网络环路分析

网络环路分析

某公司网络全部为内部网络，不与internet连接，出口防火墙连接集团内网，下联核心交换机，核心交换机下连“下属单位”防火墙。如下图所示：

前一段时间上午8-10点左右网络及应用访问缓慢，内网用户ping DMZ区服务器时会产生大量丢包，甚至无法正常提供服务，而且会不定时的网络访问慢，严重的影响了正常的工作。经过一段时间的排查，并没有发现网络及应用产生故障的原因。

这时通过网络中部署的科来网络回溯分析系统对之前发生的问题进行长时间的回溯分析，定位到故障发生的时段，来重现故障当时的情景，以便帮助我们找到产生问题的根本原因，解决问题。

上图为发生异常的3小时的流量视图，并且为网络总流量及进出流量做出统计，可以看到总流量已经占出口带宽的70%左右，峰值达到了682.35Mbps，顺时的网络利用率甚至更高，已经达到非常高网络利用率，会造成大量的数据包丢失。

详细分析：

经过针对网络应用分析，发现这3小时的数据中，未知的UDP应用流量占用了总流量的99%以上（如下图）。

通过进行未知UDP应用的深入挖掘分析，可以发现大量UDP 2425 端口的单方向通讯。

所以基本我们可以确定网络中产生大数据量传输导致网络慢的原因就是内网中这些使用UDP 2425 端口进行通讯的数据占用了网络的大量带宽，导致网络中产生很多丢包，造成访问应用系统慢。

查找占用带宽较大的ip时，发现基本所有大流量传输的ip地址均为“该公司下属单位”网段的ip地址。

经过查阅资料和udp会话分析发现，使用UDP2425端口是飞秋软件，飞秋(FeiQ)是一款局域网聊天传送文件的绿色软件，它参考了飞鸽传书(IPMSG)和QQ, 完全兼容飞鸽传书(IPMSG)协议。

通过“下载分析”针对一个UDP2425会话进行解码分析，发现数据包的标

识相同且TTL值递减，每次捕获的TTL的值都是递减2，可能存在路由环路，这就造成了大量相同的数据重复传输，导致网络性能降低，大量丢包。

网络环路分析：

下载数据包进行精细分析，我们可以对其中的两台主机传输的数据包进行解码分析，发现数据中存在大量IP端口相同并且具有相同的ip标识位的数据包，这就证明了这个主机之间传输的数据包为同一个数据包。

再来定位到数据包中的TTL字段，发现数据包的TTL值呈现逐步递减的趋势，每个数据包TTL值减二，这就说明了这个数据包在传输的过程中经过了2个三层设备的处理后又回到了核心交换机与防火墙上联的接口，被再次捕获。

经过确认，在防火墙上发现一条为192.168.0.0/16指向核心交换机的路由。这就造成了“下属公司“网段中发往192.168.0.0/16网段的数据包，由于在核心交换机没有精确匹配的路由，所以通过核心交换机的默认路由指向防火墙，而经过防火墙后被防火墙的192.168.0.0/16路由指回核心交换机，这样就形成了路由环路。

分析结果：

通过对内网的整体流量分析，发现大量未知UDP2425流量，占用总带宽的99%，导致网络其他访问慢。经过“下载分析”发现由于路由环路导致。

其中“下属公司“的网段到总部的一些网段之间路由配置存在问题，产生路由环路，造成了核心交换和防火墙之间传输大量数据，阻塞链路带宽，造成网络传输效率降低，产生网络问题。

紧急处理办法：

通过联系“下属公司”网络管理员，禁止了“下属公司“的防火墙到核心交换机的UDP2425的流量，之后网络流量恢复正常。故障现象基本消失，网络恢复正常。

网络优化建议：

针对本次流量异常情况，我们建议修改防火墙上的路由配置，精细路由条目，进行整理规划，或禁止UDP2425的流量。

类似的路由环路可以通过“黑洞路由”的方式避免，在上级路由器使用汇总路由，而下级路由器配置缺省路由，同时汇总的网段中有部分子网未使用的情况下，最好在下级设备中额外配置一条静态路由，将汇总的大网段指向空接口。例如：上级设备（防火墙）配置192.168.0.0/16指向下级核心交换机，下级核心交换机则配置192.168.0.0/16指向“null 0”接口（针对cisco路由器）。由于路由转发遵循精确匹配原则，这样配置不会影响下级路由器已配置的子网访问，只是将目标地址为未配置的子网主机的数据包丢弃，避免环路发生。

网络环路引起的故障汇总

网络环路引起的故障汇总 在日常维护中，由于各种原因有时会形成网络环路。以下汇总了自接手IP 维护工作以来碰到过的各种环路问题，由于水平有限，错误的地方请指正。 1、在调试设备时测试光路形成的环路。 目前DSLAM设备都下挂在L2 S8505。在调试新DSLAM设备时，我们一般都会先完成数据配置再到现场开局。有时我们会在远端机房的ODF进行收发环路，通过查看交换机端口是否UP的方法来判断光路是否正常。事实上这样会造成VLAN 31环路，引起L2 S8505和下带设备的网管通信中断。 如果要采用此方法测试，应提前删除该端口的VLAN 31透传，等设备调试起来后再加入。 2、在配置或取消链路聚合时形成的环路。 为实现二层网络双路由保护或流量分担，链路聚合的应用越来越多。链路聚合组要求端口的数据配置必须一样，也就是透传的VLAN也一样。如果端口取消了链路聚合就会形成环路，该环路肯定会影响到业务。如果端口也透传了VLAN 31，同理也会影响到L2 S8505和下带设备的网管。 2007年张埔IPSU和新局L2 S8505对开链路聚合时，由于有问题取消聚合，聚合取消后不仅引起了PPPOE、IPTV业务阻断，也引起了L2 S8505网管中断。另外如华为的EPON OLT设备和L2 S8505对开聚合组时，调试人员最初将端口设置为强制模式。为实现单芯中断时的业务保护，需要将强制改为自协商模式，而OLT设备必须将聚合组删除才能更改，这时就会产生环路。 因此取消链路聚合时应及时将聚合的某个端口SHUTDOWN或将配置数据删除。 3、2007年9月2日新局L2S8505下带设备网管通信频繁瞬告。 新局L2 S8505下带设备网管通信频繁瞬告，更换网管端口无效。怀疑S8505被攻击，抓包分析发现ARP包偏多，但也不会影响到网管。在T160G和L2 S8505下带的小L2设备上发现有接收到大量的IGMP报文信息，S3228上的LOG中有非常多的“Receive too many packets of 'igmp' from port gei_3/1”，抓包发现有非常多的IGMP报文（V2 LEAVE GROUP，源MAC地址为0015-EB6A-F186，目标MAC地址0100-5E00-002，源IP为0.0.0.0，目标IP为224.0.0.2,组播地址

