交换机排错四件套：查日志、看CPU、读ARP、验MAC

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

“交换机灯都亮着，为什么电脑上不了网？”
“Ping核心交换机延迟1ms，但访问服务器很慢？”
“新接一台设备，IP冲突了怎么办？”

在企业网络中，交换机看似“傻瓜转发”，实则暗藏玄机。一旦出问题，往往表现为局部断网、速度慢、间歇性丢包，定位起来非常棘手。

但高手排错，从不盲目重启。他们有一套标准化的排查流程，称之为：

交换机排错四件套—— 查日志、看CPU、读ARP、验MAC

这四个动作，能在5分钟内锁定80%的常见故障无需复杂抓包，不依赖外部工具。

今天小编带你一步步掌握这套“内功心法”，成为交换机问题的“快准狠”猎手。

第一件套：查日志

核心作用：让交换机“说话”

日志是设备的“自述”，记录了配置变更、接口状态、安全事件等关键信息。

典型故障场景：

• 用户无法上网
• 某端口频繁up/down
• 生成树重计算

华为/华三命令：

<Huawei> display logbuffer

✅&nbsp;排错线索：

• IF_DOWN&nbsp;→ 物理链路问题（网线、光模块、对端设备）
• DOT1X/PORT_AUTH_FAIL&nbsp;→ 802.1X认证失败（终端不支持或配置错）
• STP&nbsp;相关日志 → 生成树震荡

🔍&nbsp;技巧：
使用&nbsp;terminal monitor&nbsp;实时监控日志，
插拔网线观察输出，快速定位问题端口。

第二件套：看CPU

核心作用：判断设备是否“过载”

CPU利用率是交换机健康度的“体温计”。
过高CPU会导致响应慢、丢包、协议中断。

命令：

<Huawei> display cpu-usage

输出示例：

cpu-usage : 15% &nbsp; ---- 正常
cpu-usage last 1min : 85% &nbsp; ---- 警告！
cpu-usage last 5min : 78%
cpu-usage last 15min: 65%

CPU飙高的常见原因：

进阶命令：

# 查看CPU占用最高的进程

<Huawei> display process cpu-usage sorted

⚠️&nbsp;红线标准：

• 长期 >70% → 需排查
• 瞬时 >90% → 可能失控

第三件套：读ARP

核心作用：验证“IP与MAC的对应关系”

ARP表是三层通信的“电话簿”。
错误的ARP条目会导致跨网段通信失败、IP冲突、中间人攻击。

命令：

<Huawei> display arp

输出示例：

IP ADDRESS &nbsp; &nbsp; &nbsp;MAC ADDRESS &nbsp; &nbsp; EXPIRE(M) TYPE &nbsp; &nbsp; &nbsp;INTERFACE &nbsp; VPN-INSTANCE
192.168.1.1 &nbsp; &nbsp; 00e0-fc01-0203 &nbsp; &nbsp;20 &nbsp; &nbsp; &nbsp; &nbsp;D-0 &nbsp; &nbsp; &nbsp; Vlanif100 &nbsp; --
192.168.1.100 &nbsp; 0011-2233-4455 &nbsp; &nbsp;18 &nbsp; &nbsp; &nbsp; &nbsp;D-0 &nbsp; &nbsp; &nbsp; GE0/0/1 &nbsp; &nbsp; --
192.168.1.101 &nbsp; 00e0-fc01-0203 &nbsp; &nbsp;15 &nbsp; &nbsp; &nbsp; &nbsp;D-0 &nbsp; &nbsp; &nbsp; GE0/0/2 &nbsp; &nbsp; -- &nbsp;→ MAC重复！

关键排查点：

1. MAC地址重复&nbsp;→ IP冲突或ARP欺骗

2. ARP表项异常多&nbsp;→ 可能有扫描或病毒

3. 某IP的MAC是广播地址（ffff-ffff-ffff）&nbsp;→ 该设备可能已离线

4. ARP老化时间过短&nbsp;→ 频繁刷新，增加网络负担

快速验证：

# 在用户电脑上执行
arp -a | findstr 192.168.1.101

对比交换机与终端ARP表是否一致。

第四件套：验MAC

核心作用：定位设备“物理位置”

MAC地址表告诉交换机“哪个MAC从哪个端口进来”，是二层转发的核心依据。

命令：

<Huawei> display mac-address

输出示例：

MAC ADDRESS &nbsp; &nbsp; &nbsp; VLAN ID &nbsp; &nbsp; &nbsp; STATE &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;PORT INDEX
0011-2233-4455 &nbsp; &nbsp;100 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Learned &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;GE0/0/5
aabb-ccdd-eeff &nbsp; &nbsp;200 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Learned &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;GE0/0/10
0011-2233-4455 &nbsp; &nbsp;100 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Learned &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;GE0/0/15 &nbsp;→ MAC漂移！

关键排查点：

1. MAC地址出现在多个端口（MAC漂移）
   → 二层环路、网线接错、虚拟机迁移

   🔍 日志中会伴随&nbsp;MAC move&nbsp;提示

2. MAC地址未学习到
   → 设备未发包、网线故障、端口shutdown

3. MAC地址表满

   <Huawei> display mac-address summary
   Total items on slot 0: 16384/16384 &nbsp;→ 已满！

   → 新设备无法通信，需扩容或清理

4. 静态MAC配置错误
   → 手动绑定的MAC指向错误端口

四件套实战：用户无法上网排错流程

1. [查日志] display logbuffer → 无IF_DOWN或认证失败
2. [看CPU] display cpu-usage → CPU 12%，正常
3. [读ARP] display arp | include 192.168.1.100 → 无此条目！
4. [验MAC] display mac-address | include 0011-2233-4455 → 未学习到

→ 结论：终端未发出数据包，或交换机未收到。
→ 下一步：检查用户电脑网卡、网线、端口是否shutdown。

总结：四件套使用口诀

🔚&nbsp;最后建议：

1. 养成习惯：每次排错，先执行这四个命令
2. 建立基线：记录正常时的日志、CPU、ARP、MAC状态
3. 结合使用：单一命令可能误导，四件套交叉验证更可靠

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部