首先，我们在网络中心对本校的WWW服务器和Internet出口做了检查，发现一切正常；检查中心交换机，其资源利用率等各项指标基本正常。这就排除了网络中心不能提供正常服务的可能。

之后，Ping用户的计算机、用户办公楼（A号楼）的二级交换机、A号楼的其他计算机，发现丢包严重；Ping其他办公楼的二级交换机和计算机，发现B号办公楼和A号楼的情况相似，其余均正常。这样，故障范围缩小到A、B两座楼。电话询问A、B两座楼的个别用户，证实了不能正常上网的情况。

这种现象同时出现在两座办公楼上，线路和二级交换机同时出故障的可能性极小。查看这两座办公楼的网络拓扑图，二级交换机的所有端口处于同一个VLAN中，怀疑是病毒向网络疯狂发送数据包（导致广播风暴的原因有很多，一块故障网卡、一个故障端口都有可能引发广播风暴）引发了网络阻塞。必须先找到引起故障的计算机！

在网管交换机上，把一个端口的VLAN配置为VLAN X，接上装有Sniffer软件的计算机抓包，在不到两分钟的时间内得到了如附图所示的巨量广播包。

从附图中可以看到，这种广播包的数据量是惊人的。数据链路层的封装是正常的广播：数据从源MAC地址“50:78:4c:71:2f:19”发往目的地址“ff:ff:ff:ff:ff:ff”，但封装协议是“0x9899(39065) unknown”，Sniffer软件无法向下剥离，只能以二进制代码来显示数据，无法看到源计算机的IP地址。但这已经足够了——我们有了发包计算机的MAC地址！