网络分区告警设置技巧

办公室突然断网，大家面面相觑，IT小张跑前跑后查了半小时才发现是核心交换机所在的区域网络被隔离了。这种“局部失联”问题在复杂网络中很常见，靠人工排查效率低，还容易被领导问责。这时候，一个合理的网络分区告警设置就能帮你提前发现问题，避免被动。

什么是网络分区？

简单说，网络分区就是原本能互相通信的设备，因为网络故障或配置错误，被分成了几个“孤岛”。比如财务部能上网，技术部却访问不了服务器，这就是典型的分区现象。如果不及时处理，可能影响业务系统、数据同步甚至安全审计。

为什么需要专门设置告警？

很多监控工具只看设备是否在线（ping 得通），但网络分区时，设备可能依然“活着”，只是通信路径断了。比如A区能连监控服务器，B区不能连A区，但B区内部还能互访——这种情况下普通心跳检测根本发现不了问题。

所以得主动探测跨区联通性。常见的做法是部署探针节点，在不同子网放几个轻量级主机或容器，定期互相 ping 或测端口连通性。一旦某个方向不通，立刻触发告警。

怎么设置有效的分区告警规则？

以Zabbix为例，可以在不同子网部署agent，然后在server端配置“低级别发现”或手动添加跨区ICMP检测项。比如从192.168.10.10向192.168.20.10发ping，失败三次就上报问题。

## 在Zabbix中添加外部检查脚本示例
UserParameter=net.partition.check[*],/usr/local/bin/ping_check.sh $1 $2

脚本内容可以是：

#!/bin/bash
# ping_check.sh
DEST=$1
COUNT=$2
LOSS=$(ping -c $COUNT $DEST | grep -o '[0-9]*% packet loss' | cut -d% -f1)
if [ $LOSS -gt 50 ]; then
    echo 1
else
    echo 0
fi

告警阈值别太敏感，也别太迟钝

见过有人设成一次ping失败就报警，结果每天收到几十条微信推送，全是误报。建议连续3次失败再触发，间隔10秒一次，既能避开瞬时抖动，又不会拖太久。同时结合应用层检测，比如数据库主从复制延迟、API接口响应超时，多维度交叉判断更准。

通知渠道要靠谱

告警出来没人看等于白搭。把关键告警接入企业微信或钉钉机器人，指定责任人轮班接收。夜间非紧急的可以静音，但涉及核心分区的必须电话叫醒。之前有个客户把告警全塞进邮箱，结果运维休假一周没看，等回来发现系统已经断连两天。

实际案例参考

某电商公司把订单系统、支付网关、库存服务分在三个VLAN。他们在每个VLAN部署一个探测容器，每分钟检测一次跨区80、443、3306端口连通性。一旦发现订单系统无法访问支付网关，立即触发二级告警，同时自动截图当前路由表和防火墙策略，推送到值班群。上线后三个月内避免了两次重大故障扩散。