办公室突然断网,一群人围在电脑前干瞪眼,有人脱口而出:‘是不是又闹网络风暴了?’听起来玄乎,其实网络风暴没那么神秘。它就是网络里某个设备疯狂发包,把带宽占满,导致其他设备没法正常通信。想确认是不是这问题,得靠实际手段一步步查。
看现象:先判断是不是网络风暴
真正的网络风暴不是偶尔卡一下,而是整个局域网瘫痪。比如,你这边刚打开网页,转圈十几秒;同事的视频会议直接掉线;打印机连不上;甚至 ping 网关都丢包严重。如果只有你自己慢,可能是电脑或线路问题;但如果整层楼、整个部门都抽风,就得怀疑是广播风暴或环路引发的网络风暴。
用命令行工具抓异常流量
Windows 用户可以直接打开命令提示符,用 ping 持续测试网关响应:
ping 192.168.1.1 -t如果平时延迟 1ms,现在突然飙到几百毫秒还频繁超时,说明网络拥堵严重。再打开任务管理器,切换到“性能”标签,点“以太网”,看实时速率。正常办公很少跑满带宽,如果发现上传长期占满 90% 以上,而你又没在传文件,就很可疑。
交换机上看端口流量
有管理权限的话,登录交换机后台是最快定位方式。大多数品牌如华为、H3C、锐捷都支持查看各端口的实时流量统计。找到流量异常飙升的端口,拔掉对应网线,如果网络立刻恢复,基本就能锁定源头。有时候是一台中毒主机在狂发 ARP 包,也可能是用户私接路由器造成环路。
用 Wireshark 抓包分析
进阶一点的方法是用 Wireshark 抓包。装好后选择正确的网卡开始监听,几分钟内就会看到大量重复数据包。比如广播地址 ff:ff:ff:ff:ff:ff 的帧猛增,或者某个 MAC 地址连续发送几千个 ARP 请求,这就是典型症状。过滤规则可以写:
arp.request == 1这样只看 ARP 请求,更容易发现异常主机。
物理排查也不能少
有些网络风暴是物理层问题。比如有人把两根网线一头插在同一台交换机上,形成环路,立刻引发广播风暴。这时候交换机风扇狂转,指示灯疯闪。遇到这种情况,关掉 STP(生成树协议)的老旧设备尤其危险。建议单位统一使用开启 STP 的交换机,能自动阻断环路。
某次我们去客户现场,整栋楼断网,最后发现是会议室多接了个傻瓜交换机,两头都连到了主交换机,形成闭环。拔掉一根线,网络瞬间恢复正常。这种低级错误其实很常见。
预防比处理更重要
定期检查网络拓扑,禁用不用的端口,开启交换机的广播抑制功能。比如在 H3C 交换机上配置:
interface GigabitEthernet 1/0/1
broadcast-suppression 70意思是该端口广播流量超过带宽 70% 就自动抑制。再配合端口安全策略,限制接入 MAC 数量,能大大降低风险。
网络风暴听着吓人,其实只要掌握几个检测点,快速定位并不难。关键是在问题爆发时别慌,一步步从现象到工具,从软件到硬件,把它揪出来。