连接到 Aruba 和 Aerohive 系统的 Cisco WS-3850 交换机遇到了类似的问题。无线站在 WAP 之间漫游（因为 IT 主管不相信现场调查，即使是固定客户端也可以快速漫游），交换机会抛出有关“MAC-ADDRESS-FLAP xxxx.xxxx.xxxx”的错误和警告。

并不能真正解决这个问题，但可能的一种解决方案 - 至少对于具有控制器设备或控制器服务器的企业 WAP 而言 - 将 WAP 从“桥接模式”切换，其中流量直接桥接到您的有线网络和进入“隧道模式”，其中流量通过 IP 中的 IP 或 GRE 隧道路由回您的控制器设备/服务器。

如果你有一个校园类型的网络设置或者你在一个单一的建筑物中，这并不是那么糟糕，但是你产生的开销在很大程度上取决于你的控制器相对于你的 WAP 的位置。如果您的客户访问不在集中位置的内部资源，则开销会更高。

我认为 Cisco AP 将与内置于 WS-3850 交换机的控制器功能一起使用，从而缓解此问题。

我通过禁用交换机上的 ip 设备跟踪来“解决”它，但这不是一个理想的解决方案。

这就是源代码守卫应该做的。它通过确保每个地址仅来自交换机上的一个端口来保护网络。这可以防止有人欺骗接收发往不同端口的流量。IP 源保护不是通过 MAC 地址执行此操作，而是通过 IP 地址执行此操作，因此它不会将您的 MAC 锁定到单个端口，而是将 IP 地址锁定到单个端口以防止欺骗。它使用 DHCP 侦听将 IP 地址锁定到端口。要从不同端口使用同一设备，您需要在新端口上从 DHCP 中提取地址。

您似乎希望它仅适用于静态地址，但这不是 IP 源保护的工作方式或它的设计目的。它需要 DHCP 侦听以允许端口上的 IP 地址，这就是它阻止静态分配的 IP 地址的方式，但没有仅阻止静态分配的地址的功能；这是一种副作用，您可以通过在端口上放置静态绑定以允许静态寻址的设备在端口上工作来解决。

Cisco 有一个文档IP Source Guard，其中解释了这一点：

IP Source Guard概述

IP 源保护在第 2 层端口上提供源 IP 地址过滤，以防止恶意主机通过假定合法主机的 IP 地址来冒充合法主机。该功能使用动态 DHCP 侦听和静态 IP 源绑定将 IP 地址与不受信任的第 2 层访问端口上的主机匹配。

最初，受保护端口上的所有 IP 流量都被阻止，除了 DHCP 数据包。客户端从 DHCP 服务器接收到 IP 地址后，或管理员配置静态 IP 源绑定后，该客户端允许使用该 IP 源地址的所有流量。来自其他主机的流量被拒绝。这种过滤限制了主机通过声明邻居主机的 IP 地址来攻击网络的能力。IP 源保护是一种基于端口的功能，可自动创建隐式端口访问控制列表 (PACL)。