绝技!广播风暴或者环路的快速检测方法!~
广播风暴的成因及解决办法
⼴播风暴的成因及解决办法 ⼴播风暴是由于以太⽹中出现了明环或暗环,引起⼴播包指数增长,整个⽹络流量被⼴播包占据,其他业务流量不能正常进⾏转发的⼀种情况。
以太交换机对⼴播包的处理,是不管从哪个端⼝收到⼴播包,都完整地复制⼀份转发到其他端⼝(除接收到的端⼝外)。
交换机对⼴播报⽂的处理过程。
来⾃端⼝1的⼴播报⽂在端⼝2,3,4上各⾃复制⼀份发送 ⼀个简单的环就是同⼀个交换机上的两个端⼝直连。
⽐如3⼝和4⼝连上。
交换机成环路,同⼀个交换机的3,4⼝相通 那么当交换机收到来⾃1⼝的⼴播包,会在3和4⼝上各⾃复制转发⼀份。
注意,收到⼀个包⼴播包,发出去N-1个⼴播包。
这⼀轮结束后,3和4分别发送了⼀个⼴播包。
但是从3⼝发出的⼴播包会被4⼝收到,从4⼝发出的会被3⼝收到。
交换机会把从4⼝收到的⼴播包在1,2,3⼝上复制转发⼀份。
同样的也会转发从3收到的⼴播包(来⾃端⼝4的直连线)到端⼝1,2,4。
从3发出的⼴播报⽂被4⼝接收到,复制到1,2,3端⼝再发送出去。
同样的不幸故事⼜发⽣在刚刚转发的3发4收和3收4发的⼴播包上。
3和4⼝会不停地接收到对⽅发的⼴播包,交换机会不停地转发到所有端⼝。
以前图为例,step4和step5会陷⼊死循环。
注意,每次循环的时候,1,2,都会把⼴播报⽂⼴播到⽹络中去。
每发⽣⼀轮,⼴播包就在所有端⼝复制转发⼀份。
这个故事永远不会停⽌,直到交换机被撑死。
如此循环往复很快就爆炸了。
这个是最简单的明环。
如果有两个或多个交换机的转发路径上有了类似的结果,也就是说同⼀个⼴播包被同⼀个交换机处理2次的时候,这个交换机就对⼴播包进⾏了不可逆转的爆炸。
长环(暗环)中,A3-B1-B2-A4形成⼀个环路,Step 4~7会循环往复不停歇。
网络协议分析:Wireshark分析环路数据包,判断故障,解决问题!
网络协议分析:Wireshark分析环路数据包,判断故障,解决问题!聚焦网络实战经验,专注网络实用技术,'雁过无声song'来啦!日常处理网络故障的过程中,难免会遇到网络“环路”现象引起的网络风暴,如何正确地分析、判断并处理这些问题呢?答案是完全可以的。
下面就通过捕获的数据包,用wireshark来分析处理网络“环路”引发的故障。
环路故障一般存在于网路中的交换机两个端口用一根网线连接起来,或同一个广播域的两台交换机用两根线路连接起来,形成数据包的来回传递,造成广播包在链路上无法找到目标,周而复始,耗尽链路带宽,造成网络拥塞,严重时导致网络瘫痪,网络无法正常运行。
环路数据包分析用wireshark的【统计】-【捕获文件属性】进行数据包的概要统计,可以看到42秒时间内共产生20155个广播包,这是一种不正常的表现,正常情况下,ARP的寻址是每秒2-3个包,最多不超过5个。
IO图表分析可以看到,环路产生后时间段内数据包迅速增长,很快形成广播风暴,排除后迅速下降。
查看统计数据包长度从数据包来看,第一帧到最后一帧没有变化,ARP寻址request请求包一直在网络中循环,说明已经形成环路,几分钟或几十秒就会造成网络阻断甚至全阻,造成网络瘫痪,后果很严重。
判断故障解决问题通过wireshark分析出是环路原因造成的问题后,通过下列两种方式,查找故障点,并解决故障问题。
1、最简单有效的办法就是分网段插拨网线(此法也被称“笨办法”或“小白做法”),通过圾规律的时间间隔插拨网线,断开某段网络通信,观察网络通畅情况,进行排查,直至故障排除。
2、如果网络管理员有良好的设备记录,可以通过MAC地址来判断是哪些交换机或设备的,从而准备地定位到故障点,迅速解决。
广播风暴模拟侦测
广播风暴模拟侦测设备:SmartBit相关设备、Switch、NBADsensor、NBADmanager。
拓朴图:步骤:一、实验前期准备1 按上图所示搭建测试环境(设备接口一致);2 Smart Bit(192.168.1.100; 控制台IP 192.168.1.90)SmartBit所用端口为设备下方一排接口,因些接口自左向右排列1到24;SmartBit控制台需要连接致24接口。
3 NBADsensor (IP 192.168.123.124)IP+mac lock 功能+Arp anomlay功能打开。
4 Alcatel 6850 开启snmp community-public (rw)5 NBADmanager (192.168.123.120)在监视的设备中的界面中看Switch接口状态二、制造广播风暴2.1在SmartBit设置发送广播流量的参数设置port 1 发送数据参数:Dest mac add:FFFFFFFFFFFFDest ip add:255.255.255.2552.2 开启port 1发送数功能 Port 1----发送(双绿灯)Port 2----接收(单绿灯)2.3 查看数据传送情况,确定传输数据成功。
2.4 观察NBADmanager上监控到的广播流量从下图可以看到由SmartBit生成的广播流量由port 12泛洪到整个switch中, 从NBADmanager中广播封包的方向性(in/out),可以看到广播流量所产生的源头(port 12)。