网络环路及问题的解决

局域网内网络环路的分析及对策我校的校园网络在2003进行了布线，办公室的布线成了一个难题，由于工作的变动，各办公室的教师每学期都会发生变化，多则六七人，少则一两人，每间办公室究竟要布多少网线？如按最多人设计，则造成了极大的浪费，布少了又满足不了需求，于是便采取了每间办公室只布一条网线，外加8口交换机的解决方案，这样既降低了成本，又满足了需求。但隐患也由此产生，全校分布了近50台从5口到24口不同类型、不同品牌的交换机，加之教师工作时均使用笔记本电脑，晚上要带回家使用，有时又要带到 班级授课，这样网线就会被拔来插去，一不小心就容易产生环路。有一天，突然不能上网，上级文件不能接收，老师文件不能上传，各部门要求上网的电话不断。由于刚接触网络，网络知识匮乏，经验不足，花了两天多时间，采取断网的方式进行排查，终于找到了断网的原因来自环路。环路的次数多了，经验也丰富了，一般根据交换机的闪烁方式就可以判断出环路的大体位置，但这还是一种经验上做法，在接触了科来软件后，在论坛上看到关于查找环路的文章：

图二发生环路时端点视图 图三环路实验网络拓扑图 图四环路端点视图 从图四中，我们发现，数据流量最大的是192.168.54.85,这是一台教师用机，而与环路交换机相连的192.168.54.200流量却很少，这说明发生环路时，大量的数据包被转发，使网络流量大增，但流量大的机器并不一定是与发生环路相连的机器。

图五数据包视图 我又对数据包进行解码如图五所示，发现有大量IP标志重复的广播包存在。我们知道在IP包头包含了IP Identification信息(缩写IPID)，一般每台主机在主动发送一个数据包时，会对IPID这个值进行递增。例如第一个包IPID 为10000，第二个发送包就可能是10001，第三是10002，依次类推，不同的主动发送的报文的IPID应当是不同的。但是在解码中IPID是在大量简单重复。这些大量的广播报文，通常不应当是某台主机主动引起，而是被交换机反复转发造成。再进一步分析这些IPID相同的广播包的来源，发现均是来自192.168.54.85。而其它机器IPID则正常（图六），甚至与环路交换机相连的192.168.54.200通讯也正常（图七）。

BD交换机快速解决局域网网络环路问题

配置交换机快速解决局域网网络环路问题 在规模较大的局域网网络中，时常会遇到网络通道被严重堵塞的现象，造成这种故障现象的原因有很多，例如网络遭遇病毒攻击、网络设备发生硬件损坏、网络端口出现传输瓶颈等。不过，从网络堵塞现象发生的统计概率来看，网络中发生过改动或变化的位置最容易发生故障现象，因为频繁改动网络时很容易引发网络环路，而由网络环路引起的网络堵塞现象常常具有较强的隐蔽性，不利于故障现象的高效排除。那么我们能否找到一种合适的办法，来高效解决由网络环路引起的网络通道堵塞现象呢?其实，巧妙配置交换机的环回监测功能，我们可以快速地判断局域网中是否存在网络环路，那样一来由网络环路引起的故障现象就能被快速解决了! 判断网络环路的思路 由于现在新买回来的交换机几乎都支持端口环回监测功能，巧妙地利用该功能，我们就能让交换机自动判断出指定通信端口中是否发生了网络环路现象。一旦我们在指定的以太网通信端口上启用环回监测功能后，交换机设备就能自动定时对所有通信端口进行扫描监测，以便判断通信端口是否存在网络环路现象。要是监测到某个交换端口被网络环回时，该交换端口就会自动处于环回监测状态，依照交换端口参数设置以及端口类型的不同，交换机就会自动将指定交换端口关闭掉或者自动上报对应端口的日志信息，日后我们只要查看日志信息或根据端口的启用状态，就能快速判断出局域网中是否存在网络环路现象了。现在，本文就以H3C S3050型号的交换机为操作蓝本，向各位详细介绍一下利用环回监测功能判断网络环路现象的具体配置步骤。 启用端口环回监测 为了能让交换机自动判断出本地局域网中是否存在网络环路现象，我们需要启用交换机的端口环回监测功能，同时还要启用端口环回监测受控功能，不过在默认状态下，这些功能都处于关闭状态，我们需要手工配置交换机，才能将交换机指定端口环回监测功能以及端口环回监测受控功能启用起来。 在启用交换机的端口环回监测功能时，我们可以先以系统管理员权限远程登录进入交换机后台管理界面，在该界面的命令行提示符下输入字符串命令“sys”，单击回车键后，将交换机切换到系统视图状态;接着在系统视图状态下，执行字符串命令“loopback-detection enable”，这样一来交换机的全局端口环回监测功能就被成功启用了。 下面，我们还需要将交换机指定以太网交换端口的环回监测功能启用起来;例如，要是我们想将以太网16端口的环回监测功能启用起来时，可以先在交换机的系统视图状态下，输入字符串命令“interface GigabitEthernet 1/0/16”，单击回车键后，交互机配置状态就会进入以太网16端口的视图状态，同时交换机的命令行提示符也会自动变成“H3C-

