你的问题可以总结为:
终端 A(IP 甲) 能在核心交换机上看到 ARP 记录,但 无法 PING 通网关。
终端 A(换成 IP 乙) 后 可以 PING 通网关。
没有 IP 地址冲突,没有 ACL 限制,配置没有改动。
换另一台终端 B(仍用 IP 甲),问题仍然存在。
该问题曾 两次出现,但换地址后立即恢复正常。
可能的原因和排查思路1. 动态 ARP 检测(DAI)或 IP-MAC 绑定限制可能原因
交换机可能有 动态 ARP 绑定、DHCP Snooping、IP-MAC 绑定 机制,导致某些 IP 被限制。
部分安全策略 可能要求设备重新获取 DHCP 地址,而静态分配的 IP 可能未被认可。
排查方法
在核心交换机上检查 ARP 绑定情况:
display arp all
确认终端的 MAC 地址和 IP 甲 是否正确对应。
检查 IP 甲 是否有异常的 MAC 绑定。
检查是否启用了 IP-MAC 绑定 或 DHCP Snooping:
display user-bind all
display dhcp-snooping binding
如果有绑定,尝试手动解除:
undo user-bind mac XXXXXXXXXXXX ip 甲
再重新连接终端,看是否恢复正常。
2. MAC 地址黑洞(MAC Blackhole)可能原因
终端 A 之前使用 IP 甲,但由于异常流量(如广播风暴、环路检测等),MAC 地址可能被交换机加入黑洞列表,导致流量被丢弃。
换地址(IP 乙)时 MAC 没变,但 IP 变了,所以绕过了黑洞限制。
排查方法
检查 MAC 黑洞列表
display mac-address blackhole
如果发现终端 A 的 MAC 地址在黑洞列表,可以手动解除:
undo mac-address blackhole XXXXXXXXXXXX
也可以 重启交换机,黑洞表通常不会持久化。
3. ARP 表项异常(ARP 解析异常)可能原因
交换机的 ARP 表可能没有正确更新,导致流量转发错误。
ARP 静态表项过期不刷新,导致 IP 甲 始终映射到旧的 MAC 地址。
终端与网关之间的 ARP 缓存不同步,导致网关认为 IP 甲 的 MAC 地址错误。
排查方法
手动清除 ARP 缓存
在核心交换机上:
reset arp dynamic
在终端上:
arp -d *
然后重新 PING,看看是否恢复。
4. 端口安全(Port Security)限制可能原因
交换机端口可能开启了 Port Security(端口安全),限制了 特定 IP-MAC 绑定数量。
终端 A 使用 IP 甲 连接后,被端口安全策略锁定,导致流量被丢弃。
换 IP(IP 乙)后,新的 IP-MAC 对没有被限制,所以能正常通信。
排查方法
检查端口安全配置
display port-security interface GigabitEthernet 1/0/X
如果发现 maximum 值较低,可能是 MAC 地址超限:
undo port-security enable
也可以尝试 手动解除 MAC 绑定:
undo mac-address static XXXXXXXXXXXX
5. 交换机或网关的 FIB 表异常可能原因
由于设备长时间运行,核心交换机或网关的 FIB(Forwarding Information Base)表项异常,导致某些 IP 无法正常转发。
清空 ARP 可能无效,但重启设备会临时解决问题。
排查方法
检查 FIB 表
display ip routing-table
观察是否有 异常的路由条目(如丢失或错误的下一跳)。
尝试手动清除 FIB
reset ip routing-table
再测试 PING,看是否恢复。
最终建议
可能原因
解决方案
ARP 表异常
清空 ARP 表:reset arp dynamic
动态 ARP 绑定 / DHCP Snooping 限制
undo user-bind mac ... 或 display dhcp-snooping binding
MAC 地址黑洞
display mac-address blackhole 并解除黑洞
Port Security 限制
undo port-security enable 或解除 MAC 绑定
FIB 表异常
reset ip routing-table 或重启设备
如果问题仍然不解决,可以尝试:
在核心交换机上抓包(debug arp packet 或 monitor traffic interface),看看是否有异常的 ARP 响应。
更换交换机端口,看看是否是端口策略的问题。
这个问题很可能是 交换机安全策略误触发 或 ARP 解析异常,重点检查 MAC 绑定、ARP 记录、黑洞列表。