注:实验中,由于此广播流量行成的广播风暴会造成Alcatel6850siwtch的通信中断,因此实验中SmartBit只作短暂的广播发送。
2.5观察NBADsensor状态并无广播源地址192.168.123.88相关信息(分析此广播流量并非ARP广播)(NBADsensor)( packet)。
网络环路、STP生成树协议、广播风暴概述及风暴原因对策经验总结查找实例
网络环路网络环路也分为第二层环路和第三层环路,所有环路的形成都是由于目的路径不明确导致混乱而造成的,例如第二层,一个广播信息经过两个交换机的时候会不断恶性循环的产生广播,造成环路,而第三层环路则是原路由意外不能工作,造成路由通告错误,形成一个恶性循环例子:网络192.168.0.0/24--路由1--路由2正常192.168.0.0/24网络被路由1通告到路由2,当网络出问题不能达到的时候,路由1把192.168.0.0/24路由信息删除,但是路由2通告给了路由1,让路由1误以为路由2的那边能达到192.168.0.0/24网络,结果造成恶性循环(例子建立在RIP,IGRP等路由协议下,只有这两个协议会造成第三层环路)网络的二层环路通常在发生办公区域移动或者网络节点比较密集的环境中,因为网络跳线的两端的水晶头为一致的,并没有区分是接Hub/switch或者PC的,导致接入的随意性比较大,从而给使用者造成可以随意将网络跳线同时接入到端口中,一旦发生这种问题就形成了环路,网络环路的危害非常大,重则导致一个公司的所有网络中断,轻则至少一片区域的网络中心,给公司生产和运作带来巨大的损失.传统的二层预防技术主要有STP(Spanning tree)来预防,STP在不断的修改和更新中,产生了诸如STP/RSTP/MSTP等多个版本,大家可根据各自的组网规划来选择应用,但是STP的配置复杂度,以及协议本身的开销通常都是网络管理人员比较头痛的事情。
虽然二层的物理环路在普通的办公室或网络节点并不密集的场景中并不多见,但是在诸如IT制造业或者学校实验室等网络节点密集型的企业,因为人员的流动性,网络节点的密集性,跳线两头RJ45的一致性,所以二层网络环路并不少见,STP在这种环境下多数不生效,无法很好的启用,因为STP与生产的控制程序或者实现程序存在有一定的问题,所以导致二层的网络环路在这类企业中成了一个隐患,定时炸弹一样,指不好什么时候爆发。
网络环路监测
网络环路监测一、网络环路概况如复杂施工过程中不小心的错误连线成环、为了保障网络可靠性实施的链路备份不合理造成的环路、同行恶意竞争认为引入的环路、设备因为外界环境干扰损坏引发的环路等,这些环路使设备对广播、组播以及未知单播等报文进行重复发送,产生广播风暴,极大的消耗了网络资源,使得网络可用带宽变得非常有限,造成了用户访问网络时断时续,随着广播数据包无休止的繁殖,最终会耗尽所有的网络带宽,造成整个网络瘫痪,中心交换机死机,使得用户完全无法访问网络。
此类故障发生在用户的接入层面,情况复杂,难以控制,排查难度较大,给网管人员带来了极大的困扰。
二、网络环路分类网络环路也分为第二层环路和第三层环路,所有环路的形成都是由于目的路径不明确导致混乱而造成的,例如第二层,一个广播信息经过两个交换机的时候会不断恶性循环的产生广播造成环路,通常二层的环路都是冗余链路造成的,没有冗余链路就不存在环路。
而第三层环路则是原路由意外不能工作,造成路由通告错误,形成一个恶性循环,常指的是路由环路,是由于启用路由协议不当造成的,即使没有冗余链路,也有可能造成环路。
以下我们就针对网络的二层网络环路做一点解析三、网络环路具体形成的方式1.在不同交换机间互连形成网络环路;2.在制作网线时,由于线序中1、2 与3、6 短路形成网络环路;3.在做负载均衡(有的称快速以太网通道FEC、端口聚合、链路捆绑)时,由于配置了一端的交换机,另一端的交换机(或服务器)没有配置,形成网络环路;4.在同一台交换机上,直接将网线连接到同一VLAN 的两个端口,形成网络环路;5.多种方式混合出现在整个网络中。
四、网络环路对网络的影响网络中形成了网络环路,对网络的影响,主要表现如为:1. 导致交换机MAC 地址学习混乱;2. 形成网络广播风暴;3. 造成网络拥塞。
对网络中出现环路后,具体的一些用户或故障现象列举如下:●影响同一个VLAN 的用户上网,出现时通时断的现象;●单位内部使用的交换机(无上Internet的需求),相同的VLAN 中的用户实现相互通信,如果形成了网络环路,也会出现时通时断的现象;●影响网络中其他用户上网,主要表现是网络速度变慢或者就上不了网;●正在使用的PPPoE拨号连接被断开;●对下端交换机的管理出现问题(如有时可以Telnet,有时不能,集群管理的U1 系列交换机频繁地出现登录和退出);五、网络环路检测和避免对网络环路故障的排查,可以采取以下的方法进行:1.观察法:通过观察交换机的状态指示灯,来初步判断网络中是否存在环路,如果交换机中存在网络环路,将会引起网络广播风暴,导致在该环路中的设备都无法正常使用,交换机的指示灯状态是所有同VLAN 的端口的指示灯都一起快速同步的闪烁,这时可以初步判断网络中有环路。
如何检测局域网中的广播风暴和网络环路的存在
如何检测局域网中的广播风暴和检测网络环路的存在?
