要想正确理解广播风暴的具体含义,我们必须了解一下工作在网络中的网络设备的工作原理。目前,工作在网络中的网络设备,基本上都是交换机了。对于交换机,大家并没有真正的了解其工作原理。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
一、
广播风暴的定义:
当主机系统响应一个在网上不断循环的报文分组或者试图响应一个没有应答的系统时就会发生广播风暴。一般为了改变这种状态,请求或者响应分组源源不断地产生出来,常使情况变得更糕。随着网络上分组数目的增加,拥塞会随之出现,从而降低网络的性能以至于使之陷入瘫痪。
二、广播风暴的成因与危害:
处于同一个网络的所有设备,位于同一个广播域。也就是说,所有的广播信息会播发到网络的每一个端口,即使交换机、网桥也不能阻止广播信息的传播。因此同一时间只能有一个广播信息在网络中传送。
对于证券网络,使用的是NOVELL操作系统,所有设备都将在网络中定时播发广播包,以告知其它设备自己的存在。还有许多其他功能需要使用广播,如设备开机、消息播送、视频广播等。
当网络上的设备越来越多,广播所占用的时间也会越来越多,多到一定程度时,就会对网络上的正常信息传递产生影响,轻则造成传送信息延时,重则造成网络设备从网络上断开,甚至造成整个网络的堵塞、瘫痪,这就是广播风暴。
因此网络上的设备数量与广播风暴的产生密切相关。据一些统计资料表明,网络上的设备数量在150~200台时,网络运行正常,且可以达到很高的利用率。 通常情况下,在采用多种通讯协议的网络中,计算机不应多于100台,在采用一种通讯协议的网络中,计算机不应多于150台。如果计算机的数量较多,应采用划分VLAN的方式将网络分隔开来,将大的广播域划分为若干个小的广播域,以减小广播风暴可能造成的危害。
我们可以通过sniffer观察交换机的端口上广播包数及与其他信息包的比率来确定广播信息是否已对网络的通讯构成危害。作为发现未知设备的主要手段,广播在网络中起着非常重要的作用。然而,随着网络计算机数量的增多,广播包的数量会急剧增加。当广播包的数量达到30%时,网络传输效率将会明显下降。
对于证券网络,使用的是NOVELL操作系统,所有设备都将在网络中定时播发广播包,以告知其它设备自己的存在。还有许多其他功能需要使用广播,如设备开机、消息播送、视频广播等。
当网络上的设备越来越多,广播所占用的时间也会越来越多,多到一定程度时,就会对网络上的正常信息传递产生影响,轻则造成传送信息延时,重则造成网络设备从网络上断开,甚至造成整个网络的堵塞、瘫痪,这就是广播风暴。
因此网络上的设备数量与广播风暴的产生密切相关。据一些统计资料表明,网络上的设备数量在150~200台时,网络运行正常,且可以达到很高的利用率。 通常情况下,在采用多种通讯协议的网络中,计算机不应多于100台,在采用一种通讯协议的网络中,计算机不应多于150台。如果计算机的数量较多,应采用划分VLAN的方式将网络分隔开来,将大的广播域划分为若干个小的广播域,以减小广播风暴可能造成的危害。
我们可以通过sniffer观察交换机的端口上广播包数及与其他信息包的比率来确定广播信息是否已对网络的通讯构成危害。作为发现未知设备的主要手段,广播在网络中起着非常重要的作用。然而,随着网络计算机数量的增多,广播包的数量会急剧增加。当广播包的数量达到30%时,网络传输效率将会明显下降。
三、广播风暴的形成:
帧的传输方式,即单播帧(Unicast Frame)、多播帧(Multicast Frame)和广播帧(Broadcast Frame)。
1、单播帧
单播帧也称“点对点”通信。此时帧的接收和传递只在两个节点之间进行,帧的目的MAC地址就是对方的MAC地址,网络设备(指交换机和路由器)根据帧中的目的MAC地址,将帧转发出去。
2、多播帧
多播帧可以理解为一个人向多个人(但不是在场的所有人)说话,这样能够提高通话的效率。多播占网络中的比重并不多,主要应用于网络设备内部通信、网上视频会议、网上视频点播等。
3、广播帧
广播帧可以理解为一个人对在场的所有人说话,这样做的好处是通话效率高,信息一下子就可以传递到全体。在广播帧中,帧头中的目的MAC地址是“FF.FF.FF.FF.FF.FF”,代表网络上所有主机网卡的MAC地址。
广播帧在网络中是必不可少的,如客户机通过DHCP自动获得IP地址的过程就是通过广播帧来实现的。而且,由于设备之间也需要相互通信,因此在网络中即使没有用户人为地发送广播帧,网络上也会出现一定数量的广播帧。
同单播和多播相比,广播几乎占用了子网内网络的所有带宽。网络中不能长时间出现大量的广播帧,否则就会出现所谓的“广播风暴”(每秒的广播帧数在1000以上)。
