Incomplete表项

查ARP表项时，如MAC ADDRESS字段显示为“Incomplete”，表示当前表项为临时ARP表项，临时ARP表项无法指导报文转发。当IP报文触发ARP Miss消息时，设备会根据ARP Miss消息生成临时ARP表项，并且向目的网段发送ARP请求报文。
在临时ARP表项老化时间范围内：
设备收到ARP应答报文前，匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。
设备收到ARP应答报文后，则生成正确的ARP表项来替换临时ARP表项。
在临时ARP表项老化超时后，设备会清除临时ARP表项。
日记信息表示该设备一直接收对端发送的免费arp报文，说明对端一直在发送arp报文。就是用户不断在发起给不存在用户的报文, 交换机收到后因为没有对应的MAC, 就向外发ARP请求, 会导致查看到不同的IP地址表项一直在变,但交换机找不到对应MAC最终显示为Incomplete。可能是ARP MISS攻击，可结合CPU使用率与是否对业务造成影响进行处理。
其他网段的PC ping或访问 192.168.0.X 网段里不存在的一个IP，会出现上述的 Incomplete
可能的原因：交换机没有找到对应的192.168.0.X的MAC，所以该条目显示Incomplete。至于为什么对应的端口是Ge2/0/0而不是其他端口，ARP request是广播包发给了该VLAN的所有端口。这个条目里只能显示一个端口。可能的原因是GE2/0/0是该VLAN的第一个UP的端口。

更新时间「2023-01-05 14:18:08」添加「Incomplete arp」标签，已有 91 位阅读。