Execute "show mac address-table" em seus switches (dentro e fora do firewall), isso lhe dará uma lista dos endereços mac e das portas físicas às quais eles estão conectados. Depois de ter a porta física, você conhece o computador que está falsificando.