作为一个网络管理员,最怕的就是网络环路引起网络瘫痪。
这不,测试人员在测试WFilterROS的网桥时,一不小心把两个网线都接在了交换机上,几秒钟后,内网ping丢包50%,交换机灯狂闪不止,网络顿时瘫痪。
运行了WFilter自带的“网络健康度检测”插件,显示了如下结果:
”网络健康度监测“插件在检测时,会发送测试数据包。
局域网中一旦有环路存在,就会出现大量的转发,从而被检测到。
该插件提示“检测到了广播风暴,实际发送253,检测到了4013个广播包“。
这是典型的网络环路导致的广播风暴。
内网的连通性也受到了影响,丢包率达到了37%。
(如图)
找到并去掉环路的网桥后,网络立刻恢复正常。
焦点技术:交换机之广播风暴
交换机组网时产生广播风暴的原因:通过对以上网络设备的了解,我们就可以简单分析出来,网络产生广播风暴的原因了。
一般情况下,产生网络广播风暴的原因,主要有以下几种:1、网络设备原因:我们经常会有这样一个误区,交换机是点对点转发,不会产生广播风暴。
在我们购买网络设置时,购买的交换机,通常是智能型的Hub,却被奸商当做交换机来卖。
这样,在网络稍微繁忙的时候,肯定会产生广播风暴了。
或者交换机在联网时产生了环路(见第2条)。
2、网络环路:曾经在一次的网络故障排除中,发现一个很可笑的错误,一条双绞线,两端插在同一个交换机的不同端口上,导致了网络性能急骤下降,打开网页都非常困难。
这种故障,就是典型的网络环路。
网络环路的产生,一般是由于一条物理网络线路的两端,同时接在了一台网络设备中。
3、网卡损坏:如果网络机器的网卡损坏,也同样会产生广播风暴。
损坏的网卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,产生了广播风暴。
由于网卡物理损坏引起的广播风暴,故障比较难排除,由于损坏的网卡一般还能上网,我们一般借用Sniffer 局域网管理软件,查看网络数据流量,来判断故障点的位置。
4、网络病毒:目前,一些比较流行的网络病毒,Funlove、震荡波、RPC等病毒,一旦有机器中毒后,会立即通过网络进行传播。
网络病毒的传播,就会损耗大量的网络带宽,引起网络堵塞,引起广播风暴。
5、黑客软件的使用:目前,一些上网者,经常利用网络执法官、网络剪刀手等黑客软件,对网吧的内部网络进行攻击,由于这些软件的使用,网络也可能会引起广播风暴。
要想做到对故障的快速判断,良好扎实的基础知识,是不可缺少的。
因此大家在日后的学习中,不要忽略了对基础知识的学习!焦点技术:交换机之广播风暴桥接环路在交换机设备出现之前,曾经出现过一种用来隔离碰撞的设备叫网桥(bridge)。
网桥的工作原理和交换机相同,只是比交换机端口少,只有两个端口。
另外一个不同点是网桥是软件实现的,交换速度比交换机慢。
拔线法快查广播风暴源头
拔线法快查广播风暴源头作者:帷幄来源:《电脑知识与技术·经验技巧》2014年第03期网络管理员基本都明白,当广播数据充斥网络不能被及时处理时,它会消耗大量带宽资源,严重时能使整个网络发生瘫痪,从而使网络不能正常连接,也不能正常访问Internet。
当局域网发生广播风暴现象时,该如何快速查找定位广播风暴源头,让网络恢复稳定运行呢?现在,本文就使用不起眼的拔线法,来有效解决一则十分蹊跷的广播风暴故障。
故障现象某单位局域网中大约有三百台计算机,分布在A、B、C三座大楼上,其中B楼为主楼,网络中心就位于该楼的六楼上,A楼、C楼中的计算机全部使用光纤转换器,与网络中心机房中的核心路由交换机连接在一起,所有计算机的上网参数都是从局域网DHCP服务器那里动态获得的。
几年前单位刚刚建网时,由于各方面的原因,并没有拿出合理的建设方案或规划,所有的计算机都连接在相同工作网段中,这就给日后的网络稳定运行带来了很大的麻烦,但幸运的是单位网络自组建成功起,始终没有发生过大面积无法上网问题。
最近,不幸的事情终于发生了,大楼内的所有计算机都无法上网了。
故障发生的时候,单位网管员火速赶到A楼现场,任意选择了一台计算机进行ping测试,发现局域网网关地址无法ping通,但是普通计算机相互之间能够正常ping通,这样每台计算机自然就不能正常通过网关访问Internet网络了。
不过,让人觉得十分蹊跷的是,B楼中网络中心的所有计算机上网都很正常,上网速度也很流畅。
由于中心的所有计算机是通过配线架,与单位局域网的核心路由交换机直接连接在一起的,网管员认为这种现象十分奇怪,但经过初步排查分析,认为这种现象多半是广播风暴引起的。
更让人感到莫名其妙的是,有一个房间由于上网接口数量不够,使用了D-Link宽带路由器进行扩展,与宽带路由器相连的所有计算机都不能上网。
