核心和楼层交换机都是傻瓜型的，不能配置。网关在AR路由器上，用户均通过傻瓜路由器接入，傻瓜路由器分为两个网段，分别为x.x.1.0/16和x.x.3.0/16

　　AR2240 3网段有时不能正常访问外网

　　查看cpu-defend，发现有丢包

　　查看trapbuffer，发现有ARP冲突

　　xxxx-xxxx-b688处理这种问题的较好方法就是根据冲突的mac地址找到设备，当然这个mac也可能是伪造的

　　但是现网并没有找到这个mac是哪台设备

　　当然我们可以采用第二种方案

　　在AR上 禁止掉这个MAC

　　如下配置方法

　　[Huawei]acl number 4444

　　[Huawei-acl-L2-4444]rule 5 deny l2-protocol arp

　　source-mac xxxx-xxxx-b688

　　[Huawei]int g0/0/1

　　[Huawei-GigabitEthernet0/0/1]traffic-filter

　　inbound acl 4000

　根因

　　ip 冲突导致网络异常

解决方案

　　在AR路由器上把这个异常mac通过acl 过滤掉

　　配置方法如下：

　　[Huawei]acl number 4444

　　[Huawei-acl-L2-4444]rule 5 deny l2-protocol arp

　　source-mac xxxx-xxxx-b688

　　[Huawei]int g0/0/1

　　[Huawei-GigabitEthernet0/0/1]traffic-filter

　　inbound acl 4000

　　测试网络恢复正常

建议与总结

　　现网中我们经常会遇到这种攻击行为，但是客户并不一定能找的到攻击的设备

　　然后我们在ar上将其过滤掉，也是一种解决问题的方法