可以透過交換機自定義ACL實現。

在交換機上配置自定義ACL，以華為交換機為例：

acl number 5000

rule 0 deny 0806 ffff 24 <閘道器的IP地址> ffffffff 40

rule 1 permit 0806 ffff 24 <閘道器的MAC地址> ffffffffffff 34

其中，閘道器的IP地址換算成16進位制。比如閘道器地址為192.168.1.1，換成16進製為c0a80101。MAC地址取消分隔符，如003a56ca3f1e，然後在交換機全域性檢視下發：packet-filter user-group 5000

這樣只有交換機上連的閘道器裝置才能夠傳送閘道器的ARP報文，其它主機都不能傳送假冒閘道器的arp響應報文。

1,用三層交換做核心交換機，設定DHCP全域性分配，VLAN也可以。

2，三層交換機做IP MAC固話/繫結。

3，路由器對出口IP和MAC做繫結。

4，客戶機做IP和MAC繫結。寫個批處理，新增到開機啟動內最好

5，全盤防毒，降低病毒或其他工具造成的ARP攻擊。

首先要知道，什麼是ARP攻擊，對利用ARP協議的漏洞進行攻擊的稱呼，叫做ARP攻擊。

ARP協議又是什麼呢？

ARP英文為Address Resolution Protocol，即地址解析協議。主要是為了讓區域網內的主機A透過廣播，找到主機B的物理地址（MAC地址），並建立起網路聯絡。交換機，路由器，PC電腦，手機IPAD等都可以算是區域網中的主機。

那這裡APR協議的漏洞是什麼呢？

是因為主機和主機之間沒有強關聯，是一種弱連線，是透過廣播找MAC地址。

舉個例子：

一棟樓可以當做區域網，快遞小哥可以當成一個主機A，快遞小哥有郵件要給客戶當做主機B，但是郵件上面沒有門牌號（MAC地址），快遞小哥只能在樓裡面喊，XXX在哪裡？

這個時候有一個不要臉的人（主機C）出來喊，我就是XXX，那麼這個快遞就會被主機C收走。那麼這個快遞的真正主人主機B就收不到資訊了，當然主機C也可以拆開了快遞放了垃圾進去，再給主機B，這時候就是ARP欺詐。

一開始主機C出來，並拿走了主機B的快遞（資訊）的時候，ARP攻擊就完成了。

那怎麼解決這個APR攻擊呢？

其實你看了上面我舉得生活例子，你應該很容易就想到解決的辦法，那就是客戶B直接把門牌號告訴快遞小哥，快遞小哥就不會送錯了。ARP攻擊就不會成功了。

對應到網路層，其實就是路由器對出口IP和MAC做繫結。

斜陽說

我相信你懂的了原理，你就更容易理解他們都為什麼要這麼做了。

感謝閱讀。