用交换机wifi防止网络风暴

A. 局域网内出现网络风暴，该怎么解决

网络风暴的产生有多种原因，如蠕虫病毒、交换机端口故障、网卡故障、链路冗余没有启用生成树协议、网线线序错误或受到干扰等，其常见的产生网络风暴的原因及解决方法如下：

1、网线短路。

（1）产生原因：压制网线时没有做好，或者网线表面有磨损导致短路，会引起交换机的端口阻塞。当网线发生短路时，该交换机将接收到大量的不符合封装原则的包，造成交换机处理器工作繁忙，
数据包来不及转发，从而导致缓冲区溢出产生丢包现象，导致广播风暴。

（2）对策：使用MRGT等流量查看软件可以查看出现短路的端口，若交换机是可网管的，可以通过逐个封闭端口来进行处理查找，进而找到有问题的网线，找到短路的网线后，更换一根网线。

2、接入层拓扑环路。

（1）产生原因：当网络中存在环路，就会造成每一帧都在网络中重复广播，引起广播风暴。

（2）解决方案：在接入层启用树生成协议，或者在诊断故障时打开树生成协议。

3、计算机网卡损坏或者交换器端口损坏。

（1）产生原因：当计算机网卡损坏或者交换器端口损坏，交换机端口不断产生大量的广播报文，会使交换机有一个端口传输速率非常缓慢，广播包阻塞不能及时发出。

（2）对策：可将正常的计算机接到有问题的端口上，若故障解决，则是原先计算机的网卡损坏或网络故障所致，更换新网卡并检测线路及网络配置即可解决。若故障依旧，则说明原先计算机的网卡未损坏，则是交换机的该端口已损坏，应检查并确认该端口的指示灯是否正常。

4、 蠕虫病毒。

（1）产生原因：当网络中某计算机感染蠕虫病毒时，如Funlove、震荡波、RPC等病毒，如果查看该网卡的发送包和接收包的数量时发现发包数在快速增加，则说明该计算机感染了蠕虫病毒，通过网络传播，损耗大量的网络带宽，引起网络堵塞，导致广播风暴。

（2）对策：为每台计算机安装杀毒软件，并配置补丁服务器（WSUS）来保证局域网内所有的计算机都能及时打上最新的补丁。

5、arp攻击。

（1）产生原因：攻击者发送大量的ARP请求包，阻塞正常网络宽带，使局域网中有限的网络资源被无用的广播信息所占用，造成网络拥堵。

（2）对策：激活防止ARP病毒攻击，在路由器中打开该选项，或者为计算机安装防范ARP攻击的软件，如360安全卫士的局域网ARP攻击拦截的保护功能等，对局域网内每一台计算机绑定网管的IP和其mac地址等。

(1)用交换机wifi防止网络风暴扩展阅读：

网络风暴的预防措施

1、做好网络病毒的预防工作

在允许的前提下为各终端安装杀毒软件，将计算机系统中一些不必要的网络服务暂时停止掉，将使用不到的网络端口关闭掉，对于U盘等存储设备的使用应当专网专用，尽量切断病毒的跨网传播途径。

2、启用生成树协议，做好网络拓扑图

当网络里有链路存在环接现象，就会导致广播数据帧在网络中重复产生，引起广播风暴，应提前开启交换机中的STP协议。另外，应建立完善的各项文档资料，包括：网络布线图、网络拓扑图、IP-MAC地址对应表等，避免在对现有网络进行变动时造成网络环路。

3、划分VLAN

通过划分vlan，做到每用户每vlan，尽量减少广播域。在同一个Vlan中，所有设备都是同一个广播域的成员，并接收所有的广播，所有的端口都会对广播数据进行过滤。因此，通过VLAN的划分可以有效地缩小广播风暴产生的范围，也能够在产生广播风暴时得到更准确的定位，减少排故时间。

