ERSPAN (Encapsulated Remote SPAN)

ERSPAN (Encapsulated Remote SPAN) est une variante du SPAN/RSPAN où le trafic mirrored est encapsulé dans des paquets GRE (Generic Routing Encapsulation) et transporté via routage L3, permettant la destination sur tout switch joignable IP — même cross-data-center ou via Internet. Beaucoup plus flexible que RSPAN (limité L2).

Fonctionnement : (1) configurer ERSPAN source session avec destination IP du analyzer ; (2) switch source encapsule mirrored traffic dans GRE avec header ERSPAN (type II ou III) ; (3) packets routés normalement via L3 backbone ; (4) destination switch ou analyzer décapsule.

ERSPAN Type II vs Type III : Type III ajoute timestamps précis, security identification, switch ID — plus sophistiqué pour analytics avancées.

Use cases : (1) **Centralized monitoring/forensics** — captures de remote sites vers centralized SOC ; (2) **Cloud monitoring** — AWS VPC Traffic Mirroring est ERSPAN-compatible, peut envoyer vers on-prem analyzer ; (3) **Multi-DC monitoring** sans étendre L2 ; (4) **Cross-cloud monitoring** ; (5) **Virtual switch mirroring** (VMware vDS, Open vSwitch supportent ERSPAN).

Limitations : (1) **Bandwidth overhead** — paquets encapsulés transitent infrastructure, attention saturation ; (2) **Latence** ajoutée ; (3) **GRE traversal** — firewalls doivent permettre GRE ; (4) **Asymmetric routing issues** ; (5) **L1 errors lost** comme tous mirror techniques.

VPC Traffic Mirroring AWS : équivalent natif ERSPAN dans cloud, mirror EC2 ENI traffic vers ELB ou autre EC2 pour analysis (IDS, NPM). Azure Virtual Network TAP similaire. Compétences CCNP, CySA+, SAA-C03.