Ein Switch wird wegen der ähnlichen Eigenschaften zur Bridge oft auch als Multi-Port-Bridge bezeichnet. Der Begriff Switch für einen Ethernet-Switch ist dabei die Kurzform von Switching Hub und bezeichnet die Fähigkeit, ein Switched Ethernet zu betreiben.


Funktionsweise eines Switches
Die einzelnen Ports eines Switches können unabhängig voneinander Daten empfangen und senden. Diese sind über einen internen Hochgeschwindigkeitsbus (Backplane) miteinander verbunden. Datenpuffer sorgen dafür, dass nach Möglichkeit keine Datenpakete verloren gehen.

Die Weiterleitung von Paketen/Frames in einem Switch kann nach folgenden Betriebsmodi stattfinden, die sich hinsichtlich ihrer Verzögerungszeit und Fehlerkorrektur unterscheiden:

• Cut-Through – Eine sehr schnelle Methode, wird hauptsächlich von besseren Switches implementiert. Hierbei schaut der Switch beim eingetroffenen Frame nur auf die Destination-MAC-Adresse, trifft eine Forwarding-Entscheidung und schickt den Frame entsprechend weiter. Das Paket wird nicht auf Fehlerfreiheit geprüft, um Zeit zu sparen. Der Switch leitet deshalb auch korrupte Pakete weiter, diese müssen dann durch andere Schicht-2-Geräte oder höhere Netzwerkschichten aufgefangen werden. Die Latenzzeit in Bit beträgt hier 112. Sie setzt sich aus der Präambel (8Byte) und der „Destination-MAC-Adresse” (6Byte) zusammen.
• Store-and-Forward – Die grundlegendste, aber auch langsamste Switching-Methode. Sie wird von jedem Switch beherrscht. Der Switch trifft hier wie gehabt seine Forwarding-Entscheidung anhand der Ziel-MAC-Adresse und berechnet dann eine Prüfsumme über den Frame, die er mit dem am Ende des Pakets gespeicherten CRC-Wert vergleicht. Sollten sich Differenzen ergeben, wird das Paket verworfen. Auf diese Weise verbreiten sich keine fehlerhaften Pakete im LAN.
• Fragment-Free – Schneller als Store-and-Forward, aber langsamer als Cut-Through. Anzutreffen vor allem bei besseren Switches. Prüft, ob ein Paket die im Ethernet-Standard geforderte minimale Länge von 64 Bytes erreicht und schickt es dann sofort auf den Zielport, ohne eine CRC-Prüfung durchzuführen. Fragmente unter 64 Byte sind meist "Trümmer" einer Kollision, die kein sinnvolles Paket mehr ergeben.
• Error-Free-Cut-Through / Adaptive Switching – Eine Mischung aus mehreren der obigen Methoden. Wird ebenfalls meist nur von teueren Switches implementiert. Der Switch arbeitet zunächst im „Cut through”-Modus und schickt das Paket auf dem korrekten Port weiter ins LAN. Es wird jedoch eine Kopie des Frames im Speicher behalten, über das dann eine Prüfsumme berechnet wird. Sollte sie nicht mit der im Paket übereinstimmen, so kann der Switch dem defekten Paket zwar nicht mehr hinterhersignalisieren, dass es falsch ist, aber er kann einen internen Counter mit der Fehlerrate pro Zeiteinheit hochzählen. Wenn zu viele Fehler in kurzer Zeit auftreten, fällt der Switch in den Store and Forward-Modus zurück. Wenn die Fehlerrate wieder niedrig genug ist, schaltet er in den Cut through-Modus um. Ebenso kann der Switch temporär in den Fragment-Free-Modus schalten, wenn zuviele Fragmente mit weniger als 64 Byte Länge ankommen.