B. 路由器连接交换机如何防止广播风暴

h3c 指定 dhcp server 防止非法dhcp服务DHCP Snooping
时间:2011-01-29 15:22来源:未知 作者:admin 点击:179次
‘配置环境参数’ 1. DHCP Server 连接在交换机 SwitchA 的 G1/1 端口，属于 vlan10 ， IP 地址为 10.10.1 .253/24 2. 端口 E0/1 和 E0/2 同属于 vlan10 ‘组网需求’ 1. PC1 、 PC2 均可以从指定 DHCP Server 获取到 IP 地址 2. 防止其他非法的 DHCP Server 影响网络中的主机 ‘交换机 DHCP-Snooping 配置流程’ 当交换机开启了 DHCP-Snoopin
‘配置环境参数’
1. DHCP Server连接在交换机SwitchA的G1/1端口，属于vlan10，IP地址为10.10.1.253/24
2. 端口E0/1和E0/2同属于vlan10

‘组网需求’
1. PC1、PC2均可以从指定DHCP Server获取到IP地址
2. 防止其他非法的DHCP Server影响网络中的主机

‘交换机DHCP-Snooping配置流程’
当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

【SwitchA相关配置】
1. 创建（进入）VLAN10
[SwitchA]vlan 10
2. 将端口E0/1、E0/2和G1/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3. 全局使能dhcp-snooping功能
[SwitchA]dhcp-snooping
4. 将端口G1/1配置为trust端口，
[SwitchA-GigabitEthernet1/1]dhcp-snooping trust

【补充说明】
由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文――”dhcp offer”报文，由G1/1端口进入SwitchA并进行转发，因此需要将端口G1/1配置为”trust”端口。如果SwitchA上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为”trust”端口。

C. 隔绝网络风暴的设备 答案里有个交换机和路由器 应该选那个

选路由器。网络风暴不会扩散到其他网段，用路由器将网络划分成几个网段，便可将网络风暴隔绝在某一网段里。

D. 网络广播风暴产生的原因以及如何避免

产生原因：当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。一个数据帧或包被传输到本地网段 （由广播域定义）上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。

解决网络广播风暴最快捷的方法是给集线器断电然后上电启动即可，但这只是治标不治本的方法，要彻底解决，最好使用交换机设备，并划分VLAN、通过端口控制网络广播风暴。

E. 无线路由器会引起广播风暴，怎样规避

路由器隔离广播风暴的原理：其实很简单，路由器不会将某个接口收到的广播包转发到另外一个复接口所在的网络，因此，一个网段内的广播风暴不会对另一个网段造成任何影响，但是划分子网可就未必了，因为如果只是在同一个物理网络中划分的子网：比如192.168.0.0/24和192.168.1.0/24这两个网段中间并没有路由制器的分割都是直接通过交换机相连的话，一旦某一台主机大量发送广播包，所有网段主机的数据通讯都会受到影响，和在一个网段的情形一样。
广播风暴（broadcast storm）简单的讲是指当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行知，甚至彻底瘫痪，这就发生了“广播风暴道”。一个数据帧或包被传输到本地网段 （由广播域定义）上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。

F. 网络风暴的预防

（以CISCO catalyst switch为例）
1、首先使用网管分析你网络的baseline，这样可以明确你的网络当中正常情况下的广播包比例是多少。
2、绝大多数交换机都支持广播风暴抑制特性，配置了这个特性以后，你可以控制每个端口的广播包维持在特定的比例之下，这样可以保留带宽给必须的应用。
配置：（以CISCO catalyst switch为例）
Int XX
storm-control broadcast level 20.00
switch#sh storm
Interface Filter State Level Current
--------- ------------- ------- -------
Fa1/0/1 Forwarding 20.00% 0.00%
3、针对缺省STP配置无法排除的网络环路问题，利用STP的BPDUguard特性来预防广播风暴。此种环路情况示意图如下：
switch——hub（portA——portB）
Switch启用了STP，而hub则被人有意无意的用一根网线联起来，导致引起了环路。SWITCH的端口不会收到其他交换机或本交换机其他端口的 BPDU，不会触发该端口的STP决策过程，也就不可能blocking该端口，这样就会引起广播风暴。我们可以利用CISCO STP的BPDUguard特性来预防这一点。
int xxx
spanning-tree bpguard enable
值得注意的是bpguard可以在全局下配置，也可以在每端口的基础上配置。如果在全局下配置，则只对配置了portfast的端口起作用，如果在端口下配置，则不用配置portfast。

