无线路由器AP隔离能否防ARP攻击

xinism

说说情况：
防火墙→深信服AC→H3C核心→H3C汇聚→H3C接入→无线路由或傻瓜交换机

台式机统一固定IP，在深信服AC上做IP与MAC绑定，有打算在H3C核心交换机一条条绑定，嫌麻烦~
移动终端统一用MAC地址认证登陆，其实我们有H3C iNode但由于懒，没有部署……

因为很多人都开始用微信办公，企业又在推移动办公平台，所以只要有人的车间办公室都加装了小无线路由器。
考虑到上网认证的问题，无线路由设置成AP模式，让每个终端获取办公网段的IP（WAN口堵掉，只接LAN口），方便在AC上管理。

无线路由器自带DHCP关闭了，但出现过被某些员工恢复出厂设置，SO……同网段下出现非法DHCP，偶尔会断网，所以后悔了。

昨天某部门断网，用科来初步分析是由于一台金立手机攻击，受到了ARP网关欺骗，到现在我还不相信是手机……可能是电脑病毒吧!

（现在正在所有交换机上做DHCP  snooping 和 手工添加静态ARP表项）

同时思考了一天，决定把无线路由恢复成路由模式（上网用WAN口、开自带的DHCP功能），开启AP隔离后能否防ARP，这个问题有朋友做过测试吗？
或者提供一个ARP攻击软件，我来做个测试。