Obecnie dostępne są trzy metody podłączenia analizatora sieci: koncentratory, kopiowanie portów ("port mirroring" oraz SPAN) oraz liniowe włączenie się w transmisję.
Koncentratory to już historyczne rozwiązanie, umożliwiające przyłączenie urządzeń do sieci. Ich zadaniem było przekazywanie każdego ruchu na każdy port urządzenia. W ten sposób, podłączając analizator do koncentratora, możemy zbierać ramki, które będą podlegały analizie. Zaletą rozwiązania jest niski koszt wdrożenia i dostępność. Problemy, to z pewnością jego ograniczona wydajność oraz konwersja z trybu full duplex na half duplex.
Przełączniki sieciowe wprowadziły inny model przekazywania pakietów. Nasłuchiwanie nie było tutaj już tak łatwe. Konieczne okazało się stworzenie nowej funkcji, która pozwoliłaby przekazać ruch z wybranych portów na jeden port, do którego przyłączony jest analizator. Funkcja - określana jako "port mirroring" lub SPAN - pozwala na kopiowanie ruchu z jednego lub więcej portów, a następnie przekazywanie go na pojedynczy port analizujący. Jednym z problemów związanych z nią jest opcja nadsubskrypcji - jeżeli na port analizujący prześlemy więcej ruchu niż jest w stanie przetworzyć, ramki wtedy będą odrzucane. Gdy kopiujemy dane z połączenia typu TRUNK, możemy mieć problem z analizą na porcie monitorującym. Kopiowanie zawartości portów może być także zabójcze dla samego przełącznika. Dodatkowe problemy to utrudnienia w analizie VLAN, ponieważ w takiej konfiguracji znaczniki VLAN są usuwane z pakietu. Warto też zaznaczyć, że przełączniki oferują ograniczoną liczbę portów SPAN. W części przełączników możemy skorzystać z funkcji SNOP oraz RMON, jako mechanizmów monitorowania w ograniczonym zakresie.
Najpewniejszym rozwiązaniem do nasłuchiwania ruchu sieciowego są urządzenia określane jako TAP. Podpina się je bezpośrednio, w celu połączenia dwóch urządzeń sieciowych. Praca TAP-ów jest trochę inna niż przełączników czy koncentratorów sieciowych. Urządzenia TAP mają trzy porty: port A, port B oraz port monitorujący. Pakiety przechodzące z punktu A do punktu B są przekazywane przy jednoczesnym kopiowaniu na port monitorujący. Nawet gdy TAP straci zasilanie, połączenie sieciowe nie jest rozłączane. Istnieją konfiguracje TAP-ów obsługujące więcej niż jeden port. Zaletą takich rozwiązań jest możliwość umieszczenia sond w dowolnym punkcie sieci i integracji wyników w jednym miejscu. TAP-y obsługują zarówno światłowodowe, jak i miedziane połączenia. Nie wprowadzają do ruchu dodatkowych opóźnień czy zniekształceń, nie powodują również zatorów w sieci. Producentami urządzeń typu TAP są m.in.: NetOptics, Gigamon, Finisar.