交换机二层环路问题处理指南

目录 1 介绍........................................................................................................... 错误!未定义书签。 2 网络业务故障，如何确认存在环路....................................................... 错误!未定义书签。 第一步：是否可以通过端口流量发现数据风暴....................... 错误!未定义书签。 第二步：是否可以通过MAC-Flapping检测漂移 ........................ 错误!未定义书签。 框式交换机....................................................................... 错误!未定义书签。 盒式交换机....................................................................... 错误!未定义书签。 第三步，是否可以通过环路检测发现环路............................... 错误!未定义书签。 Loop Detection(框式)........................................................ 错误!未定义书签。 Loopback Detection(盒式) ................................................ 错误!未定义书签。 3 环路问题发生后，如何快速破环........................................................... 错误!未定义书签。 第一步：是否理解网络业务并明确拓扑................................... 错误!未定义书签。 第二步：是否需要用影响最小的方法破环............................... 错误!未定义书签。 方法一：端口退出成环VLAN破环 .................................. 错误!未定义书签。 方法二：shutdown成环端口破环................................... 错误!未定义书签。 方法三：通过拔出成环光纤破环................................... 错误!未定义书签。 第三步：操作后确认业务是否恢复........................................... 错误!未定义书签。 4 环路问题发生后，如何定位问题根因................................................... 错误!未定义书签。 第一步：是否由于近期施工操作引入环路............................... 错误!未定义书签。 第二步：是否由于近期修改配置引入的环路........................... 错误!未定义书签。 第三步：是否典型的常见环路问题........................................... 错误!未定义书签。 交换机自环出现环路....................................................... 错误!未定义书签。 交换机下游设备自环出现环路....................................... 错误!未定义书签。 环形组网链路震荡导致环收敛震荡............................... 错误!未定义书签。 环形组网寄存器下发失败无法破环............................... 错误!未定义书签。 链路单通引入RRPP网络单向环 ...................................... 错误!未定义书签。 协议堵塞的端口L2PT（bpdu-tunnel）协议报文成环 ... 错误!未定义书签。

端口环路引发的网络故障及处理

端口环路引发的网络故障及处理 众所周知，系统日志记录着系统中硬件、软件和系统问题的信息，同时还可以监视系统运行中发生各种的事件。可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。对于个人用户而言可能很少去关注，但对于服务器管理人员来说系统日志却是他们日常管理的重要手段。因为他们可以通过日志来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹，从而保障服务器的安全与稳定运行。操作系统有日志，网络设备同样具备，而这对于我们网络管理人员查找、分析网络故障原因也是相当重要的。养成良好的查看设备日志的习惯，平时在处理网络故障时也许会少走一些弯路。 近日，笔者单位的局域网出现故障，监控显示网络接入设备频繁断开，而单位用户反应网速非常慢，每隔几分钟就掉线。笔者第一反应就是局域网内可能有病毒爆发，占用了网络带宽。于是马上打开流量监控软件，查看各个端口的实时流量，没见任何异常。同时，由于笔者局域网内使用的是一台华为3026交换机，下面接入用户众多，早已不堪重负。以前因为CPU占用过高也导致类似问题出现，后来升级了系统版本才得以解决。所以笔者开始怀疑是不是又是CPU占用的问题。马上登陆设备查看其CPU占用率，1分钟平均值为30%，很正常啊。这让笔者有些疑惑了，到底是什么问题呢。正当自己一筹莫展之时，忽然想起最近ARP病毒非常流行，而症状和目前自己局域网的情况基本上一致，也是上网断断续续的。于是笔者马上登陆核心交换机查看ARP转发表，看是否存在ARP 攻击。由于设备上设置的是ARP表300s更新一次，笔者等了大概10分钟，但还是没有发现什么异常。这下笔者开始有些犯难了，心里嘀咕起来，总不能让我到交换机上面一根一根网线去拔吧。这种方法虽然最有效，但终究过于原始，工作量也比较大，有时虽然可以发现问题解决网络故障，但未必能够查明原因，难保以后不会出现同样的问题。如今，自己也别无良策，单位领导同事也都在催，看来还是先用这种方法恢复网络再说了。正当笔者磨拳擦掌，准备付诸行动之时，忽然一个想法在脑海中闪现。刚才进交换机查看了设备CPU占用率，没有看其他诸如告警信息之类的，我何不先看看设备的系统日志再说。说不定会有什么蛛丝马迹呢。于是笔者再次登入设备，通过“display log”命令查看日志信息。结果还真发现了一些端倪，具体情况如下图： 图1 系统日志 从上图我们不难看出，在交换机E0/15端口存在环路，端口所配置的Vlan 为32，正是笔者单位所用的Vlan网段。由于笔者在交换机上开启了全局端口环回检测功能，当交换机检测到Vlan 32下属E0/15端口存在环路时，就会发出告警信息。众所周知，网络中如果存在环路的话，就很容易产生广播风暴，最终导致网络处于瘫痪状态。而这也正是笔者单位局域网频繁掉线的根本原因。为了让局域网其它端口的用户不受影响，笔者立即利用shutdown命令关闭了存在环路的E0/15端口。之后，笔者让同事们都试下各自的网络是否正常，结果除E0/15端口下的用户无法上网外，其它用户的网络均已恢复正常。既然知道了故障点，接下来要做的就是要找出“幕后元凶”了。于是笔者来到E0/15端口下接的用户处，

