ARP 冲突现场怎么排?一个 display arp 就够了

于 2025-06-16 14:44:52 发布
阅读量450 收藏 4
点赞数 3
CC 4.0 BY-SA版权
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SPOTO2021/article/details/148691262

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部


以下场景你肯定不陌生:

  • 某台服务器老掉线,莫名其妙连不上
  • ping 时通时不通,一会通一会断
  • arping 回来两个回复,源 IP 一个 MAC 对应两个设备
  • 客户问你是不是线路问题,其实是 IP 被撞了

ARP 冲突,就是这种低调但致命的场景王者

一旦发生,轻则丢包,重则业务中断。

其实,排查并不难,一个 display arp 就能看出来,关键是——你得知道怎么看。


一、ARP 冲突到底是怎么发生的?

ARP(地址解析协议)是个“先信为敬”的协议:

★  谁最后发了 ARP 广播,就信谁。

当网络里出现两台设备配置了同一个 IP,就可能出现这样情况:

  • 主机 A 发 ARP 请求:“192.168.1.10 的 MAC 是谁?”
  • 先有台“李逵”设备 B 回答:“我就是 192.168.1.10,这是我的 MAC”
  • 然后突然冒出个“李鬼”设备 C,也抢着说:“别听他胡说,我才是 192.168.1.10!”

结果呢? 接入交换机、网关等设备的 ARP 表会在两者之间反复切换,导致:

  • 访问这个 IP 的流量有时候走到 A,有时候走到 B
  • 服务器莫名其妙收不到包,业务断流
  • 抓包发现 ARP 表在不停抖动,或者一 IP 对应两个 MAC




二、怎么排查?就靠这一招:display arp

ARP 冲突的本质就是:

同一个 IP 地址,在 ARP 表里对应了两个不同的 MAC,或者反复变化。

所以最直接的排查方式就是——现场登录网关或核心交换机,直接看 ARP 表变化

1. 基础命令:

display arp | include 192.168.1.10

如果你反复执行这条命令,发现输出变了:

IP ADDRESS      MAC ADDRESS     VLAN ID   INTERFACE
192.168.1.10    aaaa-bbbb-cccc  10        GE0/0/1
# 再查一遍
192.168.1.10    dddd-eeee-ffff  10        GE0/0/3

那几乎可以确认就是 ARP 冲突了,这说明这个 IP 同时出现在了不同 MAC 上,而且在不同端口上学到了。

2. 再精准一点:

display arp all verbose | include 192.168.1.10

这个可以看到每一条 ARP 的具体来源接口、状态、老化时间。

  • 如果你看到一个 IP 对应的 MAC 经常变
  • 或者短时间内老化重学(比如 10 秒内学一次)

那就是冲突。


三、怎么确认谁是“李鬼”?

ARP 冲突最难的是:谁是合法 IP,谁是乱配的?

这时候建议这么干:

方法 1:MAC 地址定位设备

display mac-address | include xxxx-xxxx-xxxx

可以查出这个 MAC 是在哪个交换机端口上,用 display interface brief 反查这台机器是谁。

方法 2:用 arping 看有几个回应

在同网段的测试机上执行:

arping -I eth0 192.168.1.10

如果返回多个回应,那就明确了:同 IP 多设备在线,妥妥的冲突。

方法 3:抓包,看 ARP 响应是否双向

在核心口或汇聚层用镜像端口抓包:

tcpdump -i any arp and host 192.168.1.10

看到同一个 IP 在发两个不同 MAC 的 reply,就能抓到“李逵”和“李鬼”的包。


四、ARP 冲突怎么解决?

排查完得能收场,否则你只是发现问题,不算解决问题。

做法 1:确认谁乱配了 IP,手动改掉

在管理环境下,这是最直接的方法。 谁是非法占用 IP 的,就直接踢下线或者改 IP。

做法 2:交换机开启 ARP 检测 / 绑定策略

华为设备可以这样配置:

interface VLANIF10
 arp anti-attack enable
 arp detection enable

开启之后,交换机会自动检测一个 IP 对应多个 MAC 的异常行为,并做告警。

再进一步,可以配置静态绑定:

arp static 192.168.1.10 aaaa-bbbb-cccc interface VLANIF10

这种适合服务器、网关这类核心设备,避免被 ARP 攻击污染。

做法 3:DHCP 统一管理,禁用静态 IP

在企业网中,ARP 冲突很多是因为员工手动乱设 IP。 统一用 DHCP 分配,并禁止手动设 IP,是根治的办法。


五、一张图看懂 ARP 冲突排查流程

设备异常 → ping 不稳 → display arp 看变化
         ↓
ARP 学到不同 MAC or 频繁切换 → 确定冲突
         ↓
display mac-address 定位设备接口
         ↓
arping / 抓包 → 确认是否多个回应
         ↓
找出“李鬼”,修正 IP or 做绑定防护