但将宽带路由器从局域网中断开,用一台笔记本电脑与连接路由的网线相连,看到笔记本电脑竟然可以上网,再次将宽带路由器接入后,宽带路由器上的几台计算机居然都能正常上网了。
绝技!广播风暴或者环路的快速检测方法!~
绝技!广播风暴或者环路的快速检测方法!~就是在核心交换机上所有网线都拔下来,在旁边的插入一台手提电脑上用ping -t命令一直ping一根根网线插上去,每根网线等待20秒。
等到某根网线插入后,ping命令无法到达,或者终端,就是这跟网线下面的交换机问题。
然后再次向下检测,一直到故障点。
SNIFFERSNIFFERSNIFFERSNIFFERSNIFFER方法很直观,不过稍微有些笨拙。
其实如果广播风暴的话,在交换机上看到所有接入网络的灯都是狂闪的,如果平时留意的话,大致看一下哪些电脑是稳定的,新接进来的有哪些电脑,只把新接进来的电脑一个一个排除一下就行了。
直到拔了哪个其他的灯都不狂闪了,就说明是哪台电脑在作怪~ 省时省力...用SNIFFER工具呗,哪个连接数多一般就是哪个了。
VLAN!这个方法是解决方法之一,也是比较简便的一种方法。
你的问题分两个广播风暴和环路。
环路的检测,其实,你可以用更简便的方法。
环路形成时,所有交换机都狂闪了,你只要把核心交换机上的所有接入层交换机断开,这样每个接入层交换机就是单独了,那些不闪了的就说明没问题,马上插回去,那个还在狂闪的就是有问题的接入层设备了,你就按照你的网路信息点图纸查吧,这样最快,影响面最小。
至于广播风暴论坛里有论述的很详细的。
所有方法都是帮你最快定位问题源,或缩小故障源的范围。
小心局域网环路引起的广播风暴来源:互联网笔者公司局域网采用的是星型拓扑结构千兆以太网技术,中心机房配备一台华为6506三层路由交换机,各楼层采用华为3026或者背板堆叠的2026接入核心交换机,各部门计算机通过直接接入或用级连方式通过接入层交换机接进网络。
中心的服务器有多台,提供FTP、文件服务、Web等多项服务。
全网分为5个VLAN,根据业务不同为不同网段定义了IP地址。
随着接进网络PC的不断增多及信息流量的增加,在网络维护中遇到过各类问题及故障,现在分析其中影响较大的一个故障,谈谈在管理与维护上的一点经验和体会。
拔线法快查广播风暴源头
拔线法快查广播风暴源头作者:帷幄来源:《电脑知识与技术·经验技巧》2014年第03期网络管理员基本都明白,当广播数据充斥网络不能被及时处理时,它会消耗大量带宽资源,严重时能使整个网络发生瘫痪,从而使网络不能正常连接,也不能正常访问Internet。
当局域网发生广播风暴现象时,该如何快速查找定位广播风暴源头,让网络恢复稳定运行呢?现在,本文就使用不起眼的拔线法,来有效解决一则十分蹊跷的广播风暴故障。
故障现象某单位局域网中大约有三百台计算机,分布在A、B、C三座大楼上,其中B楼为主楼,网络中心就位于该楼的六楼上,A楼、C楼中的计算机全部使用光纤转换器,与网络中心机房中的核心路由交换机连接在一起,所有计算机的上网参数都是从局域网DHCP服务器那里动态获得的。
几年前单位刚刚建网时,由于各方面的原因,并没有拿出合理的建设方案或规划,所有的计算机都连接在相同工作网段中,这就给日后的网络稳定运行带来了很大的麻烦,但幸运的是单位网络自组建成功起,始终没有发生过大面积无法上网问题。
最近,不幸的事情终于发生了,大楼内的所有计算机都无法上网了。
故障发生的时候,单位网管员火速赶到A楼现场,任意选择了一台计算机进行ping测试,发现局域网网关地址无法ping通,但是普通计算机相互之间能够正常ping通,这样每台计算机自然就不能正常通过网关访问Internet网络了。
不过,让人觉得十分蹊跷的是,B楼中网络中心的所有计算机上网都很正常,上网速度也很流畅。
由于中心的所有计算机是通过配线架,与单位局域网的核心路由交换机直接连接在一起的,网管员认为这种现象十分奇怪,但经过初步排查分析,认为这种现象多半是广播风暴引起的。
更让人感到莫名其妙的是,有一个房间由于上网接口数量不够,使用了D-Link宽带路由器进行扩展,与宽带路由器相连的所有计算机都不能上网。
但将宽带路由器从局域网中断开,用一台笔记本电脑与连接路由的网线相连,看到笔记本电脑竟然可以上网,再次将宽带路由器接入后,宽带路由器上的几台计算机居然都能正常上网了。
环路探测仪使用方法
环路探测仪使用方法
环路探测仪的使用方法包括以下几个步骤:
1. 打开电源:首先,确保环路探测仪的电源已开启,并确保已经充好了电。
2. 调整探测范围:根据目标物体的性质和大小,调整环路探测仪的探测范围。
