February 20, 2026

SPAN vs. ERSPAN: Setup und Oversubscription-Risiken

SPAN vs. ERSPAN ist im NOC-, Security- und Troubleshooting-Alltag ein Dauerbrenner: Beide Verfahren spiegeln Pakete zur Analyse, unterscheiden sich jedoch deutlich in Setup, Reichweite und den Risiken rund um Oversubscription. SPAN (Switched Port Analyzer) ist klassisches Port-Mirroring auf demselben Switch: Ein oder mehrere Quellports (oder VLANs) werden auf einen Zielport kopiert, an dem ein Sniffer, IDS-Sensor oder Packet-Broker hängt. ERSPAN (Encapsulated Remote SPAN) erweitert das Konzept über L3-Netze hinweg, indem gespiegelter Traffic in Tunnelpakete gekapselt und an einen entfernten Empfänger transportiert wird. In modernen Infrastrukturen mit verteilten Racks, Leaf-Spine-Fabrics, Cloud-Edges und Segmentierung ist ERSPAN oft praktischer – aber auch fehleranfälliger, wenn Oversubscription, MTU, Hashing oder Gerätelimits unterschätzt werden. Dieser Artikel erklärt verständlich, wie SPAN und ERSPAN funktionieren, wie ein sauberes Setup aussieht und welche Oversubscription-Risiken typischerweise zu „unvollständigen Captures“, Drops oder verfälschten Analysen führen.

Begriffe und Grundprinzip: Was wird bei SPAN und ERSPAN eigentlich gespiegelt?

Port Mirroring erzeugt Kopien von Frames/Paketen, ohne den Originalverkehr zu verändern. Das Ziel ist Beobachtung: Fehlersuche (z. B. Retransmissions, MTU-Probleme), Security (IDS/IPS/NSM), Compliance oder Performance-Analysen. Entscheidend ist: Die Kopie ist nicht automatisch verlustfrei. Mirroring hängt von Hardwarefähigkeiten, Portgeschwindigkeit und internen Ressourcen (ASIC/CPU, Mirror-Buffer) ab.

  • SPAN: Spiegelung auf demselben Gerät, typischerweise Layer-2-nah, Zielport lokal.
  • RSPAN (häufig als Zwischenstufe): Remote SPAN über ein spezielles VLAN innerhalb eines L2-Domains.
  • ERSPAN: Spiegelung über L3 via Kapselung (meist GRE), Ziel kann über Routing erreichbar sein.

Als allgemeine Einordnung zu Port Mirroring ist Port Mirroring eine nützliche Übersicht. Für ERSPAN-Details lohnt sich außerdem ein Blick in Herstellerdokumentation, z. B. in die Cisco-Dokumentation zu ERSPAN.

SPAN im Detail: Setup, Stärken und Grenzen

SPAN ist das „Brot-und-Butter“-Werkzeug, wenn Quelle und Analysepunkt am gleichen Switch liegen. Typische Quellen sind Access-Ports (Server/Clients), Uplinks/Trunks, Port-Channels oder ganze VLANs. Der Zielport wird als „Monitor“-Port konfiguriert und sollte idealerweise ausschließlich für den Capture genutzt werden.

Typisches SPAN-Setup in der Praxis

  • Quelle festlegen: ein Port, mehrere Ports, ein VLAN oder eine Richtung (ingress/egress/bidirektional).
  • Zielport definieren: dedizierter Port für Sniffer/Probe/Packet-Broker.
  • Filter/Scope begrenzen: wenn verfügbar, nur relevante VLANs, nur bestimmte Richtungen oder ACL-basierte Filter nutzen.
  • Sniffer korrekt anschließen: Zielport meist „receive-only“; viele Plattformen blockieren TX am Zielport oder behandeln ihn speziell.

Wichtige SPAN-Eigenschaften, die Captures beeinflussen

  • VLAN-Tags: Je nach Plattform kann der Zielport getaggte oder ungetaggte Frames liefern. Bei Trunks kann die Tag-Integrität entscheidend sein.
  • Port-Channel-Quellen: Mirroring auf einem LAG kann je nach ASIC nur einen Teil der Member oder nur Hash-abhängig abbilden, wenn falsch gewählt.
  • Hardware-Limits: Anzahl paralleler SPAN-Sessions und maximaler Mirror-Throughput sind oft begrenzt.
  • Timing und Reihenfolge: Mirror-Kopien können zeitlich „nachgelagert“ entstehen; die Reihenfolge kann in Stresssituationen abweichen.

