以下场景你肯定不陌生：

ARP 冲突，就是这种低调但致命的场景王者。

一旦发生，轻则丢包，重则业务中断。

其实，排查并不难，一个 display arp 就能看出来，关键是——你得知道怎么看。

一、ARP 冲突到底是怎么发生的？

ARP（地址解析协议）是个“先信为敬”的协议：

谁最后发了 ARP 广播，就信谁。

当网络里出现两台设备配置了同一个 IP，就可能出现这样情况：

结果呢？ 接入交换机、网关等设备的 ARP 表会在两者之间反复切换，导致：

二、怎么排查？就靠这一招：display arp

ARP 冲突的本质就是：

同一个 IP 地址，在 ARP 表里对应了两个不同的 MAC，或者反复变化。

所以最直接的排查方式就是——现场登录网关或核心交换机，直接看 ARP 表变化。

1. 基础命令：

display arp | include 192.168.1.10

如果你反复执行这条命令，发现输出变了：

IP ADDRESS MAC ADDRESS VLAN ID INTERFACE

192.168.1.10 aaaa-bbbb-cccc 10 GE0/0/1

# 再查一遍

192.168.1.10 dddd-eeee-ffff 10 GE0/0/3

那几乎可以确认就是 ARP 冲突了，这说明这个 IP 同时出现在了不同 MAC 上，而且在不同端口上学到了。

2. 再精准一点：

display arp all verbose | include 192.168.1.10

这个可以看到每一条 ARP 的具体来源接口、状态、老化时间。

那就是冲突。

三、怎么确认谁是“李鬼”？

ARP 冲突最难的是：谁是合法 IP，谁是乱配的？

这时候建议这么干：

方法 1：MAC 地址定位设备

display mac-address | include xxxx-xxxx-xxxx

可以查出这个 MAC 是在哪个交换机端口上，用 display interface brief 反查这台机器是谁。

方法 2：用 arping 看有几个回应

在同网段的测试机上执行：

arping -I eth0 192.168.1.10

如果返回多个回应，那就明确了：同 IP 多设备在线，妥妥的冲突。

方法 3：抓包，看 ARP 响应是否双向

在核心口或汇聚层用镜像端口抓包：

tcpdump -i any arp and host 192.168.1.10

看到同一个 IP 在发两个不同 MAC 的 reply，就能抓到“李逵”和“李鬼”的包。

四、ARP 冲突怎么解决？排查完得能收场，否则你只是发现问题，不算解决问题。

做法 1：确认谁乱配了 IP，手动改掉

在管理环境下，这是最直接的方法。 谁是非法占用 IP 的，就直接踢下线或者改 IP。

做法 2：交换机开启 ARP 检测 / 绑定策略

华为设备可以这样配置：

interface VLANIF10

arp anti-attack enable

arp detection enable

开启之后，交换机会自动检测一个 IP 对应多个 MAC 的异常行为，并做告警。

再进一步，可以配置静态绑定：

arp static 192.168.1.10 aaaa-bbbb-cccc interface VLANIF10

这种适合服务器、网关这类核心设备，避免被 ARP 攻击污染。

做法 3：DHCP 统一管理，禁用静态 IP

在企业网中，ARP 冲突很多是因为员工手动乱设 IP。 统一用 DHCP 分配，并禁止手动设 IP，是根治的办法。

五、一张图看懂 ARP 冲突排查流程

设备异常 → ping 不稳 → display arp 看变化

ARP 学到不同 MAC or 频繁切换 → 确定冲突

display mac-address 定位设备接口

arping / 抓包 → 确认是否多个回应

找出“李鬼”，修正 IP or 做绑定防护

ARP 问题麻烦就麻烦在“它不报错、不掉线，但服务就是不稳”。

别再迷信“能 ping 就代表没问题”了，懂得看 ARP 表，是一个网工能不能独立排障的基本功。