Для предотвращения появления DHCP серверов на клиентских портах нужно использовать ACL.
1) Создаем IP ACL для запрета трафика bootpc (port 68). В конце ACL добавляем правило для пропуска остального трафика. ACL работает только для входящего в порт трафика:
ip access-list extended 1001
deny udp any any any eq 68
permit ip any any any any
exit
2) Назначаем ACL на клиентские порты:
interface range gigabitEthernet0/1-8 ip access-group 1001 in