网络出现IP冲突怎么办？两招彻底搞定

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

前阵子财务部集体掉线，说是“上不了系统”。我ping网关，通；查路由，正常。

但抓包一看：两个MAC在抢同一个IP！ 一查，原来是有人私接路由器开了DHCP。新人第一反应是“让财务换IP”，我说：“治标不治本，明天还会崩！”

90%的IP冲突，都是人为或配置漏洞导致，而80%的网工只会清ARP、改IP，从不堵源头。今天，我不讲现象，直接给你两招实战组合拳，一次解决，永不复发。

今日文章阅读福利：《 IP地址管理开源系统-PHPIPAM》

想必你也很清楚，IP地址管理的重要性以及其复杂性，传统的Excel表格虽然在某些情况下能够提供帮助，但在处理大量数据和复杂网络结构时，其效率和准确性往往不尽如人意。

俗话说得好，车到山前必有路。PHPIPAM的出现，为我们提供了这样一个解决方案。

有了这套IP地址管理开源系统谁还用Excel啊？（点击蓝字教你如何使用）

私信发送暗号“PHPIPAM”，即可获取此份优质资源。

01 第一招：精准定位冲突源

步骤1：确认冲突存在

终端弹窗“IP地址冲突”或：

# Windows 查看ARP缓存 arp -a | findstr "192.168.10.50"

若返回多个MAC对应同一IP → 确认冲突。

步骤2：在核心/接入交换机查ARP或MAC表

# 华为/华三 display arp | include 192.168.10.50 display mac-address | include 192.168.10.50

输出示例：

IP address MAC address VLAN Port 192.168.10.50 00e0-fc12-3456 10 GigabitEthernet1/0/5 ← 合法PC 192.168.10.50 aabb-ccdd-eeff 10 GigabitEthernet1/0/12 ← 私接路由器！

步骤3：定位物理位置

• 根据端口（如 1/0/12）找到对应办公室

• 若接的是AP或傻瓜交换机，继续下联排查

✅ 技巧： 在交换机上对冲突IP持续ping，同时观察哪个端口的错包突增，也能辅助定位。

02 第二招：彻底阻断 + 防复发

方案A：临时应急 —— 封端口 or 绑定合法MAC

# 华为：关闭非法端口 shutdown interface gigabitethernet 1/0/12 # 或只允许合法MAC通信（端口安全） interface gigabitethernet 1/0/5 port-security enable port-security mac-address 00e0-fc12-3456 port-security max-mac-num 1

方案B：长期防御 —— 启用 DHCP Snooping + IP Source Guard

# 全局开启DHCP Snooping dhcp enable dhcp snooping enable # 接入层接口设为非信任（默认） interface gigabitethernet 1/0/1 to 1/0/24 dhcp snooping binding record ip source check user-bind enable # 上联口（连DHCP服务器）设为信任 interface gigabitethernet 1/0/25 dhcp snooping trusted

✅ 效果：

• 非法DHCP服务器无法分配IP

• 终端若伪造IP/MAC，数据包被直接丢弃

03 为什么你的网络总出IP冲突？

04 预防建议（写进运维规范）

1. 全网禁用终端手动配IP（通过组策略或准入控制）

2. DHCP服务器统一管理，关闭所有非授权DHCP服务

3. 接入交换机默认开启端口安全（最大MAC数=1）

4. 部署IP-MAC绑定表，异常自动告警

05 结语

IP冲突不是“小毛病”，而是网络管理失控的信号。

真正专业的处理方式，不是让受害者换IP，而是揪出肇事者、加固防线。

能定位是本事，能防住才是水平。下次再遇冲突，用这两招——先抓人，再关门，让你的网络从此清净。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部