/0/1 is up, line protocol is up (connected) Queueing strategy: fifo 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 2000 bits/sec, 3 packets/sec Received 241676 broadcasts (0 multicast) 如果找到一個埠的input rate非常高,且接收到的廣播包也非常多,則基本可以找到來源,如果該埠下聯的也是可管理的交換機,則再次執行此過程,直到找到一個連接PC或者HUB的埠 3、shutdown該埠 int xx shutdown 4、查找產生異常流量的根源 如果是HUB環路,則拆掉環;如果是病毒,則做殺毒處理;如果是網卡異常,則更換網卡。此部分不詳述。 5、確認交換機的CEF功能是否啟用,如果沒有,則需要啟用,可以加速流量的轉發 配置CEF: switch〉sh ip cef 全局模式下輸入 ip cef