以太網中（zhōng）的（de）交換機之間存（cún）在不恰當的端口相連會（huì）造成網絡環（huán）路，如果相關的交換機沒有打開STP功能，這種環路會引發數據（jù）包（bāo）的（de）無（wú）休止重複轉發，形成廣播風暴，從（cóng）而（ér）造成網絡故障。

　　一天，我們在校園網的網絡運行性能監控（kòng）平台上發現某棟摟的VLAN有問題——其接入交換機與校園網的連接中斷。檢查放（fàng）置在網絡中心（xīn）的匯聚交換機，測得與之相連的100BASE－FX端口有（yǒu）大量的入流量，而出流量卻非常少，顯得很不正常。然而這台匯聚交換機的性能似乎還行，感覺不到有什麽問題。於是（shì），我們在這台匯聚交（jiāo）換機上鏡像（xiàng）這個異常端口，用協議分析工具Sniffer來（lái）抓包，最多時每秒鍾居然能抓到10萬（wàn）多個。對這些數（shù）據包進（jìn）行簡單分析，我們（men）發現其中一（yī）些共同特征。

　　當時，我們（men）急於盡（jìn）快搶修網絡，沒去深（shēn）究這些數據包（bāo）的特征，隻看到第1點就以為網絡（luò）受到不明來曆的Syn Flood攻擊，估計是由（yóu）一種新網絡病毒引起，馬上把這台匯聚交換機上該端（duān）口禁用掉，以免造成網絡性能的下降。

　　故障排除

　　為了能在現場測試網絡的連通性，在網絡（luò）中心，我們把連（lián）接那棟大樓接入交換機的多模尾纖經光電轉換（huàn）器用雙絞線連到一台PC上，並將其模擬成那個問題（tí） VLAN的網關。然後，到現場找來大樓網管員，想讓他（tā）協助（zhù）我們盡快把感（gǎn）染（rǎn）了未知病毒的主機查到並隔離。據大樓網管員反映，昨天（tiān）網絡還算正常，不過（guò），當時（shí）本大樓某部門正在（zài）做網絡調整（zhěng），今天上班就發現網絡不行了，不知跟他（tā）們有沒有關係（xì）。我們認為調整網絡應該跟感染病毒（dú）關係不大。在大樓主配線間，我們把該接入交換機上的（de）網線都拔掉，接上手提電腦（nǎo），能連通網絡中心的測試主機。我們確認鏈路沒問題（tí）後，每次（cì）將剩餘網線數（shù）量的一半插回該交換機，經（jīng）測試沒問（wèn）題則如是繼續下去，否則換插另一半，逐漸縮小懷疑有問題網線的數量。我們最終找到一條會引起問（wèn）題的網線，隻要（yào）插（chā）上這根（gēn）網線，該大樓網絡就會與模擬網關中斷連接。經（jīng）大樓網管員辨認，這條網線是連接昨天在做網絡調整（zhěng）的那個部門的。他還說以前該部（bù）們拉了一主一備兩條網線，應（yīng）該還有一條，並親自在那台交換機上把另一（yī）條找了出來。隨意插上這兩條網線中的一條，網絡沒（méi）問題，但隻要同時插上（shàng），就有問題，哪有在一台交換機上同時插上兩條網

　　線才會激（jī）活網絡（luò）病毒的SYN Flood攻擊的（de）？這時我們倒是覺得這種現象更像是（shì）網絡中有環路。我們到了那個部門發現有三台非管（guǎn）理型交換機，都是串在一起的（de），然而其中兩台又（yòu）分別通（tōng）過那兩條網（wǎng）線與（yǔ）接入交換機相連，從而導致了網絡環路。顯然是施工人（rén）員對網絡拓撲不清楚，當時（shí）大樓網管（guǎn）員有事（shì）外出，就自以（yǐ）為是地（dì）把（bǎ）線接錯了，從而造成了這起網（wǎng）絡事故。原因找到（dào）就好辦了，隻需拔掉其中一條上（shàng）聯網線即可恢複網絡連通（tōng）。 經過（guò）一番（fān）周（zhōu）折，網絡恢（huī）複了正常，但我們還一（yī）直（zhí）在想，是什麽幹擾了我們的判斷呢？

