192.168.10.100 最终是被人私拉的路由器占走了。

那天用户一句话报障：这个 IP 上不了网，查了半天也没头绪。我直接在交换机上敲了个过滤命令：display arp | include 192.168.10.100。敲完回车，马上跳出一行结果：192.168.10.100 对应 00e0-fc12-3456，Vlanif10，端口是 GigabitEthernet0/0/5。有了这条信息，排查范围瞬间缩小，不用在几百行 ARP 表里慢慢翻。

拿到 MAC 以后，我又查了这 MAC 在哪里出现：display arp | include 00e0-fc12-3456。结果显示同一个 MAC 学习到了两个不同的端口：GigabitEthernet0/0/5 和 GigabitEthernet0/0/12。碰到这种情况，物理层出问题的可能性大，要么是环路，要么有人在用户侧自拉了交换机继续接设备。为了确认位置，我又查端口描述：display interface GigabitEthernet 0/0/15 | include Description，输出里有 Description: 3F-Room301-PC01。这样就能把目标锁定到三楼301房间，让现场同事上去看看实物。

排查过程中有几项核验不能省。先看 ARP 表里有没有这条 IP：如果 display arp | include X.X.X.X 没任何输出，说明终端根本没上线，没发 ARP 请求；如果有输出但显示的 MAC 和登记信息不吻合，那就说明 IP 被别的设备占用了，常见场景是有人带了路由器或者把网线接到自己的无线路由上共享上网；如果 MAC 和注册的设备不一样，也可能是用户换了网卡或者有人冒用了设备的 IP，别急着下结论，要一步步核实。查网关也必须做：display arp | include 192.168.10.1，可以看到网关对应的 MAC，到底是不是核心交换机或防火墙的那块网口。如果网关的 MAC 跑到了其他地方，那就得警惕网关欺骗或者配置错误，把这条线先捋清楚。

实操上有几招比较好用。碰到一堆关键服务器要确认在线时，一个个用 display arp | include 192.168.30.10、display arp | include 192.168.30.11 去查，比直接 dump 全表翻更省事。想把某个 VLAN 下的 ARP 条目挑出来，可以先全量导出再用 Vlanif 过滤，或者直接用 display mac-address、display interface 联动做二层定位链条。注意 ARP 会有老化时间（常见是 20 分钟），已经离线的主机会被清掉；如果终端禁用了 ARP，根本不会出现在表里，所以任何判断都要结合 ping、mac 表和 interface 状态去验证，不然结论容易偏。

遇到同一 MAC 在多个端口学到，别急着把端口关了。有几步要先做清楚：看看端口描述和物理链路走向，抓取 MAC 学习信息，检查接口的端口类型和 VLAN 配置，排查是不是环路或者有人私拉交换机分支。比如环路会导致 MAC 在多个端口频繁学习；用户侧带了交换机，MAC 会在上游端口重复出现。把这些信息串起来看清楚，再安排现场断开或重连，比盲目操作更保险。还要留意 ARP 表里的类型字段，D 代表动态，S 代表静态，display arp 的输出里这列能告诉你是不是有人手工写了静态条目，或者网络里有异常配置。

有时候 ARP 表里有记录，并不等于用户真实能上网。这要把几个命令连成链验证：先确认 IP 被 DHCP 或静态分配了（有记录），再确认 MAC 是否学在期望端口上（display mac-address | include 00e0-fc12-3456），再看端口是不是 administratively up（display interface GigabitEthernet0/0/5），确认端口没有被 shut，VLAN 没搞错，链路没有环路。每一步把不可能的情况剔掉，最后问题点自然会清晰在图上。

说点小技巧，省时间的那种。很多人习惯直接 display arp，然后眼睛在几百行里扫，效率低还容易漏。学会用 include 过滤，把目标缩到一两行，这招像狙击枪，排障时特别带劲。另一点，碰到一堆 IP 想批量查，就把命令写成脚本或用终端多行批量执行，一条条敲比手工翻表简单太多。再补一句，华为、H3C 这些主流厂家的设备上都支持 display arp | include 这种用法，运维巡检、故障响应、割接验证时都能用得上。

讲个亲身经历：碰到的一个案例里，用户报说打印机上不了网，查了 ARP 发现 IP 被别人占着，MAC 又在两个端口学到。我没马上断线，先把端口描述、邻接设备和物理链路走了一遍，结果发现是住户在自己的办公室里接了个小交换机，多台设备共享一个公网端口。把那台用户自带的路由器或交换机拔掉，原 IP 立马回到正确设备上，问题结束。过程不复杂，但如果操作不耐心，随便关端口或改配置，反而会牵出更多问题。

最后再强调一点：知道哪条命令能最快给出答案，比会一堆命令更实用。display arp | include IP/MAC 这类精准过滤的命令，真是排障时的利器。需要一份常用命令集合，私信我暗号“配置命令”，我把《网络工程师基本配置命令大全》发给你。

原创：老杨丨11年资深网络工程师，更多网工干货请关注：网络工程师俱乐部