四、网络设备基础知识
1、交换机的定义:交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。 交换机(switch)网桥(bridge)这两个东西其实作用一样的,但现在基本上都用交换机而很少用网桥了,他们很好地弥补了HUB在广播冲突上的不足,但依然无法防止广播洪泛。
现在,交换机已经替代了我们原来比较熟悉的网络设备集线器,又称Hub。但是这并不意味着,我们不需要了解Hub的基本知识。
2、集线器的定义:集线器(HUB)属于数据通信系统中的基础设备,它和双绞线等传输介质一样,是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它被广泛应用到各种场合。集线器工作在局域网(LAN)环境,像网卡一样,应用于OSI参考模型第一层,因此又被称为物理层设备。集线器内部采用了电器互联,当维护LAN的环境是逻辑总线或环型结构时,完全可以用集线器建立一个物理上的星型或树型网络结构。在这方面,集线器所起的作用相当于多端口的中继器。其实,集线器实际上就是中继器的一种,其区别仅在于集线器能够提供更多的端口服务,所以集线器又叫多口中继器。 集线器(HUB)这个东西现在已经不太常见了,他主要用来解决在老式以太网中总线型局域网的冲突问题,但他的缺陷是他基本上还是相当与一根总线,所以无法防止广播冲突,既通常所说的局域网广播洪泛。
1、单播帧
单播帧也称“点对点”通信。此时帧的接收和传递只在两个节点之间进行,帧的目的MAC地址就是对方的MAC地址,网络设备(指交换机和路由器)根据帧中的目的MAC地址,将帧转发出去。
2、多播帧
多播帧可以理解为一个人向多个人(但不是在场的所有人)说话,这样能够提高通话的效率。多播占网络中的比重并不多,主要应用于网络设备内部通信、网上视频会议、网上视频点播等。
3、广播帧
广播帧可以理解为一个人对在场的所有人说话,这样做的好处是通话效率高,信息一下子就可以传递到全体。在广播帧中,帧头中的目的MAC地址是“FF.FF.FF.FF.FF.FF”,代表网络上所有主机网卡的MAC地址。
广播帧在网络中是必不可少的,如客户机通过DHCP自动获得IP地址的过程就是通过广播帧来实现的。而且,由于设备之间也需要相互通信,因此在网络中即使没有用户人为地发送广播帧,网络上也会出现一定数量的广播帧。
同单播和多播相比,广播几乎占用了子网内网络的所有带宽。网络中不能长时间出现大量的广播帧,否则就会出现所谓的“广播风暴”(每秒的广播帧数在1000以上)。
四、网络设备基础知识
1、交换机的定义:交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。 交换机(switch)网桥(bridge)这两个东西其实作用一样的,但现在基本上都用交换机而很少用网桥了,他们很好地弥补了HUB在广播冲突上的不足,但依然无法防止广播洪泛。
现在,交换机已经替代了我们原来比较熟悉的网络设备集线器,又称Hub。但是这并不意味着,我们不需要了解Hub的基本知识。
2、集线器的定义:集线器(HUB)属于数据通信系统中的基础设备,它和双绞线等传输介质一样,是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它被广泛应用到各种场合。集线器工作在局域网(LAN)环境,像网卡一样,应用于OSI参考模型第一层,因此又被称为物理层设备。集线器内部采用了电器互联,当维护LAN的环境是逻辑总线或环型结构时,完全可以用集线器建立一个物理上的星型或树型网络结构。在这方面,集线器所起的作用相当于多端口的中继器。其实,集线器实际上就是中继器的一种,其区别仅在于集线器能够提供更多的端口服务,所以集线器又叫多口中继器。 集线器(HUB)这个东西现在已经不太常见了,他主要用来解决在老式以太网中总线型局域网的冲突问题,但他的缺陷是他基本上还是相当与一根总线,所以无法防止广播冲突,既通常所说的局域网广播洪泛。
3
、路由器(ROUTER)这个东西一般是用来接入上层网络或直接接入互联网的,他可以有效地将网络分段进而阻止网络广播的传输,也就是说,不在同一路由管辖范围的主机是无法互相广播的。
五、交换机与集线器的区别
现在,我们经常会存在这样一个技术误区,我们用的是交换机,数据全部是点对点转发的,为什么还会产生广播风暴呢?我们在充分了解了交换机与集线器的功能区别后,就会明白,使用交换机作为网络设备的网络,为什么会出现广播风暴。