　　故障分析

　　一起典型的網絡環路故障，用協議分析工（gōng）具Sniffer抓了這麽多的（de）數據包，經過一番分析卻沒看出問題來。顯然，第一眼看到大量的SYN包讓我們產生了錯覺（jiào），想當然地就以為是SYN Flood攻（gōng）擊。事後，我們就這起網絡環路故障排除過程做（zuò）了檢討，重新仔細（xì）地分（fèn）析（xī）抓回來（lái）的這（zhè）些數據包，據此解釋一下前麵提到這些數據包所具有的5個共同特征，以便今後遇到同（tóng）類問題時能及時作出正確的反應。先看前4個特征：匯聚交換機是（shì）網絡層設備，該大樓（lóu）所屬VLAN的網（wǎng）絡層（céng）接口就設置在這台匯（huì）聚交（jiāo）換機上，出於實施（shī）網絡管（guǎn）理策略的需要，對已注冊或沒注冊的（de） IP地址都進（jìn）行了MAC地（dì）址的綁定（dìng）。TCP連接要經過3次握手才（cái）能（néng）建（jiàn）立起來，在這裏發（fā）起連接（jiē）的SYN包長度為28個字節，加上14個字節的以太幀頭部和 20個（gè）字節的（de）IP報頭，由Sniffer捕獲到的幀長度共為62個字節（不包（bāo）含4字節的（de）差錯檢測FCS域）。恰巧當時訪（fǎng）問該VLAN的單播幀是來自（zì）外網的 TCP請求包，根據以（yǐ）太網橋的轉發機製（zhì），通過CRC正確（què）性檢測（cè）後，因已做靜（jìng）態ARP配置，這台匯聚交換機（jī）會將該單（dān）播幀的（de）源MAC地址轉換成（chéng）本機的MAC地址，其目的MAC地址依據綁定參數來更換，並重新計算CRC值，更新FCS域，經過這樣重新封（fēng）裝後，再轉（zhuǎn）發到那棟樓的接入交換機。

　　再看最後1個特征：網（wǎng）橋是（shì）一種存（cún）儲轉發設備，用來連接相（xiàng）似的局域網。這些網橋在所有端口（kǒu）上監（jiān）聽著傳送過來的每一（yī）個數據幀（zhēn），利（lì）用（yòng）橋接（jiē）表作為（wéi）該數據幀的轉發依據。橋接表是MAC地址和用於到（dào）達該地址的端口號的一個“MAC地址－端口號（hào）”列表，它利用數據幀的源MAC地址和接收該幀的端口號來刷新。網橋是這樣來使用橋接表的：當網橋從一個端口接收到一個數據幀時，會先（xiān）刷新橋接（jiē）表，再在其（qí）橋接（jiē）表中查找該幀的目的（de）MAC地址。如果找到，就會從對應這個MAC地址的端（duān）口轉發該幀（如果這個轉發端口與接收端口是（shì）相同，就會丟棄該幀）。

　　如果找（zhǎo）不到，就會向除了接收端口以外（wài）的其他端口轉發該幀，即廣播該幀。這裏假定在整個（gè）轉發過程中，網橋A、B、C和D都在其橋接表中查找不到該數據幀的目的（de）MAC地（dì）址，即這些網橋（qiáo）都不知道應該從哪個端口（kǒu）轉發該幀。當網橋A從（cóng）上聯端口接收到一個來自上遊網絡的單播幀時，會廣播該（gāi）幀，網橋B、C收到後也會廣播該幀，網橋D收到（dào）分別來（lái）自網橋（qiáo）B、C的（de）這個單播幀，並分（fèn）別經網橋（qiáo）C、B傳送回網橋 A，到此網（wǎng）橋A收（shōu）到了該單播幀的兩個副本。在這樣的循環轉發過程中，網橋A不停地在不同端口（這時已（yǐ）經不涉及上（shàng）聯端口了）接收到（dào）相同的幀，由於接收端口在改變，橋接表也在改變“源MAC－端口（kǒu）號”的列表內容。前麵已經假定網橋的橋接表中沒有該幀的（de）目的（de）MAC地（dì）址，網橋A在分別收到這兩個單播幀後，都隻能再次向除了（le）接收端口以外的其他端（duān）口廣播該幀（zhēn），故（gù）該幀也會向（xiàng）上聯端口轉發。