网络环路故障解决分析

网络环路故障解决分析 以太网中的交换机之间存在不恰当的端口相连会造成网络环路，假如相关的交换机没有打开STP功能，这种环路会引发数据包的无休止重复转发，形成广播风暴，从而造成网络故障。我们在校园网的维护过程中多次碰到过这种故障，其中有一次排除故障的过程令我们印象深刻。 故障描述 一天，我们在校园网的网络运行性能监控平台上发现某栋搂的VLAN有问题——其接入交换机和校园网的连接中断。检查放置在网络中央的汇聚交换机，测得和之相连的100BASE －FX端口有大量的入流量，而出流量却很少，显得很不正常。然而这台汇聚交换机的性能似乎还行，感觉不到有什么问题。于是，我们在这台汇聚交换机上映像这个异常端口，用协议分析工具Sniffer来抓包，最多时每秒钟居然能抓到10万多个。对这些数据包进行简单分析，我们发现其中一些一起特征（如图1）。 图1 抓包数据 1、绝大部分的包长为62个字节（加上4字节的差错检测FCS域即为66个字节），TCP状态为SYN； 2、源IP为其他网段的IP、目的IP均为该楼网段的IP； 3、尽管源IP地址不同，但源MAC地址却是相同的； 4、目的IP地址和目的MAC地址和在这台汇聚交换机上绑定该楼VLAN的IP—MAC参数一致； 5、实际的数据流向（流入）和这些数据包中的源IP地址和目的IP地址所确定的流向（流出）相反。 当时，我们急于尽快抢修网络，没去深究这些数据包的特征，只看到第1点就以为网络受到不明来历的Syn Flood攻击，估计是由一种新网络病毒引起，马上把这台汇聚交换机上该端口禁用掉，以免造成网络性能的下降。 故障排除 为了能在现场测试网络的连通性，在网络中央，我们把连接那栋大楼接入交换机的多模尾纤经光电转换器用双绞线连到一台PC上，并将其模拟成那个问题VLAN的网关。然

交换机中网络环路常见问题详解

交换机中网络环路常见问题详解 以太网中的交换机之间存在不恰当的端口相连会造成网络环路，如果相关的交换机没有打开STP功能，这种环路会引发数据包的无休止重复转发，形成广播风暴，从而造成网络故障。 一天，我们在校园网的网络运行性能监控平台上发现某栋搂的VLAN有问题——其接入交换机与校园网的连接中断。检查放置在网络中心的汇聚交换机，测得与之相连的1 00BASE－FX端口有大量的入流量，而出流量却非常少，显得很不正常。然而这台汇聚交换机的性能似乎还行，感觉不到有什么问题。于是，我们在这台汇聚交换机上镜像这个异常端口，用协议分析工具Sniffer来抓包，最多时每秒钟居然能抓到10万多个。对这些数据包进行简单分析，我们发现其中一些共同特征。 当时，我们急于尽快抢修网络，没去深究这些数据包的特征，只看到第1点就以为网络受到不明来历的Syn Flood攻击，估计是由一种新网络病毒引起，马上把这台汇聚交换机上该端口禁用掉，以免造成网络性能的下降。 故障排除 为了能在现场测试网络的连通性，在网络中心，我们把连接那栋大楼接入交换机的多模尾纤经光电转换器用双绞线连到一台PC上，并将其模拟成那个问题VLAN的网关。然后，到现场找来大楼网管员，想让他协助我们尽快把感染了未知病毒的主机查到并隔离。据大楼网管员反映，昨天网络还算正常，不过，当时本大楼某部门正在做网络调整，今天上班就发现网络不行了，不知跟他们有没有关系。我们认为调整网络应该跟感染病毒关系不大。在大楼主配线间，我们把该接入交换机上的网线都拔掉，接上手提电脑，能连通网络中心的测试主机。我们确认链路没问题后，每次将剩余网线数量的一半插回该交换机，经测试没问题则如是继续下去，否则换插另一半，逐渐缩小怀疑有问题网线的数量。我们最终找到一条会引起问题的网线，只要插上这根网线，该大楼网络就会与模拟网关中断连接。经大楼网管员辨认，这条网线是连接昨天在做网络调整的那个部门的。他还说以前该部们拉了一主一备两条网线，应该还有一条，并亲自在那台交换机上把另一条找了出来。随意插上这两条网线中的一条，网络没问题，但只要同时插上，就有问题，哪有在一台交换机上同时插上两条网线才会激活网络病毒的SYN Flood攻击的？这时我们倒是觉得这种现象更像是网络中有环路。我们到了那个部门发现有三台非管理型交换机，都是串在一起的，然而其中两台又分别通过那两条网线与接入交换机相连，从而导致了网络环路。显然是施工人员对网络拓扑不清楚，当时大楼网管员有事外出，就自以为是地把线接错了，从而造成了这起网络

交换机二层环路问题处理指南

目录 1介绍 (3) 2网络业务故障，如何确认存在环路？ (3) 2.1第一步：是否可以通过端口流量发现数据风暴？ (4) 2.2第二步：是否可以通过MAC-Flapping检测漂移？ (5) 2.2.1框式交换机 (5) 2.2.2盒式交换机 (7) 2.3第三步，是否可以通过环路检测发现环路？ (8) 2.3.1Loop Detection(框式) (9) 2.3.2Loopback Detection(盒式) (10) 3环路问题发生后，如何快速破环？ (11) 3.1第一步：是否理解网络业务并明确拓扑？ (11) 3.2第二步：是否需要用影响最小的方法破环？ (11) 3.2.1方法一：端口退出成环VLAN破环 (11) 3.2.2方法二：shutdown成环端口破环 (11) 3.2.3方法三：通过拔出成环光纤破环 (11) 3.3第三步：操作后确认业务是否恢复？ (12) 4环路问题发生后，如何定位问题根因？ (12) 4.1第一步：是否由于近期施工操作引入环路？ (12) 4.2第二步：是否由于近期修改配置引入的环路？ (12) 4.3第三步：是否典型的常见环路问题？ (13) 4.3.1交换机自环出现环路 (13) 4.3.2交换机下游设备自环出现环路 (13) 4.3.3环形组网链路震荡导致环收敛震荡 (14) 4.3.4环形组网寄存器下发失败无法破环 (14) 4.3.5链路单通引入RRPP网络单向环 (15)

