réseau ne révèle que le trafic
entrant ou sortant d’un commutateur donné sur son trajet vers une destination
précise.

Ensuite, parce qu’un réseau commuté délivre un meilleur débit en évitant la saturation,
beaucoup de « sniffers » ont du mal à  suivre le débit du trafic, surtout à  des vitesse
de 100 Mbps ou plus.

Deux outils contribuent à  résoudre ce dilemme: le mirroring de ports et le monitoring
à  distance SNMP. La plupart des commutateurs sont capables de configurer un port
unique (généralement le port 1) pour répliquer le trafic provenant de tout autre
port du commutateur. Si l’on veut superviser le trafic d’un seul noeud connecté
à  un commutateur, il suffit de « mirrorer » le port de ce noeud sur le port de supervision.

Pour superviser le trafic de tout le commutateur, il faut « mirrorer » le port en
amont. La figure 7 illustre un écran « sniffer » classique de la distribution des
protocoles et des adresses de distribution, provenant d’un port de monitoring
de commutateur Ethernet.

Toutefois, avant de bénéficier du mirroring de port, il faut savoir quel commutateur,
et peut-être même quel port du commutateur, on veut monitorer.
Pour obtenir cette information, il faut disposer d’une vue d’ensemble de tout
le fonctionnement du réseau, exactement ce que fournit le monitoring à  distance
de SNMP (pour plus d’informations, voir les paragraphes précédents sur SNMP et
RMON.)