交换机ARP报错
- 0关注
- 0收藏,70浏览
问题描述:
Jan 23 12:23:26:350 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: Sender IP conflict removed from Vlan-interface536. Conflict IP=0.0.0.0; Conflict MAC=a26a-a089-293a; SVLAN=536; CVLAN=65535.
%Jan 23 12:25:26:670 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: Sender IP conflict removed from Vlan-interface523. Conflict IP=0.0.0.0; Conflict MAC=7e72-b46a-d7cb; SVLAN=523; CVLAN=65535.
%Jan 23 12:26:46:582 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: ARP packet arrived at Vlan-interface536 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=dec9-5f1f-6b54; SVLAN=536; CVLAN=65535.
%Jan 23 12:29:47:278 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: Sender IP conflict removed from Vlan-interface536. Conflict IP=0.0.0.0; Conflict MAC=dec9-5f1f-6b54; SVLAN=536; CVLAN=65535.
%Jan 23 12:30:55:783 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: -Slot=2; ARP packet arrived at Vlan-interface531 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=da99-8469-ac95; SVLAN=531; CVLAN=65535.
%Jan 23 12:33:56:251 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: -Slot=2; Sender IP conflict removed from Vlan-interface531. Conflict IP=0.0.0.0; Conflict MAC=da99-8469-ac95; SVLAN=531; CVLAN=65535.
%Jan 23 12:34:23:109 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: -Slot=2; ARP packet arrived at Vlan-interface521 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=165d-7c4f-7342; SVLAN=521; CVLAN=65535.
%Jan 23 12:36:34:657 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: -Slot=2; ARP packet arrived at Vlan-interface521 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=46c7-74d5-7295; SVLAN=521; CVLAN=65535.
%Jan 23 12:38:41:792 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: ARP packet arrived at Vlan-interface536 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=9a47-76d4-099a; SVLAN=536; CVLAN=65535.
%Jan 23 12:40:24:091 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: -Slot=2; Sender IP conflict removed from Vlan-interface521. Conflict IP=0.0.0.0; Conflict MAC=46c7-74d5-7295; SVLAN=521; CVLAN=65535.
%Jan 23 12:41:42:030 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: Sender IP conflict removed from Vlan-interface536. Conflict IP=0.0.0.0; Conflict MAC=9a47-76d4-099a; SVLAN=536; CVLAN=65535.
%Jan 23 12:41:53:964 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: -Slot=2; ARP packet arrived at Vlan-interface531 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=d2d2-5d4b-5272; SVLAN=531; CVLAN=65535.
%Jan 23 12:44:54:171 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: -Slot=2; Sender IP conflict removed from Vlan-interface531. Conflict IP=0.0.0.0; Conflict MAC=d2d2-5d4b-5272; SVLAN=531; CVLAN=65535.
%Jan 23 12:47:03:340 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: ARP packet arrived at Vlan-interface529 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=9294-0202-fb3d; SVLAN=529; CVLAN=65535.
%Jan 23 12:47:25:918 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: -Slot=2; ARP packet arrived at Vlan-interface531 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=4269-b296-8db5; SVLAN=531; CVLAN=65535.
%Jan 23 12:48:59:639 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: ARP packet arrived at Vlan-interface529 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=d231-0719-b60a; SVLAN=529; CVLAN=65535.
%Jan 23 12:50:26:459 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: -Slot=2; Sender IP conflict removed from Vlan-interface531. Conflict IP=0.0.0.0; Conflict MAC=4269-b296-8db5; SVLAN=531; CVLAN=65535.
%Jan 23 12:52:04:110 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: Sender IP conflict removed from Vlan-interface529. Conflict IP=0.0.0.0; Conflict MAC=d231-0719-b60a; SVLAN=529; CVLAN=65535.
%Jan 23 12:52:39:820 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: ARP packet arrived at Vlan-interface523 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=a631-4a68-28c6; SVLAN=523; CVLAN=65535.
