方案一、对网络划分独立VLAN来隔离

    如果一个网络部署时，能够要求每台PC被划分在各自独立的VLAN中。例如，在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样，即使某台PC终端感染了ARP病毒，那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。
    
    解决方案要点：

• 为每个PC终端或服务器配置独立VLAN ID，隔离相互间的ARP协议。
  
• 如果VLAN是配置在核心交换机和接入交换机上，可以进一步部署”核心层防ARP病毒攻击方案”实现全面防御，详见下文相关部分介绍。
  
• 如果VLAN是配置在路由器和接入交换机上，可以进一步部署”路由器防ARP病毒攻击方案”实现全面防御，详见下文相关部分介绍。

    方案局限性：

    如果组网能满足这种要求，就可以采用比较低端的交换机，从接入层就全面地防范了ARP病毒攻击。

    不过，这种方案对设备支持VLAN的性能要求较高，配置很多VLAN导致多网段管理复杂。另外，除了酒店之外，一般网络出于文件共享、应用程序间通信等客户要求，不可能实现每个PC划分一个VLAN，仅是对主要功能区部署VLAN隔离，因此该方案应用范围有特殊性，是特定应用场景下的完美解决方案。

    方案二、部署”防ARP攻击”接入交换机

    对有实力的企业或新建网络的企事业单位，最佳手段是全网部署”防ARP攻击”接入交换机，可以彻底地解决ARP病毒攻击问题，从接入层就过滤掉各种ARP欺骗报文。下面是H3C相应的详细解决方案。
    
    情况一：局域网内PC动态分配IP地址，server静态分配地址

    解决方案要点：

• 每台接入交换机启动DHCP Snooping
  
• 每台接入交换机启动ARP Detection
  
• 每台接入交换机配置静态ARP绑定表（仅需对服务器、网关的ARP表项进行绑定）

    情况二：局域网内PC和server均静态分配地址

    解决方案要点：

• 每台接入交换机配置静态ARP绑定（通过手工方式对每台PC、服务器、网关的ARP表项进行逐条绑定）
  
• 对于支持”一键绑定”的接入交换机，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP绑定表设置为静态不可更改，简化ARP绑定表配置工作量。

    方案局限性：

    从接入层防范ARP攻击解决方案是一个完美的ARP病毒防御方案。但因为在接入层选用了较高档次的交换机设备，成本相对高些。

    在实际组网中，可以根据网络各个区域的不同安全等级，将上述方案有机地结合在一起，从而实现既能完善地防范ARP病毒，又尽可能地节省设备投资。

    例如，为了保留接入层防御的完美效果，又期望进一步降低投资，可以采用核心交换机和接入交换机联动防ARP攻击方案，在核心层采用较高档次的交换机设备，在接入层采用可联动防ARP攻击的简单交换机，通过核心交换机和接入交换机之间的联动，来实现防ARP攻击。这样一方面降低了成本，另一方面充分体现了智能网络的特点。下面是H3C相应的详细解决方案。
    
    情况一：局域网内PC动态分配IP地址，server静态分配地址

    解决方案要点：

• 核心交换机启动DHCP Snooping
  
• 核心交换机启动授权ARP
  
• 核心交换机配置静态ARP绑定（服务器、网关的ARP表）
  
• 启动核心交换机和接入交换机的ARP联动功能
  
• 每台接入交换机启动ARP攻击防护功能

    情况二：局域网内PC和server均静态分配地址

    解决方案要点：

• 核心交换机配置静态ARP绑定（服务器、网关的ARP表）
  
• 对于支持”一键绑定”的核心交换机，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP绑定表设置为静态不可更改，简化ARP绑定表配置工作量。
  
• 启动核心交换机和接入交换机的ARP联动功能
  
• 每台接入交换机启动ARP攻击防护功能

    方案局限性：

    该方案也是一种从接入层全面防范ARP病毒攻击的完美方案，方案成本也较低，需要整网实施和部署。