本期分享的案例是無線網(wǎng)絡的相關(guān)問題。

背景介紹

家庭無線網(wǎng)絡的組網(wǎng)方式主要有兩種：  

• 單臺無線路由器或多臺易展路由器實現(xiàn)無線覆蓋；  
• 部署AC（無線控制器）+面板AP實現(xiàn)無線覆蓋。  

不少用戶會遇到這樣的情況：無線網(wǎng)絡一開始正常，使用中突然變得卡頓、斷連，甚至無法上網(wǎng)；但電腦通過路由器網(wǎng)口、交換機或AP面板口連接有線網(wǎng)絡時，卻始終穩(wěn)定可用。這究竟是什么原因？

處理思路

• 排除基礎(chǔ)配置問題：若網(wǎng)絡已穩(wěn)定使用一段時間，基本配置（網(wǎng)絡參數(shù)、DHCP、上網(wǎng)控制等）通常無異常，電子設備也不易突然故障；  
• 排除環(huán)路風暴問題：有線網(wǎng)絡正常，說明網(wǎng)絡中不存在導致全網(wǎng)癱瘓的環(huán)路；  
• 重點懷疑“數(shù)據(jù)泛洪”：無線網(wǎng)絡受影響，多因攻擊者或中毒設備向網(wǎng)絡發(fā)送大量泛洪報文所致，需定位此類問題設備。  

排查分析

以“單臺家用無線路由器覆蓋”場景為例，具體排查方法如下：  

(1) 第一步：物理查找問題設備  

攻擊者或中毒設備需接入網(wǎng)絡才能發(fā)起攻擊，可通過“斷開終端”的方式定位：  

① 排查有線設備  

拔掉路由器或交換機上所有LAN口的網(wǎng)線，用手機連接無線網(wǎng)絡測試是否恢復正常。  

若恢復正常：依次將網(wǎng)線重新接入，觀察接入哪臺設備后無線再次異常，即可定位問題設備；  

若未恢復正常：說明問題來自無線終端。  

② 排查無線設備  

登錄無線路由器管理頁面（web端），進入“設備管理”，查看已連接的無線設備，依次將設備拉入黑名單并測試無線狀態(tài)，直至找到導致異常的設備。  

在“已連設備”列表中，可看到設備名稱（如OPPO-Reno3-Pro-5G、iQOO-Neo5-SE等），通過“禁用”“拉入黑名單”功能逐個排查。  

(2) 第二步：網(wǎng)絡抓包定性問題  

若物理查找無法快速定位，可通過網(wǎng)絡抓包工具（如Wireshark）分析網(wǎng)絡報文，判斷是否存在“數(shù)據(jù)泛洪”。  

實際場景1：設備中毒導致MDNS報文泛洪  

抓包結(jié)果顯示，某設備（IP：192.168.8.45）持續(xù)發(fā)送大量IPv4和IPv6組播MDNS報文，速率達6666包/秒，吞吐量約12Mbps。  

從源MAC地址可定位為一臺電腦，最終確認該電腦因應用程序中毒導致報文泛洪。查殺病毒并卸載異常應用后，無線網(wǎng)絡恢復正常。    

實際場景2：異常設備發(fā)送偽造MAC廣播報文  

抓包結(jié)果顯示，某設備（MAC：11:22:33:44:55:66，明顯為偽造地址）以1000包/秒的速率發(fā)送二層廣播報文（協(xié)議類型0x9911）。  

通過物理排查發(fā)現(xiàn)，該設備為一臺故障IPC（網(wǎng)絡攝像頭），因硬件異常導致持續(xù)泛洪報文。重啟IPC后，無線網(wǎng)絡恢復正常。  

原理及解決方案

 為什么泛洪報文只影響無線、不影響有線？  

• 有線網(wǎng)絡基于“線速硬件轉(zhuǎn)發(fā)”，100M/1000Mbps的帶寬可輕松承載此類泛洪速率（遠未達瓶頸），因此不受影響；  
• 無線路由器轉(zhuǎn)發(fā)報文時，需將有線以太網(wǎng)幀封裝為802.11無線幀（添加無線幀頭）。若有線側(cè)泛洪報文過多，無線封裝的載荷量會急劇增加，大量消耗無線資源（如CPU、信道帶寬），最終導致無線性能下降、異常。  

解決方案

(1) 定位問題設備：通過“物理斷開終端”或“網(wǎng)絡抓包”找到發(fā)送泛洪報文的設備（有線/無線終端、故障設備等）；  

(2) 針對性處理：  

• 若為中毒設備，查殺病毒并卸載異常應用；  
• 若為故障設備（如IPC），重啟或更換設備； 
• 若為非法接入設備，拉入黑名單并修改無線網(wǎng)絡密碼。  

通過以上步驟，可快速定位“有線正常、無線異常”的核心原因，恢復無線網(wǎng)絡的穩(wěn)定使用。