%Jan 23 12:54:46:133 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: ARP packet arrived at Vlan-interface536 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=a679-91a5-f69e; SVLAN=536; CVLAN=65535.
%Jan 23 12:55:40:174 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: Sender IP conflict removed from Vlan-interface523. Conflict IP=0.0.0.0; Conflict MAC=a631-4a68-28c6; SVLAN=523; CVLAN=65535.
%Jan 23 12:57:08:959 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: -Slot=2; ARP packet arrived at Vlan-interface522 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=b8b1-eaf4-9263; SVLAN=522; CVLAN=65535.
%Jan 23 12:58:40:654 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: Sender IP conflict removed from Vlan-interface536. Conflict IP=0.0.0.0; Conflict MAC=a679-91a5-f69e; SVLAN=536; CVLAN=65535.
%Jan 23 12:58:56:344 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: ARP packet arrived at Vlan-interface536 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=a292-14fa-f7bc; SVLAN=536; CVLAN=65535.
%Jan 23 13:00:09:115 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: -Slot=2; Sender IP conflict removed from Vlan-interface522. Conflict IP=0.0.0.0; Conflict MAC=b8b1-eaf4-9263; SVLAN=522; CVLAN=65535.
%Jan 23 13:01:56:494 2021 SuSheLou_HX ARP/5/ARP_SENDER_IPCONFLICT_RESUME: Sender IP conflict removed from Vlan-interface536. Conflict IP=0.0.0.0; Conflict MAC=a292-14fa-f7bc; SVLAN=536; CVLAN=65535.
%Jan 23 13:04:44:662 2021 SuSheLou_HX ARP/4/ARP_SENDER_IPCONFLICT_ALARM: ARP packet arrived at Vlan-interface529 with a sender IP conflict. Conflict IP=0.0.0.0; Conflict MAC=f682-8683-dad9; SVLAN=529; CVLAN=65535.
组网及组网描述:
交换机老弹这些东西 是哪里问题 怎么处理啊
交换机频繁报出 ARP_SENDER_IPCONFLICT_ALARM 和 ARP_SENDER_IPCONFLICT_RESUME,冲突IP均为 0.0.0.0,冲突MAC各不相同。这种情况通常不是真正的IP地址冲突,而是由网络中大量的DHCP探测报文触发的误报。下面详细解释原因及处理方法。
一、日志含义与原因分析
1. 日志解读
ARP_SENDER_IPCONFLICT_ALARM:设备检测到收到的ARP报文中的源IP地址与已知信息(如本地ARP表、接口IP等)冲突。冲突IP为
0.0.0.0:这是一个特殊IP,通常出现在DHCP过程中——客户端在尚未获得IP地址时,会发送源IP为0.0.0.0的ARP探测(ARP Probe)或DHCP请求。冲突MAC各不相同:说明涉及多个不同的设备。
2. 根本原因
当大量设备(如新接入的PC、重启后的终端、DHCP租期更新等)同时发送ARP探测时,交换机会收到大量源IP为
0.0.0.0的ARP报文。交换机开启了 ARP冲突检测 功能(如
