如何解决广播风暴

阻击广播风暴

—VLAN技术在校园网的应用

■ 张亚鹏

随着校园网内计算机数量的增加，VOD视频点播在课堂教学上的大量应用，广播包的数量也随之急剧增加，特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。为了避免这种现象的发生，一般而言，当校园网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。

分隔广播域的方式有两种，一是物理分隔，即将一个完整网络物理地一分为二或更多，然后通过一个能够隔离广播的网络设备将彼此连接起来。另一个是逻辑分隔，即将一个大的网络划分为若干个小的虚拟子网(Virtual Local Area Network，VLAN)，各虚拟子网间通过路由设备连接实现通信。比较起来，后一种方式更灵活，因为VLAN技术具有如下优点：

1．降低移动和变更的管理成本

由于学校教学人员的变动比较频繁，如果使用了VLAN，当把一台计算机从一个子网转移到另一个子网，迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中。对于网络管理而言，可以轻松完成变更。假若使用物理手段划分子网，这种迁移将耗费很多精力和时间。

2．控制广播

由于不同的VLAN都是一个独立的广播域，而广播只能在本地VLAN内进行，从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避免广播风暴的产生。

3．增强网络的安全性

由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接访问，因此，通过划分VLAN可以提高网络的安全性。

4．网络监督和管理的自动化

网络管理员通过网管软件可以查询VLAN间和VLAN内通信数据包的分类信息，以及应用数据包的分类信息，这些信息对确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络管理变得更加简单、有效。

实现VLAN有三种不同的方式：

1．基于端口的VLAN。即将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的计算机具有相同的网络地址，不同VLAN之间通过三层路由协议进行通信。采用这种VLAN实现方式后，把一个网络节点迁移时，如果新旧端口不在一个VLAN内，则用户必须对该端口重新设置。对于不同年级、科室互相访问时，可以通过路由器转发，并配合MAC地址的端口过滤，这样就可以防止非法入侵和IP地址的盗用问题。

2．基于MAC地址的VLAN。这种VLAN一旦划分完成，无论节点在网络上怎样移动，由于MAC地址保持不变，因此不需要重新配置。但是如果新增加节点的话，需要对交换机进行复杂的配置，以确定该节点属于哪一个VLAN。

3．基于IP地址的VLAN。采用这种方式的VLAN，在新增加节点时，无需进行太多配置，交换机会自动根据IP地址将其划分到不同的VLAN。这个VLAN智能化最高，实现最复杂。一旦离开该VLAN，原IP地址将不可用，从而防止了非法用户通过修改IP地址来越权使用资源。

要真正使用VLAN，需要对交换机进行配置。这里对具体的配置方法不再赘述，只是要提醒读者注意，对于不同的交换机，VLAN配置是有差异的，而且也并不是所有的交换机都支持VLAN和VLAN的三个实现途径，有的交换机只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。在实际工作中，读者应该结合学校的地理位置、教学部门的划分和具体的管理需求来选择最合适的实现方式。

