首先说一下环境。这是我们公司内部真是的案例。这是把网络精简了一下。如下图：

区域1中有个电视机机顶盒，该设备具有DHCP功能（想关闭，但不知道如何关闭）。搞得vlan11中的员工莫名其妙的会活动机顶盒分配的IP地址。导致无法上网。为了解决这个问题，我在cisco2960上配置了acl，拒绝机顶盒为其他交换机上的vlan11分配IP地址。方法很简单.

GX-SW-2960-01#sh ip access-lists

Extended IP access list 100

   15 deny udp any any eq bootpc

   30 permit ip any any

GX-SW-2960-01#sh run inter f0/44

Building configuration...

Current configuration : 157 bytes

interface FastEthernet0/44

description to_s2318_3

switchport access vlan 11

switchport mode access

ip access-group 100 in

spanning-tree portfast

就这样，即使其他vlan11的员工想机顶盒发送DHCP请求，DHCP服务器响应的报文被丢失了。这样员工的PC只能从合法的DHCP服务器获取IP地址了。

其实我想在S2300交换机上做ACL或mac地址限制，可惜该交换机的功能实在太少，无法实现。我又不想为机顶盒单独划分一个vlan，导致和机顶盒同在一个交换机的PC，还会从机顶盒获取IP地址。好在人数少，而且又是他们在使用机顶盒。他们也能忍受了。

哎，运维管理，不单纯是技术为先！