4.3.6协议堵塞的端口L2PT（bpdu-tunnel）协议报文成环 (16) 4.3.7下游设备报文转发异常导致疑似环路 (17) 4.4第四步：收集信息返回研发分析 (17) 5环路问题解决后，网络是否需要优化？ (19) 5.1第一步：是否需要部署适当的破环协议？ (19) 5.2第二步：是否需要提升链路质量和可靠性？ (19) 5.3第三步：是否需要部署广播抑制提升网络健壮性？ (19) 5.4第四步：是否需要部署QoS保证协议报文优先转发？ (19) 6结束语 (19)

网络环路故障处理

网络环路故障处理方法 一、网络环路形成的原因 首先，介绍一下造成网络环路原因。由于机房的交换机都由专业的设备维护人员管理和操作，所以这里我们不考虑机房交换机环路的可能性，而是着重介绍终端用户HUB所造成的环路。如下图所示是HUB环路示意图： 一旦网络中出现上图HUB的连线方法，网络环路就形成了！ 环路引起的实质问题是广播风暴，而广播风暴只在同一网段内传播，它往往只影响同一网段内的电脑。但是当一台受到广播风暴影响的交换机配有其他vlan（网段），那么与该交换机连接的所有网段的电脑都将受到影响，因为“广播风暴”会占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，通俗点说就是该交换机“死机”了。如果该交换机是一台汇聚甚至是核心交换机，那么影响的范围将会更广！ 二、网络环路的现象 接着，介绍一下网络环路的现象。网络中出现环路后，往往会出现很奇怪并令人费解的现象让设备维护人员很难判断故障原因。具体现象有：内网、外网网页有时能打开但很卡，有时又打不开；ping网关丢包且丢包率不稳定；与电脑直连的HUB和机房对应的接入层交换机端口灯狂闪。以上现象出现时，基本可判断是网络环路故障。 三、网络环路的处理方法 准确判断故障原因是快速处理故障的先决条件，知道原因后解决它只是时间问题了。现将网络环路大致的处理流程和方法总结如下： 1、了解网络的拓扑结构 设备维护人员到现场后，首先要知道或试图了解现场网络的拓扑结构。简单的说，你要知道电脑是连的哪个HUB，HUB是连到机房哪台接入层交换机上，而接入层交换机又是如何与汇聚层交换相连的。 这里列出我们公司常见两种接入层拓扑结构： 拓扑图1：接入层交换机分别与汇聚层交换机直连。

环路危害及解决方案

学校的北楼网络出现故障。校园网络时通时断，服务器CPU使用率明显上升，汇集交换机工作异常，整个北楼网络多次瘫痪。经过一番检查、维护后，故障终于得到排除。在故障排除过程中，发现很多起网络故障都是由于网络环路而引起的。 1.部分同学不慎将一条网线的两端直接插在同一台集线器或者交换机的两个端口上（图1），很显然，网络在此形成了环路。 2.由于对整个网络拓扑结构的不熟悉，用户很可能在使用中不经意地将两根应连接到学校主交换机的网线连到了一台集线器或者交换机上（图2），造成了局部网络的环路。 从以上现象可以知道，由于部分同学局部网络形成环路后，相关的广播报文将沿着网络环路无休止地循环传播，继而形成广播风暴，一旦形成了广播风暴，那么，比较乐观的情况就是网络的利用率明显升高，服务器CPU的使用率迅速上升，可使用的网络带宽变得非常有限，所有广播数据包将被丢弃不再传播以使网络恢复正常，所以就造成了用户访问网络时断断续续的现象发生；最坏的情况则是广播数据包将无休止地繁殖，最终耗尽所有的网络带宽，造成整个网络瘫痪，中心交换机死机，使得用户完全无法访问网络。 图1

图2 上述故障很可能在每个楼层都会出现。我认为解决这一问题的较好的方法是:首先教育同学不能将同一根网线的两端同时连接到同一台设备上.其次是不能将同一房间的两个设备连山两根网线.第三是尽可能组织相关网络知识的宣传,处分利用学生干部和网络勤工俭学学生学习网络知识,并协助同学正确连接网络.如果再使用中出现网络异常时，首先与网络中心联系，让网管人员到现场进行查看，这样就可以尽可能地避免由于网络环路的出现而使整个网络无法正常运行。

