交換機(jī)要防御ARP攻擊，就必須能夠識別并讀取ARP報文內(nèi)容，然后根據(jù)報文內(nèi)容判斷是否存在欺騙攻擊行為，對于ARP欺騙報文進(jìn)行丟棄處理。

在接入層就是利用接入交換機(jī)的ARP入侵檢測(ARP Intrusion Inspection)功能，進(jìn)行ARP欺騙攻擊防御。

ARP入侵檢測在接入交換機(jī)進(jìn)行部署，接入交換機(jī)同時啟用DHCP Snooping對DHCP報文進(jìn)行監(jiān)測。DHCP Snooping通過監(jiān)測DHCP報文記錄了用戶的IP/MAC/VLAN/PORT等信息，并形成一個DHCP Snooping綁定表。交換機(jī)端口接收到的ARP報文后，通過查找DHCP Snooping建立的綁定關(guān)系表，來判斷ARP應(yīng)答報文的發(fā)送者源IP、源MAC是否合法。若ARP報文中的發(fā)送者源MAC、IP匹配綁定表中的內(nèi)容，則認(rèn)為是合法的報文，允許通過;否則認(rèn)為是欺騙攻擊報文，就進(jìn)行丟棄。

ARP入侵檢測能夠防止接入終端發(fā)起任何ARP欺騙攻擊，如果全網(wǎng)部署AII功能，可有效解決ARP欺騙攻擊問題。

另外由于ARP欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的ARP報文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源，造成網(wǎng)絡(luò)速度的速度降低。因此接入交換機(jī)還需要部署ARP報文限速，對每個端口單位時間內(nèi)接收到的ARP報文進(jìn)行限制，很好地保障了網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源。