(包括中间经过的所有交换机上都要作，如果中间有交换机不支持的话，哪就还是会有这个问题，但是会减少影响范围)
1。作ACL 5000的只允许网关的MAC来发ARP广播。其它的PC不能发这个网关IP的ARP广播。.

（1）全局配置deny 所有源IP是网关的arp报文（自定义规则）
ACL num  5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
rule0目的：把整个交换机端口冒充网关的ARP报文禁掉，其中64010101是网关ip地址的16进制表示形式：100.1.1.1=64010101。
rule1目的：把网关ARP报文允许通过，网关的mac地址000f-e200-3999。
在Switch系统视图下发acl规则：
[Switch-Ethernet 1/0/1]packet-filter user-group 5000   
这样只有Switch上连设备能够下发网关的ARP报文，其它pc就不能发送假冒网关的arp响应报文。

2。可以作AM绑定。
am user-bind ip x.x.x.x mac h-h-h inter g x/0/x

3。再可以作ARP STATIC静态ARP表项。
arp static x.x.x.x h-h-h
这样子可以防止冒充网关


PC上
1。可以作一个批处理，每次启动时，都应用一下。
这个文件内容就是：arp -s 网关的IP 网关的MAC
这样是防止PC学习其它的网关IP的ARP项。
2。还要注意就是病毒是我们的源头，要注意定期全网杀一次。本文出自 51CTO.COM技术博客