某公司電信光纖接入，采用ISA2004做為上網服務器，CISCO2950做為中心交換機。 網絡拓撲圖如下： 如上圖所示，針對這種網絡結構，有兩種解決方案： 方案一： 直接把超級嗅探狗監(jiān)控軟件安裝在代理服務器上來監(jiān)控局域網。 方案二： 在其他電腦上安裝超級嗅探狗監(jiān)控軟件，通過交換機做端口鏡像來監(jiān)控網絡。 [B]請注意：對于通過內部代理服務器上網的環(huán)境，要把代理服務器IP添加到超級嗅探狗監(jiān)控軟件的“監(jiān)聽配置”的“本地服務器”中。[/B]

CISCO2950如何配置端口鏡像來實現網絡監(jiān)控？

如上圖所示，代理服務器連接到交換機的23端口， 監(jiān)控主機連接到交換機的22端口。由于超級嗅探狗只需要監(jiān)控互聯網數據，所以只要把23端口的數據鏡像到22端口即可。 CISCO2950端口鏡像配置語法： monitor session session_number {destination {interface interface-id [, | -] [encapsulation {dot1q}] [ingress vlan vlan id] | remote vlan vlan-id reflector-port interface-id} | {source {interface interface-id [, | -] [both | rx | tx] | remote vlan vlan-id}} 在本例中： 1. 把23設置為源端口 monitor session 1 source interface Fa0/23   2. 把22端口設置為鏡像的目的端口。 monitor session 1 destination interface Fa0/22 ingress vlan 1 請注意： 默認情況下，cisco的鏡像口是只能接收數據不能發(fā)送數據的，而超級嗅探狗需要發(fā)送數據來實現封堵功能。所以需要“ingress vlan 1”的參數。 有些cisco交換機不能支持ingress語法（鏡像口不能通訊），如果您的cisco交換機鏡像口不支持ingress，那么需要在超級嗅探狗的“監(jiān)聽配置”中設置通訊網卡。具體步驟如下： 1. 把23設置為源端口 monitor session 1 source interface Fa0/23   2. 把22端口設置為鏡像的目的端口，如下語法使鏡像口只能接收不能發(fā)送。 monitor session 1 destination interface Fa0/22 3. 在監(jiān)控主機上增加一塊網卡，接上網線并且連接到交換機。 4. 到超級嗅探狗的“監(jiān)聽配置”中，把“通訊網卡”修改為您新增的這塊網卡。 超級嗅探狗相關功能： 聊天監(jiān)控，郵件監(jiān)控，禁止QQ聊天，禁止MSN，禁止PPLive，禁止P2P下載，禁止網頁，禁止MSN文件傳輸，禁止QQ文件傳輸。