ERSPAN im Detail: Setup, Reichweite und typische Stolpersteine

ERSPAN ist besonders attraktiv, wenn die Analyseplattform zentral steht (z. B. im Security-Cluster) und Sie nicht in jedem Rack einen Sensor platzieren möchten. Technisch wird der gespiegelte Traffic in ein Tunnelprotokoll gekapselt und über das IP-Netz zum Empfänger transportiert. Viele Implementierungen nutzen GRE als Transport. Eine allgemeinverständliche Basis zu GRE finden Sie unter Generic Routing Encapsulation (GRE).

Typisches ERSPAN-Setup in der Praxis

  • Quelle definieren: Port/VLAN/Port-Channel wie bei SPAN, aber als ERSPAN-Quelle.
  • Transportparameter festlegen: Quell-IP, Ziel-IP, ggf. ERSPAN-ID/Session-ID, TTL, DSCP/ToS (plattformabhängig).
  • Routen sicherstellen: ERSPAN-Pakete müssen zum Collector geroutet werden; Rückroute ist für „One-Way“-Mirroring meist nicht nötig, aber Management/Monitoring schon.
  • MTU berücksichtigen: Kapselung erzeugt Overhead; bei knappem MTU-Budget drohen Fragmentierung oder Drops.
  • Collector/Decapsulator: Sensor, Packet-Broker oder Server muss ERSPAN/GRE decapsulieren oder direkt verstehen.

ERSPAN-Varianten und warum das für Tools relevant ist

In der Praxis gibt es unterschiedliche ERSPAN-Typen/Versionen, die sich u. a. in Metadaten (z. B. VLAN, Direction, Timestamping) unterscheiden. Für Incident-Analysen ist das wichtig, weil manche Tools Metadaten auswerten oder bestimmte Header erwarten. Prüfen Sie daher vorab, ob Ihr Collector die ERSPAN-Variante Ihrer Plattform unterstützt.

Oversubscription verstehen: Warum Mirroring „zu viel“ werden kann

Oversubscription bedeutet beim Mirroring: Der gespiegelte Traffic kann nicht vollständig zum Zielport bzw. durch den Tunnel transportiert werden. Dann werden Mirror-Kopien gedroppt oder reduziert (Truncation, Sampling), während der Originaltraffic weiterhin korrekt läuft. Das führt zu gefährlichen Fehlschlüssen: Der Capture „zeigt“ z. B. keine Retransmissions oder keinen Angriff, weil genau diese Pakete im Mirror verloren gingen.

Die zentrale Oversubscription-Falle bei SPAN

Bei SPAN ist der Engpass meistens der Zielport oder die interne Mirror-Pipeline. Spiegeln Sie z. B. mehrere 10G-Quellen auf einen 10G-Zielport, ist Oversubscription sehr wahrscheinlich – selbst wenn die Quellen nicht dauerhaft voll laufen, reichen Bursts.

Die zentrale Oversubscription-Falle bei ERSPAN

Bei ERSPAN verschiebt sich der Engpass: Zusätzlich zum Zielport/Collector wird das IP-Transportnetz zum kritischen Faktor. Engpässe entstehen typischerweise durch:

  • Unterdimensionierte Links auf dem Pfad (z. B. 1G-Transit für 5G Mirror-Last).
  • QoS-Policies, die ERSPAN als Best Effort behandeln und bei Stau droppen.
  • Fragmentierung durch MTU-Probleme (GRE/ERSPAN-Overhead), die dann gefiltert oder gedroppt wird.
  • CPU/ASIC-Limits beim Encapsulator oder Decapsulator.

Oversubscription grob berechnen

Für eine erste Plausibilitätsprüfung können Sie den erwarteten Mirror-Durchsatz abschätzen. Sei R die Summe der relevanten Quellraten (in Bit/s) und C die Kapazität des Zielports oder des Engpasslinks (in Bit/s). Dann ist der Oversubscription-Faktor O:

O = R C

Liegt O dauerhaft über 1, ist Verlust sehr wahrscheinlich. In der Praxis sollten Sie zusätzlich Burst-Reserven berücksichtigen. Bei ERSPAN kommt Kapselungs-Overhead hinzu. Wenn h der Overhead-Anteil ist (z. B. 0,05 für 5 %), dann wird die effektive Last R’:

R = R (1+h)

Diese Rechnung ist bewusst grob, hilft aber, „10G Quellen auf 1G Tunnel“ sofort als riskant zu erkennen.