G. 实战VLAN故障 如何避免网络风暴

前几天，笔者所在单位网络突然出现大面积瘫痪故障，并导致单位业务无法正常运转。经过一番的努力，查出的原因是一个工作人员把两个不同网络同时接入到一台普通的交换机上，导致交换机内引起的网络风暴。大多数人认为只要网络内使用VLAN规划，在网络内就不会造成网络风暴。而其实并随人愿，从这次网络故障中，有许多东西需要我们认真的反思?理清头绪有许多分支机构反映网络连接情况时通时断，网上邻居有时也不能互访，由于故障用户分布在多个节点，故障点又不集中，很难判断故障的根源?刚开始以为是信息量过大交换机的端口堵塞，把交换机、服务器重启了N遍，还是不行。然后从服务器上杀毒，然后把各个交换机关掉，对每台机器杀毒，可是故障仍然存在。在Ping网络中的部分服务器或计算机时，依旧丢包，网络时断时续。造成每一帧都在网络中重复广播，引起了广播风暴。 从上述故障现象上看，不是我们直接能够看出来的故障根源，而是要通过仔细观察发现的。首先要询问当事人当时发生的故障现象，来判断是网络故障还是终端故障?快速地定位故障来源。比如，这次故障是一次人为所造成的。如果当事人不能告诉你他所做的操作，你需要很长时间找到问题的根源。我们知道VLAN的确使得将网络业务进行隔离成为可能，这些业务共享同一交换机甚至共享一组交换机。但是交换机的设计者们在把这种隔离功能加入到产品之中时，优先考虑的并不是安全问题。VLAN的工作原理是限制和过滤广播业务流量，不幸的是，VLAN是依靠软件和配置机制而不是通过硬件来完成这一任务的。 网络行为管理和维护策略1、合理划分VLAN ：进行了细致的VLAN划分，防止大规模的病毒爆发和扩散，减少故障影响的范围。VLAN划分的基本原则：集中办公的楼宇建筑，按层次划分;分散办公的区域，按整动楼宇和功能区域进行划分。 2、建立域管理：建立域控制器，并规定所有办公电脑必须加入域，接受域控制器的管理，同时严格控制用户的权限。员工帐号只有标准user权限。不允许信息系统管理员泄露域管理员密码和本地管理员密码。在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中，普通员工只具备标准的user权限，实际上是对该员工办公环境的非常实际有效的保护。办公PC必须严格遵守OU命名规则，同时实现实名负责制。指定员工对该PC负责，这不但是固定资产管理的要求，也是网络安全管理的要求。对PC实施员工实名负责是至关重要的，一旦发现该员工电脑中毒和在广播病毒包，信息系统管理员能准确定位，迅速做出反应，避免扩大影响。 3、PC维护包干到户 ：信息系统管理员在实际工作中可能存在拿本地管理员权限作为人情，这其实是一种自杀行为。任何一个具备管理管理员权限的员工，即使是信息系统管理员，使用Administrator权限上网，稍有不慎，便掉入网络陷阱。为避免这种情况，对PC维护人员，采取区域包干到户的管理，同时区域负责人的域用户帐号具备该区域内所有办公电脑本地管理员的权限;如果区域负责人他愿意增加本地电脑管理员权限，增加的风险和工作量将由他自己承担。另外所有的办公电脑本地管理员密码由域控制器负责人掌握、设定或变更。 4、接入网络的计算机必须接受信息中心的管理 ：通过DHCP服务器的配合，在DHCP服务器上根据办公电脑网卡的MAC地址固定某些办公电脑的IP，在防火墙上设置相关的策略，允许经信息中心核准的某些IP组可以在本机上直接访问Internet，或某些IP组只能连接局域网的应用服务器，对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP，不允许访问Internet和Internat，只能单机使用。

