Lenyegeben igne, alapbol egyszeru a beallitasa, annyit szabalyozol vele hogy untrusted portokon ha dhcp snooping be van kapcsolva (adott eszkozon, vlanban, porton) akkor ott nem tovabbitja esetleges dhcp szervertol jovo valaszokat.
Tehat annyit kell tenned hogy dhcp snoopingot bekapcsolod (szukseges vlan-okra ha nem mindre akarod) es azon a porton ahol a dhcp szervered van trusted-re rakod a porto(ka)t, illetve a switcheknek azokat a portjat amin a forgalom a dhcp szerver iranyaba megy.
Ennyi megoldja ami neked kell, illetve lathatsz majd egy binding database-t switchekben hogy melyik porton milyen mac-el es ip-vel mennyi hatralevo lejarati idovel van dhcp lease, dhcp uzenetekbol switch magatol felepit egy ilyen adatbazist, mert pl lehet hasznalni arp inspection-el osszekotve olyanra hogy portokon csak dhcp altal osztott klienseknek engedi ipv4+mac parosaval kommunikaciot.
Egyeb alligatas nemigazan van, max olyan szokott meg lenni hogy rate limit untrusted porton, pl percenkent/masodpercenkent mennyi dhcp kerest enged, esetleg osszesen mennyi klienst enged rajta, mert ha van ilyen default-ban akkor downlink portokon a tobbi switch fele azt erdemes lehet feljebb venni.
Ami meg szamithat, hogy ha minden igaz ez csak ipv4 dhcp-re vonatkozik, ha valaki ipv6-ost (stateful vagy stateless) kot a halozatra annak a forgalmat ez nem fogja szerintem megfogni.