3. 设定深度:根据目标物体的深度,设定环路探测仪的探测深度,以确保可以准确地找到目标物体。
4. 开始探测:在调整好探测范围和深度后,开始使用环路探测仪进行探测。
5. 观察读数:在探测过程中,观察环路探测仪的读数,如果读数出现异常,可能表明目标物体存在异常。
6. 结束探测:当完成目标物体的探测后,关闭环路探测仪的电源,结束使用。
需要注意的是,环路探测仪的具体使用方法可能因品牌和型号而有所不同,建议在使用前阅读产品说明书,以确保正确使用环路探测仪。
有趣的广播风暴——使用eNSP模拟交换环路
有趣的广播风暴 ——使用 eNSP模拟交换环路
有趣的广播风暴——使用eNSP模拟交换环路 我们知道交换网络如果发生环路后果非常严重,轻者可以让终端上网变慢、重者可以全网瘫痪。工作的过程中有些故障产生是 由于环路产生的,下面我先为大家讲解几种环路的可能性: 一、接入层设备连接终端,终端连线错误。如把IP电话的两个接口接入同一个接入层交换机上,交换机不支持生成树。 二、接入层交换机生成树被关闭,交换机自己接线接成环路。如交换机自身1接口接到5接口 三、接入层到核心层交换机生成树配置错误。如在级联接口上配置了BPDU过滤 四、交换机之间光纤连接出现单向通信故障。如一根光线中断或光模块有故障。 五、生成树不兼容或生成树协议报文被拥塞丢弃。如思科的PVRST+和H3C的RSTP就有兼容性问题 网络故障发生后,如何才能判断故障是由环路引发的呢?举个例子,如果网络访问速度变慢,ping 外网有严重丢包,ping内网 有延时很大,故障的原因可能有多种。怎么才能断定这个故障是环路引发的呢,有三个现象可以用来做诊断,分别是: 一、广播风暴:链路上的广播包可以占满带宽,100M约30000~50000/pps。 二、多帧复制:抓包可以抓到同一个帧的多个副本,只限广播帧和组播帧 三、MAC地址表抖动:交换机上可以周期性的看到MAC地址翻滚(flapping)的日志 下面的实验就为大家演示这三个现象,这个实验有两种做法: 一、所有交换机都关闭STP,环路自动发生,就可以做相关验证。 二、配置BPDU过滤,引发交换机STP计算错误造成环路。 我这里用的是第二种方法,顺便一起学习下BPDU过滤的功能。 好啦废话太多了,现在正式开始: 第一、如下搭建拓扑(第一次做该实验建议原样搭建,可以避免出错)
环路产生的原理及检测
环路产生的原理及检测环路产生的原理及检测1背景技术随着lanswitch的发展,用户通过以太网交换机接入网络越来越多。
在企业网中,用户通过二层以太网交换机接入网络,他们不仅有上internet的需求,同时内部二层互通的需求也相当迫切。
当用户需要二层互通时,报文的转发直接通过mac寻址,mac地址学习的正确与否决定着用户之间是否能够正确的互通。
1.1现有技术的技术方案在二层交换中,通过mac地址寻址来进行报文转发。
二层设备的mac地址学习都是通过源mac地址学习来进行的。
即:当端口收到一个未知源mac地址的报文,会将这个mac 添加到接收端口上,以便后续以该mac地址为目的的报文能够直接转发,即一次学习,多次转发。
二层设备的mac地址更新机制是:1、正常老化过程。
在指定的老化时间没有源或者目的hit,从地址表中删除掉该mac。
2、移动。
当新来源mac如果发现该mac已经学习到了二层设备上,但是源端口不一样,会修改原来mac地址的源端口,也就是将原来的mac地址移动到新的端口上来。
1.2现有技术的缺点上述情况下2中,mac地址的移动是必然的。
因此当链路上存在环回情况时,最后会发现整个二层网络中的所有的mac地址都移动到了存在环回的端口上了,导致二层网络瘫痪。
网络中的环回是指如下的情况,在一台以太网交换机上存在一个自环头,或者在该以太网交换级连的以太网交换机或者网桥上存在自环头或环路情况,设所有端口在一个Vlan中。
在上述两种组网情况下,PC都存在不能正常和Sever通讯的可能性。
在图一情况下,PC ping Server时,开始会发送一个arp广播报文,到达设备后,设备会将PC的mac地址学习到交换机的端口E0/1上。
同时,该广播报文会在二层网络中广播,因此会送到接自环头的端口E0/7和接Server的端口E0/8上。
由于端口E0/7上接了一个自环头,于是,该报文会原封不动的送回到端口E0/7上。
由于报文中的源mac地址为PC的mac地址,这样,就会导致PC 的mac地址从端口E0/1上移动到E0/7上。
判断网络环路的思路
判断网络环路的思路由于现在新买回来的交换机几乎都支持端口环回监测功能,巧妙地利用该功能,我们就能让交换机自动判断出指定通信端口中是否发生了网络环路现象。
