不需要捨近求遠,以簡馭繁即可.既然你的邊際交換器是Juniper EX2200,開啟DHCP snooping功能,強制所有client都必須是DHCP client, 並且鎖定trusted DHCP server限定只有你設定的DHCP server可以派發IP.再disable ARP learnning與source IP lockdown,讓source MAC資訊只能從HDCP snooping獲得,而不接受手動設定IP而來的MAC.爾後client端手動設IP都無法開通網路,即使他設的資料都正確.因為強制DHCP作為IP設立的唯一手段,要IP MAC互鎖,也只要在DHCP server上面配置即可.設定不難而且一毛錢都不用花,又絕對有效.怕client私下拿甚麼剪刀手亂搞,就再開ARP protection,整個就差不多了.

與其找工具來解決. 本質上只能是針對問題 "治標" 非 "治本"
依小弟淺見. 何不如辛苦一次. 徹底檢查公司裡每一部含有網卡裝置的資訊產品.
將其 Mac Address 記錄下來. 一方面可以 "完全掌握" 屬於公司資產的資訊設備.
一方面也可以很清楚的了解. 一但屬於 "非" 公司的設備清單當中的資訊產品上了線之後,
你也能在第一時間將這來路不房的裝至給檔下來. 不僅如此...
也能將這 "不速之客" 的 Mac Address 給列入黑名單.

按照我過去的經驗. 是在 Firewall. 或是 Router 其中一部設備, 加入 Policy.
而這個自己設定的 Policy 主要是用來列入當初自己記錄過的可上網資訊設備.
也就是說 Policy 記錄以外的 Mac Address 就會在第一時間檔下.

不僅可以有效解決你現在面臨的問題. 也能有效掌握全公司網路使用的品質.
一舉兩得的事... 何樂而不為呢~!?

我覺得可以用另外角度思考:
可能貴公司使用的網段應該是常用的192.168.0.X 或 192.168.1.X還有10.0.0.X，這同時也是一般無線AP與IP分享器的最愛。因為這些設備DHCP預設租約時間都是超長，3天到7天都有，使用者常用待機所以基本上會先用原先設定IP。

避免作法:

1. 避開容易發生衝突的IP網段，若困難的話先避開IP (2-10，101-105)。若公司改困難就去要求USER的AP自己改。去發生IP衝突的電腦事件檢視器，有發生衝突的MAC，若他有更新IP在DHCP裡面一定看的到。
2. 把NB與手機跟區域網路做切開，看貴公司設備要用VLAN還是實體分開。再給防火牆做routing...

為什麼你們家的 User 那麼強，還會自己手動設定 IP ，我們家的問他 IP ，他還回你什麼是 IP 要去哪查！基本上 IP 這東西終端是不需要知道也不可允許手動變更的，為了維護你們家的網路品質最好規定一下吧，讓上頭知道嚴重性，我想沒有一家公司的老闆不會不顧自家的網路死掉而導致公司的作業嚴重損失吧？！
找台不太差的(幾萬塊)網路設備將 IP與MAC 指定好並使用 DHCP 派送固定 IP 給予設備。
至於哪家，就自己上網找找做做功課，請廠商寄給你測試測試~

小弟目前的公司,針對IP的管理是有使用ARPScanner(付費產品),持續對網段內的IP做監控,只要未列在系統內的MAC或IP一旦接上後,系統會偵測到,並阻擋,Client端會出現IP衝突的錯誤,再配合DHCP透過保留區的設定及USER無權限修改OS IP,即有不錯的管理效果