作为企业的网络管理员都知道维护企业内网各个网络通讯与应用的重要，然而在实际使用过程中总有这样或那样的员工恶意使用下载工具或者访问限制站点，病毒以及黑客入侵等问题也无时不刻困扰着网络管理者。就笔者多年维护经验最好的办法就是通过sniffer类工具检测内网数据通讯，快速定位问题主机。而今天笔者要为各位介绍的则是另类使用sniffer类工具的办法，通过此方法可以让我们更加灵活更加不受限制的监控企业内网通讯。

　　一、使用sniffer类工具的前提条件：

　　有一定经验的网络管理员都知道在我们使用sniffer类工具对内网进行监控时如果只在本机上开启工具执行嗅探的话，我们能够捕获到的仅仅是本机网卡的相关流量，这里的数据主要包括本机通讯数据包以及网络内的广播通讯数据包，当然如果幸运的话可以获取部分组播数据包。

　　从捕获的数据包数量和准确度来说单机sniffer监控效果都非常不好，毕竟我们要针对的是企业内网进行检测而不仅仅只针对广播数据包。要想提高sniffer监控的效果我们需要在路由交换设备上设置相应端口为镜像端口，而且这个镜像端口要作为企业外网出口端口的镜像，从而针对所有数据包进行复制后转发到该端口。之后我们再将监控设备（计算机）连接到此镜像端口上就可以接收到和企业外网出口端口一样的数据流量了，自然获取了企业内网所有员工计算机的数据通讯信息以及所有组播广播数据包。

　　总的来说要想能够最大限度的实现监控功能，我们需要在企业内网设置镜像端口，否则单网卡模式下只能够接收到很少量的数据信息。（如图1）

　　二、小技巧抛弃镜像端口随意监控内网通讯：

　　但是在实际使用过程中我们也许没有条件针对外网接口做镜像端口设置，又或者设置镜像端口后流量过大而造成本机网卡假死状态。那么有没有办法可以不使用镜像端口而尽可能多的监控企业内网所有客户端的数据通讯呢？答案是肯定的，下面笔者就为各位IT168读者介绍如何抛弃镜像端口随意监控内网通讯。

　　第一步：在企业内网我们使用单网卡模式而没有设置镜像端口的话通过sniffer类工具监控内网数据包时你会发现除了本机通讯的数据外其他计算机获得的都只有广播数据包。（如图2）

　　第二步：接下来我们要做的则是通过“本地连接”属性针对本机网卡做设置，让其可以顺利的接收到本网段内所有通讯数据包而不需要我们设置任何镜像端口。具体方法是将网卡IP地址设置为本网段的网关地址，假设本机原来的IP地址是58.129.1.23，那么修改IP地址为网段网关地址58.129.1.254，同时自身网关地址依然指向58.129.1.254，保存设置后确定即可。（如图3）

　　第三步：当然由于网络内存在着58.129.1.254这个地址，所以在设置时会提示“刚配置的静态IP地址已在网络上使用，请重新配置一个不同的IP地址”，与此同时我们本机设置的IP不会生效，依然通过自动获得地址信息的方式获取网络参数。（如图4）

　　第四步：正常设置不生效的话我们可以通过其他方式让本机IP设置生效，具体方式是在设置IP地址完毕后进入到“网络连接”属性中在网卡对应的“本地连接”上点鼠标右键选择“禁用”，然后再次点右键选择“启用”。（如图5）

　　第五步：通过网卡禁用再启用后我们的58.129.1.254这个网关地址就成功配置完毕，通过ipconfig我们可以看到地址的生效。（如图6）

　　第六步：之后我们再次启动sniffer类监控工具针对本机进行扫描我们会发现内网所有主机的数据通讯都被本机轻松获取了。（如图7）