网络故障看似千奇百怪，但根源往往集中在三大核心设备上。掌握它们的维护要点，等于解决了90%的问题。

一、交换机：网络的"交通枢纽"

交换机故障占网络总故障的近一半，最典型的表现是某个区域突然掉线或广播风暴。

日常维护三件事：

• 看日志。 登录交换机查看syslog，重点关注端口UP/DOWN频繁跳变、MAC地址表溢出告警。出现"MAC flapping"说明该端口下接了环路设备，必须立即定位。

• 查生成树。 STP配置错误是广播风暴的头号杀手。确认根桥优先级设置合理（核心层4096，接入层32768），BPDU保护已开启，边缘端口用PortFast。

• 清光模块。 SFP光模块每半年检查一次光功率，接收光低于-20dBm或高于-3dBm都要更换。一个脏光口足以拖垮整条链路。

高频故障：VLAN配置不一致。 两端VLAN ID不匹配导致用户无法获取IP。建议用LLDP-MED自动下发VLAN，或统一NMS集中管理。

二、路由器：网络的"导航大脑"

路由器故障通常表现为跨网段不通、路由震荡或NAT异常。

维护核心清单：

• 路由表巡检。 每天查看BGP/OSPF邻居状态，关注路由条目数量是否接近硬件上限。CEF表溢出会导致数据面丢包。

• ACL与NAT核查。 90%的"明明能ping通却上不了网"都是NAT池耗尽或ACL误杀。定期审计策略，清理过期规则。

• CPU与内存监控。 路由器CPU持续超过70%是危险信号，通常由异常流量或 debug 开启导致。设置告警阈值，超限自动关闭debug。

高频故障：双机热备切换失败。 VRRP/HSRP优先级配置冲突导致双主脑，形成IP冲突。建议用BFD联动实现毫秒级故障切换。

三、防火墙：网络的"安全哨兵"

防火墙故障往往最隐蔽——不是断网，而是"该挡的没挡、该放的没放"。

维护要点：

• 策略瘦身。 每季度审计一次规则库，删除命中计数为零的僵尸策略，合并重复规则。策略超过2000条必须分阶段优化，否则匹配性能急剧下降。

• 会话表监控。 并发会话数接近上限时，新连接被静默丢弃。设置会话数70%告警，及时扩容或优化NAT。

• 固件与特征库升级。 IPS特征库滞后超过7天等于裸奔。但升级前务必在测试环境验证兼容性，生产环境先做配置备份。

高频故障：HA主备状态不同步。 策略未同步导致切换后流量被拦截。务必开启全量配置同步，并定期做HA切换演练。

总结

交换机防环路、路由器防震荡、防火墙防策略膨胀——三大件维护的本质就是：日志天天看、配置定期审、变更先回滚。 做到这九个字，故障率至少砍掉八成。