arp协议是在哪实现的?

一、ARP 冲突到底是怎么发生的？

ARP（地址解析协议）是个“先信为敬”的协议：

★ 谁最后发了 ARP 广播，就信谁。

当网络里出现两台设备配置了同一个 IP，就可能出现这样情况：

• 主机 A 发 ARP 请求：“192.168.1.10 的 MAC 是谁？”
• 先有台“李逵”设备 B 回答：“我就是 192.168.1.10，这是我的 MAC”
• 然后突然冒出个“李鬼”设备 C，也抢着说：“别听他胡说，我才是 192.168.1.10！”

结果呢？ 接入交换机、网关等设备的 ARP 表会在两者之间反复切换，导致：

• 访问这个 IP 的流量有时候走到 A，有时候走到 B
• 服务器莫名其妙收不到包，业务断流
• 抓包发现 ARP 表在不停抖动，或者一 IP 对应两个 MAC

二、怎么排查？就靠这一招：display arp

ARP 冲突的本质就是：

★同一个 IP 地址，在 ARP 表里对应了两个不同的 MAC，或者反复变化。

所以最直接的排查方式就是——现场登录网关或核心交换机，直接看 ARP 表变化。

1. 基础命令：

display arp | include 192.168.1.10

如果你反复执行这条命令，发现输出变了：

IP ADDRESS MAC ADDRESS VLAN ID INTERFACE
192.168.1.10 aaaa-bbbb-cccc 10 GE0/0/1
# 再查一遍
192.168.1.10 dddd-eeee-ffff 10 GE0/0/3

那几乎可以确认就是 ARP 冲突了，这说明这个 IP 同时出现在了不同 MAC 上，而且在不同端口上学到了。

2. 再精准一点：

display arp all verbose | include 192.168.1.10

这个可以看到每一条 ARP 的具体来源接口、状态、老化时间。

• 如果你看到一个 IP 对应的 MAC 经常变
• 或者短时间内老化重学（比如 10 秒内学一次）

那就是冲突。

三、怎么确认谁是“李鬼”？

ARP 冲突最难的是：谁是合法 IP，谁是乱配的？

这时候建议这么干：

方法 1：MAC 地址定位设备

display mac-address | include xxxx-xxxx-xxxx

可以查出这个 MAC 是在哪个交换机端口上，用 display interface brief 反查这台机器是谁。

方法 2：用 arping 看有几个回应

在同网段的测试机上执行：

arping -I eth0 192.168.1.10

如果返回多个回应，那就明确了：同 IP 多设备在线，妥妥的冲突。

方法 3：抓包，看 ARP 响应是否双向

在核心口或汇聚层用镜像端口抓包：

tcpdump -i any arp and host 192.168.1.10

看到同一个 IP 在发两个不同 MAC 的 reply，就能抓到“李逵”和“李鬼”的包。

四、ARP 冲突怎么解决？

★排查完得能收场，否则你只是发现问题，不算解决问题。

做法 1：确认谁乱配了 IP，手动改掉

在管理环境下，这是最直接的方法。 谁是非法占用 IP 的，就直接踢下线或者改 IP。

做法 2：交换机开启 ARP 检测 / 绑定策略

华为设备可以这样配置：

interface VLANIF10
arp anti-attack enable
arp detection enable

开启之后，交换机会自动检测一个 IP 对应多个 MAC 的异常行为，并做告警。

再进一步，可以配置静态绑定：

arp static 192.168.1.10 aaaa-bbbb-cccc interface VLANIF10

这种适合服务器、网关这类核心设备，避免被 ARP 攻击污染。

做法 3：DHCP 统一管理，禁用静态 IP

在企业网中，ARP 冲突很多是因为员工手动乱设 IP。 统一用 DHCP 分配，并禁止手动设 IP，是根治的办法。

五、一张图看懂 ARP 冲突排查流程

设备异常 → ping 不稳 → display arp 看变化
↓
ARP 学到不同 MAC or 频繁切换 → 确定冲突
↓
display mac-address 定位设备接口
↓
arping / 抓包 → 确认是否多个回应
↓
找出“李鬼”，修正 IP or 做绑定防护

ARP 问题麻烦就麻烦在“它不报错、不掉线，但服务就是不稳”。

别再迷信“能 ping 就代表没问题”了，懂得看 ARP 表，是一个网工能不能独立排障的基本功。