局域网中，切换为何还断流？ARP怎么刷新？

网关做了主备，不代表电机会在切换瞬间自动找到新路径。局域网里最常见的主备断流，并不是主备协议没有切换，而是主机仍把报文发给旧的二层邻居。

终端地址解析缓存老化滞后会把主备切换变成短时黑洞。主备协议切换后，新的活动网关已经接管虚拟地址，但不同操作系统对地址解析缓存的保留时长差异很大，有的仍会在几十秒内继续把流量发给旧的虚拟地址对应旧MAC。如果旧主设备还在线、接口也没物理断开，只是因为上游异常不再能转发，这些报文就会被静默吞掉，业务表现为“网关明明活着却访问不到外部”。它成立的前提是终端侧邻居表没有被及时刷新，或者原主设备在故障时没有彻底失联。不同终端对免费地址解析响应的接受策略也不一样，有的会马上更新，有的要等多次通告才变更。工程上应把免费通告、抢占延迟和链路跟踪一起设计，让新主在接管时连续多次宣告，而不是只依赖协议状态翻转。

即便新主发出了免费地址解析，安全策略也可能把这次刷新拦下来。动态地址解析检测、端口安全、虚拟化防伪MAC策略甚至某些无线桥接设备，都会把“未请求的地址更新”当成异常流量丢弃，导致终端根本收不到邻居变化。更麻烦的是，网关冗余常使用虚拟MAC，若接入交换机对MAC漂移阈值过严，也会把合法切换判成攻击，形成局部用户正常、局部用户持续断流的碎片化故障。虚拟化平台里的反欺骗策略若没有为虚拟网关MAC留白名单，同样会在主备漂移时把更新挡在宿主机边界。排障时只盯协议状态没意义，还要核对免费通告是否到达终端、二层安全策略是否放行虚拟MAC变更，以及接入设备是否存在地址解析抑制或代理行为。

网关高可用不只是一场三层选主，还包括二层邻居重学习。只要地址解析刷新链路没打通，主备切换就会在局域网里留下难看的断流空窗。