在目前经济形势仍然不见明显好转的情况下，企业特别是小型企业对于IT投资变得极其慎重。小企业对IT的主要需求集中在解决眼前急迫的生存问题上，明显有别于更多关注长期效益、无形效益、战略和管控等问题的大企业。企业决策层希望以最经济、最实用的方式进行IT投资。

　　但是，部署在企业网络上的应用并不会因为预算的大幅度压缩而减少，有关统计数据表明，目前在东部发达地区的中小企业信息化正在逐步向纵深发展，中小企业互联网接入的普及程度已近饱和，宽带接入日渐普及。在互联网应用上，已从前期的电子邮件和商业信息搜寻，逐步扩展到通过网络发布信息、商务采购、寻找潜在客户和市场、销售商品和提供服务、网络电话及传真、视频会议、获取订单、实现支付等一系列功能。

　　原本已经不堪重负的企业网络，受到了诸如ARP攻击等安全问题的严重考验。同时，还要监督、管理员工上网行为，分析、充分利用有限的网络带宽等新的要求。犹如遭遇数十年来最严重衰退的全球经济，在“甲型H1N1流感(猪流感)”的侵袭下更是雪上加霜，在不断的挑战小企业网络管理员的神经。

　　如何在有限的预算下，规划、部署一个令公司各方都比较满意、管理起来更加方便，大大减轻网管员工作量的网络环境呢?挑选合适的网络设备最为重要。我们从小企业网络中的常见问题入手，讨论如何选择非常好的的设备。

　　首先，是如何防范ARP攻击等安全问题。

　　ARP欺骗的目的就是为了实现全交换环境下的数据监听，大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的，局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。

　　因此，防范ARP的攻击可以从主机和网关两个方面入手，最简单的解决办法就是为局域网内的每个电脑安装软件防火墙，但是事实证明，很多情况下只能看到每次的ARP攻击，并不能真正的拦截成功，网络依然拥塞。或者通过IP地址与MAC地址绑定的方式，一旦发现网内的ARP攻击，可以手工排查到中毒的机器，从而手工杀毒。但是这种方式一方面仅仅适合于公司电脑不多的情况，一方面也大大增加了网管的工作量，实在是不得已而为之的方法。

　　第二种方法就是安装单独的硬件防火墙。但是硬件防火墙国际品牌价格动辄上万甚至几十万，较便宜的国产品牌往往也有大几千元，最便宜的也超过1000元。如果公司预算充裕，这当然是最好的解决办法，但是如果公司预算少，特别是在现今的经济条件下，本着为公司节省成本的目的，解决ARP攻击，从网关入手是比较实际和实惠的方法。

　　未知的事物是最可怕的，虽然目前ARP攻击十分令人头疼，但是ARP攻击却有其致命的缺陷，就是它的存在原理：ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除。

　　可见，ARP表是ARP攻击存在的基础，如果没有了ARP表，ARP攻击自然就成了无源之水，无根之木了。因此，一些有远见的厂家根据ARP攻击的这个特点，抛弃了网关中的ARP表，采用了PPPoE的上网方式，从而在根源上杜绝了ARP攻击的产生基础。

　　PPPoE，全名(point to point protocal over Ethernet)，是PPP协议在以太网中的完美结合。因为PPPoE不使用ARP协议，也就不会产生ARP信息，彻底杜绝了目前网络上无所不在的ARP攻击。并且PPPoE组网不会改变原来的局域网拓扑结构，极大简化了网管人员的工作量。因此，在目前很多高端的网络安全产品中均采用了该协议来提高网络的安全性。