家里用的电信装宽带配的 AC ，有 ARP 防护功能，1. 启用 ARP 防欺骗功能； 2.禁止非 IP-MAC 绑定的数据包通过路由器； 3.发现 ARP 攻击时发送 GARP 包；

有交换机可不一定要过路由器。一般企业级的交换机都有 arp 绑定。

横向流量不经过路由器，ARP 防御是需要末端接入侧来控制

ARP 攻击比较少了，特别是家用环境，意义也不大，大多数流量都是加密的，不像以前 你知识点也有错误，ARP 跑在二层的，路由器跑在三层的，ARP 流量在交换机上就完成转发了，路由器接触不到 想解决主流方法，在终端绑定 mac 地址，用带安全功能的交换机 SMB 认证过程是加密的，只能被动获取数据，你一个低价值用户没人会花这么多时间搞你的

只用无线网络 并使用无线网络隔离

还真没研究过，现在还有 arp 攻击么，一般的二层交换机都带这玩意。

@luoyide2010 我的描述确实不是很清楚。我想说的是家用路由器的交换机功能，因为很少人家里会有专门的交换机，基本都是路由器当交换机用。SMB 认证过程加密好像防不了中间人攻击，因为没有 CA 机构来证明主机身份，甚至不像 RDP 那样会弹窗验证主机证书

@drymonfidelia 网口不够接个交换机不就行了？