Port Mirroring (Port Mirror)

Port Mirroring est une fonctionnalité de switch copiant le trafic d'un ou plusieurs ports source vers un port destination pour analyse, monitoring, ou troubleshooting. Connue sous différents noms vendor : SPAN (Switched Port ANalyzer — Cisco), Port Mirror (HP, Dell, Aruba), Monitor Session (Juniper), Mirror Port (générique).

Variantes :
(1) **Local SPAN** — source et destination sur même switch.
(2) **RSPAN** (Remote SPAN) — destination sur switch différent, transport via VLAN spécial.
(3) **ERSPAN** (Encapsulated Remote SPAN) — destination via tunnel L3 (GRE), permet remote location.
(4) **TAP** (Test Access Port) — alternative passive matériel dédié (no switch CPU impact).

Use cases : (1) **Network monitoring** — feed trafic vers analyzer (Wireshark, NetWitness, ExtraHop, Plixer Scrutinizer, Riverbed) ; (2) **IDS/IPS** — Suricata, Snort, Zeek inspectent trafic mirrored ; (3) **Compliance** — capture trafic pour PCI DSS, HIPAA ; (4) **Performance troubleshooting** — analyze packet captures ; (5) **DLP** (Data Loss Prevention) ; (6) **Forensic investigations** après incidents sécurité ; (7) **NPM** (Network Performance Monitoring) tools.

Limitations : (1) **Switch CPU impact** sur high traffic (matériel TAP préféré) ; (2) **Bandwidth** — destination port doit accommoder somme des sources ; (3) **Dropped packets** si oversubscription ; (4) **L1 errors** (CRC, runts) souvent perdus en SPAN ; (5) **Bidirectional**? Configure both directions ou single — verify config. Compétences CCNA, CCNP, CySA+.