Switches haben folgende Vorteile:

• Wenn zwei Netzwerk-Teilnehmer gleichzeitig senden, gibt es keine Datenkollision , da der Switch intern über die Backplane beide Sendungen gleichzeitig übermitteln kann. Sollten an einem Ausgangsport die Daten schneller ankommen, als sie über das Netz weitergesendet werden können, werden die Daten gepuffert. Wenn möglich wird Flow Control benutzt, um den/die Sender zu einem langsameren Verschicken der Daten aufzufordern. Somit ist ein 8-Port-Switch bis zu achtmal schneller als ein 8-Port-Hub.
• Der Switch zeichnet in einer Forwarding Tabelle auf, welches Gerät (z.B. PC) über welchen Port erreicht werden kann. Hierzu werden die MAC-Adressen (der Sender) der Frames gespeichert. So werden Daten in dem Idealfall ca. an den Port weitergeleitet, an dem sich tatsächlich der Empfänger befindet (wenn ein Paket mit unbekannter Absicht-MAC-Adresse eintrifft, geht es wie beim Hub an alle Ports raus). Broadcasts werden generell an alle Ports weitergeleitet (Flooding ), außer an den Port, auf dem der Broadcast angekommen ist.
• Der Voll-Duplex-Modus kann benutzt werden, so dass an einem Port gleichzeitig Daten gesendet und empfangen werden können. In diesem Fall kann es überhaupt keine Kollisionen mehr geben und die Geschwindigkeit wird (theoretisch) verdoppelt.
• An jedem Port kann unabhängig die Geschwindigkeit und der Duplex-Modus ausgehandelt werden.
• Zwei oder mehr physikalische Ports können zu einem logischen Port (Trunk) zusammengefasst werden um die Bandbreite zu steigern, dies kann über statische oder dynamische Verfahren, z.B. LACP oder PAgP , erfolgen.

Als Nachteil von Switches kann man sehen, dass ein Netzwerk nicht mehr so einfach zu debuggen ist, da Pakete nicht mehr auf allen Strängen in dem Netzwerk sichtbar sind, sondern in dem Idealfall ca. auf denjenigen, die tatsächlich zu dem Absicht führen. Um dem Administrator trotzdem die Beobachtung von Traffic zu ermöglichen, beherrschen bessere Switches Port Mirroring. Der Administrator loggt sich dazu auf dem (verwaltbaren) Switch ein und teilt diesem mit, welche Ports er beobachten möchte. Der Switch schickt dann Kopien von Paketen der beobachteten Ports an den Rechner des Beobachters, wo sie z.B. von einem Sniffer aufgezeichnet werden können. Um das Port Mirroring zu standardisieren, wurde das SMON -Protokoll erfunden, das in RFC 2613 [1] (http://www.faqs.org/rfcs/rfc2613.html) beschrieben ist.

Es gibt jedoch auch Methoden, um Netzwerkverkehr anderer Leute mitzuschneiden, ohne dass der Switch kooperiert:

• ARP-Spoofing - hierbei wird einem der beiden an der Verbindung beteiligten Computer (Endpunkte) vorgegaukelt, dass man selbst der andere Endpunkt sei, indem man dessen MAC-Adresse annimmt oder den ersten Endpunkt dazu bringt, den gesamten Verkehr an die Broadcast-MAC zu senden. In dem ersten Fall wird man häufig gleich beide Endpunkte entsprechend hereinzulegen versuchen und so zu dem Man in the Middle werden, um nicht aufzufallen.
• MAC-Flooding - der Speicherplatz, im sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt. Dies macht man sich beim MAC-Flooding zu Nutze, indem man den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist. In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Pakete an alle Ports weiterleitet. Verschiedene Hersteller haben - wieder fast ausschließlich bei Switches der mittleren bis hohen Preisklasse - Schutzmaßnahmen gegen MAC-Flooding implementiert.

Als weitere Sicherheismaßnahme kann für einen Port eine Liste mit zugelassenen Absender-MAC-Adressen angelegt werden. Datenpakete mit nicht zugelassener Absender-MAC-Adresse werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken.

Siehe auch: Spanning Tree, VLAN (Virtual Local Area Network), Router, Brouter, Bridge, Repeater, Switch

• RFC 2613