H. 交换机组成的网络有网络风暴吗

网络风暴跟多少台电脑没有直接的关系。比如ARP病毒，二层环路都会产生网络风暴。
网络风暴通限定在一个广播域内/VLAN域内发生。路由器可以终结广播，因为路由器是不转发广播包的。
如果是不小心将网线的两端都插入同一交换机，检查一下线路吧。当然，如果你的交换机支持STP，那就不用担心此问题了。
另外，检查局域网的主机是否有ARP病毒或人为的攻击。清除之
还有划分VLAN可以缩小网络风暴的发生范围。

______________________________________
对补充问题的回答：
不会的。比如某台服务器有两个甚至三个网卡，都接在同一交换机上。同样，笔记本的无线网卡和有线都连上。这些都不会发生二层环路。

I. 工业以太网交换机怎么防止网络风暴

这个故障描述有些简单，一般来说，更换备件不会出现网络风暴。
网络风暴的原因来源于数据包的泛洪，一般来说，组播包、广播包、DLF包（未知目的）包会引起网络风暴。网络风暴的大部分原因在于交换机有环路，我们知道交换机是工作于数据链路层上，是基于MAC地址进行通信，它的转发和交换基于一张MAC地址表，用它标识MAC地址和交换机端口的对应关系，由于MAC地址表的建立是靠交换机的MAC地址学习来实现的，所以如果MAC地址出现被反复学习的时候就会出现网络风暴。
防止网络风暴可以采取以下思路：
1、隔离冲突域，把大环改成小环，把风暴隔离于小范围内。
2、更新MAC地址age时间，如果MAC地址更新速度过快也会造成MAC地址表的不断膨胀，造成广播风暴。
3、采用广播抑制技术，对于不断循环的MAC信息进行筛选和过滤，并且抑制转发速度，可以将风暴缓解在一定区域。
再有疑问，欢迎继续讨论。

J. 四口的路由器（tp-link4）当交换机使用问题能不能阻止网络风暴的产生

主要有几个问题：
1、网络级联层数太多，现在一般的网络建设思路均倾向于扁平化架构。根据你公司的情况，可以简单的分为核心、汇聚、接入三层结构，交换机级联最多不能超过3层。
2、全网没做VLAN隔离，一般情况下，汇聚层交换机（就是你图片中的两台华三交换机）的每个端口应该分别划为不同的VLAN，采用多个VLAN来隔离广播域（如果不怕麻烦，可以每个用户一个独立VLAN），从而减小网络中的广播报文。汇聚交换机与核心交换机之间采用trunk方式互联，只允许已配置的VLAN通过。另外需要为每个VLAN划分不同的IP网段，网关全部配置在核心交换机上，核心交换机启用跨VLAN路由。
这种方式整改比较复杂，但是对网络设备的功能没有特殊要求。
3、如果因为某些原因不便于进行VLAN隔离或者调整IP地址，还有一种变通的做法，就是在接入交换机和汇聚交换机的每个下行接口启用端口隔离，也叫端口保护，其作用就是同一个VLAN内的多个保护端口之间也无法通信，只能跟同一VLAN中没有保护的端口通信。千万记住上行接口不能启用端口保护，否则整个网络就不通了。
另外关键一点，这样操作后，核心交换机的接入端口需要禁用arp广播、禁用广播转发。
这种方式对网络设备特性要求较高，一般来说最新生产的可网管的交换机都具备这些功能。
4、如果可行，建议你在汇聚交换机和核心交换机上启用广播风暴控制功能，可以把广播报文按照带宽或每秒包数进行控制。当然，这也需要可网管的交换机。
以H3C交换机为例，
#
interface Ethernet0/0/1 !接入端口
port link-type access
port default vlan 200
storm-control broadcast min-rate 500 max-rate 1000
storm-control action block
storm-control enable log
#
interface Ethernet0/0/24 !上行端口
port link-type trunk
port trunk allow-pass vlan 10 100
storm-control broadcast min-rate 1500 max-rate 2500
storm-control action block
storm-control enable log
#