H3C设备组网故障之广播风暴篇

网络故障概述

网络故障时间：2020.06.15 PM 16:00
导致网络故障原因：广播风暴
故障解除时间：2020.06.15 PM 16:40
故障影响：全局网速变慢

网络故障分析

首先来看网络拓扑，发生故障的区域是在192.168.136.0网段，当时反馈网络缓慢的用户较多，在使用ping命令来定位故障时，发现内网的传输阙值比网络正常时高很多，ping百度会出现丢包现象，经测试，下行的接口速率被限制到了非常低，逐层排除后，故障的范围就是VLAN136，经过环路、ARP病毒等原因排查分析与通过对镜像口抓包对比发现，VLAN136的广播数据包非常多，MSTP的根桥将接入层交换机136、138两台选举成为了根桥。

Wireshark抓包分析

抓包是分析网络故障，得到答案的一种方式，如下图所示，在136网段中，有非常之多的无效ARP报文，充斥在网络中，占用了带宽的资源，导致了网络速度缓慢，造成这种的原因就是广播风暴。

指定MSTP根桥

生成树协议是一个环路检测协议，运行在交换机与交换机之间，它的工作需要选举根桥，是根据桥ID的优先级与MAC地址来进行选举的，需要将网络中性能最好的设备设为根桥，如果接入层设备成为根桥，那对网络的危害也是巨大的，所以，在下面图中，将指定核心交换机为根桥（选根桥等于在几个人当中选老大的意思，小弟都要听从老大的安排）。

网络故障解决

指定网络的根交换机，通过stp priority 4096来指定192.168.140.1为根桥
在核心交换机的G1/0/11接口下，对VLAN136的广播数据包进行抑制。
在接入层交换机开启BPDU保护

网络隐患

小交换机的危害
在办公区的一些工位上，因为网线不够用，使用5口的交换机来扩展线路，这种小交换机一般称为傻瓜交换机，傻瓜交换机对数据包的处理都是简单的复制并扩大，在同时传输数据时，会影响传输的效率，容易产生广播风暴，如果工位的同事误接线路，还会造成网络环路，环路带来的危害对局域网是巨大的，环路会使交换机性能下降，网络中的广播数据包会把带宽资源占满，导致用户上网体验差，甚至断网。
ARP攻击防范
在局域网中，ARP病毒、ARP欺骗都是常见的手段，通过ARP报文本身的漏洞，如攻击者伪装成PC发送ARP报文，与交换机建立错误的IP-MAC映射表，导致真实用户无法接收与发送数据，间接断网，为了防范ARP攻击，需要在核心交换机对设备安全进行配置如DHCP Snooping，还需要在接入终端安装杀毒软件，需要每位同事的计算机都安装360杀毒/电脑管家。

综上所述，提出如下整改方案

在接入计算机时，建议尽量少使用或者不使用此类小交换机
保证局域网中每台计算机都需要安装杀毒软件，并启用网络流量防火墙（以防范ARP攻击）
在核心交换机配置一些功能来保护链路（如DHCP Snooping）
在对网络线路更改时，必须经过我这边的同意才可以。

小交换机统计及拉网线长度

统计小交换机数量共8个，财务室1个，运营部3个，前台1个，电商市场部2个，设计部1个。
拉网线的数量15条，网线的总长度约430米，其中每条分布如下：
财务部–> 开票主机1条10米
运营部–>丁俊杰3条10米
运营部–>黄伟涛1条25米
设计部–>傅艺萍1条20米
电商市场部–>张琦2条35米
电商市场部–>陈丽芬5条35米
人力行政部 —>前台2条30米

施工费用预算及施工时间

超5类网线的1米费用是2.5元，合计1075元，
机房的接入层交换机端口不够使用，需要采购一台接入层交换机，型号：华三（H3C）24口全千兆企业级交换机智能网管网络交换器 S5120V2-28P-LI，京东价：1528元/台。
施工时间预计1天时间，可选择周末施工。

生成树的TC报文导致网络丢包