出于性能原因，监视LAN 中的所有流量并不是很实用。

但是，如果您的 snort 盒子有足够的带宽和处理能力，那么您需要确保所有（有趣的）流量实际上都是以这种方式发送的。使用交换式以太网只在需要的地方转发帧——所以默认情况下，盒子只看到自己的流量和广播。

您需要将交换机配置为将所有（有趣的）端口镜像到盒子的端口；（端口镜像、监控或SPAN，取决于供应商）。对于某些交换机，监控端口成为一种方式，因此您可能需要交换机上的专用端口和盒子中的另一个 NIC。当然，您需要一个带有某种镜像的托管交换机。

如果您使用多个开关，它可能会变得复杂。首先，您需要引导/监控交换机之间的流量（例如使用 RSPAN），其次，互连需要能够处理流量。否则，镜像流量可能会导致拥塞，从而导致生产流量被丢弃。

或者，您可以为镜像流量使用专用互连（确保正确配置 VLAN 和生成树）。然而，或者，在一个位置只有少量交换机，您可能希望将 NIC 添加到您的 snort 盒并单独连接它们。