1、交换机与集线器的本质区别:用集线器组成的网络称为共享式网络,而用交换机组成的网络称为交换式网络。共享式以太网存在的主要问题是所有用户共享带宽,每个用户的实际可用带宽随网络用户数的增加而递减。这是因为当信息繁忙时,多个用户可能同时“争用”一个信道,而一个信道在某一时刻只允许一个用户占用,所以大量的用户经常处于监测等待状态,致使信号传输时产生抖动、停滞或失真,严重影响了网络的性能。因此建议不要再使用HUB。
2、在交换式以太网中,交换机提供给每个用户专用的信息通道,除非两个源端口企图同时将信息发往同一个目的端口,否则多个源端口与目的端口之间可同时进行通信而不会发生冲突。通过实验测得,在多服务器组成的LAN 中,处于半双工模式下的交换式以太网的实际最大传输速度是共享式网络的1.7倍,而工作在全双工状态下的交换式以太网的实际最大传输速度可达到共享式网络的3.8倍。 交换机只是在工作方式上与集线器不同,其他的如连接方式、速度选择等与集线器基本相同,目前的交换机同样从速度上分为<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10M、100M和1000M几种,所提供的端口数多为8口、16口和24口几种。交换机在局域网中主要用于连接工作站、Hub、服务器或用于分散式主干网。
五、交换机与集线器的区别
现在,我们经常会存在这样一个技术误区,我们用的是交换机,数据全部是点对点转发的,为什么还会产生广播风暴呢?我们在充分了解了交换机与集线器的功能区别后,就会明白,使用交换机作为网络设备的网络,为什么会出现广播风暴。
1、交换机与集线器的本质区别:用集线器组成的网络称为共享式网络,而用交换机组成的网络称为交换式网络。共享式以太网存在的主要问题是所有用户共享带宽,每个用户的实际可用带宽随网络用户数的增加而递减。这是因为当信息繁忙时,多个用户可能同时“争用”一个信道,而一个信道在某一时刻只允许一个用户占用,所以大量的用户经常处于监测等待状态,致使信号传输时产生抖动、停滞或失真,严重影响了网络的性能。因此建议不要再使用HUB。
2、在交换式以太网中,交换机提供给每个用户专用的信息通道,除非两个源端口企图同时将信息发往同一个目的端口,否则多个源端口与目的端口之间可同时进行通信而不会发生冲突。通过实验测得,在多服务器组成的LAN 中,处于半双工模式下的交换式以太网的实际最大传输速度是共享式网络的1.7倍,而工作在全双工状态下的交换式以太网的实际最大传输速度可达到共享式网络的3.8倍。 交换机只是在工作方式上与集线器不同,其他的如连接方式、速度选择等与集线器基本相同,目前的交换机同样从速度上分为<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10M、100M和1000M几种,所提供的端口数多为8口、16口和24口几种。交换机在局域网中主要用于连接工作站、Hub、服务器或用于分散式主干网。
六、网络结构
1
、总线型网络拓扑结构:老式的局域网连接方式,所有主机用一跟总线连接,每台主机在对外发送数据是必须确认总线空闲,这样如果某台HOST连续对整个网内主机发送广播数据那么整个网络会馅入瘫痪状态,这就是通常说的广播洪泛。
2、广播:对于处在同一网络中的主机,任何一台主机都可以对整个网段的主机发送广播信息一获得所需信号,不如ICMP ARP RARP等TCP/IP协议就是使用广播原理的.但对于路由器来讲,他会阻止广播信号的通过,所以说路由器普遍意义上是用来分网段的。
2、广播:对于处在同一网络中的主机,任何一台主机都可以对整个网段的主机发送广播信息一获得所需信号,不如ICMP ARP RARP等TCP/IP协议就是使用广播原理的.但对于路由器来讲,他会阻止广播信号的通过,所以说路由器普遍意义上是用来分网段的。
七、网线
为什么网线是八棵芯钱的。而且要双绞?其实网线只用四棵芯线就可以完成数据传输了,八棵芯钱而且要双绞,通俗的说就是防止网线传输的数据产生“串扰”,说白了就是网线自己产生垃圾数据包,你网里的机器越多,这种包就越多,就算你网络流量不大,但是你的网络状态是非常忙碌的,如果你网络通讯是大数量的,那么风暴就来啦!这种包就象游魂野鬼一样在你的网络里游走,而且不断被网络抛弃又不断的从网络产生,但是这种包不但消耗你的网络资源,而且CPU还会为丢弃这些垃圾包增加正常运算的开销。双绞线的完全不绞合长度是影响一条线的重要指标,正确的标准是双绞线不绞合长度不能超过1.3厘米!还有,如果没有电气干扰请千万不要用带屏蔽功能的水晶头。
八、产生广播风暴的原因
通过对以上网络设备的了解,我们就可以简单分析出来,网络产生广播风暴的原因了。一般情况下,产生网络广播风暴的原因,主要有以下几种:
