既然是要用PC跑wireshark,直接在PC上再插一片網卡兜bridge,不就可以當sniffer用了(multiport除外),至於要怎麼加網卡上去應該不是難事吧....

先說明用途，這樣才好建議用什麼東西。

如果只是要觀察一般封包，裝個 wireshark 就夠了，sniff 的原理是讓網卡進入混亂模式(promiscuous mode)來監聽網路封包。
http://en.wikipedia.org/wiki/Promiscuous_mode

如果你要更進階一點的，可以參考 CISCO IOS Netflow，這部份需要稍微設定一下 CISCO router，然後可以用一些軟體去監控流量，其中也有一些免錢軟體。
http://www.cisco.com/c/en/us/produc...cd80406232.html

這些東西都不用額外買設備。

感謝樓上兩位大大的熱心回應與分享
的確只是要觀察一般封包，算是Debug用途，網管的太難了
因為DVR有時要不到IP，故想Log封包來瞧瞧到底是Router DHCP有問題還是DVR有Bug，
為了盡量保持出問題時的組態，故只好放棄PC裝兩張網卡當Bridge
話說那種兩萬多的Ethernet Tap的優點似乎只是減輕PC的Loading並紀錄壞封包

幾百元的小Switch+ARP flooding工具+wireshark

dummy hub + wireshark (filter bootp or arp)

那就是 hub + wireshark。
你上面那個 dummy hub 一千多太貴了，幾百元 hub 的裝個 wireshark 就爽爽用了。

ARP flooding工具沒辦法用來觀測DHCP相關packet吧....

記錯名詞了 ，mac flooding才對

上面說的相反, netflow 才是看一般的, 只有第四層以下的內容, 而且是取樣的.

我估計樓主你手上沒有能吐1:1 netflow的設備. 如果是取樣, 你永遠沒把握有沒有遺漏

有問題的封包. 而 wireshark or ethereal or sniffer 才是看到整個封包payload.

但對你要解的問題, 上面兩個解法都很糟. 如果你可以用那些工具debug出DHCP的問題

還是DVR的bug, 大概早就有不需來發問的實力了.

建議你改用managed switch來管理網路, 讓switch本身當做你debug網路流量的工具.

忘記hub, TAP, wireshark, sniffer, ethereal. 不僅switch本身可替你做到那些紀錄

還可以替你過濾縮小需檢測的範圍, 甚至提早幫你管制網路避免出現不該出現的問題.

如果是處理公事, 有公司的預算,我會建議公司以此方式是較為一勞永逸的方法.

也學多一些有價值的網路技術~ 對於一個網路工程技術人員而言, 能活用善用switch,

遠比你會抓封包但不見得看得懂看得清要有價值. 臨時應急處理私事的話, 有甚麼便宜的

就將就著用甚麼吧~