单位是局域网，安装了ris，最近1台机子开启arp监控时，发现不断有arp攻击，而局域网内其余计算机都正常，通过升级最新ris查杀，没有发现病毒。扫描整个局域网内的计算机，也没发现日志上记录的MAC地址，真的令人百思不得其解。
  于是，就仔细思索，发现开启ris的arp监控后，正常的网络访问就会中断，而关闭后反而正常，于是就怀疑是是ris设置的问题，并检查arp设置，结果在ris 的arp的设置中的arp静态规则设置中找到了答案：默认网关的mac地址与实际mac地址不符，删除后一切正常。
  原来，最近更换了一台网关设备，虽然ip地址还指定为原有的，但是mac地址变更了，ris的arp静态规则中还是原有的网关设备mac地址，就错误地认为现有的mac地址网关设备在进行arp欺骗。
  问题是：我们没有在ris中设置arp的静态规则，这个规则是怎么添加上去的呢？

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET4.0C; .NET4.0E; CIBA)

RIS在初次安装的时候会自动添加网关mac到规则中，如果中途更换网关设备，需要手动修改一下。