交換機要防御ARP攻擊，就必須能夠識別并讀取ARP報文內容，然后根據報文內容判斷是否存在欺騙攻擊行為，對于ARP欺騙報文進行丟棄處理。

在接入層就是利用接入交換機的ARP入侵檢測(ARP Intrusion Inspection)功能，進行ARP欺騙攻擊防御。

ARP入侵檢測在接入交換機進行部署，接入交換機同時啟用DHCP Snooping對DHCP報文進行監測。DHCP Snooping通過監測DHCP報文記錄了用戶的IP/MAC/VLAN/PORT等信息，并形成一個DHCP Snooping綁定表。交換機端口接收到的ARP報文后，通過查找DHCP Snooping建立的綁定關系表，來判斷ARP應答報文的發送者源IP、源MAC是否合法。若ARP報文中的發送者源MAC、IP匹配綁定表中的內容，則認為是合法的報文，允許通過;否則認為是欺騙攻擊報文，就進行丟棄。

ARP入侵檢測能夠防止接入終端發起任何ARP欺騙攻擊，如果全網部署AII功能，可有效解決ARP欺騙攻擊問題。

另外由于ARP欺騙攻擊，經常伴隨者發送大量的ARP報文，消耗網絡帶寬資源和交換機CPU資源，造成網絡速度的速度降低。因此接入交換機還需要部署ARP報文限速，對每個端口單位時間內接收到的ARP報文進行限制，很好地保障了網絡帶寬資源和交換機CPU資源。