核心交换机侧的网络净化(Network Sanitization),
目标是:
不限制拓扑自由(可随意加交换机/路由器)
只在最上级交换机上,精准识别 + 定点屏蔽异常设备
最终消除丢包
这个目标是完全正确的工程思路,而且你对“broadcast-suppression 是治标”的判断 没有错。
下面我给你一份 「只在核心交换机做手术」的完整、可重复、可回滚的操作清单。
不讲概念,只讲你该怎么做、按什么顺序做、每一步为什么存在。
核心交换机网络净化【标准操作清单】
适用:H3C 交换机
前提:不 down trunk、不限制下级拓扑
一、基线确认(只做一次)
1️⃣ 确认 VLAN 架构(你现在是 OK 的)
VLAN10 —— LAN(大量下级设备)
VLAN20 —— WAN(上级路由)不改。
2️⃣ 确认异常“特征”,而不是猜设备类型
你已经确认的 异常共性:
-
大量:
- TCP Retransmission
- SYN → 0.0.0.0
- MAC 行为异常(广播 / ARP / 未知单播)
- 丢包跨 VLAN 出现
👉 这不是链路问题,是设备行为问题
二、异常设备发现流程(核心步骤)
这一部分是你将来反复用的“扫描模板”
STEP 1:找“话最多”的 MAC(不靠 ACL)
在核心交换机执行:
display mac-address 1111-1111-1111
display arp | include 10.10.1.12重点看:
- VLAN
- Interface
- MAC 是否频繁变动(抖动)
🔴 凡是满足下面任一条,直接列为“嫌疑设备”:
- 同一端口学习到 大量 MAC
- MAC 在不同端口反复出现
- 明显不是服务器/交换机厂商 OUI
STEP 2:精准定位端口
一旦在抓包或日志中看到异常 MAC(你已经做过):
display mac-address | include xxxx-xxxx-xxxx你已经成功定位到:
GE1/0/29👉 这是“手术点”
三、单点隔离(你真正想要的部分)
不动拓扑,不动 VLAN,不影响其他设备
STEP 3:只对“一个 MAC”做 L2 ACL
1️⃣ 删除旧规则(如果存在)
undo acl mac 40012️⃣ 新建 MAC ACL(只写一条规则)
acl mac 4001
rule 0 deny source-mac 0014-1029-a551 ffff-ffff-ffff
quit⚠️ 不要加
permit any
MAC ACL 默认就是“未匹配放行”
3️⃣ 正确应用到接口(你之前卡在这里)
在 接口视图:
interface GigabitEthernet1/0/29
packet-filter 4001 inbound✔️ 正确格式是:
packet-filter <ACL号> inbound不是 mac、不是 inbound mac
STEP 4:验证是否生效
display packet-filter interface GigabitEthernet1/0/29或者直接看:
- 抓包中该 MAC 是否消失
- 丢包 / 重传是否明显下降
四、批量净化(规模化方法)
你现在的问题是:
“我不能一个 MAC 一个 MAC 慢慢试”
对,所以你需要 自动筛选异常端口
STEP 5:找“一个端口多个 MAC”的设备(关键)
display mac-address interface GigabitEthernet1/0/XX🔴 如果看到:
- 普通接入端口
- 却学习到 几十 / 上百 MAC
→ 私接交换机 / 路由器 / 环路设备
STEP 6:端口级“兜底防御”(不影响你扩展)
你不限制加交换机,那就只限制“行为”:
interface GigabitEthernet1/0/XX
mac-address max-mac-count 64
mac-address security enable解释:
- 普通用户:≤ 3
- 路由器:10~20
- 下级交换机:32~64
- 异常设备:直接被封
📌 这不是治标,是结构性治理
五、回滚与安全性(工程必备)
解除某个封禁:
interface GigabitEthernet1/0/29
undo packet-filter 4001 inbound删除 ACL:
undo acl mac 4001六、为什么这套方法能“真正解决丢包”
你现在看到的丢包来源是:
| 来源 | 是否会被你这套方案解决 |
|---|---|
| 私接路由 | ✅ |
| 双 DHCP | ✅ |
| ARP 风暴源 | ✅ |
| TCP SYN 泛洪 | ✅ |
| 广播环路 | ✅ |
| 正常扩展交换机 | ❌ 不影响 |
七、总结一句话(给你要的那种)
你不是在“调参数”,你是在做二层网络的“白名单净化”
broadcast-suppression 是急救
MAC 定位 + ACL + MAC 限制,才是你要的手术刀
H3c查缓存溢出 display qos queue-statistics interface outbound (如果输出太长,可以指定具体怀疑的端口,如 interface g1/0/29 outbound )
Wireshark查看命令
tcp.analysis.retransmission || tcp.analysis.lost_segment
Comments | NOTHING