我认为你误解了答案。您是正确的，除非主机配置错误，否则 ARP 请求永远不会来自不同的子网。

ARP 是一个链路范围协议，因此它永远不会被转发。只有当多个子网重叠时，您才能合法地看到接口子网之外的地址的 ARP。（即思科世界中的“二级”地址。）

在任何一种情况下，防火墙都可能需要 ACL 才能让这些子网进行通信，因为防火墙会在它们之间转发流量。（发夹可能需要额外的配置。）

链接的问题问

防火墙是否默认阻止 arp 请求？

防火墙是否默认阻止 arp 请求？如果 2 台主机需要通过防火墙的 arp 进行通信，我们是否应该创建一个 ACL 以允许 arp 流量

大多数情况下，防火墙是作为路由器或在路由器上实现的 - 您的问题表明，当您谈论不同的子网时。路由器在网络层 (OSI L3) 上工作，并通过其目标 IP 地址转发数据包。为此，它可以在任何接口（连接基于 MAC 的网络）上使用 ARP。由于 ARP 请求是广播的，因此这些广播永远不会穿过路由器/防火墙。

如果防火墙以“透明”方式实现（基本上作为 L2 交换机），它应该提供过滤或阻止 ARP 请求的方法（通常，通过发送方 MAC、目标 MAC ......）。透明防火墙是否默认阻止 ARP取决于其实现。

其他答案都是正确的，但可能会有所帮助。

正确答案...

如果它们位于不同的子网 (vlan) 上怎么办？

...是 ARP 不跨子网。

ARP 用于将 IP 解析为第 2 层网络上的 MAC 地址。如果 network1 上的 host1 需要到达 network2 上的 host2，则它不会为 host2 进行 ARP，而是为它在 network1 上的默认网关进行 ARP。Host2 不参与其中，除非防火墙是默认网关，否则任何防火墙也不参与。

例外情况是透明模式下的防火墙和同一 VLAN 上的多个子网。在第一种情况下，您可能需要配置 ACL，这取决于防火墙的默认行为。在第二种情况下，如果主机 1 和主机 2 在同一个 VLAN 但不同的子网中，那么主机 1 仍然会为它的网关 ARP，主机 2 会看到广播，但它不会是因为它的 IP，所以它会忽略它。

我很久以前看到的另一个例外是每个主机都配置为自己的默认网关的网络。然后主机会针对每个地址进行 ARP，并且路由器会响应，因为代理 ARP 已启用。那是 20 年前的事了，我确信这样做是有原因的，但我不记得是什么了。