Sohail - stock.adobe.com

Tipp

SPAN-Ports vs. Netzwerk-TAPs: Auswahl und Einsatz

Praxisleitfaden für Netzwerk-Monitoring mit SPAN, RSPAN/ERSPAN und TAPs. Funktionsweise, Genauigkeit, Betriebseinfluss sowie klare Entscheidungen für Rechenzentrum und Campus.

Michael Eckert
von
Zuletzt aktualisiert:13 Sept. 2025

In modernen Netzwerken steigen Bandbreiten, Verteiltiefe und Verschlüsselungsgrade stetig an. Gleichzeitig müssen Betrieb, SecOps und Compliance belastbare Verkehrsdaten gewinnen, um Fehlersuchen durchzuführen, Performances zu analysieren und forensische Auswertungen durchzuführen.

Sichtbarkeit kann dabei auf zwei Wegen entstehen: per Switch-basiertem Port Mirroring (SPAN) oder über dedizierte Mess-Hardware im Datenpfad (TAP, Test Access Point). Beide Verfahren liefern Kopien des Traffics, unterscheiden sich jedoch deutlich in Bezug auf Genauigkeit, Lastverhalten und Betriebsaufwand. Dieser Leitfaden erklärt die Funktionsweise, die jeweiligen Stärken und Schwächen und liefert handhabbare Auswahlkriterien.

Grundlagen

SPAN-Ports/Port Mirroring und TAPs erzeugen Kopien des Datenverkehrs für Analyse, Fehlerbehebung oder Sicherheitszwecke. Beide Ansätze unterscheiden sich deutlich in Technik, Genauigkeit und Betriebseinfluss.

Wir verwenden den Begriff SPAN (Port Mirroring) als generische Bezeichnung und verstehen RSPAN und ERSPAN als gängige Remote-Varianten. Welche Funktionen bereitstehen, ist plattformabhängig.

Quick-Check vor dem Start

Prüfen Sie für den Einstieg die folgenden Punkte:

  • Ziel klären: Ad-hoc (SPAN) oder forensisch/24×7 (TAP)?
  • Link-Last und Bursts ermitteln (Interface-/Flow-Counter).
  • Prüfen Sie den MTU-Pfad (insbesondere bei ERSPAN).
  • Zeitquelle/Compliance festlegen (zum Beispiel PTP/NTP, Aufbewahrung).

SPAN/Port-Mirroring im Überblick

Bei SPAN erstellt der Switch eine Kopie ausgewählter Frames und leitet sie an einen Monitor-Port oder per Remote-Mirroring weiter.

Varianten im Überblick

Diese Ausprägungen werden in der Praxis genutzt:

  • SPAN: lokal auf demselben Switch
  • RSPAN: Remote über ein dediziertes VLAN
  • ERSPAN: Remote-Mirroring über GRE (IP-Protokoll 47) über IP; bei Bedarf Absicherung via IPsec/VPN

Warum SPAN oft die erste Wahl ist

Aus diesen Gründen wird SPAN häufig zuerst eingesetzt:

  • Schnell nutzbar, keine Verkabelungsänderungen.
  • Flexibel filterbar (Ports, VLANs, gegebenenfalls ACLs).
  • Geeignet für Ad-hoc-Analysen und temporäre Messungen.

Grenzen, die Sie kennen sollten

Beachten Sie insbesondere folgende Einschränkungen:

  • Verlustgefahr bei Last (Oversubscription, Buffering, Duplikate möglich).
  • In der Regel sind Layer-1-Fehler nicht sichtbar (zum Beispiel FCS/CRC).
  • Microbursts können durch Pufferung geglättet werden.
  • Abhängig von Mirror-Session-Limits und ASIC-Ressourcen.
  • Das Verhalten bei VLAN-Tags/Tunneln ist plattformabhängig.
  • ERSPAN fügt Tunnel-Overhead hinzu.

So setzen Sie SPAN belastbar ein

Mit diesen Maßnahmen erhöhen Sie die Aussagekraft:

  • Dedizierte Monitor-Ports verwenden und Auslastung überwachen.
  • Mirror-Quellen gezielt einschränken (VLAN/ACL-Filter).
  • Bei ERSPAN den Tunnel-Overhead berücksichtigen und MTU/Jumbo-Frames entlang des Pfads anpassen (sonst kommt es zu Fragmentierung/Drops).
  • Ergebnisse als indikativ, nicht als forensisch vollständig werten.

Netzwerk-TAPs im Überblick

TAPs sind Hardware im Datenpfad, die den Verkehr elektrisch oder optisch auskoppelt. Es gibt passive Varianten, zum Beispiel Glasfaser-Splitter, und aktive Varianten, vor allem für Kupfer und High-Speed-Verbindungen.

