论局域网广播风暴危害成因与对策

【摘 要】广播风暴对局域网的正常运行造成极大的危害，成为局域网故障的头号顽疾。本文就广播风暴的危害、成因进行分析，并针对其成因探索出行之有效的对策。

【关键词】局域网；广播风暴；成因；对策

计算机网络的应用尤如雨后春笋般在社会各个领域得到快速增长，局域网应用更是遍地开花。然而网络故障的频发会给网络应用带来一些不便甚至一些损失，局域网故障的根源极多，而广播风暴在故障根源中所占比例更是达到75%~80%惊人程度，如何防范和解决局域网广播风暴已经刻不容缓。本文结合实际网络管理工作经验针对局域网广播风暴产生危害、原因及对策进行一些探讨。

1.广播风暴及其危害

广播帧帧头目标MAC地址是“FF.FF.FF.FF.FF.FF”，其代表着广播域内所有主机的MAC地址，故广播域内的所有主机都会接收该帧，正常的广播帧是局域网中不可或缺的一部分数据流，对网络的正常应用是有帮助作用的。由于某些因素诱导使得广播帧在广播域内被大量复制并传播，甚至出现大量无用广播帧，且随着时间的推移而出现“滚雪球”效应，这就是广播风暴。

广播风暴的危害是极为巨大的，主要表现为以下几个方面：

1.1大量占用链路带宽，造成正常数据帧无法传输

通信子网中的集线器或交换机会对广播帧进行泛洪（flood）操作。在一个出现环路的链路中，集线器或交换机经过多次泛洪后，环路上出现多重、方向相反的广播流，设备接口上的报文速率达到106个数量级，远远超出了介质所能承载的通信量，在这样一个大量充斥着广播帧的链路上，正常的数据帧是无法畅通无阻地传输的，结果造成信道的拥塞，而且这种拥塞是控制处理机所无法控制的，拥塞的结果是正常数据帧的延迟增大甚至是数据帧被丢失。

1.2造成交换机即时转发能力的下降甚至瘫痪

每一个帧进入交换机后，交换机都要进行缓存、帧错误校验、查询MAC地址表决定转发还是泛洪等操作，这些操作消耗交换机的一部分CPU和内存资源，当大量的广播帧进行泛洪时将大量地消耗交换机的系统资源，最终造成交换机无法正常响应而出现“死机”状态。由于大量泛洪广播帧，发送缓冲区很快被填满，一些正常的数据帧只能被溢出缓冲区，造成数据丢失。

1.3造成广播域内计算机资源被占用

当广播帧进入计算机时，计算机在数据链路层上都会“接纳”他们，只是在网络层上才决定丢弃无用的帧，甚至会出现一些广播帧要求计算机作一些无用的或有害的复制、广播操作，如一些病毒广播帧就是这样处理。以上各种处理都会占用计算机的一部分CPU和内存资源。

2.广播风暴的形成原因

引起广播风暴的因素很多，下面就几种局域网中常见的故障成因进行分析。

2.1网络上存在环路

同一交换机上存在端口之间首尾直接相连或间接相连；为了获得更大带宽和链路冗余备份而在两台交换机之间连接两条或多条线路，但在相应端口上没有配置端口汇聚或生成树协议；为了链路冗余备份，网络内存在一个或多个闭合线路环路，但闭合环上的交换机没有启用生成树协议，以上几种情形都会产生网络环路。当网络上存在环路，不仅会引起MAC地址表的地址飘移，更为严重的是进入交换机的每个广播帧都会在每一个闭合环上产生两个永不消失、方向相反的广播流（直到环路消失）。当网络上存在多个闭合环时，这样的逆向广播流会随着时间的推移以指数数量级增加，可想而知，当网络上有多个广播帧进入，闭合环上的广播流数目是相当的庞大，受影响的不仅是闭合环上的链路，闭合环以外的所有链路也都因为广播流的来临而受到“洗理”。

2.2网络设备原因

用集线器组建的以太网属于共享式以太网，其特点是所有端口都处于同一冲突域和同一广播域，当集线器上某一个端口有数据流入时，其它所有端口都会收到数据（类似交换机泛洪广播）。连接到集线器上的计算机都是采用载波侦听多路访问/冲突检测（CSMA/CD)介质访问机制，随着加入网络计算机数量不断增加，不足之处就表现得很突出了，当广播报文较多时，广播风暴会造成网络崩溃。除此之外，一些智能型的交换机由于不具备生成树协议，当网络上有环路时，也会造成广播风暴。

2.3网络设备损坏

网卡或网络设备的某个端口损坏后，作为发现未知设备的主要手段可能向网络发送大量广播帧和非法帧，产生了大量无用的数据包，最终形成广播风暴。连接交换机和计算机之间的线缆线序错误也会形成回路而造成广播风暴。

