基于校園網安全和提高管理效率方面的考慮，網管員們紛紛用起了各种各樣的網路監控軟體。可是試用過后，效果往往不能令人滿意，有一些網管軟體功能強大，但軟體部署條件過于苛刻，最終不得不放棄。如果你也為部署網路 監控軟體苦惱過，相信本文會給你一些有益的啟示。

■ 網路監控軟體的分類
網路監控軟體數目雖多，不過根据其對客戶机的控制方式，可粗略分為兩大類：
　　1． 連接控制類
　　其主要實現的功能是：根据預先設定的控制策略，在IP地址或MAC地址（網卡物理地址）級別上控制某台机器与局域網路或外網的連接。例如，通過此類軟體可以設定網卡MAC地址為00-01-01-00-97-A0的被監控机器只能在每天下午4:00∼5:30這個時段，用192.168.1.88這個IP地址連接到網路。任一條件不滿足，安裝監控軟體的机器將會采取特定的措施（常用ARP欺騙的技術）斷掉被控机的網路連接，從而達到網路監控的目的。

　　此類軟體的部署比較簡單，無論是集線器或交換机連接的網路，只要在本網內選任一台計算机安裝，即可實現監控功能。

　　此類軟體的部署較為复雜，針對不同的網路結构，部署方式不盡相同，不過此類軟體所能實現的功能卻是我們網管員夢寐以求的。由于需要對網內机器的網路通訊具體內容進行分類控制，所以此類軟體的工作方式一般為：

（1）抓取網路內所有被控机器的通訊數据包

（2）分析數据包的具體內容

（3）應用控制策略，記錄通訊內容

　　而這三步之中，能夠抓取被控机器的通訊數据包是軟體功能能夠實現的前提條件，這就与我們的部署有很大關系。部署不當，軟體無法獲取被控机器的數据包，其功能也就無法實現。

■ 內容控制類網管軟體部署方法
由于連接控制類網管軟體的部署十分簡單，我們無需多加討論。下面，我們就一起來看看內容控制類網管軟體的部署。

　　在部署之前，我們需要簡單了解一下集線器与交換机的工作方式。

　　對于使用集線器連接的網路而言，如果A机器需要与其他机器進行網路通信，A發出的數据包會被同時复制到集線器的所有其他端口上。換而言之，用集線器連接的網路，網內任何一台机器都能夠“听到”其他机器的通信，當然也能夠將這些通信包抓取下來。這正是內容控制類網管軟體功能實現的前提。所以，在集線器網路中，任何一台机器上均可部署此類網管軟體，而且功能都能正常實現。但是，基于集線器的網路現在已不多見，只出現在一些早期建成的局域網中。

　　交換机与集線器最大的不同是通信數据包不再复制到其他所有端口，而是“精确”地發往目標机器所在的那個端口，所以，其他机器就無法“听到”這种目的性較強的通信，當然也就無法實現數据包的抓取了。要想在基于交換机的網路中部署此類網管軟體，必須在網路的“關口”處設崗。所謂“關口”，即指所有机器的通信都會流經的端口。具體情況如下：
　　1. 如果是通過代理服務器上網，只要在代理服務器上部署即可實現監控。

　　2. 如果局域網的網關是計算机，可在此網關計算机上部署。

　　3. 如果網路的網關不是計算机，而是路由器的話，則較為复雜。軟體開發商一般會建議在交換机和路由器之間加裝一個集線器，將網管机接在集線器上，從而實現監控。

　　4. 交換机端口映射。此方法只适合于部分可網管交換机，可通過對交換机的配置，將所有端口的數据通信映射到某一端口，并在与此端口相連的机器上安裝網管軟體進行監控。