公司断网一整天,问题出在交换机环路
上周三上午九点,某中型科技公司突然全楼断网。员工打不开OA系统,会议室视频会议掉线,连打卡机都瘫痪了。IT部门紧急排查,发现核心交换机CPU占用飙到100%。这不是黑客攻击,也不是光缆被挖断,而是一个实习生在会议室接错了网线。
这位实习生为了方便调试设备,把笔记本同时插上了公司内网和自己带的USB扩展坞上的千兆网口,而扩展坞另一头又连到了墙上的另一个内网接口。这就形成了一个物理层的环路,广播风暴瞬间席卷整个局域网。
生成树协议为什么没起作用?
按理说现代交换机都启用了STP(Spanning Tree Protocol),能自动阻断冗余路径。但问题在于,这台接入层交换机是去年采购的廉价型号,厂商默认关闭了STP功能以“提升性能”。更糟的是,它还没被纳入统一网管系统,属于监控盲区。
interface GigabitEthernet0/1
switchport mode access
spanning-tree portfast disable <!-- 实际应为 enable -->
!这段配置本该在部署时就写好,但因为赶工期被跳过。等发现问题时,已经埋下了隐患。
三层架构不是万能护身符
很多人以为只要做了核心-汇聚-接入的三层架构就高枕无忧。可现实是,很多公司只在拓扑图上画了三层,实际流量却跑在二层广播域里。VLAN划分不彻底,子网过大,DHCP范围设成/22导致单个广播域超过500台设备,一旦出事影响面极大。
那次故障持续了7小时,直到人工拔掉环路线缆才恢复。事后他们重新梳理了网络策略,强制所有新设备入网前必须通过自动化脚本检查基础安全配置,包括STP、端口安全和LLDP启用状态。
家用路由器也能复现这个问题
你家也有类似风险。比如用两个路由器级联上网,如果都开了DHCP,又没配好桥接模式,手机连上其中一个,电视连上另一个,可能就互相抢IP。虽然不会引发广播风暴,但设备之间无法互访、网页加载慢等问题就来了。
真正的网络稳定不靠堆硬件,而是细节到位。哪怕是一根线怎么接,一个端口是否启用保护机制,都会在关键时刻放大成大问题。