疑问一：IPSG已启用，核心为何仍有IP地址冲突日志？

这个问题的关键在于IPSG的过滤范围是有限的。它主要针对的是普通的数据报文（IP报文）进行过滤，但并不会拦截ARP报文。其中，最关键的一类就是免费ARP（Gratuitous ARP）报文。

• 逻辑梳理：当一台终端被配置了与网络中现有终端相同的静态IP地址后，它会主动发送一个免费ARP报文来宣告自己的存在。这个报文的目的就是用来探测网络中的IP地址冲突。由于接入交换机的IPSG默认不拦截ARP报文，这个免费ARP就会被交换机逐层转发，最终抵达核心交换机。核心交换机收到后，自然就检测到了IP地址冲突，并生成了相应的日志。

 疑问二：租约过期后，IPSG为何没有阻断特殊终端？

理论上，当终端的IP地址租约过期且未续租时，DHCP服务器会回收该地址并分配给其他终端。同时，接入交换机上的DHCP Snooping绑定表项也会同步老化并删除。如果IPSG依赖这张动态绑定表来过滤，那么过期终端的数据报文确实应该被丢弃。

但如果你遇到了相反的现象，可以检查以下几点：

• 检查绑定表项是否老化：确认接入交换机上是否配置了针对该特殊终端的静态绑定，或者是否存在软件缺陷导致绑定表项未正常老化。

• 检查是否为ARP冲突：如果冲突是由ARP报文引起的，由于IPSG不拦截ARP，问题依旧存在。此时，需要启用ARP Detection功能，将其与DHCP Snooping绑定表联动，来校验ARP报文的合法性。

先一句话总结论

1. IPSG 只管 “本机端口上的非法报文”，不处理 “已经进入网络的二层广播 / ARP 报文”
2. ARP 冲突日志是核心收到了 ARP 广播，不是 IPSG 没生效，是机制本身就这样
3. 地址过期后，原终端还在用旧 IP 发包 → IPSG 表项已经老化 → 不会阻断，直接放通
4. OLT 场景比交换机更特殊：ONU 下行是广播域，ARP 会直接透传到 OLT 再上送核心

问题 1：为什么静态 IP 冲突，核心能看到日志，IPSG 却没阻断？

关键原理：

• PC 配置静态重复 IP → 发 ARP 请求 / 免费 ARP
• ARP 是 二层广播包
• IPSG 默认不对 ARP 做检查（只对 IP 报文检查）
• 所以 ARP 直接穿过 ONU / 接入交换机 → 上送到 OLT / 汇聚 → 再到核心
• 核心交换机收到重复的 ARP → 记录地址冲突日志

为什么接入层没阻断？

• IPSG = IP Source Guard
• 只对 IP 报文（IPv4/IPv6） 做绑定检查
• 不对 ARP 做检查
• 要想阻断 ARP 冲突，必须再开 ARP 检查（ARP Filter / ARP Security）

所以现象完全符合机制：

• PC 发 ARP → 通
• PC 发 IP 报文（ping / 访问）→ 被 IPSG 阻断，不通
• 核心只看到 ARP 冲突，看不到 IP 层通信

问题 2：地址过期后，旧终端继续用旧 IP，为什么 IPSG 不阻断？

关键原理：

1. 终端 DHCP 获取 IP
2. DHCP Snooping 生成绑定表（IP+MAC + 端口 + VLAN）
3. IPSG 根据这张表放行流量
4. 地址租期到，终端不续租
5. DHCP Snooping 绑定表老化删除
6. 此时旧终端继续发包
7. IPSG 找不到表项 → 默认动作是 PERMIT（允许）
8. 旧终端继续正常发包，与新分配的终端冲突

所以你看到的现象完全正确：

• 地址过期
• 旧终端还在发包
• IPSG 不拦
• 核心出现冲突

为什么 OLT (ONU) 更容易出现这种问题？

1. ONU 下行是广播域，所有 ARP 广播直接泛洪
2. OLT 上的 IPSG / DHCP Snooping 表项老化比交换机快
3. ONU 端口不做严格二层隔离，默认是 “透传”

现场怎么解决？（直接给方案）

1）要真正阻断冲突终端，必须同时开三样

2）防止地址过期后旧终端乱发包

• 缩短 DHCP 租期（120min 以内）
• 开启 IPSG 表项严格老化
• 开启 DAI（动态 ARP 检测）
• 核心开启 ARP 防攻击、免费 ARP 检查

3）OLT 侧额外配置

最终极简总结（方便你跟同事解释）

1. IPSG 不拦 ARP，只拦 IP 报文 → 所以核心能看到冲突日志
2. DHCP 绑定表一老化，IPSG 就不拦了 → 旧终端继续发包
3. 要彻底解决，必须开 ARP 过滤 + DAI + 严格绑定