1、配置ARP代理。

路由式Proxy ARP:适用于需要互通的主机（主机上没有配置缺省网关）处于相同的网段但不在同一物理网络的场景。

脚本：

system-view

vlan batch 10

interface vlanif 10

ip address 10.1.1.1 24

arp-proxy enable

VLAN内Proxy ARP:适用于需要互通的主机处于相同网段，并且属于相同VLAN，但是VLAN内配置了端口隔离的场景。

脚本：

system-view

vlan batch 10

interface vlanif 10

ip address 10.1.1.1 24

arp-proxy inner-sub-vlan-proxy enable

VLAN间Proxy ARP:适用于需要互通的主机处于相同网段，但属于不同VLAN的场景。

脚本：

system-view

vlan batch 10

interface vlanif 10

ip address 10.1.1.1 24

arp-proxy inter-sub-vlan-proxy enable

2、屏蔽基于源IP地址的ARP Miss告警。

当某个源IP地址触发了ARP Miss告警，用户希望屏蔽此源IP地址的ARP Miss告警时，可以对这个IP地址的ARP Miss消息不进行限速。

脚本：

system-view

arp-miss speed-limit source-ip 10.1.1.1 maximum 0 //配置对IP地址10.1.1.1的ARP Miss消息不进行限速。

脚本：

system-view

arp-miss speed-limit source-ip maximum 0 //配置对所有源IP地址的ARP Miss消息不进行限速。

3、配置动态ARP检测（DAI）。

该功能主要用于防御中间人攻击的场景，避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。

DAI是基于绑定表（DHCP动态和静态绑定表）对ARP报文进行匹配检查。

设备收到ARP报文时，将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行对比：

（1）如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过。

（2）否则就认为是攻击，丢弃该ARP报文。

例：

脚本：

system-view

dhcp enable

dhcp snooping enable ipv4

interface gigabitethernet 1/0/10

dhcp snooping enable //设备与用户侧相连的接口使能DHCP Snooping功能。

quit

interface gigabitethernet 1/0/11

dhcp snooping trusted //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口。

quit

user-bind static ip-address 10.1.1.1 vlan 10 //对于静态配置IP地址的用户，在设备上配置静态绑定表。

interface gigabitethernet 1/0/10

arp anti-attack check user-bind enable //设备与用户侧相连的接口使能DAI功能。

quit

脚本：

system-view

dhcp enable

dhcp snooping enable ipv4

vlan 10

dhcp snooping enable //用户设备所属VLAN内使能DHCP Snooping功能。

quit

vlan 20

dhcp snooping enable

dhcp snooping trusted interface gigabitethernet 1/0/10 //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上，可以不配置信任接口。

quit

user-bind static ip-address 10.1.1.1 vlan 10 //对于静态配置IP地址的用户，在设备上配置静态绑定表。

vlan 10

arp anti-attack check user-bind enable //用户侧所属VLAN内使能DAI功能。

quit

4、配置ARP防网关冲突。

如果有攻击者仿冒网关，在局域网内发送源IP地址是网关IP地址的ARP报文，会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。就会把发往网关的流量均发送给了攻击者，攻击者可轻易窃听到他们发送的数据内容，并且最终会造成这些用户主机无法访问网络。

为了防范攻击者仿冒网关，当用户主机直接接入网关时，可以在网关设备上使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一：

ARP报文的源IP地址与报文入接口对应的VLAN接口的IP地址相同。

ARP报文的源IP地址是入接口的虚拟IP地址，但ARP源MAC地址不是VRRP虚MAC。

设备就认为该ARP报文时与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

脚本：

在网关设备上使能ARP防网关冲突攻击功能。缺省情况下设备上防网关冲突攻击功能处于未使能状态。

system-view

arp anti-attack gateway-duplicate enable