理解广播风暴

      所谓广播风暴，简单的讲，当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。一个数据帧或包被传输到本地网段 （由广播域定义）上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。

      要理解什么是广播风暴，就必须先理解网络通信技术。 网络上的一个节点，它发送一个数据帧或包，被传输到由广播域定义的本地网段上的每个节点就是广播。

网络广播分为第2层广播和第3层广播。第2层广播也称 硬件广播，用于在 局域网内向所有的结点发送数据，通常不会穿过局域网的边界（ 路由器），除非它变成一个 单播。广播将是一个 二进制的全1或者十六进制全F的地址。而第3层 广播用于在这个网络内向所 有的结点发送数据。第3层广播也支持平面的老式广播。广播信息是指以某个 广播域 所有 主机 为目的的信息。这些被称为网络广播，它们所有的主机位均为ON。硬件组播（multicasting）是一种多点投递的形式，它使用硬件技术，通过使用大量组播地址来通信。当某一组机器需要通信时，选择一个组播地址，并配置好相应的网络接口硬件，识别组播地址，从而收到该组播地址上分组的拷贝。

广播（broadcasting）是多点投递的最普遍的形式，它向每一个目的站投递一个分组的拷贝。它可以通过多个单次分组的投递完成，也可以通过单独的连接传递分组的拷贝，直到每个接收方均收到一个拷贝为止。在多数网络中，用户是通过把分组分送给一个特殊保留的地址即广播地址（broadcast address）来进行广播投递，它的主要缺点是会耗费大量的主机资源和网络资源。

单播（unicasting）是指只有一个目的地的数据报传递。从投递目的地的数量而言，单播和广播均可看作是组播的一个子集。单播可以看作仅包括一台机器群组的组播；广播可以看作包含了所有机器群组的组播。但从数据报的投递方式而言，单播、广播和组播还是有较大的区别。

硬件基础

要想正确理解广播风暴的具体含义，必须了解一下工作在网络中的网络设备的工作 原理。目前，工作在网络中的网络设备，基本上都是 交换机了。

基本常识

广播风暴

交换机的定义：交换机是一种基于 MAC（ 网卡的地址硬件）识别，能完成封装转发 数据包功能的网络设备。 交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在 数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。现在， 交换机已经替代了原来比较熟悉的网络设备 集线器，又称Hub。但是这并不意味着，我们不需要了解 Hub的基本知识。

集线器的定义：集线器（HUB）属于 数据通信系统中的基础设备，它和 双绞线等 传输介质一样，是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它被广泛应用到各种场合。 集线器工作在区域网路( LAN)环境，像 网卡一样，应用于 OSI参考模型第一层，因此又被称为 物理层设备。 集线器内部采用了电器互联，当维护 LAN的环境是逻辑 总线或 环型结构时，完全可以用集线器建立一个物理上的星型或树型网路结构。在这方面， 集线器所起的作用相当于多连接埠的 中继器。其实， 集线器实际上就是中继器的一种，其区别仅在于集线器能够提供更多的连接埠服务，所以集线器又叫多口中继器。

区别

现在，经常会存在这样一个技术误区，网络中使用的是 交换机，数据全部是点对点转发的，为什么还会产生广播风暴呢？在充分了解了交换机与 集线器的 功能区别后，人们就会明白，使用交换机作为网络设备的网络，为什么会出现广播风暴。

用 集线器组成的网络称为共享式网络，而用 交换机组成的网络称为交换式网络。 共享式以太网存在的主要问题是所有用户共享 带宽，每个用户的实际可用带宽随网路用户数的增加而递减。这是因为当资讯繁忙时，多个用户可能同时“争用”一个信道，而一个信道在某一时刻只允许一个用户

广播风暴

占用，所以大量的用户经常处于监测等待状态，致使信号传输时产生抖动、停滞或失真，严重影响了网络的性能。 在 交换式以太网中， 交换机提供给每个用户专用的资讯通道，除非两个源连接埠企图同时将资讯发往同一个目的连接埠，否则多个源连接埠与目的连接埠之间可同时进行通信而不会发生冲突。通过实验测得，在多服务器组成的LAN中，处于 半双工通信模式下的交换式 以太网的实际最大传输速度是共享式网路的1.7倍，而工作在全双工状态下的交换式以太网的实际最大传输速度可达到共享式网路的3.8倍。 交换机只是在工作方式上与 集线器不同，其他的如连接方式、速度选择等与集线器基本相同，目前的交换机同样从速度上分为10M、100M和1000M几种，所提供的连接埠数多为8口、16口和24口几种。 交换机在区域网路中主要用于连接 工作站、Hub、 服务器或用于分散式主干网。

