交换机ARP信息提示

是的，您判断正确​ - 极有可能是网络中有设备在恶意仿冒其他楼层交换机的管理VLANIF虚拟MAC地址。
攻击原理
攻击源MAC：70f9-6d84-3f90、70f9-6d84-3ee6、70f9-6d8e-9b64等
攻击端口：GE1/0/28
攻击方式：不断发送ARP报文，声称"我是XX楼层交换机的管理IP，我的MAC是XX"
可能的原因及排查步骤
原因1：恶意设备或中毒主机（最可能）
端口GE1/0/28下连接的设备被黑客控制或感染病毒，主动发起ARP欺骗攻击。
立即处理：
# 1. 立即关闭攻击端口（紧急隔离）
system-view
interface GigabitEthernet1/0/28
shutdown
description SHUTDOWN_FOR_ARP_ATTACK

# 2. 查看该端口下连接的MAC地址
display mac-address interface GigabitEthernet1/0/28

# 3. 定位物理设备，检查是否中毒或有恶意软件
原因2：网络环路导致MAC漂移
虽然可能性较低，但需排除。
检查命令：
# 检查是否有MAC地址漂移报警
display mac-address mac-move

# 检查生成树状态
display stp brief
原因3：配置错误或设备故障
某台网络设备配置错误，错误使用了其他交换机的VLANIF MAC。
紧急处理方案
方案1：端口安全配置（推荐）
# 在攻击端口启用端口安全
interface GigabitEthernet1/0/28
port-security enable
port-security max-mac-count 1
port-security protect-action shutdown
# 只允许第一个学习到的MAC地址通过，其他均关闭端口
方案2：ARP攻击防护配置
# 全局启用ARP攻击防护
arp anti-attack entry-check enable
arp anti-attack rate-limit enable

# 在端口上启用ARP报文合法性检查
interface GigabitEthernet1/0/28
arp anti-attack check enable
方案3：DHCP Snooping + IP Source Guard
如果使用DHCP，这是最有效的防护：
# 启用DHCP Snooping
dhcp snooping enable
vlan 1
dhcp snooping enable

# 在接入端口配置
interface GigabitEthernet1/0/28
dhcp snooping trust
ip source guard enable
排查和预防建议
立即行动
隔离攻击源：立即shutdown GE1/0/28端口
物理定位：根据端口信息找到对应设备
安全检查：对该设备进行病毒扫描和安全检查
长期防护
端口安全：在所有接入端口配置端口安全
ARP防护：全局启用ARP攻击检测功能
网络监控：部署网络行为审计系统
VLAN规划：合理划分VLAN，隔离不同部门网络
验证命令
处理后，使用以下命令验证：
# 查看ARP攻击日志是否消失
display logbuffer | include ARP_ATTACK

# 查看端口状态
display interface GigabitEthernet1/0/28

# 查看ARP表项是否正常
display arp all
总结
您遇到的情况确实是典型的ARP欺骗攻击。攻击者通过端口GE1/0/28仿冒其他交换机的管理MAC，意图进行中间人攻击或网络监听。
建议处理顺序：
立即shutdown攻击端口 → 2. 定位物理设备 → 3. 进行安全加固 → 4. 在全网部署防护措施
这种情况需要尽快处理，因为ARP攻击会影响整个网络的稳定性和安全性。

不一定,查一下吧，如果不是仿冒的可以忽略这个日志。

存在环路