交換機(jī)要防御ARP攻擊，就必須能夠識(shí)別并讀取ARP報(bào)文內(nèi)容，然后根據(jù)報(bào)文內(nèi)容判斷是否存在欺騙攻擊行為，對(duì)于ARP欺騙報(bào)文進(jìn)行丟棄處理。

在接入層就是利用接入交換機(jī)的ARP入侵檢測(cè)(ARP Intrusion Inspection)功能，進(jìn)行ARP欺騙攻擊防御。

ARP入侵檢測(cè)在接入交換機(jī)進(jìn)行部署，接入交換機(jī)同時(shí)啟用DHCP Snooping對(duì)DHCP報(bào)文進(jìn)行監(jiān)測(cè)。DHCP Snooping通過(guò)監(jiān)測(cè)DHCP報(bào)文記錄了用戶的IP/MAC/VLAN/PORT等信息，并形成一個(gè)DHCP Snooping綁定表。交換機(jī)端口接收到的ARP報(bào)文后，通過(guò)查找DHCP Snooping建立的綁定關(guān)系表，來(lái)判斷ARP應(yīng)答報(bào)文的發(fā)送者源IP、源MAC是否合法。若ARP報(bào)文中的發(fā)送者源MAC、IP匹配綁定表中的內(nèi)容，則認(rèn)為是合法的報(bào)文，允許通過(guò);否則認(rèn)為是欺騙攻擊報(bào)文，就進(jìn)行丟棄。

ARP入侵檢測(cè)能夠防止接入終端發(fā)起任何ARP欺騙攻擊，如果全網(wǎng)部署AII功能，可有效解決ARP欺騙攻擊問(wèn)題。

另外由于ARP欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的ARP報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源，造成網(wǎng)絡(luò)速度的速度降低。因此接入交換機(jī)還需要部署ARP報(bào)文限速，對(duì)每個(gè)端口單位時(shí)間內(nèi)接收到的ARP報(bào)文進(jìn)行限制，很好地保障了網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源。