MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机，直到交换机MAC地址表变满。交换机随后进入称为 “失效开放" (Fail-open)的模式，开始像集线器一样工作，将数据包广播到网络上的所有机器。

因此，攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击，可以配置端口安全特性，限制端口上所允许的有效MAC地址的数量，并定义攻击发生时端口的动作：关闭、保护、限制。

DHCP Snooping

当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。

另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。

这样，可以完成交换机对DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。

与交换机DAI的配合，防止ARP病毒的传播。