广播风暴是网络管理员的主要痛苦点。让我们谈一谈它们是什么,什么原因导致它们,以及您可以采取哪些措施消除您管理的网络上的广播风暴源。

什么是广播数据包?

包有三种类型:广播,多播和单播。

回想过去用兔子耳朵看电视的日子。我们会“空中”播出一个频道。广播,顾名思义,是一种“空中广播”数据包,它从一个源发送到任何调谐到相同频率的听众。

根据OSI网络模型,逻辑上位于同一广播域内的任何接口都将听到来自特定源的广播数据包。例如,位于VLAN X内的广播数据包将被逻辑上也位于VLAN X上的任何网络接口接收。

广播数据包通常由关注者发送,后者是网络上希望其他人知道其存在的节点。广播数据包由以下第2层和第3层目标头组成:

  • ff-ff-ff-ff-ff-ff(第2层广播)
  • 255.255.255.255(第3层受限广播)

什么是广播风暴?

广播风暴是在短时间内异常大量的广播数据包。

广播风暴可能会使交换机和端点不堪重负,因为它们难以跟上处理数据包泛滥的步伐。发生这种情况时,网络性能会下降。

广播风暴的典型根本原因

  1. 通过DHCP大量请求IP地址
  2. 动态主机配置协议(DHCP)是联网主机从网络控制器获取IP地址的最常用方法。

    想想您何时将笔记本电脑带到咖啡店并跳上WiFi。除了点击法律声明的“我同意”或输入一些凭据外,您无需担心静态分配IP地址。这是DHCP在起作用。

    DHCP包含几个关键步骤:

    1. 发现– always broadcast
    2. 提供
    3. 请求
    4. 确认

    根据事物的配置方式,DHCP可以广播或单播(一对一)数据包的形式发送。

    有时会出现广播数据包激增的现象,例如,当网络中断后所有网络恢复联机并且所有客户端都试图协商IP地址时。

    但是在正常情况下,在网络段或来自特定主机的连续广播数据包流中是可疑的。

    处理与DHCP有关的广播风暴的一些建议:

    • 错开大量设备的启用 否则所有这些都将同时通过DHCP请求地址。
    • 检查您是否正在使用DHCP中继 在部分或全部VLAN之间。 DHCP中继在广播域之间路由广播数据包。
    • 设置维护时段 在Auvik中,可以在已知的大量DHCP请求期间使广播相关警报静音。

  3. 广播域太大
  4. 您应该在广播域中看到的广播通信量与广播域的大小(L2 VLAN或L3子网内的主机数量)成正比。

    很多时候,我们看到MSP吸引了客户 所有 他们的主机位于同一广播域中,有时甚至大到一个/ 16子网,可以容纳65,000多个可能的地址。

    在这种情况下,网络分段是您的朋友。将类似的设备组分段放置。这将减少生成的“我在这里”广播的数量。

如何识别广播风暴

获取有关Auvik风暴的警报。预先配置的Auvik警报会告诉您何时广播了很大一部分交换机端口的流量,而不是单播或多播。您可以在敏感或疑难解答场景中降低此警报的阈值,以更加主动和了解。





使用故障排除视图查看广播风暴是否可能在同一时间范围内引起了其他事件,例如主机或相邻交换机上的CPU峰值。

导航至设备或接口仪表板,然后查看“设备数据包”或“接口数据包”,以了解广播,多播和单播数据包之间的比率。


网络评估展现了广播风暴Auvik


如果您要查找深层的源/目标/协议级别的信息,请考虑从连接到观察风暴的子网的主机捕获数据包。使用类似的工具 鲨鱼 查看导致流量的来源和可能的协议。

减少广播风暴的想法

  • 风暴控制和等效协议 允许您对广播数据包进行速率限制。如果您的交换机具有这种机制,请打开它。
  • 确保在第3层设备上禁用了IP定向广播。 您几乎没有理由希望将来自互联网的广播数据包传送到专用地址空间。如果风暴源自WAN,则禁用IP定向广播将使其关闭。
  • 拆分您的广播域。 创建一个新的VLAN并将主机迁移到其中将使广播流量的负载平衡到一个更可接受的水平。广播流量是必要且有用的,但广播流量过多最终会导致不良的网络体验。
  • 检查清空ARP表的频率。 清空的频率越高,ARP广播请求的发生频率就越高。
  • 有时候,当交换机发生硬件故障时, 他们的交换端口开始将广播流量散播到网络上。如果您有相同或相似型号的备用交换机,请将活动交换机的配置克隆到备用交换机上,并在维护时段内交换硬件和电缆。风暴会平息吗?如果是这样,那就是硬件问题。如果没有,那么您就必须继续挖掘。
  • 检查开关中是否有回路。 假设有一个非托管第2层交换机在上游连接到非托管交换机,并且有人在同一非托管交换机的两个端口(例如端口1和2)之间连接了电缆。非托管交换机将多次响应所有广播,并用数据包淹没广播域,从而导致对网络的拒绝服务攻击。
    • BPDU快速港口 或等效功能应作为防止循环的最佳实践来实现。
    • 通过强制每个端口最大数量的MAC地址,阻止用户将非托管交换机连接到托管交换机端口。如果用户将一台计算机插入IP电话,而该IP电话又插入了交换机,则最多可以有两个MAC地址。