SPAN (Switched Port Analyzer — Cisco)

SPAN (Switched Port ANalyzer) est le terme Cisco pour port mirroring local — copie trafic d'un ou plusieurs ports source vers un port destination sur le même switch pour analyse. Le terme "SPAN" est tellement répandu qu'il est souvent utilisé génériquement pour décrire port mirroring sur n'importe quel vendor.

Configuration Cisco IOS exemple :
```
monitor session 1 source interface GigabitEthernet1/0/1 both
monitor session 1 destination interface GigabitEthernet1/0/24
```

Options : (1) source = interface(s), VLAN(s), ou port-channel ; (2) direction = `rx` (incoming), `tx` (outgoing), `both` ; (3) destination port — généralement reserved (no Layer 2 forwarding sur ce port) ; (4) encapsulation replicate (préserve VLAN tags) ; (5) filter VLAN list pour réduire scope.

Limitations : (1) **max sessions** — 2-4 par switch typiquement (extensible sur high-end) ; (2) **buffer overruns** sur high traffic ; (3) **L1 errors lost** (CRC, runts, oversized) — utiliser TAP matériel pour préservation L1 ; (4) **CPU impact** si beaucoup de sources ; (5) **L3 control plane traffic** parfois non mirrored.

Alternatives : RSPAN (remote, via VLAN), ERSPAN (remote, via GRE tunnel pour traverser L3), TAP matériel passif (Gigamon, cPacket, Garland) — meilleur pour production critical mais coûteux. Compétences CCNA, CCNP.