编者按：对于SARS等劣性传染病，除治疗以外，最重要的当属切断传播途径，进行隔离。面对ARP攻击，这种方法同样非常有效。
     
    【IT168 专稿】专家会诊概要：
    1、通过VLAN阻断ARP病毒
      病例一：可以给每台PC划分独立VLAN的情况
    2、通过接入层阻断ARP病毒
      病例二：可采用"防ARP攻击"接入交换机的情况
      病例三：可采用"接入和核心交换机联动"的情况  
    3、通过核心层阻断ARP病毒
      病例四：可采用 "防ARP攻击"核心交换机的情况
    4、通过出口网管阻断ARP病毒
      病例五：采用支持"防ARP攻击"的出口路由器
    5、其它阻断ARP病毒的方案
      病例六：短期内无法改变网络设备现状的情况

    方案一、对网络划分独立VLAN来隔离

    如果一个网络部署时，能够要求每台PC被划分在各自独立的VLAN中。例如，在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样，即使某台PC终端感染了ARP病毒，那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。
     
    解决方案要点：
    " 为每个PC终端或服务器配置独立VLAN ID，隔离相互间的ARP协议。
    " 如果VLAN是配置在核心交换机和接入交换机上，可以进一步部署"核心层防ARP病毒攻击方案"实现全面防御，详见下文相关部分介绍。
    " 如果VLAN是配置在路由器和接入交换机上，可以进一步部署"路由器防ARP病毒攻击方案"实现全面防御，详见下文相关部分介绍。

    方案局限性：
    如果组网能满足这种要求，就可以采用比较低端的交换机，从接入层就全面地防范了ARP病毒攻击。
    不过，这种方案对设备支持VLAN的性能要求较高，配置很多VLAN导致多网段管理复杂。另外，除了酒店之外，一般网络出于文件共享、应用程序间通信等客户要求，不可能实现每个PC划分一个VLAN，仅是对主要功能区部署VLAN隔离，因此该方案应用范围有特殊性，是特定应用场景下的完美解决方案。