方案二、部署"防ARP攻击"接入交换机

    对有实力的企业或新建网络的企事业单位，非常好的手段是全网部署"防ARP攻击"接入交换机，可以彻底地解决ARP病毒攻击问题，从接入层就过滤掉各种ARP欺骗报文。下面是H3C相应的详细解决方案。
     
    情况一：局域网内PC动态分配IP地址，server静态分配地址
    解决方案要点：
    " 每台接入交换机启动DHCP Snooping
    " 每台接入交换机启动ARP Detection
    " 每台接入交换机配置静态ARP绑定表（仅需对服务器、网关的ARP表项进行绑定）

    情况二：局域网内PC和server均静态分配地址
    解决方案要点：
    " 每台接入交换机配置静态ARP绑定（通过手工方式对每台PC、服务器、网关的ARP表项进行逐条绑定）
    " 对于支持"一键绑定"的接入交换机，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP绑定表设置为静态不可更改，简化ARP绑定表配置工作量。

    方案局限性：
    从接入层防范ARP攻击解决方案是一个完美的ARP病毒防御方案。但因为在接入层选用了较高档次的交换机设备，成本相对高些。

    在实际组网中，可以根据网络各个区域的不同安全等级，将上述方案有机地结合在一起，从而实现既能完善地防范ARP病毒，又尽可能地节省设备投资。

    例如，为了保留接入层防御的完美效果，又期望进一步降低投资，可以采用核心交换机和接入交换机联动防ARP攻击方案，在核心层采用较高档次的交换机设备，在接入层采用可联动防ARP攻击的简单交换机，通过核心交换机和接入交换机之间的联动，来实现防ARP攻击。这样一方面降低了成本，另一方面充分体现了智能网络的特点。下面是H3C相应的详细解决方案。
     
    情况一：局域网内PC动态分配IP地址，server静态分配地址
    解决方案要点：
    " 核心交换机启动DHCP Snooping
    " 核心交换机启动授权ARP
    " 核心交换机配置静态ARP绑定（服务器、网关的ARP表）
    " 启动核心交换机和接入交换机的ARP联动功能
    " 每台接入交换机启动ARP攻击防护功能

    情况二：局域网内PC和server均静态分配地址
    解决方案要点：
    " 核心交换机配置静态ARP绑定（服务器、网关的ARP表）
    " 对于支持"一键绑定"的核心交换机，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP绑定表设置为静态不可更改，简化ARP绑定表配置工作量。
    " 启动核心交换机和接入交换机的ARP联动功能
    " 每台接入交换机启动ARP攻击防护功能

    方案局限性：
      该方案也是一种从接入层全面防范ARP病毒攻击的完美方案，方案成本也较低，需要整网实施和部署。