DHCP snooping este o caracteristică Cisco Catalyst care determină ce porturi pot răespunde la cererile DHCP. Porturile sunt identificate ca a fi sau nu de încredere. Porturile de încredere pot căuta toate mesajele DHCP, porturile care nu sunt de încredere pot căuta doar cereri. Porturile de încredere găzduiesc un server DHCP sau pot fi o legătură(uplink) către un server DHCP. Dacă un dispozitiv neindentificat de pe un port care nu este de încredere încearcă să trimită un pachet de răspuns DHCP în rețea, portul este dezactivat. Această caracteristică poate fi grupată cu opțiuni DHCP în care cu informații despre switch, precum ID-ul portului cu cereri DHCP, pot fi adăugate în pachetul de DHCP de cerere.
După cum se arată în figurile 1 și 2, porturile care nu sunt de încredere sunt acele porturi care nu sunt configurate explicit ca fiind de încredere. Un tabel DHCP binding este construit pentru porturi care nu sunt de încredere. Fiecare intrare conține o adresă MAC client, adresă IP, timpul de împrumut, tipul de bind, numărul VLAN-ului și ID-ul portului înregistrate pe măsură ce clienții realizează cereri DHCP. Tabelul este folosit apoi pentru a filtra traficul DHCP ulterior. Din perspectiva DHCP snooping, porturile care nu sunt de încredere nu ar trebui să trimită niciun răspuns server-ului DHCP.
Acești pași ilustrează cum să configurați DHCP snooping pe un switch Catalyst 2960:
Pasul 1. Activați DHCP snooping folosind comanda de configurare globală ip dhcp snooping .
Pasul 2. Activați DHCP snooping pentru VLAN-uri specifice folosind comanda ip dhcp snooping vlan număr .
Pasul 3. Definiți porturile ca fiind de încredere la nivelul interfeței prin definirea porturilor de încredere folosind comanda ip dhcp snooping trust .
Pasul 4. (Opțional) Limitați rata la care un atacator poate trimite continuu cereri DHCP false prin porturi care nu sunt de încredere la serverul DHCP folosind comanda de rată ip dhcp snooping limit rate . .