Предотвращение ответных сообщений ARP для IP-адреса от несанкционированного порта / Mac

У меня есть несколько серверов, работающих на коммутаторах Dell, которые используются клиентами для своих проектов. Иногда некоторые клиенты помещают IP-адреса других клиентов на свой сервер (предположительно случайно), и хотя я могу помешать им использовать эти IP-адреса с правилами ACL, я не могу помешать им отвечать на сообщения ARP с украденным IP-адресом, что портит доступность сервера первоначального владельца IP. Все порты коммутатора находятся в одной VLAN, и я не могу разделить порты на разные VLAN по причинам маршрутизации и ограничения IP.

Мне было интересно, каковы возможные способы предотвращения ответа неавторизованных портов /mac на сообщения "ARP who" с чужим IP-адресом.

РЕДАКТИРОВАТЬ:

Я в основном использую коммутаторы Dell S4810. Я, конечно, попытался найти руководство по решению моей проблемы, однако лучшее, что я смог найти, это "динамическая проверка arp", которая использует базу данных DHCP для проверки IP-адресов для MAC. Мои клиенты часто используют большие части внешних IP-адресов на виртуальных машинах, поэтому привязка их непосредственно к одному MAC-адресу немного сложна. Проблема заключается в том, что они могут перемещать IP-адреса с одного сервера на другой через другой порт коммутатора.

Я реализовал тяжелое протоколирование SNMP предупреждений и ловушек. Сейчас я склоняюсь к сложному сценариевому решению, которое будет проверять собранные журналы адресов "IP to MAC" и сравнивать их с клиентскими MAC-адресами серверов / виртуальных машин на наличие каких-либо нарушений, и на основе каких-либо расчетов определить, будет ли кто-то красть чужой IP и просто отключите порт источника вредоносной активности.

Общая идея этого поста заключалась в том, чтобы собрать идеи других решений. Цените все входные данные.