Alguns dos possíveis ataques envolvem colocar um roteador não autorizado ou servidor DHCP em sua rede. A melhor proteção é deixar os switches L2 filtrarem o tráfego. Se uma porta de switch for para uma estação de trabalho, ela provavelmente não deverá enviar pacotes que normalmente um servidor DHCP ou um roteador enviaria. Se você quiser tal proteção, você deve olhar para os protocolos que o switch suporta.
Para o IPv6, ter o RA Guard nos switches L2 é sempre importante. Mesmo que você não use o IPv6 por conta própria, um invasor pode fazer com que os dispositivos pensem que você faz isso fingindo ser um roteador IPv6. A filtragem de anúncios ruins do roteador pode ser feita o mais rápido possível no switch mais próximo do invasor potencial (ou pessoa com um dispositivo acidentalmente mal configurado)
Se você quiser mais controle sobre a rede, como aplicar o DHCP e evitar falsificação de endereços, também precisará desses recursos para os dois protocolos.