如何解决局域网广播风暴

晚唐诗人许浑曾写过一首诗《咸阳城东楼》，其中有一句名句，被传诵千古：山雨欲来风满楼。

“山雨欲来风满楼”，是全诗的警句。周围的群山，雨意越来越浓，大雨即将到来，城楼上，已是满楼的狂风。全句只有寥寥七个字，却十分形象地写出了山城暴雨即将来临时的情景，使读者仿佛身临其境一般。因为这里作者准确地抓住了暴雨到来前狂风满楼的这种自然界变化的特点。但是，作者并不仅仅只是写自然界的变化，而是包含着另外一层意思。

其实，不仅在自然界中有“山雨欲来风满楼”，在由比特组成的数字虚拟世界中，同样也存在“山雨欲来风满楼”的情景。这，就是网络中的广播风暴。广播风暴你也许没有听说过，但，你或多或少曾经遇到过广播风暴。

本文将就广播风暴的定义、原因、以及应对手段等方面做一番阐述。

什么是广播风暴

一个数据帧或包被传输到本地网段 (由广播域定义)上的每个节点就是广播;由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪。这就是广播风暴。

网络设备的基础知识

不论干什么，知其然，还要知其所以然。 我们必须了解一下网络设备的工作原理，才能有效理解网络的广播风暴的发生原因，才能有针对性的去解决广播风暴。目前，局域网中的网络设备，基本上都是交换机。

交换机是一种基于mac(网卡的硬件地址)识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”mac地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

集线器(hub)属于数据通信系统中的基础设备，它和双绞线等传输介质一样，是一种不需任何软件支持的硬件设备。它曾被广泛应用到各种场合。集线器在局域网环境同网卡一样，应用于osi参考模型第一层，因此又被称为物理层设备。集线器内部采用了电器互联，当维护局域网的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。在这方面，集线器所起的作用相当于多端口的中继器。其实，集线器实际上就是中继器的一种，其区别仅在于集线器能够提供更多的端口服务，所以集线器又叫多口中继器。

但现在，集线器在很多场合中，已经被交换机取代。

交换机和集线器看起来很相似，但它们还是有本质的区别。唯有了解这些区别，我们才能不难理解为什么在交换机环境中也会发生网络广播风暴。

用集线器组成的网络称为共享式网络，而用交换机组成的网络称为交换式网络。共享式以太网存在的主要问题是所有用户共享带宽，每个用户的实际可用带宽随网络 用户数的增加而递减。这是因为当信息繁忙时，多个用户可能同时“争用”一个信道，而一个信道在某一时刻只允许一个用户占用，所以大量的用户经常处于监测等待状态，致使信号传输时产生抖动、停滞或失真，严重影响了网络的性能。

产生广播风暴的原因

一般情况下，产生网络广播风暴的原因，主要有以下几种：

1、网络设备原因：我们经常会有这样一个误区，交换机是点对点转发，不会产生广播风暴。在我们购买网络设置时，购买的交换机，通常是智能型的Hub，却被奸商当做交换机来卖。这样，在网络稍微繁忙的时候，肯定会产生广播风暴了。

2、网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除，由于损坏的网卡一般还能上网，我们一般借用Sniffer局域网管理软件，查看网络数据流量，来判断故障点的位置。

3、网络环路：曾经在一次的网络故障排除中，发现一个很可笑的错误，一条双绞线，两端插在同一个交换机的不同端口上，导致了网络性能骤下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中，现在的交换机(不是HUB)一般都带有环路检测功能。

4、网络病毒：目前，一些比较流行的网络病毒，Funlove、震荡波、RPC等病毒，一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播，就会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。

如何解决广播风暴

网络分段通常被认为是控制网络广播风暴的一种基本手段。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。由于信道冲突和广播风暴发生在网络的不同层次，相应地就产生了不同层次的网络分段方法。

一、在数据链路层进行网络分段

信道冲突问题是局域网中各站点共享传输信道所造成的，以太网技术就是其中最典型的例子。在运用该技术的网络中，各站点采用csma/cd介质访问控制方法获取对信道的控制，网络中的所有站点共享网络带宽，在重负载的情况下，由于信道冲突(collision)的急剧增加，网络性能明显下降。早期的网桥技术和目前非常流行的以太网交换技术都是在网络的第二层进行网络分段，从而在不同程度上对网络中的信道冲突问题加以解决。

1.利用网桥技术进行网络分段

在局域网发展的初期，一个大型的局域网被网桥分成若干个小的网段，在每一个网段中，所有站点共享网络带宽。由于各网段中的站点数量相对于整个局域网而言少得多，因而减少了信道冲突。网桥技术虽然在一定程度上解决了信道冲突的问题，但是在同一网段中的各站点依旧共享该网段的带宽。随着入网用户的增加，由于网络站点共享信道的本质并未改变，因此信道冲突问题仍然存在。然而，交换技术的出现成功地改变了这一局面。

2.利用交换技术进行网络分段

交换技术主要包括帧交换和信元交换两种类型。其中帧交换(frameswitch)与传统局域网技术中所采用的数据帧格式基本一致，帧交换最主要的应用是交换式以太网技术。而信元交换(cellswitch)最主要的应用是atm网络技术，它与传统的网络技术有很大的差异，具有良好的性能。由于价格和标准不统一等因素的制约，atm技术目前的普及程度尚不如交换式以太网技术。

交换式以太网技术是近年来迅速发展起来的一种网络新技术。交换式以太网技术采用了与传统的网桥相类似的工作机制。与网桥所不同的是，连接至交换机的不是网段而是网络站点。当以太网交换机从一个端口收到数据帧后，并不像传统的共享式集线器那样简单地将信号转发至所有端口，而是对数据帧中所包含的mac地址进行分析，并利用交换机中的端口-mac地址映射表将数据帧转发至相应的端口。因此各端口独自享有10m、100m乃至1000m的的网络带宽，从而解决了信道的冲突，缓解了网络带宽不足的问题。

