El reenvío forzado de MAC ( MACFF ) se utiliza para controlar el tráfico de difusión no deseado y la comunicación de host a host. Esto se logra dirigiendo el tráfico de red desde los hosts ubicados en la misma subred pero en diferentes ubicaciones a un dispositivo de puerta de enlace ascendente. Esto proporciona seguridad en la capa 2, ya que ningún tráfico puede pasar directamente entre los hosts.
MACFF es adecuado para redes Ethernet en las que un dispositivo de conexión de capa 2, conocido como nodo de acceso Ethernet (EAN), conecta los enrutadores de acceso con sus clientes. MACFF se configura en los EAN.
MACFF se describe en RFC 4562, Reenvío forzado de MAC: un método para la separación de suscriptores en una red de acceso Ethernet.
Los conmutadores Allied Telesis implementan MACFF [1] mediante el uso de DHCP snooping para mantener una base de datos de los hosts que aparecen en cada puerto del conmutador. Cuando un host intenta acceder a la red a través de un puerto del conmutador, DHCP snooping verifica la dirección IP del host con la base de datos para garantizar que el host sea válido.
MACFF utiliza entonces el snooping de DHCP para comprobar si el host tiene un enrutador de acceso de puerta de enlace. Si lo tiene, MACFF utiliza una forma de ARP de proxy para responder a cualquier solicitud de ARP, proporcionando la dirección MAC del enrutador . Esto obliga al host a enviar todo el tráfico al enrutador, incluso el tráfico destinado a un host en la misma subred que la fuente. El enrutador recibe el tráfico y toma decisiones de reenvío en función de un conjunto de reglas de reenvío, normalmente una política de QoS o un conjunto de filtros.