透明模式下部署的AF如何防御arp欺骗攻击？

业务场景如下：

服务器网段的出口部署了一台AF，透明模式部署，版本8.0.12，有AF基础功能。

故障情况：

上周五下午，服务器网段有两台服务器突然无法访问，厂区监控系统无法访问。ping包发现监控录像机无法ping通，服务器丢包非常严重。

开始查看server防火墙、server交换机、server，初步查看发现一切正常。仅有2台server丢包严重，其余正常，第一反应就是arp攻击造成的网络震荡，于是抓包。

奈何抓包没有看到不正常的arp请求，于是就纳闷了，这啥情况？

Server段找不出原因，于是开始往上找问题。

登录核心交换查看日志，问题发现了，一行又一行的网关攻击记录。有一台设备伪造自己是服务器vlan的网关，造成了网关攻击，一个典型的arp欺骗攻击。

这个g0/0/34所连的是某公司防火墙。

查了下mac，伪造的…看来有server中毒了。

当务之急是恢复业务的正常运行。

同时找了华为和某公司两家的在线400解决问题。

华为：根据报文，这个是网关攻击，是个很典型的arp欺骗攻击。

我：好的，我现在需要快速恢复业务，请问有解决方案不？

华为： 这边建议您配置arp防网关冲突，发送arp免费报文，在vlan内设置arp网关保护。如果还不行，请您联系我们当地工程师上门查看。

我：报错的端口连的是一台某公司的防火墙

华为：我看看…

我：…

华为：请您还是按照刚才的思路配置arp防御，对于端口连接防火墙有报错信息的问题，请您联系某公司查看问题

我：好的

某公司：您这个情况可以开启arp欺骗防御。

我：小姐姐，我这是内网环境，跨三层。

某公司：请您留下您的网关序号、联系方式等，我们安排工程师协调处理。

我：网关序号是…

最后按照华为的建议做了arp防御，暂时没啥问题了。某公司的渠道技术给我回电话了，了解下情况也表示这个场景下，防火墙也做不了什么，只能从交换机上做一些策略。

不管是华为还是某公司，都建议我处理完之后一定要找到这个中毒主机和病毒入侵路线，以绝后患。

问题来了

1.请问透明模式下，防火墙对arp欺骗攻击就一点办法都没有吗？

2.类似交换机这种的arp防御或静态arp有没有办法部署？

3.我有2台防火墙，1台在网关，1台在数据中心前端，arp病毒是咋攻入数据中心的？

4.防火墙是不是没有识别出来arp欺骗攻击，所以才会把数据放行，导致核心交换机识别到了来自防火墙的网关攻击？

大佬已经回答了正确的解决办法了

找到解决办法可以发#原创分享，分享下排障过程

楼主您好！
内网三层环境的话，AF设备做ARP欺骗防御的配置的话免费的ARP包过不了三层，做了等于没有做的