这取决于交换机的类别，例如：

• Wifi 路由器和家庭路由器具有 LAN 隔离功能，但默认情况下通常禁用此功能
• 第 2/3 层校园级交换机通常具有 ARP 过滤功能，但如果未启用，则可以从不同的 VLAN 中欺骗 MAC 或 IP 地址（您可以对任何 IP 地址使用相同的 MAC 或不同的 MAC）。我在这里的意思是在第 3 层网关上实现的那个。
• 一些新园区（如交换机）（截至 2016 年）也内置了 LAN 隔离，但默认情况下未启用，这有助于 ARP 欺骗
• 某些网络需要 IEEE 802.1X 身份验证才能连接到端口，通常必须使用公司设备而不是私人设备。这通常可以防止 ARP 欺骗，但并非总是如此，这取决于它的使用方式，有时很容易被打败。
• 一些网络有 MAC 学习并且不允许欺骗（例如，在单个端口上只允许特定的 MAC），这非常罕见但存在。因此，这是通过监控交换机和阻止攻击者来实现的。
• 某些网络可能会要求您提供为端口配置的 MAC，这样它还可以防止发送恶意 ARP 请求/响应
• 根据交换机供应商的不同，可能还有其他有助于 ARP 欺骗的功能，通常在第 2 层交换机上，如动态 ARP 检查。
• 很容易制定交换策略，使每个客户端口只能与路由器端口交换数据包，而不需要 LAN 隔离功能，但很少有人这样做

ARP 欺骗很容易被检测到。如果路由器看到一个 IP 地址的 ARP 广告数据包，它知道它已经与不同的端口或 MAC 地址相关联，它可以阻止它，关闭数据包来自的端口，或采取其他适当的措施。任何体面的 IDS 都会受到 ARP 欺骗攻击。尽管如此，我发现即使是公司网络也很少有这种保护。

（当然，如果你只是像你应该的那样使用 IPSec 或 TLS，这里没有问题，对吧？）