SPAN (Switched Port Analyzer), auch Port Mirroring genannt, ist die Standardmethode auf Cisco Switches, um Traffic für Troubleshooting, Security-Analysen oder Performance-Messungen mitzuschneiden – ohne Hub und ohne „irgendwo Kabel rausziehen“. Richtig eingesetzt ist SPAN sehr effektiv. Falsch eingesetzt kann es jedoch Links überlasten, Pakete verlieren oder durch falsche Zielports sogar Produktionsverkehr stören. Dieser Praxisleitfaden zeigt, wie du SPAN sauber einrichtest, welche Varianten es gibt (Port-, VLAN- und RSPAN/ERSPAN) und wie du typische Chaos-Fallen vermeidest.
Grundprinzip: Was SPAN spiegelt (und was nicht)
SPAN kopiert Frames von einer Quelle (Source) zu einem Zielport (Destination). Der Zielport ist danach ein reiner Monitor-Port: Er sendet in der Regel keinen normalen Traffic ins LAN, sondern liefert Kopien an deinen Analyzer (z. B. Laptop mit Wireshark).
- Source: Interface(s) oder VLAN(s), optional nur RX/TX oder beides
- Destination: ein Monitor-Port (oder Remote-Variante wie RSPAN/ERSPAN)
- Pakete können gedroppt werden, wenn die Destination-Bandbreite nicht reicht
- SPAN ersetzt kein TAP, ist aber für viele Cases ausreichend
Wichtige Realität: 1G Source auf 1G Destination ist oft zu viel
Wenn du RX und TX spiegelst, kann die Summe schnell über 1 Gbit/s liegen. Dann siehst du im Mitschnitt „Lücken“. Plane die Bandbreite oder spiegle gezielt.
Vorbereitung: Was du vor dem SPAN-Setup klären solltest
Damit du nicht „ins Blaue“ spiegelst, definiere zuerst: Was ist das Ziel der Analyse, wo hängt das Gerät, und welche Richtung brauchst du (RX/TX)? Das reduziert Last und verbessert die Aussagekraft.
- Welches System/Interface ist betroffen (Client, Server, Uplink)?
- Welches VLAN oder welcher Port ist die beste Quelle?
- Brauchst du RX, TX oder beides?
- Wie schnell ist Source und wie schnell ist Destination?
Port-Identifikation (MAC/ARP praxisnah)
show mac address-table | include aaaa.bbbb.cccc
show ip arp | include 10.1.10.55
SPAN-Variante 1: Port-based SPAN (häufigster Use-Case)
Port-SPAN spiegelt Traffic eines oder mehrerer Interfaces. Das ist ideal, wenn du einen Client-Port, einen Server-Port oder einen Uplink beobachten willst.
Beispiel: Client-Port spiegeln (RX und TX) auf Monitor-Port
enable
configure terminal
monitor session 1 source interface gigabitEthernet 1/0/10 both
monitor session 1 destination interface gigabitEthernet 1/0/24
end
Nur eine Richtung spiegeln (weniger Last)
configure terminal
monitor session 1 source interface gigabitEthernet 1/0/10 rx
monitor session 1 destination interface gigabitEthernet 1/0/24
end
SPAN-Variante 2: VLAN-based SPAN (wenn du ein ganzes VLAN sehen musst)
VLAN-SPAN spiegelt Traffic eines VLANs. Das ist hilfreich bei breitflächigen Problemen (z. B. ARP-Stürme, DHCP-Probleme), kann aber schnell sehr viel Traffic erzeugen.
Beispiel: VLAN 10 spiegeln auf Monitor-Port
configure terminal
monitor session 2 source vlan 10 both
monitor session 2 destination interface gigabitEthernet 1/0/24
end
Praxiswarnung
VLAN-SPAN kann den Monitor-Port überfordern und ist für High-Traffic VLANs oft nur mit Filtern oder kurzen Messfenstern sinnvoll.
Destination Port richtig wählen: Damit SPAN kein Chaos verursacht
Der Zielport wird durch SPAN „zweckentfremdet“. Er sollte nicht gleichzeitig produktiv genutzt werden, nicht in einem EtherChannel sein und keine Switchport-Sonderrollen haben. Verwende möglichst einen Port mit ausreichender Geschwindigkeit.
- Destination-Port darf nicht produktiv sein (kein Client, kein Uplink)
- Destination-Port nicht als Trunk/Port-Channel Member
- Idealerweise gleiche oder höhere Speed als Source
- Analyzer-PC: NIC muss Promiscuous Mode können
Destination-Port prüfen
show interfaces gigabitEthernet 1/0/24 switchport
show etherchannel summary
RSPAN/ERSPAN: Wenn der Analyzer nicht am gleichen Switch sitzt
Wenn du den Traffic auf einen anderen Switch transportieren musst, nutzt du Remote SPAN (RSPAN) oder Encapsulated Remote SPAN (ERSPAN). Das ist konzeptionell möglich, aber betrieblich anspruchsvoller und erzeugt zusätzlichen Transport-Traffic.
- RSPAN: SPAN-Traffic über ein dediziertes RSPAN-VLAN
- ERSPAN: Transport über IP/GRE (plattformabhängig)
RSPAN-Grundidee (konzeptionell)
Du definierst ein spezielles VLAN als „remote-span“, transportierst es über Trunks und spiegelst Source-Traffic in dieses VLAN. Auf dem Ziel-Switch nimmst du dieses VLAN als Source und leitest es auf den Analyzer-Port.
Verifikation: Prüfen, ob SPAN läuft
Bevor du Wireshark startest, prüfe auf dem Switch, ob die Session aktiv ist, welche Quellen gesetzt sind und welcher Destination-Port genutzt wird.
Sessions anzeigen
show monitor session 1
show monitor session 2
Alle Sessions prüfen
show monitor
Typische SPAN-Fallen und wie du sie vermeidest
Die meisten „SPAN ist kaputt“ Fälle sind in Wahrheit Kapazitäts- oder Designprobleme. Diese Punkte verursachen am häufigsten schlechte Mitschnitte oder Störungen.
- Destination-Port zu langsam → Drops im Mitschnitt
- VLAN-SPAN auf starkem VLAN → Overload
- Falsche Richtung gespiegelt (RX statt TX) → „ich sehe nichts“
- Destination-Port versehentlich produktiv genutzt → Side Effects
- SPAN vergessen zu löschen → dauerhafte Last/Support-Fragen
Praxis-Tipp: Immer klein anfangen
Starte mit einem einzelnen Interface und nur einer Richtung, erweitere erst dann. Das minimiert Chaos und liefert schneller verwertbare Ergebnisse.
Standardprozess: SPAN sauber an- und wieder abschalten
SPAN sollte wie ein Change behandelt werden: kurz aktivieren, messen, Session entfernen. So verhinderst du dauerhafte Last und unerwünschte Mirror-Ports im Netz.
SPAN Session entfernen
configure terminal
no monitor session 1
no monitor session 2
end
Nach dem Entfernen prüfen
show monitor
Best Practices: Traffic mitschneiden ohne Nebenwirkungen
Mit diesen Standards bleibt SPAN beherrschbar: klare Zieldefinition, gezieltes Mirroring, ausreichend Bandbreite und konsequentes Cleanup.
- Source so klein wie möglich wählen (Port statt VLAN, wenn möglich)
- Nur benötigte Richtung spiegeln (rx oder tx statt both)
- Destination-Port mit genügend Speed wählen
- Keine produktiven Ports als Destination nutzen
- Sessions dokumentieren und nach der Analyse löschen
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