　　就每個單播幀（zhēn）而言，網橋（qiáo）A重複前麵提（tí）到的過程，理論上，廣播一次會收到21個幀，廣播兩次（cì）就會收到22個幀，…，廣播到第（dì）n次（cì）就會收到2n個（gè）幀。總之，網橋A照這（zhè）樣轉發下去，很快就會形成廣播風暴，這個單（dān）播幀（zhēn）的副本最終會（huì）消耗完100BASE-X端口帶（dài）寬。盡管在這期間上聯端口會有許多數據幀（zhēn）在相互碰撞而變（biàn）的不完整，令Sniffer捕獲不到（dào），但可以想象（xiàng）得到這個單播幀的重複出現次數仍然會非常多。我們再次檢查（chá）那（nà）些抓回來的數據包，幾乎都發現有當時沒有（yǒu）注意到的重複標誌。按64字節包長來計算，以太網交換機的100BASE-FX端口轉發線速可（kě）達144000pps。在這種網絡環路狀態下， Sniffer完全有（yǒu）可能每（měi）秒抓到10萬多個包長為66字（zì）節的（de）數據包。

　　基於上述理由，由於當時那4台交換機的（de）橋接表中都沒有該包的目的MAC地址，處於上遊網絡的這台（tái）匯聚交換機向該大樓發送（sòng）了一個TCP請求包後，就會（huì）不斷地收（shōu）到由該大樓接（jiē）入交換機轉發回來的（de）該TCP包的副本，而且數量非常地多（形成大流量），然而，它並不會把接收（shōu）到的這些包重發回去；Internet 的網絡應用是基（jī）於請求/應答模式（shì）的，隻有發送/接收兩條信道都暢通，才能進行端到端的通信。一旦本（běn）次網絡應用中有一條信道被堵塞（sāi）了，就會（huì）使得該應用因無（wú）法進行而結束。網絡應用結束後，一般來說，發起請求一方不會就本次（cì）應用再次（cì）自動發出請求包。於是（shì），在網絡（luò）環路狀態（tài）中普（pǔ）遍會有一條信道有大流量，另一條信道幾乎沒有流量的（de）現象。因為VLAN有隔離廣播（bō）域的功能，這些（xiē）大流量不會穿（chuān）越網絡層，所以不會對（duì）匯聚交換機造成很大壓（yā）力。事實上，由於（yú）這種網絡環路是數據鏈路層上的故障（zhàng），隻涉及到源MAC地（dì）址和目的（de）MAC地址，不管高層封裝的是什麽類（lèi）型的包都有可能引（yǐn）起廣播風暴。也就是說，當時用Sniffer抓到各種各樣的數據包都是有可能的。

　　故障預防

　　校園網的接入層是麵向用戶的網絡界麵，有許多不可控的成分，情況很複雜，應由專人管理，也應在設備上給予可靠性保證。本摟接入交換機是可管理型（xíng）的，有STP功能，其他交換（huàn）機都（dōu）是非管理型（xíng）交換機，沒有STP功能。本來事先在該接入交換機上配置了（le）STP功（gōng）能，這起網絡事故是完全可以避免的，但不（bú）知何故沒有這樣做，事後再做隻能（néng）權（quán）當“亡羊補牢”了。由此（cǐ）可（kě）見，即使接入交換機打開了STP功能，下遊網絡也會因某種原因構（gòu）成環路，產生（shēng）廣播風暴，造（zào）成對上遊網絡本（běn）VLAN的衝擊，故該接入交換機還應有廣（guǎng）播包抑製功能，以便能將影響限製在局部範圍（wéi）內。對於下遊網絡的交換機同（tóng）樣有這些需求，隻是成本問題而已。一句話，在網絡故障排（pái）除時，技術和經驗固然重要，但在平（píng）時就要注意（yì）維護網絡（luò）的規範連接、落實基本的防範（fàn）措施更為重要。