基于校园网安全和提高管理效率方面的考虑，网管员们纷纷用起了各种各样的网络监控软件。可是试用过后，效果往往不能令人满意，有一些网管软件功能强大，但软件部署条件过于苛刻，最终不得不放弃。如果你也为部署网络监控软件苦恼过，相信本文会给你一些有益的启示。

　　■ 网络监控软件的分类

　　网络监控软件数目虽多，不过根据其对客户机的控制方式，可粗略分为两大类：

　　 1． 连接控制类

　　其主要实现的功能是：根据预先设定的控制策略，在IP地址或MAC地址（网卡物理地址）级别上控制某台机器与局域网络或外网的连接。例如，通过此类软件可以设定网卡MAC地址为00-01-01-00-97-A0的被监控机器只能在每天下午4:00～5:30这个时段，用192.168.1.88这个IP地址连接到网络。任一条件不满足，安装监控软件的机器将会采取特定的措施（常用ARP欺骗的技术）断掉被控机的网络连接，从而达到网络监控的目的。

　　此类软件的部署比较简单，无论是集线器或交换机连接的网络，只要在本网内选任一台计算机安装，即可实现监控功能。

　　代表软件：

    聚生网管(www.grabsun.com)

　　网络执法官 V 2.67

　　网络剪刀手 V 1.51

　　 2． 内容控制类

　　其主要实现的功能是：一，限制不同机器不同的网络访问权限（这有点像某些代理软件拥有的功能，如WinRoute）；二，记录机器网络通讯的具体内容，如可以记录A机器所有外发邮件的内容（邮件正文、邮件附件）等。

　　此类软件的部署较为复杂，针对不同的网络结构，部署方式不尽相同，不过此类软件所能实现的功能却是我们网管员梦寐以求的。由于需要对网内机器的网络通讯具体内容进行分类控制，所以此类软件的工作方式一般为：

　　（1）抓取网络内所有被控机器的通讯数据包

　　（2）分析数据包的具体内容

　　（3）应用控制策略，记录通讯内容

　　而这三步之中，能够抓取被控机器的通讯数据包是软件功能能够实现的前提条件，这就与我们的部署有很大关系。部署不当，软件无法获取被控机器的数据包，其功能也就无法实现。

　　■内容控制类网管软件部署方法

　　由于连接控制类网管软件的部署十分简单，我们无需多加讨论。下面，我们就一起来看看内容控制类网管软件的部署。

　　在部署之前，我们需要简单了解一下集线器与交换机的工作方式。

　　对于使用集线器连接的网络而言，如果A机器需要与其他机器进行网络通信，A发出的数据包会被同时复制到集线器的所有其他端口上。换而言之，用集线器连接的网络，网内任何一台机器都能够“听到”其他机器的通信，当然也能够将这些通信包抓取下来。这正是内容控制类网管软件功能实现的前提。所以，在集线器网络中，任何一台机器上均可部署此类网管软件，而且功能都能正常实现。但是，基于集线器的网络现在已不多见，只出现在一些早期建成的局域网中。

　　交换机与集线器最大的不同是通信数据包不再复制到其他所有端口，而是“精确”地发往目标机器所在的那个端口，所以，其他机器就无法“听到”这种目的性较强的通信，当然也就无法实现数据包的抓取了。要想在基于交换机的网络中部署此类网管软件，必须在网络的“关口”处设岗。所谓“关口”，即指所有机器的通信都会流经的端口。具体情况如下：

　　1. 如果是通过代理服务器上网，只要在代理服务器上部署即可实现监控。

　　2. 如果局域网的网关是计算机，可在此网关计算机上部署。

　　3. 如果网络的网关不是计算机，而是路由器的话，则较为复杂。软件开发商一般会建议在交换机和路由器之间加装一个集线器，将网管机接在集线器上，从而实现监控。

　　4. 交换机端口映射。此方法只适合于部分可网管交换机，可通过对交换机的配置，将所有端口的数据通信映射到某一端口，并在与此端口相连的机器上安装网管软件进行监控。