多台交换机日志提示arp丢弃

业务有没有问题 

这是一个典型的由傻瓜交换机环路引发的广播风暴，并触发了交换机的ARP攻击防御机制。

1.拓扑中的“傻瓜交换机”是罪魁祸首

你提到拓扑是 5580交换机 → 傻瓜交换机 → 终端。这种拓扑中，傻瓜交换机（即非网管交换机）本身不具备环路防护能力，如果用户不小心将傻瓜交换机的两个端口用网线连接起来（或者下联的终端设备形成了环路），就会在傻瓜交换机内部形成环路。

2. 环路引发广播风暴

当傻瓜交换机下存在环路时：

• 广播报文（包括ARP请求、DHCP请求等）会在环路中不断循环复制

• 每个循环的报文都会被复制并泛洪到所有端口，包括上联到5580交换机的端口

• 5580交换机的GE1/0/18口会收到海量的、源MAC相同的报文

3. 为什么同一个MAC会在不同端口出现？

从日志看，这个MAC地址 ee9f-208e-8b61：

• 在GE1/0/18出现时，源IP是 172.21.129.7

• 在XGE1/0/54出现时，源IP是 0.0.0.0

这是因为：

• GE1/0/18 可能是下联傻瓜交换机的端口，收到的是正常的ARP请求（有源IP）

• XGE1/0/54 可能是上联口或互联口，收到的是经过环路泛洪后的报文（源IP可能被修改或丢失）

当广播风暴足够严重时，这个MAC的报文会从交换机的多个端口同时出现，这本身就违反了交换机MAC地址表的学习规则，触发了安全机制。

4. 为什么其他交换机也一起报错？

你提到“其他的接入交换机也一并跟着提示”，这是因为：

• 如果风暴足够大，广播报文会通过核心交换机泛洪到全网

• 所有收到异常报文的交换机，如果开启了ARP防御功能，都会触发告警

• 这就造成了“全网都在报同一个MAC”的现象

排查步骤

第一步：定位问题端口

既然日志显示GE1/0/18和XGE1/0/54都在丢弃这个MAC的报文，我们需要确定这个MAC的真实位置：

1. 查看MAC地址表：

   dis mac-add | in ee9f-208e-8b61正常情况下，一个MAC应该只在一个端口学习到。如果看到这个MAC在两个端口同时出现（尤其是不同VLAN的端口），说明有环路。

2. 检查端口流量：

   dis int gigabitethernet 1/0/18

   dis int xgigabitethernet 1/0/54观察这两个端口的输入/输出速率，如果某个端口速率异常高（接近端口带宽），那就是风暴入口。

第二步：追溯傻瓜交换机位置

由于傻瓜交换机不可网管，需要物理排查：

1. 顺着GE1/0/18的网线找下去，找到下联的傻瓜交换机。

2. 检查傻瓜交换机上的连线：

   • 是否有两根网线同时插在傻瓜交换机上并连接到同一台5580交换机的不同端口？

   • 是否有用户私自将傻瓜交换机的两个端口用网线连接起来？

   • 是否有无线AP通过傻瓜交换机下联，且AP本身形成了无线桥接环路？

第三步：临时缓解措施

在找到环路之前，可以先采取以下措施缓解：

1. 在5580交换机上关闭可疑端口：

   interface gigabitethernet 1/0/18

   shutdown关闭端口后观察全网是否恢复，其他交换机的告警是否停止。

2. 调整ARP攻击防御阈值：
   如果环路暂时无法解决，可以适当放宽ARP检测阈值，避免误报：

   system-view

   arp source-suppression enable arp source-suppression limit 100 # 调高阈值