2.4网络病毒的泛滥及黑客软件的使用

网络中病毒较为猖獗，如“威金”、“熊猫烧香”和震荡波等蠕虫病毒，感染了这类病毒的计算机不断复制并向网络上广播病毒数据包，没有预防能力或防护能力较弱的计算机也会中毒，进而加入发送广播病毒包队列。由于网络上充斥着大量病毒广播包，损耗了大量的网络带宽，引起网络堵塞，导致广播风暴。ARP攻击更是导致广播风暴的罪魁祸首，ARP攻击通过IP地址欺骗和MAC地址欺骗的方法以躲过扫描向网络上发送大量嗅探包，在局域网中使用黑客软件，比如网络执法官、流光等黑客软件，对局域网进行攻击，就是采用了ARP攻击导致了广播风暴。

2.5广播协议的过量使用

一些视频网络传输设备为了便于网络视频点播，常常采用UDP协议，以广播数据包的形式对外进行发送，很容易引发广播风暴，导致网络阻塞。还有一些局域网联机游戏使用的是IPX协议，IPX协议是广播协议，频繁的数据交换，也会引发广播风暴。

除了上述几种原因之外，网络规模太大，广播域自然也就增大了，产生广播风暴的机率相应也会增加。

3.广播风暴的对策

在解决网络故障过程中，难度最大在于故障定位，故障定位就是确定故障点和故障原因。解决广播风暴也要从故障源头入手对症下药，针对以上广播风暴形成的原因，可以采用监控和管理两个方向预防和消除广播风暴。

3.1揪出网络中的环路，消除回路。检测网络上是否存在环路的途径很多，归根结底无外乎拓扑发现、MAC地址飘移观察和数据包IPID标识回路这三种方法。

拓扑发现法是最直观也是最简单的方法，能从整个网络上发现环路，具体实施有两种方式，一种是线路追踪，根据连接到交换机上的线头标签，遂台交换机检查最终找出环路，但这种方式在结构复杂的网络里是以付出巨大的工作量为代价的，对由智能交换机构成的网络是非常实用的；另一种是借助于网络拓扑发现软件来找出环路，如HP OpenView，能够快速高效地找出环路。

MAC地址飘移是广播风暴产生的一个必然结果，登录交换机，观察MAC地址表是否存在MAC地址飘移，如果存在则该交换机肯定是环路上的一个点，遂台查看最终找出环路，这种方法有其局限性，只适合可网管交换机。

数据包IPID标识回路法是通过在特定交换机上注入带有特定标记的数据包，观察该数据包是否会在一段时间后又返回该交换机，如果返回则说明该交换机处于环路中，该方法往往通过一些软件来实现，如科来网络分析系统。

揪出环路后，处理相对就简单得多了，对于由智能交换机组建的网络直接拆除冗余线路消除闭合环路；对于由网管交换机组建的网络分两种情况，一种是两台交换机之间的环路，考虑到网络性能和冗余备份需要，在相应的环路端口上启用生成树协议或将这些端口进行汇聚即可，另一种是多台交换机构成的环路，在每一台交换机上都启用生成树协议即可。

3.2将网络上的集线器更换为交换机，核心层和汇聚层交换机尽可能用可网管交换机。将广播型网络改造为交换式网络在很大程度上可消除广播风暴，可网管交换机都支持生成树协议，可消除环路，并且可网管交换机端口上可配置广播风暴抑制。

3.3借助网络流量分析和协议分析软件定位有故障的网卡和交换机端口，如利用sniffer，ethereel等软件监测网络内计算机的通信状况，观察广播帧的数量，所占比例，迅速的定位故障源头所在。

3.4安装网络版杀毒软件并及时升级，计算机也要及时安装系统补丁程序，禁用不必要的服务、关闭用不着的端口，以提高系统的安全性和可靠性。在计算机上安装防火墙软件并及时升级，如360安全卫士，防止木马入侵。

3.5使用VLAN技术。VLAN即虚拟局域网，按业务用途在局域网内创建多个VLAN，VLAN技术将一个大的物理广播域划分成多个逻辑广播域，不仅起到数据安全的保护作用，而且还大大缩小了广播帧的传输范围，即使网上出现广播风暴也不至于影响整个网络。将一些大量应用广播协议的用户划入特定的VLAN中，避免影响其他业务用户。

4.结束语

广播风暴虽然是网络的一个顽疾，但并非无方可医。在网络维护过程中，在面对网络广播风暴发生时，要冷静分析广播风暴产生的原因，只要技术人员细心查看，全面布防，就可以让网络远离广播风暴的骚扰。

【参考文献】

［１］陈鸣译.（美）James F.KuroseKeith W.Ross.计算机网络自顶向下方法与Internet特色[M].北京:机械工业出版社.2006:468～469.

［２］王群,王琳琳.组建交换式局域网.人民邮电出版社.2004.

［３］黄中砥等.组网技术与网络管理.清华大学出版社.2006.

作者简介:韦树荣（1974—），男，汉族，广西河池人，就职于广西现代职业技术学院，网络工程师，工学学士，主要从事计算机网络工程研究。