網(wǎng)關(guān)做了主備，不代表電機(jī)會在切換瞬間自動(dòng)找到新路徑。局域網(wǎng)里最常見的主備斷流，并不是主備協(xié)議沒有切換，而是主機(jī)仍把報(bào)文發(fā)給舊的二層鄰居。

終端地址解析緩存老化滯后會把主備切換變成短時(shí)黑洞。主備協(xié)議切換后，新的活動(dòng)網(wǎng)關(guān)已經(jīng)接管虛擬地址，但不同操作系統(tǒng)對地址解析緩存的保留時(shí)長差異很大，有的仍會在幾十秒內(nèi)繼續(xù)把流量發(fā)給舊的虛擬地址對應(yīng)舊MAC。如果舊主設(shè)備還在線、接口也沒物理斷開，只是因?yàn)樯嫌萎惓２辉倌苻D(zhuǎn)發(fā)，這些報(bào)文就會被靜默吞掉，業(yè)務(wù)表現(xiàn)為“網(wǎng)關(guān)明明活著卻訪問不到外部”。它成立的前提是終端側(cè)鄰居表沒有被及時(shí)刷新，或者原主設(shè)備在故障時(shí)沒有徹底失聯(lián)。不同終端對免費(fèi)地址解析響應(yīng)的接受策略也不一樣，有的會馬上更新，有的要等多次通告才變更。工程上應(yīng)把免費(fèi)通告、搶占延遲和鏈路跟蹤一起設(shè)計(jì)，讓新主在接管時(shí)連續(xù)多次宣告，而不是只依賴協(xié)議狀態(tài)翻轉(zhuǎn)。

即便新主發(fā)出了免費(fèi)地址解析，安全策略也可能把這次刷新攔下來。動(dòng)態(tài)地址解析檢測、端口安全、虛擬化防偽MAC策略甚至某些無線橋接設(shè)備，都會把“未請求的地址更新”當(dāng)成異常流量丟棄，導(dǎo)致終端根本收不到鄰居變化。更麻煩的是，網(wǎng)關(guān)冗余常使用虛擬MAC，若接入交換機(jī)對MAC漂移閾值過嚴(yán)，也會把合法切換判成攻擊，形成局部用戶正常、局部用戶持續(xù)斷流的碎片化故障。虛擬化平臺里的反欺騙策略若沒有為虛擬網(wǎng)關(guān)MAC留白名單，同樣會在主備漂移時(shí)把更新?lián)踉谒拗鳈C(jī)邊界。排障時(shí)只盯協(xié)議狀態(tài)沒意義，還要核對免費(fèi)通告是否到達(dá)終端、二層安全策略是否放行虛擬MAC變更，以及接入設(shè)備是否存在地址解析抑制或代理行為。

網(wǎng)關(guān)高可用不只是一場三層選主，還包括二層鄰居重學(xué)習(xí)。只要地址解析刷新鏈路沒打通，主備切換就會在局域網(wǎng)里留下難看的斷流空窗。