一旦我们在指定的以太网通信端口上启用环回监测功能后,交换机设备就能自动定时对所有通信端口进行扫描监测,以便判断通信端口是否存在网络环路现象。
要是监测到某个交换端口被网络环回时,该交换端口就会自动处于环回监测状态,依照交换端口参数设置以及端口类型的不同,交换机就会自动将指定交换端口关闭掉或者自动上报对应端口的日志信息,日后我们只要查看日志信息或根据端口的启用状态,就能快速判断出局域网中是否存在网络环路现象了。
现在,本文就以H3C S3050型号的交换机为操作蓝本,向各位详细介绍一下利用环回监测功能判断网络环路现象的具体配置步骤。
启用端口环回监测为了能让交换机自动判断出本地局域网中是否存在网络环路现象,我们需要启用交换机的端口环回监测功能,同时还要启用端口环回监测受控功能,不过在默认状态下,这些功能都处于关闭状态,我们需要手工配置交换机,才能将交换机指定端口环回监测功能以及端口环回监测受控功能启用起来。
在启用交换机的端口环回监测功能时,我们可以先以系统管理员权限远程登录进入交换机后台管理界面,在该界面的命令行提示符下输入字符串命令“sys”,单击回车键后,将交换机切换到系统视图状态;接着在系统视图状态下,执行字符串命令“loopback-detection enable”,这样一来交换机的全局端口环回监测功能就被成功启用了。
我们还需要将交换机指定以太网交换端口的环回监测功能启用起来;例如,要是我们想将以太网16端口的环回监测功能启用起来时,可以先在交换机的系统视图状态下,输入字符串命令“interface GigabitEthernet 1/0/16”,单击回车键后,交互机配置状态就会进入以太网16端口的视图状态,同时交换机的命令行提示符也会自动变成“H3C-GigabitEthernet1/0/16”,在该命令行提示符下再次执行字符串命令“loopback-detection enable”,这样一来交换机的以太网16端口环回监测功能就被成功启用了。
路由环路-ARP-DDOS的预判方法
重大网络问题的判断思路:1.路由环路产生这种问题往往是在技术或者客户做了某项维护操作之后,网络会突然瞬间全部断网,外面ping这个网段的IP时,只能正常ping通网关,其它IP全部不通,这时技术要马上想到是路由环路。
解决办法:马上反思刚才技术和客户维护时做过哪些操作,对于刚才操作过的机柜要马上断网,然后再查看是哪根网线接错了。
一般情况下,一台交换机不允许接两根进口网线,一台机器也不允许接同一个网段的两台不同的交换机。
路由环路的原理请参照下面的资料。
2.ARP这种问题的症状是外面ping网关很正常,不掉包,但这个网段的很多机器掉包,卡,最典型的现象是部分IP通一段时间又不通了,过一会再通一小段时间然后再不通,如此反复,发生这种故障就是典型的ARP攻击,ARP的另一个特征是外面ping不通机器IP或者掉包,但同一个网段IP之间互ping很正常。
还有个特点是这个网段的网站客户反映他们的网站都被挂马,但服务器上的网页查看源代码却看不到恶意代码。
解决办法:一旦发生某网段掉包严重现象或者有客户反映网站被挂马,马上进内网ARP监控机查看ARP 报警情况,如ARP防火墙无报警,马上上报给电信故障中心,让电信帮忙查看,同时自己仍然要继续关注ARP防火墙的提示,如内网无ARP监控机,可用笔记本电脑配个此段IP进入机房开启ARP防火墙查看。
在内网可以通过arp -a查看网关MAC,桃浦机房的网关的MAC 地址如下:二楼网关(包括119段224段115段): 00-0f-e2-d2-74-4f三楼网关(203.156.192段): 00-0f-e2-d2-72-1f203.156.193段: 00-0f-e2-d2-78-ff被ARP影响到的机器,网关的MAC地址会变化成为其它的MAC,没有受到影响的机器或者开启了ARP防火墙的机器的网关MAC地址不会变化。
如果用ARP防火墙仍然查不出哪台机器,一定要上报给电信故障中心,让电信帮忙检查,如果是ARP攻击,电信一定能查出可疑的MAC地址,这时可以用内网的ARP防火墙+superscan软件扫描来扫出内网所有机器的MAC 地址,然后找出对应的可疑的MAC地址,对于发动ARP的机器一定要马上断网,再通知客户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
绝技!广播风暴或者环路的快速检测方法!~就是在核心交换机上所有网线都拔下来,在旁边的插入一台手提电脑上用ping -t命令一直ping一根根网线插上去,每根网线等待20秒。
