解决步骤:
交换机:

(包括中间经过的所有交换机上都要作,如果中间有交换机不支持的话,哪就还是会有这个问题,但是会减少影响范围)
1。作ACL 5000的只允许网关的MAC来发ARP广播。其它的PC不能发这个网关IP的ARP广播。.

(1)全局配置deny 所有源IP是网关的arp报文(自定义规则)
ACL num  5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
rule0目的:把整个交换机端口冒充网关的ARP报文禁掉,其中64010101是网关ip地址的16进制表示形式:100.1.1.1=64010101。
rule1目的:把网关ARP报文允许通过,网关的mac地址000f-e200-3999。
在Switch系统视图下发acl规则:
[Switch-Ethernet 1/0/1]packet-filter user-group 5000   
这样只有Switch上连设备能够下发网关的ARP报文,其它pc就不能发送假冒网关的arp响应报文。

2。可以作AM绑定。
am user-bind ip x.x.x.x mac h-h-h inter g x/0/x

3。再可以作ARP STATIC静态ARP表项。
arp static x.x.x.x h-h-h
这样子可以防止冒充网关


PC上
1。可以作一个批处理,每次启动时,都应用一下。
这个文件内容就是:arp -s 网关的IP 网关的MAC
这样是防止PC学习其它的网关IP的ARP项。
2。还要注意就是病毒是我们的源头,要注意定期全网杀一次。