Zentrale Stärken von TAPs

TAPs bieten insbesondere folgende Vorteile:

  • Vollständige, weitgehend verlustfreie Kopie – auch bei hoher Last.
  • Fehlertransparenz inklusive physikalischer Fehler und Inter-Frame-Gaps.
  • Deterministisches Verhalten ohne Last für den Switch.
  • Optionen: Bypass-TAP (Fail-Open/Fail-Close), Aggregation (n→1), Regeneration (1→n)

Womit Sie planen sollten

Für die Planung berücksichtigen Sie bitte folgende Punkte:

  • Zusätzliche Hardware/Verkabelung (CAPEX/OPEX).
  • Einbau erfordert zeitliches Fenster.
  • Bei Glasfaser muss die Einfügedämpfung (Insertion Loss) im optischen Budget berücksichtigt werden (typisch 0,5–3,5 dB je nach Split-Ratio/Modell).
  • Aktive TAPs benötigen Strom. Planen Sie Management und Inventar ein.

Best Practices für den Betrieb mit TAPs

Für einen stabilen Betrieb haben sich folgende Praktiken bewährt:

  • Medien und Geschwindigkeiten passend wählen (10/25/40/100 Gigabit, Steckertypen).
  • Dämpfungsbudget dokumentieren und regelmäßig prüfen.
  • Tool-Kompatibilität beachten (getrennte Rx/Tx-Feeds versus Aggregations-TAP).
  • Fail-Open-/Fail-Close-Verhalten für Wartung und Störfälle definieren.

SPAN versus TAP: Entscheidungskriterien

Die Wahl zwischen SPAN und TAP richtet sich nach dem Ziel, der Last, der Genauigkeit, der Topologie und den betrieblichen Rahmenbedingungen.

Leitfragen für die Entscheidung

Nutzen Sie diese Fragen als Orientierung:

  • Messziel: Schnelle Fehlersuche/flexible Analysen: SPAN/RSPAN/ERSPAN;  Forensik/Security/Compliance: TAP
  • Lastprofil: unvorhersehbar oder hoch = TAP; kurzfristig oder gering = SPAN ist ausreichend.
  • Genauigkeit: exakte Sicht inklusive L1/L2-Fehler = TAP, funktionale Sicht = SPAN.
  • Topologie: Standortübergreifend ohne Umbau = ERSPAN; kritische Links/Inline-Sucherheit = Bypass-TAP.
  • Faustregel: Ab einer durchschnittlichen Linkauslastung von über 30 Prozent oder bei erwarteten Burst-Spitzen (zum Beispiel Backup-/Storage-Fenster) sollte bevorzugt TAP eingesetzt werden.
SPAN vs. TAP
Abbildung 1: Die Unterschiede zwischen SPAN und TAP im Kurzüberblick.

Typische Einsatzszenarien

In der Praxis gibt es einige bewährte Vorgehensweisen. Diese Anwendungsfälle sind typisch:

  • Security/Forensik: IDS/Network Security Monitoring mit hoher Beweiskraft = TAP, gegebenenfalls Aggregation für Tool-Farmen.
  • Operatives Troubleshooting: Kurzfristige Protokoll-/App-Analyse = SPAN/ERSPAN
  • Leistungs-/Latenzmessung: Microbursts, Jitter, Paketverluste = TAP für präzise Zeitbezüge.
  • Zentrale Auswertung: Mehrere Segmente zu Analyse-Clustern, ERSPAN oder Aggregations-TAP je nach Last/Genauigkeit.

Planung, Betrieb und Governance

Ein robuster Monitoring-Stack benötigt klare Prozesse und Dokumentation. Achten Sie besonders auf Folgendes:

  • Dokumentation: Mirror-Policies/TAP-Punkten, Filter, MTUs, QoS und Änderungen.
  • Sicherheit und Datenschutz: Zugriffskontrollen, Verschlüsselung (ERSPAN über unsichere Netze), Aufbewahrungsfristen.
  • Forensik-Tauglichkeit: Zeitquelle festlegen und dokumentieren (PTP/NTP), PCAPs hashen/signieren, Chain of Custody definieren (Rollen, Aufbewahrung, Zugriff).
  • Skalierung: Regeneration (1→n), Aggregation (n→1), Brokering-Lösungen, zentrale Tool-Anbindung.
  • Automatisierung: SPAN-Sessions via API/CLI, Inventar und Monitoring für TAP-Infrastruktur.

Qualitätssicherung im Betrieb

Für verlässliche Ergebnisse sind regelmäßige Prüfungen unerlässlich. Die folgenden Checks dienen dazu, die Qualität abzusichern.

  • Drop-Counter und Paketraten am Monitor-Port tracken.
  • Zeitstempel-Drift gegen PTP/NTP prüfen.
  • PCAP-Integrität per Hash regelmäßig verifizieren.
  • Die TAP-Dämpfung sollte halbjährlich gegen das optische Budget getestet werden.

Fazit

SPAN ist schnell und flexibel und somit ideal für operative Analysen, stößt aber bei Last und Fehlertransparenz an Grenzen. TAPs liefern eine vollständige, reproduzierbare Sicht und sind die erste Wahl für Sicherheit, Forensik und Langzeitmessungen, erfordern jedoch mehr Planung. Die stärkste Strategie kombiniert beide: SPAN/ERSPAN für Agilität und TAPs für Präzision.

Erfahren Sie mehr über Netzwerk-Monitoring und -Analyse