交换机ARP告警

源mac追一下看看

CVLAN=65535”是理解这条告警原因的关键。它更像是一条系统日志，而不是真的收到了一个带VLAN标签的ARP报文，通常指向网络中出现了IP地址冲突或环路。

日志里的CVLAN=65535，在QinQ（802.1Q-in-802.1Q）标准中是一个保留的VLAN ID，永远不会在真实的报文中出现。

因此，这条 Received an invalid ARP packet 日志的真实含义，通常是交换机内部的ARP检测机制发现了一个问题，并以一种特殊的格式记录了下来。

 为什么会出现CVLAN 65535？

可能的原因主要集中在这几个方面：

• IP/MAC 地址冲突：网络中两个设备配置了相同的IP地址。当交换机检测到这个冲突时，就会记录这条日志，这可能是最常见的原因。

• 网络环路：某种环路导致同一个ARP报文被交换机从不同端口重复收到，被系统判定为“无效”。

• QinQ终结或VLAN Mapping配置不当：这是H3C知了社区里佐证度最高的原因之一。如果接口配置了qinq enable，但又错误地使用了qinq ethernet-type命令把外层VLAN Tag的TPID改成了非标准值，可能会导致VLAN标签处理异常，从而产生CVLAN=65535告警。

• ND (IPv6邻居发现) 冲突告警：如果这些ARP告警和IPv6的邻居发现协议告警在同一时间段内频繁出现，说明网络的冲突情况可能更复杂，需要一并排查。

• ARP不规范：有些终端发出的ARP报文本身不太规范（比如填了预留值作VLAN Tag），也可能触发该告警。

• MAD (Multi-Active Detection) 冲突检测机制：在IRF组网中，MAD BFD功能会用特定VLAN检测设备状态。VLAN接口的IP如果重复，也会因此被记录为冲突

排查步骤

建议按照这个顺序一步步来操作。

1. 排查IP地址冲突：这是最关键的一步。
   在交换机上执行这条命令，查一下161.103.0.0这个IP是否对应了多个MAC地址：

   display arp | include 161.103.0.0重点检查0001-004a-20a8这个MAC地址，看看它对应的IP是否和161.103.0.0存在冲突：
   display arp | include 0001-004a-20a8同时，可以找一下0001-004a-20a8是从交换机的哪个端口学来的：
   
   

   display mac-address | include 0001-004a-20a8

2. 排查网络环路：观察日志出现的时间点，是否伴有端口流量突增或MAC地址漂移的告警。display logbuffer可以帮上忙，可以用如下命令检查MAC漂移：

   display mac-address mac-move如果怀疑是环路，最直接的办法是去现场检查物理连接是否有线缆串接。

3. 检查QinQ终结或VLAN Mapping配置：如果是集中管理的大型园区，用如下命令查看接口的QinQ配置是否正确：

   display qinq interface如果发现有相关配置，可能需要联系业务或设备组的同事共同复核。

4. 检查MAD BFD配置：如果设备处于IRF组网中，检查一下用于MAD检测的VLAN是否被错误地在其它接口下放通了：

   display interface Vlan-interface [MAD VLAN ID]一个最常见的错误是，用于MAD的VLAN配置在了permit vlan all接口下。确保该VLAN只被MAD功能独占使用。

5. 抓包分析：如果以上都没发现问题，可以再做个端口镜像，在收到告警的Vlan-interface3020上抓包，看看到底是什么样的ARP报文触发了告警。