To możesz zrobić tylko z poziomu switcha. Taka sytuacja - do szukanie w necie - nazywa się "rogue DHCP server".
Dla Cisco
Po pierwsze, filtracje robi się albo globalnie, albo per VLAN:
switch(config)# ip dhcp snooping // Globalnie
switch(config)# ip dhcp snooping vlan 2,3,5-7 // W konkretnych VLANach
To wytnie ci ruch serwerowy DHCP ze wszystkich portów. Teraz musisz zezwolić na ruch serwerowy na porcie, na którym działa rzeczywisty serwer DHCP, np:
switch(config)# int fa1/1 // Zakładam, że legitymacyjny serwer DHCP jest za tym portem
switch(config-if)# ip dhcp snooping trust // To odblokowuje funkcję serwera na tym porcie