Typische Symptome: Woran Sie Oversubscription in Captures erkennen

Oversubscription ist tückisch, weil der Liveverkehr oft stabil bleibt. Hinweise finden Sie eher in Capture-Anomalien und in Counter-/Telemetry-Daten.

  • Unplausible Lücken: Sequenzen fehlen, ohne dass Anwendungen gleichzeitig Fehler zeigen.
  • Asymmetrische Sicht: Sie sehen nur eine Richtung, obwohl beide Richtungen vorhanden sein müssten.
  • „Gezackte“ Traffic-Kurven im Capture, während Interface-Auslastung glatt wirkt.
  • Fehlende Bursts: Gerade die Spitzen, die Sie untersuchen wollen, fehlen im Mirror.
  • Mirror-/ERSPAN-Drops in gerätespezifischen Countern (wenn verfügbar).

Ein sinnvoller Praxisansatz ist, Mirror-Interpretationen stets mit Interface-Countern (Errors/Discards) und Flow-Daten (Top Talkers) abzugleichen, damit ein unvollständiger Capture nicht als „Beweis“ missverstanden wird.

Setup-Best-Practices für SPAN: So bleiben Captures verwertbar

Mit wenigen Grundregeln vermeiden Sie die häufigsten SPAN-Fallen.

Scope gezielt reduzieren

  • Spiegeln Sie nicht „den ganzen Trunk“, wenn nur ein einzelner Host oder ein VLAN relevant ist.
  • Nutzen Sie – falls verfügbar – Filter (ACL/Policy), um nur die relevante Kommunikation zu spiegeln.
  • Wählen Sie die Richtung bewusst: Oft reicht ingress oder egress, statt bidirektional alles zu verdoppeln.

Zielport passend dimensionieren

  • Wählen Sie den Zielport mindestens so schnell wie die erwartete Mirror-Last.
  • Vermeiden Sie „viele Quellen auf einen langsamen Zielport“ – das ist Oversubscription by Design.
  • Wenn ein Packet-Broker verfügbar ist: Nutzen Sie Aggregation, Filtering, Slicing, Load-Balancing auf mehrere Tools.

Port-Channel-Quellen sauber behandeln

  • Wenn Sie einen LAG spiegeln, prüfen Sie, ob die Plattform alle Member korrekt abdeckt.
  • Bei Bedarf spiegeln Sie gezielt den relevanten Member oder spiegeln Sie auf einer höheren Ebene (z. B. VLAN/VRF), wenn das präziser ist.

Setup-Best-Practices für ERSPAN: Transport, MTU und QoS im Blick behalten

ERSPAN scheitert selten an „falschem Source Port“, sondern an Transportdetails. Ein sauberer ERSPAN-Setup betrachtet den gesamten Pfad als Bestandteil der Messkette.

MTU und Fragmentierung vermeiden

  • Planen Sie Overhead ein (GRE/ERSPAN-Header). Wenn Ihr Netz knapp an MTU 1500 betrieben wird, können Captures fragmentieren.
  • Stellen Sie sicher, dass Fragmentierung entweder sauber funktioniert oder vermeiden Sie sie konsequent (z. B. durch höhere MTU im Transportnetz, wo möglich).
  • Beachten Sie, dass manche Security- oder WAN-Geräte Fragmente restriktiv behandeln.

QoS: ERSPAN nicht „versehentlich“ droppen

  • Klassifizieren Sie ERSPAN-Traffic bewusst (DSCP/CoS), damit er bei Stau nicht vollständig verloren geht.
  • Vermeiden Sie, dass ERSPAN kritische Produktionsklassen verdrängt; Monitoring darf nicht zum Störfaktor werden.
  • Wenn möglich: Separate Monitoring-Transportpfade oder dedizierte Kapazität einplanen.

Collector-Design: Mehr als nur „eine Ziel-IP“

  • Nutzen Sie Collector-Redundanz oder Load-Balancing, wenn große Mirror-Lasten zu erwarten sind.
  • Prüfen Sie, ob Ihr Tool ERSPAN-Metadaten korrekt decodiert (VLAN/Direction/Session-ID).
  • Achten Sie auf Storage und Schreibdurchsatz: Captures sind datenintensiv, Drops können auch am Collector entstehen.

