涉及到的设备: Cisco3750系列交换机、Cisco2950系列交换机、H3C E328交换机
涉及到的软件:Cain、dsniff
*需要注意的问题：上述2种软件属于安全评估软件，在生产网络上使用有可能对网络产生严重影响。
可能涉及到的技术：arp inspection、dhcp snooping、port security、protected port、proxy arp
arp攻击是目前园区网络里面非常常见的一种L2攻击行为，带来的危害有会话劫持、DoS等。具体的攻击方法和攻击原理从略。单纯的使用端口隔离是无法防护这种攻击，而IP协议本身需要arp才可以正常工作，因此又不能将该协议彻底丢弃掉。
今天突发奇想在某些区域试用了这样的技术组合：dhcp snooping+arp inspection+protected port实现了对arp攻击arp virus的防护。
按照下面拓扑，两台PC在同一个vlan中(假设为vlan2)，正常情况下，两台PC互相访问会不经过3层设备直接在2层设备上互相访问到。3层设备上建立了一个环回口模拟internet地址为2.2.2.2。
假设1.1.1.2是arp攻击者，当攻击者对1.1.1.1发动攻击时，1.1.1.1有可能会无法访问到2.2.2.2或者被迫要将访问2.2.2.2的流量送到1.1.1.2然后再转发。

由于1.1.1.1和1.1.1.2在同一个vlan，2层上没法检查/隔离虚假的arp-reply，这就造成了问题。
Cisco提供的protected port技术可以实现在隔离同一个vlan内的机器互相访问，但是经过实验发现单纯使用protected port只能隔离2层上的互相访问，当使用arp攻击工具时仍然会造成被攻击者无法访问外网。
使用arp inspection技术可以实现对arp数据包的监控
，为使用arp inspection需要先启用dhcp snooping或者port security功能，关于本技术的介绍见Cisco网站。

解决方法如下：
1.在接入设备上启用protected port
所有连接用的端口上应用：
interface FastEthernet0/1
switchport access vlan 2
switchport mode access
switchport protected !应用本命令
2.在3层设备上启用arp inspection：
ip arp inspection vlan a-b(某段vlan)
ip arp inspection validate src-mac ip !检查src-mac和ip
在连接接入设备的接口下不限制arp数据包的数量，以便避免出现攻击时接口err-disable
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection limit none !应用本命令
*3.在3层设备上启用dhcp snooping功能以便为arp inspection提供可以检测的依据：
全局模式
ip dhcp snooping
ip dhcp snooping vlan a-b(某段vlan)
连接dhcp服务器的接口应用
ip dhcp snooping trust
*4.为了实现同vlan见PC可以互相访问，需要在3层设备上启用ip local-proxy-arp。如果不启用local-proxy-arp的话同一vlan下的PC会因为收不到对方的arp-reply而无法封包。默认情况下，3层设备收到本网其他地址的arp-request的时候不会理睬，启用local-proxy-arp之后3层设备会对收到的所有本网arp-request回应arp-reply，回复中的MAC地址是3层设备对应的3层接口的MAC。
interface Vlan2
no ip proxy-arp !禁用proxy-arp，为安全考虑
ip local-proxy-arp !启用local-proxy-arp实现同一vlan内互相访问
ip route-cache same-interface!会自动生成本命令
端口隔离技术和arp inspection技术的组合使用是解决arp攻击的方法之一，端口隔离技术不是Cisco的专利，在H3C交换机上同样有类似的实现：
在接口模式下运行port isolate即可实现。需要注意的是，protected port/端口隔离 技术应当仅仅应用到连接用户的接口下，千万不要应用到连接3层设备的接口，否则会造成用户无法访问。