ARP 问题麻烦就麻烦在“它不报错、不掉线,但服务就是不稳”。

别再迷信“能 ping 就代表没问题”了,懂得看 ARP 表,是一个网工能不能独立排障的基本功。


原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

华为企业交换机用DISPLAY ARP all查看IP-MAC关系对应表
NeverGUM的博客
07-31 2万+
在日常维护工作中,用户可以在任意视图下执行display arp相关命令,查看设备上的ARP表项信息。 通过在网关设备上查看ARP表项,网络管理员可以查看下挂用户的IP地址、MAC地址和接口等信息。例如,当网络管理员知道某个用户的IP地址,想查询该用户的MAC地址时,可以通过查看ARP表项信息获取。 当网关设备上没有学习到下挂用户的IP地址时,可以在网关设备上ping该网段的广播地址。例如网关...
华为路由器-配置NAT Server时提示接口冲突ARP IP冲突
Richardlygo的博客
12-25 5170
【代码】华为路由器-配置NAT Server时提示接口冲突ARP IP冲突
display arp all
sxjk1987的专栏
09-26 7530
displayarpall 命令功能 displayarpall命令用来查看所有接口板的ARP(Address Resolution Protocol)表项。 命令格式 displayarpall 参数说明 无 视图 所有视图 缺省级别 1:监控级 任务名称和操作类型 任务名称 操作类型 arp read 使用指南...
什么是ARP协议,如何查看ARP表项、如何配置静态ARP?
learner8的博客
09-03 1万+
概述 在交换机江湖中,ARP(Address Resolution Protocol)协议,即地址解析协议,实则是IP地址与MAC地址之间的桥梁,主要用于将IP地址解析为MAC地址。 无论是PC还是交换机上,都有一张ARP表,ARP表中保存着IP地址和MAC地址的映射关系。当PC或者交换机需要与网络中其他设备进行通信时,知道了对方的IP地址,还需要知道MAC地址以便将IP报文封装成帧才能通过物理网络发送,这时PC或者交换机可以通过查找ARP表知道对方IP地址对应的MAC地址。 查看ARP表 交换机作为网关时
常见MAC操作
杨奇的博客
01-19 4574
文章目录1、查看所有MAC地址2、查看某个接口学习到的MAC地址3、查看某个VLAN学习到的MAC地址4、查看系统的MAC地址5、查看接口的MAC地址6、查看VLANIF接口的MAC地址7、查看IP获取对应设备的MAC地址8、配置静态MAC地址9、配置黑洞MAC地址10、查看和配置MAC地址的老化时间11、配置MAC刷新ARP功能12、配置端口安全 1、查看所有MAC地址 执行命令display mac-address,查看所有的MAC地址表项 <Huawei>display mac-addre
ARP安全配置与管理实战
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
06-03 2108
ARP类攻击,经常令网络莫名其妙的奇慢、上不了网,甚至导致设备或整个网络瘫痪,而且很难找到真正的元凶。抓包故障除时,经常发现大量源IP地址或者MAC地址根本不是本网络的广播包或帧,或者发现网关的MAC地址被非法地修改了,甚至出现源或目的IP、MAC地址全为0的包。这一切都是因为ARP协议本身没有一个安全认证机制,给恶意攻击者留下了可乘之机。 ARP安全方面的隐患就是两个:一...
《考取HCIA证书,看我就了》第一篇:MAC地址、二层寻址、ARP
11-09
它是一个48位的二进制数,通常以16进制的形式展示,如D4-BE-D9-93-D2-19。MAC地址分为两部分,前24位是Organizationally Unique Identifier(OUI),由IEEE负责分配,用于识别设备制造商;后24位是由制造商分配的...
arp地址冲突hcl
01-09
#### 使用命令行工具诊断ARP冲突 通过登录到H3C交换机或路由器,在CLI界面输入特定指令可以帮助识别是否存在重复的MAC/IP组合: ```shell display arp all ``` 这条命令能显示当前设备所有的ARP表项,从中查找...
华为配置ARP安全综合功能实验
cc123489ll的博客
05-05 1057
Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。常见的ARP攻击如下:用户主机直接接入网关,攻击者将伪造网关的ARP报文发送给用户主机,使用户主机误以为攻击者即为网关。用户主机的ARP表中会记录错误的网关地址映射关系,这样就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到用户主机发送的数据内容。
