本文详细分析了一次由广播风暴引起的网络故障,故障发生在2020年6月15日下午,表现为全局网速变慢。通过Wireshark抓包发现大量无效ARP报文,确定故障原因为VLAN136的广播数据包过多。通过指定MSTP根桥和抑制广播数据包,故障得以解决。文章还提出了防止广播风暴和ARP攻击的预防措施。
网络故障概述
- 网络故障时间:2020.06.15 PM 16:00
- 导致网络故障原因:广播风暴
- 故障解除时间:2020.06.15 PM 16:40
- 故障影响:全局网速变慢
网络故障分析
首先来看网络拓扑,发生故障的区域是在192.168.136.0网段,当时反馈网络缓慢的用户较多,在使用ping命令来定位故障时,发现内网的传输阙值比网络正常时高很多,ping百度会出现丢包现象,经测试,下行的接口速率被限制到了非常低,逐层排除后,故障的范围就是VLAN136,经过环路、ARP病毒等原因排查分析与通过对镜像口抓包对比发现,VLAN136的广播数据包非常多,MSTP的根桥将接入层交换机136、138两台选举成为了根桥。
Wireshark抓包分析
抓包是分析网络故障,得到答案的一种方式,如下图所示,在136网段中,有非常之多的无效ARP报文,充斥在网络中,占用了带宽的资源,导致了网络速度缓慢,造成这种的原因就是广播风暴。
指定MSTP根桥
生成树协议是一个环路检测协议,运行在交换机与交换机之间,它的工作需要选举根桥,是根据桥ID的优先级与MAC地址来进行选举的,需要将网络中性能最好的设备设为根桥,如果接入层设备成为根桥,那对网络的危害也是巨大的,所以,在下面图中,将指定核心交换机为根桥(选根桥等于在几个人当中选老大的意思,小弟都要听从老大的安排)。
网络故障解决
- 指定网络的根交换机,通过stp priority 4096来指定192.168.140.1为根桥
- 在核心交换机的G1/0/11接口下,对VLAN136的广播数据包进行抑制。
- 在接入层交换机开启BPDU保护
网络隐患
-
小交换机的危害
在办公区的一些工位上,因为网线不够用,使用5口的交换机来扩展线路,这种小交换机一般称为傻瓜交换机,傻瓜交换机对数据包的处理都是简单的复制并扩大,在同时传输数据时,会影响传输的效率,容易产生广播风暴,如果工位的同事误接线路,还会造成网络环路,环路带来的危害对局域网是巨大的,环路会使交换机性能下降,网络中的广播数据包会把带宽资源占满,导致用户上网体验差,甚至断网。 -
ARP攻击防范
在局域网中,ARP病毒、ARP欺骗都是常见的手段,通过ARP报文本身的漏洞,如攻击者伪装成PC发送ARP报文,与交换机建立错误的IP-MAC映射表,导致真实用户无法接收与发送数据,间接断网,为了防范ARP攻击,需要在核心交换机对设备安全进行配置如DHCP Snooping,还需要在接入终端安装杀毒软件,需要每位同事的计算机都安装360杀毒/电脑管家。
综上所述,提出如下整改方案
- 在接入计算机时,建议尽量少使用或者不使用此类小交换机
- 保证局域网中每台计算机都需要安装杀毒软件,并启用网络流量防火墙(以防范ARP攻击)
- 在核心交换机配置一些功能来保护链路(如DHCP Snooping)
- 在对网络线路更改时,必须经过我这边的同意才可以。
扫一扫
600
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
