地址冲突问题排查

执行命令display aaa online-fail-record all，查看User online fail reason字段，其取值为IP address conflict。出现IP地址冲突主要有以下三种情况：

一是网络中存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文，导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。

• 通过获取报文确认冲突的IP地址，排查这些终端或工具，禁止发送相同IP地址的ARP报文。
• V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

二是网络中存在某些异常终端，这些终端在关机或者休眠后网卡仍然会有流量，因此在支持流量探测的设备上流量探测成功，用户表一直保持在线，不会老化，但是实际DHCP服务器地址池中的该地址早已释放，后续其他终端获取到该地址在设备上认证时就会检测到IP地址冲突，可以采取如下方法解决

• V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

三是设备未开启802.1X认证的ARP探测功能。终端非直连交换机的情况下上线成功，然后关机或者断开网络后交换机无法感知，用户表一直存在，其中包含了终端通过DHCP获取到的IP地址信息。当此IP地址租期到后被DHCP服务器回收，然后分配给另一个终端，由于认证不允许两个相同IP地址的终端上线，所以该终端始终认证失败，原因为IP address conflict。可以采用如下方法解决问题。

• 统一模式下，设备默认开启802.1X认证的ARP探测功能。可以执行命令display authentication-profile configuration根据Authentication handshake字段确认是否已开启。如果未开启，请在认证模板视图下执行命令authentication handshake。
• 传统模式下，V200R013C00之前版本，设备默认关闭802.1X认证的ARP探测功能。可以执行命令display current-configuration | include dot1x timer arp-detect检查是否配置ARP探测功能。如果未配置，请在系统视图下执行命令dot1x timer arp-detect arp-detect-value。