Funkcja DHCP snooping właściwa dla przełączników Cisco Catalyst pozwala określić, które porty mogą odpowiadać na żądania DHCP. Porty są identyfikowane jako zaufane i niezaufane. Przez porty zaufane mogą być przekazywane wszystkie wiadomości DHCP, a przez porty niezaufane jedynie żądania. Porty zaufane obsługują serwer DHCP lub łącze nadrzędne prowadzące do serwera DHCP. Jeśli podłączone do niezaufanego portu zewnętrzne urządzenie szpiegujące spróbuje wysłać do sieci pakiet odpowiedzi DHCP, to port ten zostanie zamknięty. Funkcję tę można sprząc z opcjami DHCP, dzięki którym do pakietu żądania DHCP mogą być wstawiane informacje z przełącznika takie jak identyfikator portu, na który przyszło żądanie DHCP.
Jak pokazano na rys. 1 i 2, porty niezaufane to te, które nie zostały w sposób jawny skonfigurowane jako zaufane. Dla niezaufanych portów jest tworzona tablica wiązań DHCP. Każdy wpis zawiera adres MAC, adres IP, czas dzierżawy, typ wiązania, numer sieci VLAN oraz ID portu, rejestrowane w miarę zgłaszania żądań klientów. Tablica ta jest następnie używana do filtrowania przyszłego ruchu DHCP. Z perspektywy funkcji DHCP snooping porty niezaufane nie powinny wysyłać żadnych odpowiedzi serwera DHCP.
Poniższa procedura ilustruje operację konfigurowania funkcji DHCP snooping dla przełącznika Cisco 2960:
Krok 1. Włącz DHCP sooping za pomocą polecenia trybu konfiguracji globalnej ip dhcp snooping.
Krok 2. Włącz DHCP snooping dla konkretnych sieci VLAN za pomocą polecenia ip dhcp snooping vlan number.
Krok 3. Zdefiniuj porty jako zaufane na poziomie interfejsu poprzez określenie zaufanych portów za pomocą polecenia ip dhcp snooping trust.
Krok 4. (Opcjonalnie) Ogranicz częstość, z jaką dokonujący ataku może stale wysyłać fałszywe żądania DHCP przez niezaufane porty do serwera DHCP za pomocą polecenia ip dhcp snooping limit rate rate.