网络上没啥大事情已经有一段时间了，都是忙些杂事，体力活。今天一下子来了两桩不太常见的事情。

今天上午，正忙着杂事呢，收到个告警短信，有台三层交换机ping不通了，很快又收到了恢复的短信，接着没多久又不通了。于是在现场找了台能上网的机器，试着连一下那交换机，能连上，并且看看上层交换机上貌似也没啥怪异的日志。觉得是不是那台监控的破机器又响应不过来了（P3的机器采集一百多个端口的流量，一百多台设备的连通性，觉得有点慢），于是又放一边，忙手上的事情。

完事以后正回办公室的路上，电话一个个来了。回到办公室才发现那交换机真的连不上了，而且其他同一层次的交换机也连不上。

于是在上层的交换机上看看情况，带宽占用很厉害，都是外面来的，看来是有人被攻了。我这里除了看哪个端口流量大，然后到最后可网管的设备上抓包，别无他法确定是谁被攻击。于是求助于上级公司的异常流量监测（这个东西只有大流量的异常才有触发），看到有个用户的地址，峰值15G的UDP。于是找省电信NOC，请求做个黑洞路由先挡一下。

流量恢复正常，算是完事。

刚才又有电话，另一个用户说丢包严重，从办公室ping过去看看，的确有20%左右的丢包。但发现只是部分地址有这个现象，因为到这个用户有两条链路，于是第一个念头是光纤断了一条。看看设备上的情况，发现是端口不停的在UP/DOWN，问一下用户，而对端的端口一直就是UP的。于是先让用户把问题链路上的路由去掉，先从另一条正常的链路出去，接下来又是套路：两端端口协商模式看看是不是有问题，测量一下光纤的衰耗是否正常，最后更换了一个SFP模块，完事。