I can bypass the VLAN security entirely by mapping the MAC address to my own ARP table. Is that correct?
Geralmente, não, você não poderá fazer isso.
A atualização da tabela arp significa que os pacotes enviados para o computador remoto chegam até o switch. No entanto, o switch ainda não fará nada com eles, já que sua porta no switch ainda faz parte de uma rede diferente. Com a atualização arp, os pacotes nem sairiam do seu computador. A atualização significa que os pacotes podem ficar um pouco mais longe, mas ainda não chegarão ao destino.
Se você deseja criar uma exceção para uma associação vlan, a melhor maneira que vi para fazer isso é com um switch de camada 3 (no momento, é realmente um roteador) no núcleo de sua rede que também suporta ACLs (listas de controle de acesso) para segurança de roteamento. Você configura esse switch com uma rota entre as duas vlan, tem a ACL configurada com uma regra de negação padrão e adiciona suas exceções como regras de permissão na frente da regra de negação.