网络环路问题处理

网络环路问题处理 作者：张宏 来源：《新农村》2012年第06期 【摘要】网络环路问题作为较为常见的网络问题，会引发数据包在网络中恶性循环，从而导致网络堵塞，甚至网络瘫痪。本为结合案例详细的阐述了环路问题的处理思路及维护经验。 【关键词】网络环路；地址漂移 案例：某局采用中兴公司三层交换机（C9000 C5000）、北电BAS（SHASTA 5000)和华为公司MA5100组建城域网。其中MA5100采用IP 方式上行，接入中兴公司C5000。四台MA5100的用户均采用PPPOE方式上网，同时用户业务VLAN在MA5100上自身终结。 C5000上将四台MA5100划分在同一个VLAN中，近期C5000上出现大量地址漂移告警。 1 组网说明 2 问题分析 地址漂移告警是指在同一台设备上的不同端口上学习到了相同的MAC地址，并且在短时间内重复出现。告警在C5000上形式如下： (0.064692)mac 00E0:4C4E:0513 moved (et.1.7 --> et.1.1). (0.046774)mac 00E0:4C4E:0513 moved (et.1.1 --> et.1.7). (0.961016)mac 00E0:4C4E:0513 moved (et.1.7 --> et.1.1). (0.046910)mac 00E0:4C4E:0513 moved (et.1.1 --> et.1.7). (0.959258)mac 00E0:4C4E:0513 moved (et.1.7 --> et.1.1). (0.044696)mac 00E0:4C4E:0513 moved (et.1.1 --> et.1.7). (0.784070)mac 00E0:4C4E:0556 moved (et.1.7 --> et.1.1). (0.046728)mac 00E0:4C4E:0556 moved (et.1.1 --> et.1.7). (1.521856)mac 0003:C923:A64F moved (et.1.7 --> et.1.8). (0.043096)mac 0003:C923:A64F moved (et.1.8 --> et.1.7).

网络环路分析

网络环路分析 某公司网络全部为内部网络，不与internet连接，出口防火墙连接集团内网，下联核心交换机，核心交换机下连“下属单位”防火墙。如下图所示： 前一段时间上午8-10点左右网络及应用访问缓慢，内网用户ping DMZ区服务器时会产生大量丢包，甚至无法正常提供服务，而且会不定时的网络访问慢，严重的影响了正常的工作。经过一段时间的排查，并没有发现网络及应用产生故障的原因。 这时通过网络中部署的科来网络回溯分析系统对之前发生的问题进行长时间的回溯分析，定位到故障发生的时段，来重现故障当时的情景，以便帮助我们找到产生问题的根本原因，解决问题。

上图为发生异常的3小时的流量视图，并且为网络总流量及进出流量做出统计，可以看到总流量已经占出口带宽的70%左右，峰值达到了682.35Mbps，顺时的网络利用率甚至更高，已经达到非常高网络利用率，会造成大量的数据包丢失。 详细分析： 经过针对网络应用分析，发现这3小时的数据中，未知的UDP应用流量占用了总流量的99%以上（如下图）。

通过进行未知UDP应用的深入挖掘分析，可以发现大量UDP 2425 端口的单方向通讯。 所以基本我们可以确定网络中产生大数据量传输导致网络慢的原因就是内网中这些使用UDP 2425 端口进行通讯的数据占用了网络的大量带宽，导致网络中产生很多丢包，造成访问应用系统慢。 查找占用带宽较大的ip时，发现基本所有大流量传输的ip地址均为“该公司下属单位”网段的ip地址。 经过查阅资料和udp会话分析发现，使用UDP2425端口是飞秋软件，飞秋(FeiQ)是一款局域网聊天传送文件的绿色软件，它参考了飞鸽传书(IPMSG)和QQ, 完全兼容飞鸽传书(IPMSG)协议。 通过“下载分析”针对一个UDP2425会话进行解码分析，发现数据包的标

环路引起网络故障和现象仿真

环路引起网络故障处理和现象仿真 目录 1. 问题处理过程： (1) 2. 现象仿真实验 (3) 2.1. 环境： (3) 2.2. 正常状态，pc1去ping pc2 (5) 2.3. 3,4口自环的情况 (5) 2.4. 模拟vlan1数据通过 (7) 2.4.1. 两个端口都是access口，pc2去ping pc1互ping正常 (7) 2.4.2. 两个端口都是vlan1，相互都能ping通 (8) 2.4.3. 2口为trunk，但运行vlan1通过，1口access口属于vlan1 (8) 2.4.4. 1,2都是trunk口，都允许vlan1通过 (9) 2.4.5. 修改2的native vlanid为4092后，pc1去ping pc2 (10) 2.4.6. 过程分析： (11) 3. 知识点： (12) 1.问题处理过程： 一天下午，突然工位的pc192.168.205.201无法ping通机柜汇聚交换机192.168.205.15，ping 的结果是无法访问目标主机。 已知，公司组网如下图： 查看arp -a发现没有192.168.205.15的mac地址。长ping192.168.205.15，用windump

跟踪执行windump -i 1 -nne arp[14:4]=0xc0a8cd0f or arp[24:4]=0xc0a0cd0f（跟踪arp 请求源ip和响应的目的ip），发现有如下打印： 发现pc发出的arp请求没有得到响应。 奇怪，镜像核心交换机到机柜汇聚交换机的接口发现有下面的打印： 看这个每包的时间间隔，发现几乎在0.000002秒，就是说每秒发送50000个包，而交换机设置最大接收arp是100个/秒，显然超出交换机的处理能力，怀疑谁的设备出了问题，询问同事谁的这两个mac地址的设备？判断在不停的发送arp消息。 有同事反馈他在其他网段能登录机柜汇聚交换机，反馈这个00:ac:c9:00:00:02是在图中253交换机上，如图： 让他在机柜汇聚交换机上shutdown 1/1/9接口，并清除掉arp表和mac地址表后，用192.168.205.201pc进行ping，发现windump有下面的打印： 机柜汇聚交换机响应了arp请求，能够ping通。 检查253交换机上最近做了什么？有同事反馈，他有业务需求，用网线把253和251交换机的两个端口连接起来了，开始两个端口都是vlan1的access。怀疑有设备接在vlan1上，两个

