1.一種在交換機上實現ARP欺騙檢測的方法，其特征在于具體步驟如下：

(1)在交換機中，建立報文分發模塊、ARP欺騙檢測模塊、告警模塊，以及ARP表；其中報文分發模塊用于檢測報文類型，判斷是否ARP報文；ARP欺騙檢測模塊負責檢測ARP報文，判斷是否存在ARP欺騙；告警模塊用于提示管理員；ARP表用于緩存接收到的ARP報文中的IP/MAC地址對，由若干ARP記錄組成，每條ARP記錄包括從ARP報文中取出的IP/MAC地址對，以及收到ARP報文的時間，交換機上電時ARP表為空表；

(2)交換機上電后，報文分發模塊進入工作狀態，報文分發模塊判斷交換機輸入的所有報文類型，如果不是ARP應答報文則檢測下一報文；如果是ARP應答報文，則判斷是否發生了ARP風暴，如果是ARP風暴，則通過告警模塊提示管理員；如果不是ARP風暴，則將報文分發給ARP欺騙檢測模塊。

(3)當ARP欺騙檢測模塊接收到ARP應答報文后，從中提取IP地址和MAC地址；

(4)ARP欺騙檢測模塊查找在ARP表中是否存在與ARP應答報文的IP地址相同的記錄：如果找不到，則用ARP應答報文的IP地址、MAC地址和當前時間組成一條記錄，添加到ARP表中；如果能找到，則從ARP表中的記錄中取出MAC地址，判斷ARP表中的MAC地址與從ARP應答報文中提取的MAC地址是否相同，如果相同，則用當前時間更新ARP表中的記錄中的時間，如果不同，則表明接收的IP地址對應的ARP表中的記錄中的MAC地址已經改變；繼續取出ARP表中的記錄中的時間，并計算當前時間與ARP表中的記錄中時間的差值，當差值高于閾值時，則是正常的ARP應答報文，此時用ARP應答報文中的MAC地址和當前時間更新ARP表中的記錄中的相應字段，當差值低于上述閾值時，則發生了ARP欺騙，其中，閾值設置為10-500ms；

(5)當檢測到ARP欺騙后，通過告警模塊提示管理員；或記錄日志文件，以便管理員查閱；或切斷相應端口的連接，避免造成損失。

(6)ARP欺騙檢測中使用的閾值，其含義為從同一IP地址接收到兩次相鄰ARP報文之間的合理間隔，該值可由網絡管理員根據網絡狀況進行設置。

2.根據權利要求1所說的一種在交換機上實現ARP欺騙檢測的方法，其特征在于所說的時間，可以是絕對時間，也可以是標識交換機啟動時間的計數器。