• Wenn zwei Netzteilnehmer gleichzeitig empfangen, gibt es keine Datenkollision (vgl. CSMA/CD), da der Switch intern über die Backplane beide Sendungen gleichzeitig übermitteln kann. Sollten an einem Ausgangsport die Daten schneller ankommen, als sie über das Netz weitergesendet werden können, werden die Daten gepuffert. Wenn möglich wird Flow Control benutzt, um den/die Sender zu einem langsameren Verschicken der Daten aufzufordern. Somit ist ein 8-Port-Switch bei entsprechend hoher Netzauslastung bis zu achtmal schneller als ein 8-Port-Hub, weil ein Paket nicht auf allen Ports Bandbreite verbraucht.
• Der Switch zeichnet in einer Tabelle auf, welche Station über welchen Port erreicht werden kann. Hierzu werden die MAC-Adressen (der Sender) der Frames gespeichert. So werden Daten im Idealfall nur an den Port weitergeleitet, an dem sich tatsächlich der Empfänger befindet. Wenn ein Paket mit unbekannter Ziel-MAC-Adresse eintrifft, wird es wie beim Hub an alle Ports weitergeleitet, außer dem Quellport. Dies gilt auch für Broadcasts.
• Der Voll-Duplex-Modus kann benutzt werden, so dass an einem Port gleichzeitig Daten gesendet und empfangen werden können. In diesem Fall kann es überhaupt keine Kollisionen mehr geben und die maximal erreichbare Geschwindigkeit wird verdoppelt.
• An jedem Port kann unabhängig die Geschwindigkeit und der Duplex-Modus ausgehandelt werden.
• Zwei oder mehr physikalische Ports können zu einem logischen Port (HP: Trunk, Cisco: Etherchannel) zusammengefasst werden um die Bandbreite zu steigern, dies kann über statische oder dynamische Verfahren, z.B. LACP oder PAgP, erfolgen.
• Ein physikalischer Switch kann durch VLANs in mehrer logische Switches unterteilt werden. VLANs können über mehrere Switches hinweg aufgespannt werden (IEEE 802.1q)

• Ein Nachteil von Switches ist, dass ein Netz nicht mehr so einfach zu debuggen ist, da Pakete nicht mehr auf allen Strängen im Netz sichtbar sind, sondern im Idealfall nur auf denjenigen, die tatsächlich zum Ziel führen. Um dem Administrator trotzdem die Beobachtung von Traffic zu ermöglichen, beherrschen bessere Switches Port Mirroring. Der Administrator loggt sich dazu auf dem (verwaltbaren) Switch ein und teilt diesem mit, welche Ports er beobachten möchte. Der Switch schickt dann Kopien von Paketen der beobachteten Ports an den Rechner des Beobachters, wo sie z.B. von einem Sniffer aufgezeichnet werden können. Um das Port Mirroring zu standardisieren, wurde das SMON-Protokoll entwickelt, das in RFC 2613 beschrieben ist.
• Ein weiterer Nachteil liegt in der Latenzzeit, die bei Switches weitaus höher ist als bei Hubs. Wo bei einem Hub ein einkommendes Signal einfach an alle Netzteilnehmer weitergeleitet wird, muss der Switch erst anhand seiner MAC-Adress-Tabelle den richtigen Ausgangsport finden; dies spart zwar Bandbreite, kostet aber Zeit.

• MAC-Flooding – der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt. Dies macht man sich beim MAC-Flooding zu Nutze, indem man den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist. In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Pakete an alle Ports weiterleitet. Verschiedene Hersteller haben – wieder fast ausschließlich bei Switches der mittleren bis hohen Preisklasse – Schutzmaßnahmen gegen MAC-Flooding implementiert. Als weitere Sicherheitsmaßnahme kann für einen Port eine Liste mit zugelassenen Absender-MAC-Adressen angelegt werden. Datenpakete mit nicht zugelassener Absender-MAC-Adresse werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken.

• ARP-Spoofing – hierbei macht sich der Angreifer eine Schwäche im Design des ARP-Protokolles zu Nutze, welches häufig zur Auflösung von IP–Adressen zu Ethernet-Adressen verwendet wird. Ein Rechner, der ein Paket via Ethernet versenden möchte, muss die Ziel MAC-Adresse kennen. Diese wird mittels ARP erfragt (ARP-Request Broadcast). Antwortet der Angreifer nun fälschlicherweise mit einer gefälschten MAC-Adresse (seiner eigenen, daher die Bezeichnung Spoofing) zur erfragten IP, so wird das Opfer seine Netzwerkpakete an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann. Hierbei handelt es sich zwar nicht um einen Fehler des Switches, doch die Methode setzt die Sicherheitseigenschaft des Switches, nur eigene Pakete zu sehen, außer Kraft.

• Forwarding Rate (Durchleitrate): gibt an, wie viele Pakete p/s eingelesen, bearbeitet und weitergeleitet werden können
• Filter Rate (Filterrate): Anzahl der Pakete die pro Sekunde bearbeitet werden
• Anzahl der verwaltbaren MAC-Adressen
• Backplanedurchsatz(Switching fabric): Kapazität der Busse innerhalb des Switches