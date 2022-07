Inhaltsverzeichnis SPAN versus TAP: So zapfen Sie Ihren LAN-Traffic je nach Bedarf an Zusatzkomponente TAP Fazit Artikel in iX 8/2022 lesen

Wenn es im lokalen Netz klemmt, benötigen Netzadmins fürs Troubleshooting oft einen Zugang zum gesamten Datenstrom. Aber auch für das laufende Monitoring durch IDS-/IPS-Systeme oder für VoIP-Sprachaufzeichnungen bedarf es dieser Zugriffsmöglichkeit – in geswitchten Infrastrukturen in Gestalt von SPAN oder TAP. Beide Varianten haben ihre Vor- und Nachteile.

SPAN – auch Portspiegelung genannt – ist eine Funktion in einem gemanagten Switch. Als Datenquelle kann man je nach Switch-Plattform einen physischen Port, eine Portgruppe oder ein VLAN (Virtual LAN) definieren. Dabei entscheiden Netzadmins, die Pakete in Sende- oder in Empfangsrichtung (TX oder RX) mitzuschneiden – oder in beiden zugleich. Als Ziel können physische Ports oder im Fall von Remote SPAN auch spezielle SPAN-VLANs definiert werden. Der Traffic lässt sich auch zu einer Monitoringstation oder an einen anderen Switch weiterleiten. Je nach Switch-Typ variiert die Anzahl der möglichen SPAN-Ports.

Eine Besonderheit ist Encapsulated Remote SPAN (ERSPAN): Hier wird der Traffic an der Quelle in einen GRE-Header (Generic Routing Encapsulation) eingepackt und an der Monitoringstation oder am letzten Hop ausgepackt. So kann man Traffic sogar über Routing-Grenzen hinweg aus der Ferne untersuchen.