交换机二层环路问题处理指南

目录 1 介绍 (3) 2 网络业务故障，如何确认存在环路？ (3) 2.1 第一步：是否可以通过端口流量发现数据风暴？ (4) 2.2 第二步：是否可以通过MAC-Flapping检测漂移？ (5) 2.2.1 框式交换机 (5) 2.2.2 盒式交换机 (7) 2.3 第三步，是否可以通过环路检测发现环路？ (8) 2.3.1 Loop Detection(框式) (9) 2.3.2 Loopback Detection(盒式) (10) 3 环路问题发生后，如何快速破环？ (11) 3.1 第一步：是否理解网络业务并明确拓扑？ (11) 3.2 第二步：是否需要用影响最小的方法破环？ (11) 3.2.1 方法一：端口退出成环VLAN破环 (11) 3.2.2 方法二：shutdown成环端口破环 (11) 3.2.3 方法三：通过拔出成环光纤破环 (11) 3.3 第三步：操作后确认业务是否恢复？ (12) 4 环路问题发生后，如何定位问题根因？ (12) 4.1 第一步：是否由于近期施工操作引入环路？ (12) 4.2 第二步：是否由于近期修改配置引入的环路？ (12) 4.3 第三步：是否典型的常见环路问题？ (13)

4.3.1 交换机自环出现环路 (13) 4.3.2 交换机下游设备自环出现环路 (13) 4.3.3 环形组网链路震荡导致环收敛震荡 (14) 4.3.4 环形组网寄存器下发失败无法破环 (14) 4.3.5 链路单通引入RRPP网络单向环 (15) 4.3.6 协议堵塞的端口L2PT（bpdu-tunnel）协议报文成环 (16) 4.3.7 下游设备报文转发异常导致疑似环路 (17) 4.4 第四步：收集信息返回研发分析 (17) 5 环路问题解决后，网络是否需要优化？ (19) 5.1 第一步：是否需要部署适当的破环协议？ (19) 5.2 第二步：是否需要提升链路质量和可靠性？ (19) 5.3 第三步：是否需要部署广播抑制提升网络健壮性？ (19) 5.4 第四步：是否需要部署QoS保证协议报文优先转发？ (19) 6 结束语 (19)

交换机端口相连网络环路轻视不得

交换机端口相连网络环路轻视不得 作者: 佚名, 出处:IT专家网论坛,责任编辑: 白志飞, 2009-09-21 08:46 广播风暴（Broadcast Storm）当主机系统响应一个在网上不断循环的报文分组或者试图响应一个没有应答的系统时就会发生广播风暴。一般为了改变这种状态，请求或者响应分组源源不断地产生出来，常使情况变得更糕。随着网络上分组数目的增加，拥塞会随之出现，从而降低网络的性能以至于使之陷入瘫痪。 以太网中的交换机之间存在不恰当的端口相连会造成网络环路，如果相关的交换机没有打开STP功能，这种环路会引发数据包的无休止重复转发，形成广播风暴，从而造成网络故障。我们在校园网的维护过程中多次遇到过这种故障，其中有一次排除故障的过程令我们印象深刻。 故障描述 一天，我们在校园网的网络运行性能监控平台上发现某栋搂的VLAN有问题——其接入交换机与校园网的连接中断。检查放置在网络中心的汇聚交换机，测得与之相连的 100BASE-FX端口有大量的入流量，而出流量却非常少，显得很不正常。然而这台汇聚交换机的性能似乎还行，感觉不到有什么问题。于是，我们在这台汇聚交换机上镜像这个异常端口，用协议分析工具Sniffer来抓包，最多时每秒钟居然能抓到10万多个。对这些数据包进行简单分析，我们发现其中一些共同特征。 1、绝大部分的包长为62个字节(加上4字节的差错检测FCS域即为66个字节)，TCP 状态为SYN; 2、源IP为其他网段的IP、目的IP均为该楼网段的IP;

3、尽管源IP地址不同，但源MAC地址却是一样的; 4、目的IP地址和目的MAC地址与在这台汇聚交换机上绑定该楼VLAN的IP—MAC 参数一致; 5、实际的数据流向(流入)与这些数据包中的源IP地址和目的IP地址所确定的流向(流出)相反。 当时，我们急于尽快抢修网络，没去深究这些数据包的特征，只看到第1点就以为网络受到不明来历的Syn Flood攻击，估计是由一种新网络病毒引起，马上把这台汇聚交换机上该端口禁用掉，以免造成网络性能的下降。 故障排除 为了能在现场测试网络的连通性，在网络中心，我们把连接那栋大楼接入交换机的多模尾纤经光电转换器用双绞线连到一台PC上，并将其模拟成那个问题VLAN的网关。然后，到现场找来大楼网管员，想让他协助我们尽快把感染了未知病毒的主机查到并隔离。 据大楼网管员反映，昨天网络还算正常，不过，当时本大楼某部门正在做网络调整，今天上班就发现网络不行了，不知跟他们有没有关系。我们认为调整网络应该跟感染病毒关系不大。在大楼主配线间，我们把该接入交换机上的网线都拔掉，接上手提电脑，能连通网络中心的测试主机。我们确认链路没问题后，每次将剩余网线数量的一半插回该交换机，经测试没问题则如是继续下去，否则换插另一半，逐渐缩小怀疑有问题网线的数量。 我们最终找到一条会引起问题的网线，只要插上这根网线，该大楼网络就会与模拟网关中断连接。经大楼网管员辨认，这条网线是连接昨天在做网络调整的那个部门的。他还说以前该部们拉了一主一备两条网线，应该还有一条，并亲自在那台交换机上把另一条找了出来。随意插上这两条网线中的一条，网络没问题，但只要同时插上，就有问题，哪有在一台交换机上同时插上两条网

