轻松识别网络二层环路！

定义

交换以太网络环境中一旦出现物理环路会直接造成网络中出现广播风暴，这是由于广播包会发送到交换机的各个端口，会由环路循环发送，产生广播风暴，导致整个物理网段的瘫痪。

二层环路最大的危害就是会产生广播风暴，以太网是一个支持广播的网络，在没有环路的环境中，广播包在网络中以泛洪的形式被送达到网络的每一个角落，以保证每个设备都能够接受到它。 在带宽允许的情况下，每个网桥在接收到广播报文以后，都会向除接收端口以外的其他所有接口转发这个广播包，一旦网络中有环路，这种简单的广播机制就会引发灾难性后果。

环路中一个广播报文被反复转发了千万次，产生了广播风暴并且很快达到或接近端口线速，并迅速消耗链路带宽。根据转发规则，这些广播报文不仅仅只是在环路上无限转发，环路设备还会向其他端口转发一份，这样整个网络中都充斥着大量重复广播报文。 如果全网络都采用千兆端口互连，那么几乎每一条链路上都充斥着1000M/s的广播报文，正常的数据报文将很难再获得转发的机会。

二层网络设备处于同一个广播域下，广播报文在环路中会反复持续传送，无限循环，形成广播风暴，引发MAC地址表不稳定等现象描述，进而影响正常业务，导致用户通信质量较差，甚至通信中断。

典型特征

二层环路有以下几大典型特征:

• 流量暴涨，迅速接近或达到端口线速。

• 广播风暴，大量的广播包、组播包

• 数据包 ID 相同、TTL值未减小

• 交换机 CPU 利用率高，交换机状态指示灯“狂闪”

二层环路排查案例

某时间，网络性能突然下降，出现严重的丢包，网络管理员通过流量分析仪排除网络故障的原因。

通过分析仪的仪表板界面，很快了解以下的流量信息：

捕获端口流量：716 Mb/s

捕获端口每秒数据包：347000

全 1 的广播MAC地址每秒接收流量：558 Mb/s

33:00开头的多播地址每秒接收流量：157 Mb/s

观察异常信息，流量突然暴涨并持续保持一个较大值，而且广播包的占比非常大，显然网络中出现了广播风暴。

通过仪表板还能发现，流量的主要成分为 DHCP，流量最大的 IP 地址为 0.0.0.0 和 255.255.255.255。 所以，这是由于 DHCP 广播报文进入交换机，传播到交换机的所有端口，然后环回导致的广播风暴。对流量解码后发现确实如此。

分析仪接收、分析一台交换机镜像端口的流量，因此，管理员迅速前往查看该交换机，检查链路的连接情况，发现有一根网线两端都插在交换机上。 移除该网线后，异常的网络流量模式消失，随后网络恢复正常。