二、在网络层进行网络分段

广播风暴(broadcaststorm)是由于网络中的广播数据包过多而造成网络通信性能下降的现象，它的形成与网络中所使用的网络层协议和站点的数量有关。

虽然网桥和交换机都能够解决信道冲突，但对于广播风暴却束手无策。其原因在于它们只是利用了mac地址对数据链路层的数据帧进行了转发，而对于网络的高层协议而言则是透明的。因此，通过网桥和交换机组成的网络仍属于同一个广播域(在不考虑虚拟网的情况下)，网络中任何一个站点发出的广播数据包都可被其它站点所接收。因此网桥和交换机不能抑制广播风暴。

路由器的出现早于以太网交换机，它工作在网络的第三层(网络层)。路由器利用网络分组中包含的网络地址，通过寻径表来决定将网络分组转发至哪个网络。路由器可以区分一些常见的网络层协议，如ip、ipx和decnet等协议。连接至路由器的网段分属于不同的广播域，一个广播域内的广播数据包不会穿透路由器到达另一个广播域。因此路由器可以在一定程度上抑制广播风暴。

三、第二层分段与第三层分段的应用

同网桥和交换技术相比较，路由器在网络的更高层次实现网络分段，可以在一定程度上解决广播风暴问题。但是，路由器技术非常复杂，成本也更高。特别是在安装的初始阶段要进行大量的手工配置，而交换机则无需进行太多的配置就可以使用。同交换机基于硬件的数据交换不同，由于路由器大量采用了软件技术，在转发网络分组时造成了较大的延时，因此路由器的工作速度远不如交换机。在实际的网络环境中，路由器和交换机在各自的领域进行着网络分段。

如果单位中各部门的位置较为集中(通常在一栋建筑物内)，并且允许将整个网络系统设计为单一的广播域，则可以采用以交换机为中心的网络主干结构。采用这种结构的网络，充分利用了交换技术的特点，部门之间的信息交换通过主干交换机进行，部门用户和信息中心服务器组存在直接连接，因此可以保证足够的网络带宽。但是，由于该结构是单一广播域，因此广播数据包会穿透主干交换机到达其它部门，有可能形成广播风暴。

对于单位中各部门的地理位置较为分散，或者由于安全性等原因不允许设计成单一广播域结构的情况，可以采用以路由器为中心的网络主干结构。采用这种结构的网络，通过路由器将各部门划分成独立的子网，形成各自的广播域。部门之间的信息交换通过主干路由器进行，因此各子网的广播数据包不会穿透路由器到达其它部门。但是部门用户和信息中心服务器组之间由于路由器的存在而不存在直接连接，访问速度会受到一定的影响。

当前，随着入网用户和对网络带宽需求的不断增加，传统的网桥和路由器已显得“力不从心”，而vlan(虚拟局域网)和第三层交换等网络新技术则为我们提供了更多和更加有效的网络分段方法。

四、利用vlan进行网络分段

为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。

目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。

在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS)，也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。

无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。

五、利用第三层交换技术进行网络分段

第三层交换是，在网络交换机中引入路由模块而实现交换与路由相结合的网络技术。它根据实际应用时的情况，灵活地在网络第二层或者第三层进行网络分段。在具体讨论该技术之前，我们先回顾在一个由交换机和路由器组成的网络中站点是怎样通过ip进行通信的。

首先，要发送信息的站点根据子网掩码分析信宿的ip地址，如果信宿机和信源机在同一个ip子网内，则信源机发出arp数据包以获取信宿机的mac地址，在获取了该mac地址后，信源机向信宿机发送ip数据包。如果信宿机和信源机不在同一个ip子网内，则信源机将ip数据包发送至ip子网中的默认路由器。路由器通过对信宿ip地址进行分析，并和路由器寻径表进行比较，以确定如何转发该数据包。

在利用了第三层交换技术的多层交换机中，交换机具有第二层交换模块和第三层交换模块。第二层交换模块应具有虚拟局域网功能，将连接在多层交换机的网络站点划分成若干个虚拟局域网。多层交换机的第三层交换模块具有一个或者多个ip地址和mac地址，形成了若干逻辑路由器端口。它的功能类似于将几个局域网连接在一起的路由器，而挂接在逻辑路由器端口的是由第二层交换模块所构成的虚拟子网。通过多层交换机连接的网络站点通过下述步骤进行通信。

要发送信息的站点，首先根据子网掩码分析信宿的ip地址，如果信宿机和信源机在同一个虚拟子网内，则信源机发出arp数据包以获取信宿机的mac地址，在获取了该mac地址后，信源机向信宿机发送内嵌ip数据包的以太网数据帧，在该数据帧到达多层交换机后，多层交换机的第二层交换模块通过mac地址-端口映射表确定将该具有信宿机mac地址的数据帧转发至哪一个端口。在此过程中，只是利用了多层交换机的第二层交换模块。

如果信宿机和信源机不在同一个ip子网内，则信源机将ip数据包发送至ip子网中的默认路由器，而这个所谓的默认路由器就是多层交换机的第三层交换模块。因此，当站点广播arp数据包以获取默认路由器的mac地址时，多层交换机将回答第三层交换模块中与该虚拟子网对应的逻辑路由器的mac地址。因此信源机所发送的数据被第二层交换模块转发至第三层交换模块。第三层交换模块根据ip数据包中信宿机的网络地址将其转发至对应的逻辑路由器端口，数据包通过逻辑路由器端口到达第二层交换模块后,再根据mac地址-端口映射表将数据转发至对应的交换机端口。