等到某根网线插入后,ping命令无法到达,或者终端,就是这跟网线下面的交换机问题。
然后再次向下检测,一直到故障点。
SNIFFERSNIFFERSNIFFERSNIFFERSNIFFER方法很直观,不过稍微有些笨拙。
其实如果广播风暴的话,在交换机上看到所有接入网络的灯都是狂闪的,如果平时留意的话,大致看一下哪些电脑是稳定的,新接进来的有哪些电脑,只把新接进来的电脑一个一个排除一下就行了。
直到拔了哪个其他的灯都不狂闪了,就说明是哪台电脑在作怪~ 省时省力...用SNIFFER工具呗,哪个连接数多一般就是哪个了。
VLAN!这个方法是解决方法之一,也是比较简便的一种方法。
你的问题分两个广播风暴和环路。
环路的检测,其实,你可以用更简便的方法。
环路形成时,所有交换机都狂闪了,你只要把核心交换机上的所有接入层交换机断开,这样每个接入层交换机就是单独了,那些不闪了的就说明没问题,马上插回去,那个还在狂闪的就是有问题的接入层设备了,你就按照你的网路信息点图纸查吧,这样最快,影响面最小。
至于广播风暴论坛里有论述的很详细的。
所有方法都是帮你最快定位问题源,或缩小故障源的范围。
小心局域网环路引起的广播风暴来源:互联网笔者公司局域网采用的是星型拓扑结构千兆以太网技术,中心机房配备一台华为6506三层路由交换机,各楼层采用华为3026或者背板堆叠的2026接入核心交换机,各部门计算机通过直接接入或用级连方式通过接入层交换机接进网络。
中心的服务器有多台,提供FTP、文件服务、Web等多项服务。
全网分为5个VLAN,根据业务不同为不同网段定义了IP地址。
随着接进网络PC的不断增多及信息流量的增加,在网络维护中遇到过各类问题及故障,现在分析其中影响较大的一个故障,谈谈在管理与维护上的一点经验和体会。
◆故障现象某日有多个用户反映网络连接情况时通时断,有时同一楼层的计算机都无法互相Ping 通,故障用户分布在多个楼层,故障点不集中。
对个别端口做互换测试,故障仍然存在。
在故障计算机上进行测试,发现可以Ping通网络中的部分服务器或计算机,Ping核心交换机的IP地址常出现不通、丢包、时延大的现象。
利用华为的网络软件对可管理的交换机做检查,没有明显的报错。
◆故障排查首先怀疑为核心交换机物理故障,观察交换机的指示灯状态以及各端口的状态,显示正常。
对核心交换机清除缓存、关闭重启,并检查交换机的配置情况,没有改变。
经过以上的检查和测试,分析故障应该不在硬件部分,利用Sniffer抓包分析软件将网络中的数据包抓下来分析,发现有大量数据包来自同一个MAC地址,目的地址是根本不存在的IP,怀疑是类似于“冲击波杀手”一类会造成网络堵塞的蠕虫病毒。
根据网络正常时建立的IP地址及MAC地址对应表查出该机属于某层的一台PC,初步确认故障点后将MAC地址对应的计算机从网络中断开并升级杀毒软件,然后重新接入网络,此时故障仍然存在。
为了确定具体故障点,要求该单位提供其接入拓扑图分析,发现该单位将分属于两个不同VLAN的连线分别连接两个不同的Hub,当天为了使用方便,将两个Hub用级联的方式连接到了一起,将其连线断开后,故障彻底排除。
◆故障原因此次故障原因分析主要是由于网络中有环路存在,造成每一帧都在网络中重复广播,引起了广播风暴。
要消除这种网络循环连接带来的网络广播风暴可以使用STP协议(生成树协议),以网络中一台交换机为节点生成一棵转发树,而树是没有环路的,这样所有的数据都只在这棵树所指示的路径上传输,就不会产生广播风暴,但由于STP算法的开销非常大,所以交换机上都未启用该协议。
为避免在接入层出现同样的故障,从而影响整个局域网络用户的使用,所以在接入层启用树生成协议是必要的,或者在诊断故障时可以打开STP协议协助确定故障点。
◆经验总结在故障发生时,应首先了解故障前网络的改动,建立完善的网络文档资料。
包括网络布线图、IP及MAC对应表等,否则在确定MAC地址端口时会消耗大量的时间。
现在有很多局域网工具软件都可以通过扫描获取网络中的计算机的这些信息,如LanExplorer等。
网络广播风暴的成因、预防及排障一、成因广播风暴指过多的广播包消耗了大量的网络带宽,导致正常的数据包无法正常在网络中传送,通常指一个广播包引起了多个的响应,而每个响应又引起了多个得响应,就像滚雪球一样,把网络的所有带宽都消耗殆尽。
该现象通常是由于网络环路、故障网卡、病毒等引起的。
二、预防(以CISCO catalyst switch为例)1、首先使用网管分析你网络的baseline,这样可以明确你的网络当中正常情况下的广播包比例是多少。