ARP浅谈
CoIin的博客
05-31 814
ARP协议是TCP/IP协议簇中的重要组成部分,它能通过目的IP地址获取目标设 备的MAC地址,从而实现数据链路层的可达性 在ping的时候,有时候会遇到第一个包请求超时的情况(当然延迟过高也会产生丢包情况) 原因:因为ping所用的测试包也是需要进行二层封装成帧的,但是在查询ARP缓存表的时候,发现没有对应的MAC地址,所以封装不成功,转而发送一个ARP广播,去解析MAC地址,以便后续的包能正常封装完成发送。 报文格式 Hardware Type ...
arp命令详解
09-25
arp命令详解
华为设备常用display命令,哪个网工还不清楚!
07-31 3394
下午好,我的网工朋友。准确而高效地监控和维护网络设备可以说是确保网络稳定性和性能的关键。无论是企业数据中心还是广域网,咱都需要依赖一系列命令来获取必要的信息并进行有效的故障除。在众多可用的命令中,命令可谓屹立不倒,尤其重要,因为它们能帮助工程师快速了解设备的状态和配置情况。今天就来盘盘这些,给你从命令到示例,以及常见问题,全都整整明白。
震惊!ARP安全竟然还可以这样配置?
Arouroua的博客
07-08 1666
本文主要是描述ARP安全的原理以及配置和实验演示!
配置ARP安全综合功能示例
ZXDNM_zwz的博客
12-04 768
配置ARP安全综合功能示例
ARP(地址解析协议)详解
CloudJourney的博客
08-26 5075
ARP欺骗攻击是网络攻击中常见的一种类型,攻击者通过伪造ARP响应消息,将自身的MAC地址映射到合法设备的IP地址上,进而窃取数据或实施中间人攻击。未来,随着网络架构的复杂化和安全需求的提升,ARP的优化和扩展将成为网络管理中的重要课题。通过这篇详尽的博文,您不仅可以理解ARP的基础知识,还能掌握在实际网络环境中如何使用和管理ARP,以确保网络的高效、安全运行。尽管ARP协议在过去几十年中一直是网络通信的基石,但随着网络技术的不断发展,特别是在IPv6逐渐普及的背景下,ARP面临着一些新的挑战和变化。
ARP安全配置与管理——2
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
05-14 1万+
配置防ARP欺骗攻击ARP表项攻击、网关攻击、中间人攻击是ARP欺骗攻击的主要应用场景。下表列出了针对不同ARP欺骗攻击类型所提供的不同解决方案,以增强网络抗击ARP欺骗攻击的能力。在这些配置防ARP欺骗攻击安全特性中,各项配置均是并列关系,无严格配置顺序,也并不是要求配置所有的ARP安全特性方案,用户可根据需要选择配置一种或多种方案。一、配置ARP表项固化为了防止ARP地址欺骗攻击,可以配置AR...
华为交换机 ARP 相关命令
abc768047936abc的博客
09-18 1万+
display arp all #查看ARParp static ip地址 MAC地址 #手工配置静态ARP映射 arp-porxy enable #开启代理ARP功能
网络常见命令
最新发布
Stestack的博客
02-07 624
当用户处于某个视图中,就只能执行该视图所允许的特定命令和操作,只能配置该视图限定范围内的特定参数,只能查看该视图限定范围允许查看的数据。例如Windows操作系统,采用图形化的界面方便用户使用和学习,比如打开"PPT",那么就进入到了"PPT"视图窗口,此时在该视图或窗口下,只能对"PPT"进行配置或修改。3、路由协议视图:学习路由和路由协议,路由协议的大部分参数是在路由协议视图下进行配置的。2、系统视图: 这是配置系统全局通用参数的视图,可以在用户视图下使用system-view命令进入该视图。
网络中的三张表——ARP表、MAC表、路由表
热门推荐
ZBraveHeart的博客
03-16 4万+
1、ARP表   提起ARP表必然先想起ARP(address resolution protocol)协议,地址解析协议。   在实际应用中,我们经常遇到这样的问题:已知一个机器的IP地址,但在实际网络的链路上传送数据帧时,最终还是必须使用该网络的硬件地址,需要知道其MAC地址。如果两个都需要去记忆或输入,大大增加了其繁琐程度。地址解析协议ARP就是用来解决这样的问题的。   由于IP协议使用了ARP协议,因此通常把ARP协议划归到网络层。但ARP协议的用途是为了从网络层使用IP地址,解析出在链路层使用的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值