出现这样的情况，原因是多种多样的，建议按照下面的顺序排查：

1、宽带问题

2、路由器连接问题

3、IP地址冲突

4、网线问题

一、宽带问题

首先，请检查下你的宽带是否出现了问题。可以先去掉路由器，让电脑直接连接宽带网线(猫)，然后测试下电脑能否正常上网？

如果不用路由器的时候，电脑直接连接宽带无法上网，说明多半是宽带出现故障；此时，请联系你的宽带运营商(网络管理员)进行排查。

如果不用路由器的时候，即电脑直接连接宽带时可以正常上网；说明宽带没有问题，请把路由器重新连接上，继续后面的排查内容。

二、路由器连接问题

第二个方面，需要检查下路由器的连接是否正确？如果把路由器连接错了，结果肯定会导致获取不到动态IP的。

路由器的正确连接方式：

路由器上的WAN接口，需要用网线连接到光猫上面。如果你家宽带未用到光猫，则需要把入户的网线插在路由器的WAN接口上面。

电脑用网线，连接到路由器中任意一个LAN接口(1\2\3\4)即可。

注意问题：

如果你是两个路由器串联上网，或者把路由器连接到交换机下面设置的动态IP上网。需要注意的是，你这个路由器的WAN接口，连接上级路由器/交换机。

三、IP地址冲突

绝大多数情况下，都是因为IP地址冲突，造成路由器获取不到动态IP地址信息的。

表现情况：

路由器本身的IP地址(LAN口IP地址)，与动态获取到的IP地址，在同一个网段。此时，路由器的WAN接口就无法获取到这个动态IP地址信息了。

例如：

路由器的LAN口IP地址是19216811，而上级网络给路由器分配的动态IP地址是：1921681X(2<X<254)。这时候就存在IP地址冲突了，路由器的WAN接口将无法获取到1921681X这个动态IP地址。

解决办法：

修改路由器的LAN口IP地址，可以将其修改为：19216821，就可以解决这个问题了。

四、网线问题

网线质量太差，导致信号衰减，路由器与猫（上级路由器/交换机）之间无法通信，这时候会造成路由器获取不到动态IP地址。

解决办法：

更换一根好一点的网线，买价格贵一点的。特别是网线有二十米长的时候，一定要买贵一点的网线，保证质量。

DHCP 属于广播包，VLAN划分之后是会隔绝广播包的，因此你在VLAN 之内发出的DHCP 是出不去的，所以如果你的DHCP 服务端不在VLAN 之内就根本收不到你的请求。

三层交换机上都可以做配置，在你需要请求外部DHCP 的VLAN 上配置

IP HELP

不同的交换机具体的命令可能有点差异，但也原理相同，具体你需要查手册；一般都会允许转发DHCP ；即把VLAN 中DHCP 请求包转发到一个指定的IP 上；

划分VLAN 的目标多是了隔离广播包，避免内部出现广播风暴，也可以分割为不同的子网，防止越级访问。

查看ip地址是分析网络故障的第一步，还需要更多的后续 *** 作才可以诊断故障原因的。

1 首先要看ipconfig

在dos窗口下，输入ipconfig，可以查看到本机“手动设置”或者“自动获取”的IP地址。如图：

这里有几种可能性：

IP地址和网关地址都正确。（不存在问题，可以进入下一步）

IP地址是0000，或者169254255x。（没有获取到IP，说明DHCP存在问题）

不正确的IP地址，比如：局域网网段是1921681x，但是获取到的IP地址却是1921680x。（说明有私接的DHCP服务，导致DHCP冲突）

2 ping内网网关

断网时，首先要判断内网是否存在问题。一般通过ping内网网关就可以判断出来。如图：

内网的丢包率应该为0，有线ping值一般在1ms以内，无线ping值1ms-20ms之间。如果存在丢包或者ping值很高，那么问题就在内网。需要排查内网网线、环路、交换机等设备问题。

3 ping公网IP

内网问题排除后，再ping公网IP地址，如果不通，那问题就出在路由器网关上面。如下图，114114114114是一个常用的DNS服务器，由于114在公网上，ping值会比内网高一些，一般在1ms-50ms之间。

114能ping通且ping值正常无丢包，说明外网正常，否则外网异常，需要排查路由器和wan口线路问题

4 ping公网域名

如果外网可以ping通，但是仍然上不了网，那一般就是dns的问题了。通过ping域名就可以判断。

5 网络健康度检测插件

在WFilter（或者WSG网关）的“插件管理“中，有一个网络健康度检测插件，可以自动进行ping、arp、tracert等检测，从而一键检测出绝大部分的网络问题：IP地址冲突、DHCP冲突、ARP攻击检测、环路和广播风暴检测、可疑主机检测等。

以上就是关于如何解决广播风暴全部的内容，包括:如何解决广播风暴、路由器获取不到动态ip地址怎么办、为什么DHCP请求不到IP,划分VLAN 的意义是什么等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！