Oversubscription-Risiken gezielt minimieren: Praktische Strategien

Die effektivste Gegenmaßnahme ist fast immer: weniger, aber relevanter spiegeln. Ergänzend helfen technische Strategien, Oversubscription in den Griff zu bekommen.

Sampling und Truncation bewusst einsetzen

  • Sampling: reduziert Last, kann aber kleine/seltene Ereignisse verdecken. Für volumetrische Analysen oft ok, für Debugging (TCP-Handshakes, Retransmits) riskant.
  • Truncation: schneidet Pakete nach N Bytes ab, reduziert Durchsatz, aber kann Layer-7-Analysen unmöglich machen.

Wenn Sie Sampling oder Truncation nutzen, dokumentieren Sie es im Incident-Protokoll, damit niemand den Capture als vollständige Wahrheit interpretiert.

Mirror-Quellen entkoppeln

  • Spiegeln Sie nach Möglichkeit näher an der Quelle, um unnötige Mengen über das Netz zu schieben.
  • Bei ERSPAN: Spiegeln Sie gezielt nur die relevanten VLANs/Ports und nicht ganze Uplinks.
  • Verteilen Sie Mirror-Sessions auf mehrere Geräte/Ports, statt eine „Monster-Session“ zu bauen.

Packet-Broker und TAPs als Alternative

Wenn Captures regelmäßig kritisch sind (z. B. Security-Monitoring), kann ein dedizierter Packet-Broker oder ein physischer TAP sinnvoll sein. TAPs spiegeln elektrisch/optisch und vermeiden manche SPAN-Limits, benötigen aber Hardware und Planung. Packet-Broker bieten Filter, Masking, Aggregation und Tool-Distribution. In großen Umgebungen ist das oft der nachhaltigere Weg als „noch eine SPAN-Session“.

Fehlerquellen, die nicht nach Oversubscription aussehen, aber so wirken

Manchmal sieht ein Capture unvollständig aus, obwohl keine klassische Oversubscription vorliegt. Häufige Ursachen:

  • Falsche Richtung: Es wird nur ingress gespiegelt, aber die Antwortpakete laufen über einen anderen Pfad.
  • Asymmetrisches Routing: Gerade bei ERSPAN-Quellen an einem Punkt sehen Sie nur die Hälfte einer Konversation.
  • ECMP/MLAG: Verkehr verteilt sich, aber Sie spiegeln nur einen Pfad oder einen Switch.
  • Policy/Firewall: ERSPAN-Tunnel wird gedrosselt oder gefiltert (z. B. GRE blockiert).
  • MTU/Fragment-Handling: Ein Teil der Tunnelpakete fragmentiert und geht verloren, obwohl der Rest sauber ankommt.

Für GRE-bezogene Transportfragen ist die allgemeine Einordnung über GRE hilfreich, weil viele Troubleshooting-Schritte (MTU, Filter, Routing) direkt daraus ableitbar sind.

So wählen Sie im Betrieb zwischen SPAN und ERSPAN

Für NOC und Incident Response ist die Entscheidung oft pragmatisch: Was liefert schnell verwertbare Daten mit geringstem Risiko?

  • SPAN ist meist sinnvoll, wenn Quelle und Analysepunkt lokal sind, die Datenrate moderat ist und Sie schnell „on-box“ spiegeln können.
  • ERSPAN ist meist sinnvoll, wenn Sie zentral sammeln, entfernte Standorte/Racks abdecken oder Captures ohne physische Präsenz benötigen.
  • Bei hohen Datenraten sollten Sie früh über Packet-Broker/TAPs oder gezielte Filterung nachdenken, statt große Mirror-Sessions zu erzwingen.

Outbound-Quellen für vertiefendes Verständnis

Für eine allgemeine Einordnung von Port Mirroring und typischen Einsatzszenarien eignet sich Port Mirroring. Für ERSPAN-spezifische Konzepte, Parameter und Implementierungsdetails ist die Cisco-Dokumentation zu ERSPAN eine praxisnahe Referenz. Für den Transportmechanismus hinter vielen ERSPAN-Implementierungen liefert GRE einen hilfreichen technischen Überblick, insbesondere zu Overhead, MTU und Tunnel-Verhalten.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind