强制访问端口上的客户端使用动态分配的 IP 地址的正确方法是什么？

您不能从交换机（或任何其他设备）向主机“强加”IP 配置模式。如果主机没有来自 DHCP 服务器的 IP，您可以阻止主机之间的通信。

换句话说，使用Cisco接入层交换机，我想阻止客户端设置静态IP地址+网关并完全绕过DHCP的能力。这是否可以使用 DHCP Snooping 等功能？

您需要的是IP Source Guard功能，它使用 DHCP Snooping 绑定数据库来确定源 IP 地址的合法性。

此功能在 DHCP 侦听不受信任的第 2 层端口上启用。最初，端口上的所有 IP 流量都被阻止，但 DHCP 侦听过程捕获的 DHCP 数据包除外。当客户端从 DHCP 服务器收到有效 IP 地址时，或者当用户配置静态 IP 源绑定时，端口上会安装每个端口和 VLAN 访问控制列表 (PVACL)。此过程将客户端 IP 流量限制为绑定中配置的那些源 IP 地址；任何源 IP 地址不同于 IP 源绑定的 IP 流量都将被过滤掉。

^{Cisco Network Professional's Advanced Internetworking Guide（CCNP 系列）中的“第 14 章 - 交换机安全” ，533 - 534。}

我不认为这是可能的。至少不使用开关。

我认为解决问题的唯一方法：只允许网络上受您控制的设备。所以没有用户的管理员权限，没有带你自己的设备，......

使用 802.1x 之类的东西可能有助于执行该策略。

您需要的是 ip source guard 与 ip dhcp snooping 的结合。IP dhcp 侦听通过关闭 rouge dhcp 服务器的端口来防止 rouge dhcp 服务器：http : //www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX /configuration/guide/book/snoodhcp.html

将 ip dhcp snooping 与 ip source guard 结合起来，您可以防止某人将他们的 ip 从 DHCP 分配到手动更改：http : //www.cisco.com/c/en/us/td/docs/switches/lan /catalyst6500/ios/12-2SX/configuration/guide/book/ipsrcgrd.html