方案四、部署"防ARP攻击"出口网关路由器

    对于网络预算比较紧张，无法采购"防ARP攻击"交换机方案进行防御，或者是不愿改变现有的局域网现状，可以部署支持"防ARP攻击"出口网关路由器，也能简单有效地防御ARP病毒攻击。下面是H3C相应的详细解决方案。
     
    情况一：局域网内PC动态分配IP地址，server静态分配地址
    解决方案要点：
    " 路由器启动DHCP Server（如果局域网内安装了独立的DHCP 服务器，路由器也可以配置DHCP Relay）
    " 路由器启动授权ARP
    " 路由器配置静态ARP 绑定表（服务器、网关的ARP表）
    " 网关和Server设置定期发送免费ARP，或者在每台PC机上配置网关和Server静态IP/MAC绑定。

    情况二：局域网内PC和server均静态分配地址
    解决方案要点：
    " 路由器配置静态ARP 绑定表（PC、服务器、网关的ARP表）
    " 对于支持"一键绑定"的路由器，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP表设置为静态不可更改，简化ARP表配置工作量。
    " 网关和Server设置定期发送免费ARP，或者在每台PC机上配置网关和Server静态IP/MAC绑定。

    方案局限性：
      这种方案能比较好地解决大部分ARP病毒攻击问题，各PC机上网、访问服务器都不会再有问题。 相比较"接入层交换机ARP病毒防御方案"成本低，但无法消除ARP病毒可能造成PC机之间不能通信的问题。
      当采用静态分配地址时，相对于授权ARP表项的自动生成方式，静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成，网络变化时需要修改ARP表，维护工作量比较大。