以太網中的交換機之間存在不恰當的端口相連會造成網絡環路，如果相關的交換機沒有打開STP功能，這種環路會引發數據包的無休止重復轉發，形成廣播風暴，從而造成網絡故障。我們在校園網的維護過程中多次遇到過這種故障，其中有一次排除故障的過程令我們印象深刻。
故障描述
一天，我們在校園網的網絡運行性能監控平臺上發現某棟摟的VLAN有問題—其接入交換機與校園網的連接中斷。檢查放置在網絡中心的匯聚交換機，測得與之相連的100BASE-FX端口有大量的入流量，而出流量卻非常小，顯得很不正常。然而這臺匯聚交換機的性能似乎還行，感覺不到有什么問題。于是，我們在這臺匯聚交換機上鏡像這個異常端口，用協議分析工具Sniffer來抓包，最多時每秒鐘居然能抓到10萬多個。對這些數據包進行簡單分析，我們發現其中一些共同特征（如圖1所示）。

圖1  抓包數據

絕大部分的包長為62字節（加上4字節的差錯檢測FCS域即為66字節），TCP狀態為SYN。
源IP為其他網段的IP、目的IP均為該樓網段的IP。
盡管源IP地址不同，但源MAC地址卻是一樣的。
目的IP地址和目的MAC地址與在這臺匯聚交換機上綁定該樓VLAN的IP-MAC參數一致。
實際的數據流向（流入）與這些數據包中的源IP地址和目的IP地址所確定的流向（流出）相反。
當時，我們急于盡快搶修網絡，沒去深究這些數據包的特征，只看到第1點就以為網絡受到不明來歷的Syn Flood攻擊，估計是由一種新網絡病毒引起，馬上把這臺匯聚交換機上的該端口禁用掉，以免造成網絡性能的下降。

回書目   上一節   下一節