广播风暴及其主要应对手段详解

This article has been published on ‘Network Administrator World’ in 2007， copyright belongs to ‘Network Administrator World’.
It was firstly posted on 51CTO blog; no transmission, re-publication, or printing is allowed without explicit authorization of the author.

山雨欲来风满楼
──广播风暴及其主要应对手段详解
刘志勇

什么是广播风暴
        要理解什么是广播风暴，就必须先理解 络广播。
        络上的一个结点，它发送一个数据帧或包，被传输到由广播域定义的本地 段上的每个节点就是广播。
        络广播分为第2层广播和第3层广播。第2层广播也称硬件广播，用于在局域 内向所有的结点发送数据，通常不会穿过局域 的边界（路由器），除非它变成一 个单播。广播将是一个二进制的全1或者十六进制全F的地址。而第3层广播用于在这个 络内向所有的结点发送数据。第3层广播也支持平面的老式广播。广播信息是指以某个广播域所有主机为目的的信息。这些被称为 络广播，它们所有的主机位均为ON。
        络广播分为广播、单播、组播。
        硬件组播（multicasting）是一种多点投递的形式，它使用硬件技术，通过使用大量组播地址来通信。当某一组机器需要通信时，选择一个组播地址，并配置好相应的 络接口硬件，识别组播地址，从而收到该组播地址上分组的拷贝。
        广播（broadcasting）是多点投递的最普遍的形式，它向每一个目的站投递一个分组的拷贝。它可以通过多个单次分组的投递完成，也可以通过单独的 连接传递分组的拷贝，直到每个接收方均收到一个拷贝为止。在多数 络中，用户是通过把分组分送给一个特殊保留的地址即广播地址（broadcast address）来进行广播投递，它的主要缺点是会耗费大量的主机资源和 络资源。
        单播（unicasting）是指只有一个目 的地的数据 传递。从投递目的地的数量而言，单播和广播均可看作是组播的一个子集。单播可以看作仅包括一台机器群组的组播；广播可以看作包含了所有机器群 组的组播。但从数据 的投递方式而言，单播、广播和组播还是有较大的区别。
        同理，由于 络拓扑的设计和连接问题，或其他原因导致广播在 段内大量复制，传播数据帧，导致 络性能下降，甚至 络瘫痪，这就是广播风暴。

络设备的基础知识
        不论干什么，知其然，还要知其所以然。 我们必须了解一下 络设备的工作原理，才能有效理解 络的广播风暴的发生原因，才能有针对性的去解决广播风暴。目前，局域 中的 络设备，基本上都是交换机。
        交换机是一种基于MAC（ 卡的硬件地址）识别，能完成封装转发数据包功能的 络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。
        集线器（HUB）属于数据通信系统中的基础设备，它和双绞线等传输介质一样，是一种不需任何软件支持的硬件设备。它曾被广泛应用到各种场合。集线器在局域 环境同 卡一样，应用于OSI参考模型第一层，因此又被称为物理层设备。集线器内部采用了电器互联，当维护局域 的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型 络结构。在这方面，集线器所起的作用相当于多端口的中继器。其实，集线器实际上就是中继器的一种，其区别仅在于集线器能够提供更多的端口服务，所以集线器又叫多口中继器。
        但现在，集线器在很多场合中，已经被交换机取代。
        交换机和集线器看起来很相似，但它们还是有本质的区别。唯有了解这些区别，我们才能不难理解为什么在交换机环境中也会发生 络广播风暴。
        用集线器组成的 络称为共享式 络，而用交换机组成的 络称为交换式 络。共享式以太 存在的主要问题是所有用户共享带宽，每个用户的实际可用带宽随 络 用户数的增加而递减。这是因为当信息繁忙时，多个用户可能同时“争用”一个信道，而一个信道在某一时刻只允许一个用户占用，所以大量的用户经常处于监测等待状态，致使信 传输时产生抖动、停滞或失真，严重影响了 络的性能。
        在交换式以太 中，交换机提供给每个用户专用的信息通道，除非两个源端口企图同时将信息发往同一个目的端口，否则多个源端口与目的端口之间可同时进行通信而不会发生冲突。
        通过实验测得，在多服务器组成的局域 中，处于半双工模式下的交换式以太 的实际最大传输速度是共享式 络的1.7倍，而工作在全双工状态下的交换式以太 的实际最大传输速度可达到共享式 络的3.8倍。
        交换机只是在工作方式上与集线器不同，其他的如连接方式、速度选择等与集线器基本相同，目前的交换机同样从速度上分为十兆、百兆和千兆等几种，所提供的端口数多为8口、16口和24口几种。交换机在局域 中主要用于连接工作站、集线器、服务器或用于分散式主干 。

总结
        作为 管员，在面对 络广播风暴发生时，要冷静分析广播风暴产生的原因，可使用笔者曾在2007年的《 管员世界》的几篇文章提到的二分法、排除法、替换法和 线插拔法等多种方法综合运用，一步一步地进行故障排除，快速定位引发广播风暴的故障点，查出引发广播风暴的原因，及时采取相应措施来消灭广播风暴。
        总的来看，要解决广播风暴的问题，可以从以下几个方面入手：
        一、在局域 中安装WSUS补丁服务器，保证局域 所有计算机都能及时打上最新的补丁。
        二、最好在局域 内安装 络版的防毒服务器，如无条件这，起码也得保证单机版的防毒软件的病毒库是经常更新的。
        三、检查每一台计算机的 卡、 线和交换机的每一个端口，检查是否有故障。
        四、当广播风暴发生时，观察交换机的指示灯不啻为很好的方法，可直接观察 络连通性及 络流量。
        要避免广播风暴，可以采用恰当划分VLAN、缩小广播域、隔离广播风暴，还可在千兆以太 口上启用广播风暴控制，最大限度地避免 络再次陷入瘫痪。当端 口接受到大量的广播、单播或组播的包时，就会发生广播风暴。转发这些包会导致 络速度变慢或超时，在交换机上借助对端口的广播风暴控制可以有效避免硬件损 坏或链路故障导致的广播风暴的 络瘫痪。
        从笔者的实际经验来看，90%以上的 络广播风暴是病毒所致，因此，在局域 中配备防病毒系统，购置IDS***检测系统、 络流量检测工具等，以加强 络 病毒的防治，加强对 络线路运行状态的监控，及时发现和处理 络上的异常流量和病毒***等问题，并制定计算机安全管理制度，确保 络线路的正常运行。
相关资源：文字智能朗读转语音软件v2.5中文免费绿色版-其它代码类资源-CSDN…