arp access-list host1     配置ARP安全列表，允许哪些IP和MAC对应
permit ip host 10.98.19.y mac host 000d.602c.aaaa
permit ip host 10.98.19.x mac host 0016.d3b2.bbbb
interface GigabitEthernet1/0/1
ip arp inspection trust    上联口不检测
ip arp inspection vlan 19  VLAN 19上启用arp检测
ip arp inspection filter host1 vlan  19 static  VLAN19上检测列表为host1

这个是不是传说中的DAI呀？

感谢楼主
学习，试一试。

配合dhcp snooping的

这个办法是要与DHCP相配合的，如果没有启用DHCP怎么办呢？我的办法是将IP与MAC绑定在交换机上(注意不是绑定在端口上)，这样有更大灵活性，电脑换了接入端口也不会有问题。
在config模式下执行
arp xxx.xxx.xxx.xxx 00:00:00:00 arpa

这就是DAI，就是DHCP SNOOPING，如果采用DHCP分配IP地址，配置比较简单，因为每台PC在获取IP时，交换机会记录其获取的IP和它的MAC地址、端口，在把这些信息写到内存中，凡是ARP报文只有符合学习到的信息才可以放行，否则丢弃。如果没有这样的信息，计算机就无法与网络中的其他用户通，这也防止了用户私改IP和MAC。如果计算机采用静态IP，就需要手动将这些信息写入到交换机配置中，配置比较麻烦，但效果一样。