Przełącznik niezarządzany nawet nie wie, co to jest adres IP. Będzie przekazywał pakiety IP, a także wiele innych protokołów, nigdy nie rozumiejąc, jaka jest różnica.
Wszystko, co przełącznik musi wiedzieć, aby zdecydować, dokąd idzie pakiet, to adres MAC.
Docelowy i źródłowy MAC to dwa z trzech pól nagłówka Ethernet, które zawsze musi zapewniać wyższa warstwa, trzecim jest EtherType, który jest 16-bitową liczbą wskazującą protokół wyższej warstwy. Niektóre przykłady to
0x0800 IPv4
0x0806 ARP
0x86DD IPv6
Zasadniczo liczby te są nieprzejrzyste dla przełączników i są traktowane jak tylko dane. Istnieją wyjątki, takie jak 0x8874 i 0x8899, których niektóre przełączniki (zwykle zarządzane) będą wykorzystywać do wykrywania pętli.
Większość narzędzi do analizy sieci nie będzie w stanie odróżnić pary maszyn bezpośrednio połączonych kablem Ethernet od pary maszyn podłączonych za pomocą 1, 2 lub więcej przełączników.
Sondując sieć komutowaną z 4 lub więcej maszyn ze starannie spreparowanymi źródłowymi i docelowymi adresami MAC, można wydedukować pewne informacje o strukturze sieci, obserwując, czy dwie ścieżki sieciowe używają tej samej tabeli CAM, czy nie. Może być także w stanie zmierzyć z grubsza rozmiar tabeli CAM i szybkość, z jaką przekroczone są limity czasowe wpisów.
Na podstawie takich wskaźników mogą być możliwe wyrafinowane narzędzia analizy sieci, które określą liczbę przełączników w sieci, a może nawet zgadną, jakie układy są w nich używane.