RSPAN (Remote SPAN)

RSPAN (Remote SPAN) est une extension du SPAN Cisco permettant d'avoir le port destination sur un switch différent du switch source, le trafic mirrored transitant via un VLAN spécial RSPAN. Pratique quand l'analyzer est centralisé loin des ports à monitorer.

Fonctionnement : (1) configurer un VLAN dédié RSPAN sur tous les switches du chemin (`vlan 999 ; remote-span`) ; (2) source switch encapsule mirrored traffic dans ce VLAN ; (3) ce VLAN traverse les liens trunk entre switches ; (4) destination switch déclare le port destination ; (5) trafic du VLAN RSPAN n'est PAS forwarded normalement (pas de bridging), uniquement vers port destination.

Limitations : (1) **L2-only path** required entre source et dest (must traverse switched fabric, pas routed) ; (2) **VLAN overhead** — consume bandwidth sur trunks intermediates ; (3) **L1 errors lost** (mirroring fait au niveau switch) ; (4) **STP doit permettre** le RSPAN VLAN sur tous les chemins.

Use cases : (1) centralized analyzer monitoring multiple switches campus ; (2) IDS centralisé avec source distribués ; (3) test/troubleshooting cross-switch.

Quand RSPAN insuffisant (paths L3) → utiliser ERSPAN (Encapsulated RSPAN via GRE tunnels permettant traverser routeurs/clouds) ou packet brokers commerciaux (Gigamon, cPacket Networks, NetScout) pour aggregation/filtering avancée. Compétences CCNP, CySA+.