一、Windows下ARP协议工作原理简述

　　ARP协议（AddressResolveProtocol，地址解析协议）工作TCP/IP协议的第二层：数据链路层，用于将IP地址协议转换为网络接口的硬件地址（媒体访问

控制地址，即MAC地址），无论是任何高层协议的通讯，最终都将转换为数据链路层硬件地址的通讯。

　　每台计算机都存有一个缓存MAC地址的ARP缓存列表，可通过ARP-a来查看当前的ARP缓存列表，此ARP缓存列表为动态更新，可通过ARP-s来静态绑定IP地址

和MAC地址，在Windowsserver2003中静态绑定的项不会被动态更新，直到TCP/IP协议终止，比如重启计算机；若要永久创建静态绑定项，则需要借助计划任务

在启动计算机时执行该脚本执行，此操作不在本文说明范围。

二、取消ARP静态绑定

　　针对WindowsServer2008系统，在DOS命令行（PowerShell）中运行：arp-a进行查看，具体见附图，若服务器IP为192.168.199.111,可看到在“Internet

地址”和“物理地址”条目中发现服务器IP与对应的mac地址值，说明IP和MAC地址已绑定；

　　若要解除绑定，可运行：netshiishowin查到Idx值，比如测试服务器的Idx值为11。

　　再运行：netsh-c"ii"deleteneighbors11删除已绑定值即可，命令中“11”即为查询出来的Idx值，再次运行arp-a，如下图，相关绑定记录值已取消了。

三、部分安全软件的ARP防火墙设置

　　（一）由于较多的用户会在服务器上安装防护软件，如：安全狗、云锁、主机卫士、AntiARP防火墙、火绒等，这些软件安装后不会默认进行arp绑定设置

，可参考前述方法进行查看，但部分存在arp防火墙等设置，在此单独说明下安全狗arp防火墙相关设置，在实际使用过程中存在功能认识上的偏差，比如下图

情况，常有用户反馈存在arp攻击，而实际上为正常的arp请求数，此为正常的情况。

　　还有，由于不排除机房网络升级等缘故，导致MAC变更，在开启arp防火墙的情况下，存在被安全狗误认为有网关IP欺骗攻击的可能，给用户在使用上

带来困扰，可尝试在arp防火墙设置页中尝试重新操作“自动获取”操作，并查看重新获取之后的记录；或可直接将ARP防火墙进行关闭。

　　（二）antiARP防火墙用在WindowsServer200332位系统下，设置不当将导致服务器网络无法连接，需要排查：高级参数设置---常规，是否手动设置

了网关IP和MAC绑定；并在路由选项卡中查看是否添加了其他可信路由。