arp anti-attack sender-ip-conflict),它会检查每个ARP报文的源IP。由于0.0.0.0不是合法的主机IP,但检测机制可能将其视为一种“冲突”并产生告警。这种告警在DHCP大规模部署的网络中非常常见,通常不影响业务,但会填满日志,干扰故障排查。
3. 其他可能原因
网络中确实存在设备故障,持续发送异常ARP(如中毒或硬件损坏)。
如果开启了DHCP Snooping或ARP Detection,可能对DHCP过程中的ARP进行了严格限制,但这种情况一般不会直接导致
0.0.0.0的冲突日志。
二、排查步骤
1. 确认告警源设备
通过冲突MAC找到对应的端口,判断设备类型。
如果大量MAC对应的是终端设备(如PC),且网络正在大量分配IP(例如新楼宇接入、DHCP租期集中续约),则可以判定为正常现象。
2. 检查ARP表项
确认是否有IP为 0.0.0.0 的ARP表项(正常不应存在)。
3. 抓包分析
在出现告警的VLAN内进行抓包,观察ARP报文的来源和内容。
0.0.0.0,目的IP是否为待探测的IP(如DHCP服务器地址或空)。如果大量ARP探测是正常的DHCP过程,可确认是误报。
三、处理方法
1. 如果确认为正常DHCP过程(推荐)
可以关闭ARP冲突检测功能或降低日志级别,避免日志被刷屏。
方法一:关闭ARP源IP冲突检测功能
0.0.0.0的ARP报文将不再触发告警。方法二:关闭该模块的日志输出(更温和)
warning 以下,只输出更严重的事件。2. 如果存在异常设备
若定位到某台设备持续发送源IP
0.0.0.0的ARP,且该设备不是DHCP客户端(如交换机、路由器),则应检查该设备是否中毒或配置错误。可在接入端口上开启风暴控制或限制ARP报文速率。
确保DHCP服务器工作正常,地址池充足,避免大量客户端因无法获取IP而反复发送ARP探测。
检查是否有DHCP饿死攻击,可以使用DHCP Snooping进行防护。
交换机输入没这命令啊
交换机输入没这命令啊
🔍 日志为什么长这样?
ARP_SENDER_IPCONFLICT_ALARM
Conflict IP=0.0.0.0
Conflict MAC=xxxx-xxxx-xxxx
SVLAN=521/522/523/531/536...(都是用户VLAN)
- Conflict IP = 0.0.0.0
- 都是随机本地 MAC(a26a-xxx、7e72-xxx、dec9-xxx…)
- 出现在多个用户 VLAN
- 报警 → 恢复 → 报警 → 恢复
arp sender-ip-conflict detect
🧾 这是什么环境才会出现?
- 宿舍网
- 公寓网
- 酒店 / 宿舍楼大量无线 + 有线终端
- 终端频繁上下线、DHCP 重连
- 大量手机、电脑、IoT 设备
✅ 你现在只需要做一件事(立刻不刷屏)
undo arp sender-ip-conflict detect
undo arp sender-ip-conflict log enable
🧠 给你总结(运维现场版)
- 不是 IP 冲突
- 不是环路
- 不是中毒
- 不是攻击
- 就是终端 DHCP 前的正常 ARP 探测
- 交换机开了 sender-ip-conflict 检查,所以狂报
- 关掉检查 或 关掉日志即可
### 排查步骤:
1. 确认告警源设备:
- 使用命令`display mac-address | include <冲突MAC>`查看对应端口连接的设备类型。
- 如果大量MAC对应的是终端设备(如PC),且网络正在大量分配IP,则可以判定为正常现象。
2. 检查ARP表项:
- 使用命令`display arp | include 0.0.0.0`确认是否有IP为0.0.0.0的ARP表项。正常情况下不应存在。
3. 抓包分析:
- 在出现告警的VLAN内进行抓包,观察ARP报文的来源和内容。
- 使用命令`packet-filter enable`进入诊断模式,或使用端口镜像抓包查看源IP是否为0.0.0.0,目的IP是否为待探测的IP(如DHCP服务器地址或空)。
### 处理方法:
1. 关闭ARP冲突检测功能(推荐):
- 使用命令`system-view`进入系统视图。
- 输入`undo arp anti-attack sender-ip-conflict enable`关闭全局ARP源IP冲突检测功能。
2. 降低日志级别(更温和):
- 使用命令`info-center source arp channel 2 log level off`关闭ARP模块的日志输出,或者调整日志级别为warning以下,只输出更严重的事件。
3. 检查DHCP环境:
- 确保DHCP服务器工作正常,地址池充足,避免大量客户端因无法获取IP而反复发送ARP探测。
- 检查是否有DHCP饿死攻击,可以使用DHCP Snooping进行防护。
如有需要,请提供更多信息。
undo arp anti-attack sender-ip-conflict enable
undo arp anti-attack sender-ip-conflict enable
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明