网络环路故障解决处理方法

网络环路故障解决处理方法 网络环路故障描述 VSI（虚拟交换接口）信令协议使用BGP，CE双归属到两台PE，网络中出现环路 网络环境 在下图的网络中配置KompellaVPLS业务，CE1双归属到PE1和PE2，CE2双归属到PE3和PE4。 下图为双归属VPLS组网图 配置完成后，发现网络中出现环路。 网络环路故障分析 在PE上执行displaycurrent-configurationconfigurationvsi命令，检查PE的VSI配置。 因为各PE配置相似，此处以PE1的显示结果为例： # vsivsi1auto pwsignalbgp route-distinguisher100:1 vpn-target100:1import-extcommunity vpn-target100:1export-extcommunity site1range5default-offset0 # Kompella方式VPLS，CE双归属组网，无任何特殊配置的情况下，会产生环路。 网络环路故障处理步骤 在各PE上执行以下操作。 步骤1在PE上执行命令system-view，进入系统视图。 步骤2在PE上执行命令vsivsi-name，进入VSI实例视图。 步骤3在PE上执行命令multi-homing-preferencepreference-value，配置VSI实例的双归属优先级。

说明： 1.优先级高的PE将作为主用PE，优先级低的PE将作为备用PE。 2.主用PE负责CE的流量的转发，而备用PE只负责检测主用PE的VSI是否处于Up状态。 3.被选为备用PE后，备用PE的VSI被置为Down状态。 步骤4执行命令return退回到用户视图，执行命令save，保存对配置的修改。 ----结束 完成上述操作后，网络中环路消除。 网络环路故障案例总结 网络环路故障就此解决，Kompella方式VPLS，CE双归属组网，无任何特殊配置的情况下，会产生环路，可通过配置VSI实例优先级的方式区分主备用PE，消除网络环路。

距离矢量路由协议中路由环路问题的解决方法

距离矢量路由协议中路由环路问题的解决方法 距离矢量路由协议中路由环路问题的解决方法： 概括来讲，主要分为六种： 1.定义最大值； 2.水平分割技术； 3.路由中毒； 4.反向路由中毒； 5.控制更新时间； 6.触发更新。 1.定义最大值： 距离矢量路由算法可以通过IP头中的生存时间（TTL）来纠错，但路由环路问题可能首先 要求无穷计数。为了避免这个延时问题，距离矢量协议定义了一个最大值，这个数字是指最 大的度量值（如rip协议最大值为16），比如跳数。也就是说，路由更新信息可以向不可到达的网络的路由中的路由器发送15次，一旦达到最大值16，就视为网络不可到达，存在故 障，将不再接受来自访问该网络的任何路由更新信息。 2.水平分割： 一种消除路由环路并加快网络收敛的方法是通过叫做“水平分割”的技术实现的。其规则就是不向原始路由更新的方向再次发送路由更新信息（个人理解为单向更新，单向反馈）。比如 有三台路由器ABC，B向C学习到访问网络10.4.0.0的路径以后，不再向C声明自己可以通过C访问10.4.0.0网络的路径信息，A向B学习到访问10.4.0.0网络路径信息后，也不再向B声明，而一旦网络10.4.0.0发生故障无法访问，C会向A和B发送该网络不可达到的路由更新信息，但不会再学习A和B发送的能够到达10.4.0.0的错误信息。 3.路由中毒（也称为路由毒化）： 定义最大值在一定程度上解决了路由环路问题，但并不彻底，可以看到，在达到最大值之前，路由环路还是存在的。为此，路由中毒就可以彻底解决这个问题。其原理是这样的：假设有 三台路由器ABC，当网络10.4.0.0出现故障无法访问的时候，路由器C便向邻居路由发送

案例-某检察院网络环路故障分析报告

案例-某检察院网络环路故障分析报告

某检察院网络环路故障 分析报告

目录 故障现象描述................................................... - 3 -基本环境描述........................................... - 3 -分析方案设计................................................... - 3 -分析目标................................................... - 3 -抓包位置................................................... - 4 -分析情况........................................................... - 4 -终端分析，............................................... - 4 -网络出口分析........................................... - 4 -分析结论........................................................... - 5 -

故障现象描述 该院一些员工当天发现访问内部网站慢或无法访问，该院管理员ping网站服务器和内部网关掉包严重，有时跟本无法ping通。 基本环境描述 该院网络内部网络不能访问互联网，由楼层交换机接入核心交换机（交换机都为二层），其中有一些办公室使用家用8口或5口小型交换机。

路由环路及解决办法

路由环路及解决办法 路由环路：在维护路由表信息的时候，如果在拓扑发生改变后，网络收敛缓慢产生了不协调或者矛盾的路由选择条目，就会发生路由环路的问题，这种条件下，路由器对无法到达的网络路由不予理睬，导致用户的数据包不停在网络上循环发送，最终造成网络资源的严重浪费。链路状态算法(OSPF)不会产生路由环路，因此，消除路由环路的技术，都是针对距离向量协议进行的。路由环路的形成大致如下述： 当C路由器一侧的X网络(192.168.4.0)发生故障，则C路由器收到故障信息，并在路由表中把X网络设置为不可达，等待更新周期到时来通知相邻的B路由器。但这时，如果相邻的B路由器的更新周期先来了，则C路由器将从B路由器那学习并更新到达X网络的路由。这是错误路由，因为此时的X网络已经损坏，而C路由器却在自己的路由表内增加了一条经过B 路由器到达X网络的路由。然后C路由器还会继续把该错误路由通告给B路由器，B路由器更新路由表，认为到达X网络须经过C 路由，然后继续通知相邻的路由器，至此路由环路形成，C路由器认为到达X网络经过B路由器，而B则认为到达X网络进过C路由器。 解决路由环路问题的方法，概括来讲，主要分为六种： 1.定义最大值： 距离矢量路由算法可以通过IP头中的生存时间（TTL）来纠错，但路由环路问题可能首先要求无穷计数。为了避免这个延时问题，距离矢量协议定义了一个最大值，这个数字是指最大的度量值，如RIP协议最大值为16跳。也就是说，路由更新信息可以向不可到达的网络的路由中的路由器发送15次，一旦达到最大值16，就视为网络不可到达，存在故障，将不再接受来自访问该网络的任何路由更新信息。