1、网络设备原因:我们经常会有这样一个误区,交换机是点对点转发,不会产生广播风暴,但也不会隔离广播风暴。在我们购买网络设置时,购买的交换机,通常是智能型的Hub,却被奸商当做交换机来卖。这样,在网络稍微繁忙的时候,肯定会产生广播风暴了。 而路由可以隔离风暴。建议用路由器或者软路由。网络交换机分布结构要遵守五四三规则。
2、网卡损坏:如果网络机器的网卡损坏,也同样会产生广播风暴。损坏的网卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,产生了广播风暴。由于网卡物理损坏引起的广播风暴,故障比较难排除,由于损坏的网卡一般还能上网,我们一般借用Sniffer局域网管理软件,查看网络数据流量,来判断故障点的位置。
八、产生广播风暴的原因
通过对以上网络设备的了解,我们就可以简单分析出来,网络产生广播风暴的原因了。一般情况下,产生网络广播风暴的原因,主要有以下几种:
1、网络设备原因:我们经常会有这样一个误区,交换机是点对点转发,不会产生广播风暴,但也不会隔离广播风暴。在我们购买网络设置时,购买的交换机,通常是智能型的Hub,却被奸商当做交换机来卖。这样,在网络稍微繁忙的时候,肯定会产生广播风暴了。 而路由可以隔离风暴。建议用路由器或者软路由。网络交换机分布结构要遵守五四三规则。
2、网卡损坏:如果网络机器的网卡损坏,也同样会产生广播风暴。损坏的网卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,产生了广播风暴。由于网卡物理损坏引起的广播风暴,故障比较难排除,由于损坏的网卡一般还能上网,我们一般借用Sniffer局域网管理软件,查看网络数据流量,来判断故障点的位置。
3
、网线不正规:网线损害,不是标准接法,不绞合长度过长,网络设备之间用错了网线类型。应该是同种设备之间用交叉线,不同设备之间用直通线。
4、网络环路:曾经在一次的网络故障排除中,发现一个很可笑的错误,一条双绞线,两端插在同一个交换机的不同端口上,导致了网络性能急骤下降,打开网页都非常困难。这种故障,就是典型的网络环路。网络环路的产生,一般是由于一条物理网络线路的两端,同时接在了一台网络设备中。要消除这种网络循环连接带来的网络广播风暴可以使用 STP协议。
5、网络病毒:目前,一些比较流行的网络病毒,Funlove、震荡波、RPC等病毒,一旦有机器中毒后,会立即通过网络进行传播。网络病毒的传播,就会损耗大量的网络带宽,引起网络堵塞,引起广播风暴。
6、***软件的使用:目前,一些上网者,经常利用网络执法官、网络剪刀手等***软件,对网吧的内部网络进行***,由于这些软件的使用,网络也可能会引起广播风暴。
4、网络环路:曾经在一次的网络故障排除中,发现一个很可笑的错误,一条双绞线,两端插在同一个交换机的不同端口上,导致了网络性能急骤下降,打开网页都非常困难。这种故障,就是典型的网络环路。网络环路的产生,一般是由于一条物理网络线路的两端,同时接在了一台网络设备中。要消除这种网络循环连接带来的网络广播风暴可以使用 STP协议。
5、网络病毒:目前,一些比较流行的网络病毒,Funlove、震荡波、RPC等病毒,一旦有机器中毒后,会立即通过网络进行传播。网络病毒的传播,就会损耗大量的网络带宽,引起网络堵塞,引起广播风暴。
6、***软件的使用:目前,一些上网者,经常利用网络执法官、网络剪刀手等***软件,对网吧的内部网络进行***,由于这些软件的使用,网络也可能会引起广播风暴。
九、预防风暴的方法
1
、
增加一条注册表项
,禁用445端口:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters\SMBDeviceEnabled
,类型: DWORD,值:0 (默认)。
说明:关闭445端口防止广播风暴的方法只适用于SP1;SP2打齐补丁以后可以不必关闭。
十、故障定位
1
、在核心交换机上,进全局模式,输入:show proc cpu , 确认是否是网络风暴或其他异常流量引起的网络异常。如果交换机的CPU利用率较高,且大部分的资源都被IP进程占用,则基本可以确定网络中有大流量的数据。
2
、在核心交换机上,进全局模式,输入:show int | I protocol | rate | broadcasts ,查找异常流量是从交换机的那一个端口来的。如果找到一个端口的发送的广播包非常高,且接收到的广播包也非常多,则基本可以找到来源,如果该端口下联的也是可管理的交换机,则再次执行此过程,直到找到一个连接PC或者HUB的端口。
转载于:https://blog.51cto.com/victoryking/92402
2389
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
