SPAN versus TAP: So zapfen Sie Ihren LAN-Traffic je nach Bedarf an
Für Datenmitschnitte im Netz bieten sich Switch Port Analyzer (SPAN) und Test Access Point (TAP) an.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/5/7/6/9/6/3/shutterstock_1391207630.jpg-3a58ce78ce0b4f2a.jpeg)
(Bild: asharkyu/Shutterstock.com)
- Benjamin Pfister
Wenn es im lokalen Netz klemmt, benötigen Netzadmins fürs Troubleshooting oft einen Zugang zum gesamten Datenstrom. Aber auch für das laufende Monitoring durch IDS-/IPS-Systeme oder für VoIP-Sprachaufzeichnungen bedarf es dieser Zugriffsmöglichkeit – in geswitchten Infrastrukturen in Gestalt von SPAN oder TAP. Beide Varianten haben ihre Vor- und Nachteile.
SPAN – auch Portspiegelung genannt – ist eine Funktion in einem gemanagten Switch. Als Datenquelle kann man je nach Switch-Plattform einen physischen Port, eine Portgruppe oder ein VLAN (Virtual LAN) definieren. Dabei entscheiden Netzadmins, die Pakete in Sende- oder in Empfangsrichtung (TX oder RX) mitzuschneiden – oder in beiden zugleich. Als Ziel können physische Ports oder im Fall von Remote SPAN auch spezielle SPAN-VLANs definiert werden. Der Traffic lässt sich auch zu einer Monitoringstation oder an einen anderen Switch weiterleiten. Je nach Switch-Typ variiert die Anzahl der möglichen SPAN-Ports.
Eine Besonderheit ist Encapsulated Remote SPAN (ERSPAN): Hier wird der Traffic an der Quelle in einen GRE-Header (Generic Routing Encapsulation) eingepackt und an der Monitoringstation oder am letzten Hop ausgepackt. So kann man Traffic sogar über Routing-Grenzen hinweg aus der Ferne untersuchen.
Das war die Leseprobe unseres heise-Plus-Artikels "SPAN versus TAP: So zapfen Sie Ihren LAN-Traffic je nach Bedarf an". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.