一、故障现象周二上午9:05,刚泡好茶屁股还没坐热,客户群里就炸了:“OA系统打不开了”“ERP也转圈”“整个三楼网络都没了”这不是个别终端的问题——是整层楼瘫了。我远程连上核心交换机S7706,屏幕一打开我就知道出大事了:Core-S7706 display cpu-usage CPU Usage Stat. Cycle: 60 (Second) CPU Usage : 98% Max: 100% CPU Usage Stat. Time: 2026-06-23 09:07:00CPU 98%。告警日志刷屏就算了,关键是ping网关从正常的1ms变成了300ms+,而且丢包率超过70%。📸【配图1:网管平台CPU利用率曲线,9:00起直线飙升】我做了个快速判断:三层核心交换机正常情况下CPU跑到98%,不是环路就是ARP攻击。这两个排查方向完全不同,走错一步就浪费时间。先别看CPU,看端口流量。二、排查过程第一步:看有没有"流量怪兽"display interface brief|include up一眼扫过去,大部分接口流量在几百Mbps以内——正常。但有个口不对劲:GigabitEthernet2/0/15 up 1000M FULL 849523847 725938102收发各7-8亿个包,而其他口才几千万。这个口是连接三楼接入交换机的上联口。再看看具体速率:display interface GigabitEthernet2/0/15|include rateInput rate : 978 Mbps, Output rate : 962 Mbps一个接入层上联口双向各跑到将近1Gbps。整层楼才40个人,就算所有人同时下载也不至于这样——这流量肯定不是正常业务。📸【配图2:异常端口流量与其他端口对比图】第二步:看看都是些什么包display interface GigabitEthernet2/0/15