当IP报文触发ARP Miss消息时，设备会根据ARP Miss消息生成临时ARP表项，并且向目的网段发送ARP请求报文。

在临时ARP表项老化时间范围内：

设备收到ARP应答报文前，匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。设备收到ARP应答报文后，则生成正确的ARP表项来替换临时ARP表项。

当老化时间超时后，设备会清除临时ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项，则会重新触发ARP Miss消息并生成临时ARP表项，如此循环重复。

故可以通过配置临时ARP表项的老化时间来控制ARP Miss消息的触发频率。当判断设备受到攻击时，可以调大该时间，减小设备ARP Miss消息的触发频率，从而减小攻击对设备的影响。

具体配置：

[Huawei-Vlanif10]arp-fake expire-time ?

  INTEGER<1-36000>  Expire time of fake ARP entries(in seconds)

#对于以太网接口，执行命令undo portswitch，配置接口切换到三层模式才能配置

4、配置免费ARP报文主动丢弃

在确认攻击来自免费ARP报文之后，可以在网关设备上使能免费ARP报文主动丢弃功能，使网关设备直接丢弃免费ARP报文。

丢弃免费ARP报文功能可以在全局和VLANIF接口下使能。一般在用户侧的VLANIF接口下配置免费ARP报文主动丢弃功能。

具体配置：

[Huawei-Vlanif10]arp anti-attack gratuitous-drop 

5、配置ARP优化应答

使能该功能后，对于目的IP地址是本设备接口IP地址的ARP请求报文，接口板直接回复ARP应答，对于目的IP地址不是本设备IP地址的ARP请求报文，设备直接丢弃，从而可以提高设备防御ARP泛洪攻击的能力。该功能尤其适用于设备上安装了多块接口板的场景。

缺省情况下，ARP优化应答功能处于使能状态。

具体配置：

[Huawei]undo arp optimized-rely disable

说明：

设备不支持对无线用户发送的ARP请求报文进行ARP优化应答。

设备仅支持对VLANIF接口接收到的ARP请求报文进行ARP优化应答。其中，Separate VLAN（隔离型从VLAN）、Group VLAN（互通性从VLAN）、Super-VLAN和Sub-VLAN的VLANIF接口不支持ARP优化应答。

以下配置会导致全局或相应VLANIF接口的ARP优化应答功能不生效：

执行命令arp anti-attack gateway-duplicate enable，使能了设备的ARP防网关冲突攻击功能。

执行命令arp ip-conflict-detect enable，使能了设备的IP地址冲突检测功能。

执行命令arp anti-attack check user-bind enable，使能了动态ARP检测功能。

执行命令dhcp snooping arp security enable，使能了出口ARP检测功能。

执行命令arp over-vpls enable，使能了设备在VPLS网络中的ARP代理功能。

执行命令arp-proxy enable、arp-proxy inner-sub-vlan-proxy enable或arp-proxy inter-sub-vlan-proxy enable，配置了ARP代理功能。

6、配置ARP表项严格学习

可以在网关设备上配置ARP表项严格学习功能。配置该功能后，只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，这样，可以拒绝大部分的ARP报文攻击。

ARP表项严格学习功能可在全局和接口视图下进行配置。

    说明：

在全局使能ARP表项严格学习功能的前提下：

如果在指定接口下执行命令arp learning strict force-disable，则该接口将会被强制执行去使能ARP表项严格学习的功能。

如果在指定接口下执行命令arp learning strict trust时，则该接口的ARP表项严格学习功能和全局的配置保持一致。

由于有些用户主机上安装的防火墙会阻止其收到ARP请求时发送ARP应答或网卡无法回复ARP应答，所以使能ARP表项严格学习功能后，如果设备上触发了ARP Miss消息，则设备主动发出的ARP请求将无法得到该用户的ARP应答，从而使设备无法学习到该用户的ARP。在这种场景下，如果仅是个别用户出现该问题，则可以为其配置静态ARP；如果该问题在用户中非常普遍，则建议去使能ARP表项严格学习功能。

具体配置：

1、配置全局ARP表项严格学习功能

[Huawei]arp learning strict

2、配置接口的ARP表项严格学习功能

[Huawei-GigabitEthernet0/0/2]undo portswitch #切换到三层模式，否则无法使用此命令。

[Huawei-GigabitEthernet0/0/2]arp learning strict ?

  force-disable  Force to disable ARP strict learning #去使能arp严格学习功能

  force-enable   Force to enable ARP strict learning #使能arp严格学习功能

  trust          ARP strict learning complies with the global configuration

7、配置基于接口的ARP表项限制

为了防止当一个接口所接入的某一用户主机发起ARP攻击时导致整个设备的ARP表资源都被耗尽，可以在指定接口下配置接口能够学习到的最大动态ARP表项数目。当指定接口下的动态ARP表项达到允许学习的最大数目后，将不允许新增动态ARP表项。

建议在网关设备上进行如下配置。可以在物理接口、vlanif、eth-trunk、子接口上配置。

具体配置

1、配置二层以太网（物理接口/eth-trunk）接口的ARP表项限制（限制从哪些vlan学习）

[Huawei-GigabitEthernet0/0/2]arp-limit vlan 2 to 5 maximum ?

  INTEGER<1-16384>  The maximum of limitation

2、配置三层接口（vlanif/子接口等）的ARP表项限制

[Huawei-GigabitEthernet0/0/2]arp-limit maximum ?

  INTEGER<1-16384>  The maximum of limitation

8、配置禁止接口学习ARP表项

当某接口下出现大量动态ARP表项时，出于安全考虑建议在网关设备上配置禁止该接口学习ARP表项的功能，以防止该接口下所接入的用户主机发起ARP攻击使整个设备的ARP表资源都被耗尽。

 注意：

禁止接口下的动态ARP学习能力，可能会造成转发不通，用户配置时需要注意。

禁止ARP学习前，如果接口上已经有动态学习到的ARP表项，系统并不会自动删除这些表项。用户可以根据需要，手动删除或保留这些已经学习到的动态ARP表项。

具体配置：

[Huawei-Vlanif3]arp learning disable #待验证