你已经决定要配置Snort，这种网络入侵检测系统（IDS），而且已经理解了它基本上是一个嗅探器。如何监控不同的网段，特别是当使用网络交换机或者VLAN（虚拟局域网）时？答案当然是“看情况而定”。

　　在确定了预定、选好了IDS产品后——例如Snort——你需要确定你需要多少传感器，可以负担多少。在决定需要多少传感器前，必须理解Snort，或者其它的IDS只能监控他们看到的。在核心路由器和网络中的旧时代，这项任务相对简单_你可以购买你能负担得起的尽可能多的入侵检测系统，并根据风险等级和重要性在每个网段都配置一个IDS。

　　网络交换机，不像其它的网络中心，并不向网段上的每个端口发送所有的流量。基本上有三种方法。第一个是回头时在战略中心使用网络中心，有时不太赞成，因为它可以减少带宽，并增加中等重要程度的服务网络（又叫做DMZ），它可能有意义，与inweita不贵、非常简单而且有用。

　　尽管使用网络交换机，查看所有流量的第二个方法是使用具有port spanning或者port mirroring功能的智能或者管理交换机，不需要说，这些网络交换机的成本很高，但是他们已经在所有最基本和有意耗费成本的环境中使用了。参考厂商的文件或者Web资料，找到如何在摸个硬件上创建mirror ports或者span ports的详细指南。这里有启发作用的两个思科的指南：

• Cisco Catalyst 4000 Series Switches
• Cisco Catalyst 6500 Series Switches

　　每个VLAN都需要一个span port。每个交换机都限制了很少的span port（有几个原因，其中之一是带宽），所以当设计覆盖范围的时候要考虑这一点。有时，交换机厂商的入侵检测系统可以客服这些限制（例如Cisco安全入侵检测系统刀片），其他需要记住的是span port通常是只读的，他们通常不参与生成树（spanning tree）。（应该和厂商确认。）

　　检测（tap）流量的最后一个方法是使用网络监测分路设备(tap)。 有几家公司生产CAT-5和光纤的电缆tap(又叫做网络tap)。Tap的价格在几百美元或者更高。他们很容易安装，但是让他们和IDS传感器一起工作很难。发送和接收通常被分在两个电缆中，所以传感器需要两个网卡。

　　不能理解嗅探和交换机和网段如何工作是第一次安装IDS遇到的最常见的问题之一。如果你的IDS查看不到网络流量，或者只有广播或者流出/流向自己的单向流量，几乎可以确定存在交换/生成端口问题。根据IDS传感器的情况，通常可以从设备上运行tcpdump或者windump，校验流量。如果IDS传感器上的应用或者其他不能这么做，在连接了相同的交换端口的笔记本上使用上面的工具、Ethereal或者另外的嗅探器作为IDS。