5形成原因

帧的传输方式，即 单播帧（Unicast Frame）、 多播帧（Multicast Frame）和广播帧（Broadcast Frame）。

1、 单播帧

单播帧也称“ 点对点”通信。此时帧的接收和传递只在两个 节点之间进行，帧的目的MAC地址就是对方的MAC地址，网络设备（指 交换机和 路由器）根据帧中的目的MAC地址，将 帧转发出去。

2、 多播帧

多播帧可以理解为一个人向多个人（但不是在场的所有人）说话，这样能够提高通话的效率。 多播占网络中的比重并不多，主要应用于网络设备内部通信、网上视频会议、网上 视频点播等。

3、广播帧

广播帧可以理解为一个人对在场的所有人说话，这样做的好处是通话效率高，信息一下子就可以传递到全体。在广播帧中，帧头中的目的MAC地址是“FF.FF.FF.FF.FF.FF”，代表网络上所有 主机 网卡的MAC地址。

广播帧在网络中是必不可少的，如客户机通过DHCP自动获得IP地址的过程就是通过广播帧来实现的。而且，由于设备之间也需要相互通信，因此在网络中即使没有用户人为地发送广播帧，网络上也会出现一定数量的广播帧。

同 单播和 多播相比，广播几乎占用了 子网内网络的所有 带宽。网络中不能长时间出现大量的广播帧，否则就会出现所谓的“广播风暴”（每秒的广播帧数在1000以上）。拿开会打一个比方，在会场上只能有一个人发言，如果所有人都同时发言的话，会场上就会乱成一锅粥。广播风暴就是网络长时间被大量的 广播数据包所占用，使正常的 点对点通信无法正常进行，其外在表现为 网络速度奇慢无比。出现广播风暴的原因有很多，一块 故障 网卡就可能长时间地在网络上发送 广播包而导致广播风暴。

使用 路由器或 三层交换机能够实现在不同 子网间隔离广播风暴的作用。当 路由器或 三层交换机收到广播帧时并不处理它，使它无法再传递到其他 子网中，从而达到隔离广播风暴的目的。因此在由几百台甚至上千台电脑构成的大中型 局域网中，为了隔离广播风暴，都要进行 子网划分。

使用vlan完全可以隔离广播风暴。

      

经验总结

作为 网络管理员，在面对 网络广播风暴发生时，要冷静分析广播风暴产生的原因，可使用二分法、 排除法、替换法和网线插拔法等多种方法综合运用，一步一步地进行故障排除，快速定位引发广播风暴的故障点，查出引发广播风暴的原因，及时采取相应措施来消灭广播风暴。 总的来看，要解决广播风暴的问题，可以从以下几个方面入手：

一、在 局域网中安装WSUS补丁服务器，保证局域网所有计算机都能及时打上最新的补丁。

二、最好在 局域网内安装网络版的防毒服务器，如无条件，起码也得保证单机版的防毒软件的 病毒库是经常更新的。

三、检查每一台计算机的 网卡、 网线和 交换机的每一个端口，检查是否有 百度百科

广播风暴

故障。 四、当广播风暴发生时，观察 交换机的指示灯不啻为很好的方法，可直接观察网络连通性及 网络流量。

要避免广播风暴，可以采用恰当划分VLAN、缩小 广播域、隔离广播风暴，还可在 千兆以太网口上启用 广播风暴控制，最大限度地避免网络再次陷入瘫痪。当端口接受到大量的广播、 单播或 组播的包时，就会发生广播风暴。转发这些包会导致网络速度变慢或超时，在 交换机上借助对端口的 广播风暴控制可以有效避免 硬件损坏或链路 故障导致的广播风暴的 网络瘫痪。

从实际经验来看，90%以上的 网络广播风暴是 病毒所致，因此，在 局域网中配备 防病毒系统，购置 IDS入侵检测系统、 网络流量检测工具等，以加强 网络病毒的防治，加强对网络线路运行状态的监控，及时发现和处理网络上的异常流量和病毒攻击等问题，并制定计算机安全管理制度，确保网络线路的正常运行。