以太网交换机端口被环引起整个局域网瘫痪一例

现象描述

某公司某地的局域网全部用Quidway中低端路由器和交换机组成，使用私网地址。

该局域网通过一台R3640路由器经专线连到该公司其它地方的局域网。R3640通过100M网口下挂S3025交换机，S3025交换机则通过10M网口连接多台S2403交换机。S3025下还连接一台DHCP服务器，DNS服务器则在外地。用户则连到S2403交换机上，以自动获取IP地址方式接入局域网。

某日该局域网的用户忽然发现网络不通，更有部分用户的计算机连上网线后不能正常启动，再次启动时系统自动进入安全模式。很快发现整个局域网的网络都不通。此时，网管员从此局域网外的服务器上PING局域网内的DHCP服务器，发现时通时断。登录到R3640路由器上查看用户连接状态，发现从路由器到相邻的网络的连接正常。但是PING不通局域网内的用户。查看S2403交换机，也PING不通。

告警信息

R3640路由器能正常登录，该路由器与外部的连接也正常，但是其下连接的各交换机都PING不通。

从DHCP服务器PING外网，时通时断。PING局域网内设备则不通。

原因分析

局域网的用户全都不能连到外网，首先考虑的可能原因有：

1、出口路由器故障。

2、路由器下的汇流的S3025交换机故障。

但是因为局域网用户之间互相也不能PING通，所以可能性主要有以下两种：

1、该局域网有某种病毒大面积发作，大量计算机被感染。

2、有人在恶意大量发送广播包（这种情况只在交换机没有划分VLAN时产生），使其他用户都不能收发IP包。

处理过程

1、从局域网外部登录到R3640路由器上，查看各端口状态，从R3640到外部网络的连接正常。连到S3025交换机的端口状态和协议状态都正常，且该端口有流量。

2、将S3025替换成一台备用的S2403，重新配置交换机端口的IP地址，网络故障现象依旧。排除S3025故障的可能。

3、因为许多用户一旦接上网线就不能正常启动，怀疑是病毒大面积发作。但是使用最新的杀毒软件检查DHCP服务器和各用户的计算机都没有发现病毒。且取下网线计算机就能正常启动。因此可以肯定不是病毒，而是有人恶意攻击或其他原因。

4、由于所有交换机都没有划分VLAN，存在被恶意攻击的可能。将S2403交换机接到HUB下再连到S3025交换机上，用便携机连到HUB上进行抓包，果然发现大量广播包。

5、将S3025与全部S2403的连接都断开，此时从外部网络PING DHCP服务器完全正常，便携机挂在S3025下也能正常上网。至此确定是各交换机之间因为没有划分VLAN，被大量广播包堵死。

6、继续检查广播包的来源，依次将各台S2403连到S3025上，很快找出有问题的S2403交换机。检查该交换机，发现有两个10M网口被用交叉网线自环了。取下该交叉线，局域网恢复正常，用户能正常上网。

建议与总结

无