2、目前绝大多数交换机都支持广播风暴抑制特性,配置了这个特性以后,你可以控制每个端口的广播包维持在特定的比例之下,这样可以保留带宽给必须的应用。
配置:(以CISCO catalyst switch为例)Int XXstorm-control broadcast level 20.00switch#sh stormInterface Filter State Level Current--------- ------------- ------- -------Fa1/0/1 Forwarding 20.00% 0.00%3、针对缺省STP配置无法排除的网络环路问题,利用STP的BPDUguard特性来预防广播风暴。
此种环路情况示意图如下:switch——hub(portA——portB)Switch启用了STP,而hub则被人有意无意的用一根网线联起来,导致引起了环路。
SWITCH的端口不会收到其他交换机或本交换机其他端口的BPDU,不会触发该端口的STP决策过程,也就不可能blocking该端口,这样就会引起广播风暴。
我们可以利用CISCO STP 的BPDUguard特性来预防这一点。
int xxxspanning-tree bpduguard enable***值得注意的是bpduguard可以在全局下配置,也可以在每端口的基础上配置。
如果在全局下配置,则只对配置了portfast的端口起作用,如果在端口下配置,则不用配置portfast三、排障(以CISCO catalyst switch为例)如果网络中已经产生了网络风暴(现象通常为网络丢包、响应迟缓、时断时通等),则可以利用如下的方法来排障1、首先确认是否是网络风暴或其他异常流量引起的网络异常,在核心交换机上Switch〉sh proc cpu | e 0.00CPU utilization for five seconds: 19%/0%; one minute: 19%; five minutes: 19%PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process15 20170516 76615501 263 0.31% 0.13% 0.12% 0 ARP Input26 7383266801839439482 401 5.03% 4.70% 5.08% 0 Cat4k Mgmt HiPri27 8870781921122570949 790 5.67% 7.50% 6.81% 0 Cat4k Mgmt LoPri43 730060152 341404109 2138 6.15% 5.29% 5.28% 0 Spanning Tree50 59141788 401057972 147 0.47% 0.37% 0.39% 0 IP Input56 2832760 3795155 746 0.07% 0.03% 0.01% 0 Adj Manager58 4525900 28130423 160 0.31% 0.25% 0.18% 0 CEF process96 20789148 344043382 60 0.23% 0.09% 0.08% 0 Standby (HSRP)如果交换机的CPU利用率较高,且大部分的资源都被“IP Input”进程占用,则基本可以确定网络中有大流量的数据2、查找异常流量是从交换机的那一个端口来的:switch #sh int | i protocol|rate|broadcastsFastEthernet1/0/1 is up, line protocol is up (connected)Queueing strategy: fifo5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 2000 bits/sec, 3 packets/secReceived 241676 broadcasts (0 multicast)如果找到一个端口的input rate非常高,且接收到的广播包也非常多,则基本可以找到来源,如果该端口下联的也是可管理的交换机,则再次执行此过程,直到找到一个连接PC 或者HUB的端口3、shutdown该端口int xxshutdown4、查找产生异常流量的根源如果是HUB环路,则拆掉环;如果是病毒,则做杀毒处理;如果是网卡异常,则更换网卡。
此部分不详述。
5、确认交换机的CEF功能是否启用,如果没有,则需要启用,可以加速流量的转发配置CEF:switch〉sh ip cef全局模式下输入。