局域网广播为何会失控？环路怎么压住？

企业局域网最怕的不是带宽不够，而是二层拓扑被误改后故障在几秒内扩散。广播风暴和环路不是两个独立问题，前者往往是后者被交换芯片放大的表象。

广播报文在二层不会被某个电机“吸收”，交换机只能按同一VLAN复制到多个端口。当接入口后面接了小交换机、摄像头桥接口，或一根备用跳线把两个楼层弱电箱重新闭成环时，ARP请求、DHCP发现以及未知单播都会被重复转发。真正先失控的通常不是总带宽，而是地址学习表：同一MAC在不同端口来回出现，CAM表不断重学，控制平面又被异常报文抢占，于是语音、门禁和打印这类小流量业务先表现为随机抖动。很多园区网络排障时只看端口平均利用率，平均值不高却已经出现突发洪峰，用户体感往往比监控告警更早。它成立的前提是广播复制没有被边缘限流，或者未知单播、未知组播被当成“正常流量”放过去。机制链条是复制放大、地址漂移、中央处理器抢占、转发表失真，工程上要同时限制三类泛洪，而不是只给广播单独设阈值。

环路能否被压住，关键不在配置里有没有快速生成树，而在生成树是否真的参与了边缘变化。很多事故出在接入口被误设成干道口，或上联口被开启了快速接入模式，交换机把本应接收桥协议数据单元的链路当成终端口，环路出现时不会先阻塞而是先放行。快速生成树收敛快，但它依赖根桥稳定、桥协议报文不被过滤、链路角色明确；只要双上联中有一端单向故障，未配单向链路检测或环路保护的一侧就可能误判拓扑健康，继续转发旧路径。如果接入口下挂的是会议终端或傻交换机，还应限制可学习地址数量，避免一个违规小设备把故障继续向下游扩散。工程上应把核心和汇聚固定成根桥与备根，所有接入口默认启用BPDU Guard，非授权干道口直接关闭，边缘口模板里禁止手工删除保护项。把“谁可以形成闭环”从人工经验改成配置约束，才是避免风暴反复出现的办法。

局域网里的广播故障本质上是拓扑控制失败。先限复制，再稳根桥，再把边缘端口的越权接入挡掉，环路和风暴才会一起下降。