SPAN/ERSPAN richtig einsetzen: Mirror-Design ohne Paketverlust

SPAN/ERSPAN richtig einsetzen ist eine der wichtigsten Fähigkeiten für Netzwerk- und Security-Teams, weil Mirror-Traffic oft die letzte verlässliche Quelle für Beweise ist: Was ist wirklich über die Leitung gegangen, welche Pakete fehlen, wer hat ein RST gesendet, und wie sieht der Traffic vor oder nach einer Middlebox aus? Gleichzeitig sind SPAN (Switched Port Analyzer) und ERSPAN (Encapsulated Remote SPAN) berüchtigt dafür, unvollständige Captures zu liefern – nicht, weil „Wireshark schlecht“ wäre, sondern weil das Mirror-Design selbst Paketverlust verursacht. Die häufigsten Ursachen sind simpel: Oversubscription am Mirror-Port, falsche Aggregation mehrerer Quellen auf einen zu kleinen Zielport, falsche Filterung, zu wenig Puffer auf dem Switch, oder eine ERSPAN-Transportstrecke, die Mirror-Pakete prioritätslos behandelt und bei Congestion verwirft. Wer Mirror-Design ohne Paketverlust aufbauen will, muss SPAN/ERSPAN als Messinfrastruktur verstehen: Sie bauen einen Datenpfad für Telemetrie, der genauso sorgfältig geplant werden muss wie Produktionspfade. Dieser Artikel zeigt, wie Sie SPAN/ERSPAN so einsetzen, dass Captures belastbar werden: mit sauberer Kapazitätsplanung, klarer Auswahl der Mirror-Quellen, Designmustern für RSP/ERSPAN, QoS für Mirror-Traffic und einer pragmatischen Validierung, die Ihnen schnell sagt, ob Ihre Mitschnitte vollständig sind.

Grundprinzip: Mirroring ist Best-Effort, bis Sie es bewusst anders designen

Die wichtigste Denkregel: SPAN und ERSPAN sind auf vielen Plattformen Best-Effort-Features. Das bedeutet, dass Mirror-Pakete im Zweifel zuerst fallen – entweder weil interne Ressourcen (ASIC/Buffer/CPU) knapp werden oder weil der Mirror-Port/Transportpfad überlastet ist. Das ist kein „Bug“, sondern eine Designentscheidung vieler Hersteller: Produktionsforwarding hat Priorität vor Monitoring. Daraus folgt die zentrale Aufgabe: Sie müssen Mirror-Traffic so dimensionieren und transportieren, dass er nicht in die Überlast läuft.

• SPAN: lokale Spiegelung auf einen physischen Port im selben Switch.
• RSPAN: Spiegelung über ein spezielles RSPAN-VLAN zu einem anderen Switch/Analyzer.
• ERSPAN: Spiegelung via GRE-Encapsulation über L3 zu einem Remote-Analyzer (häufig in Rechenzentren/Cloud-Edges).

Was „Paketverlust“ bei SPAN/ERSPAN wirklich bedeutet

In Captures wirkt Paketverlust oft wie „das Netzwerk hat gedroppt“. In Mirror-Setups kann es aber sein, dass die Produktion korrekt forwardet und nur das Monitoring unvollständig ist. Für Beweisführung ist das entscheidend: Sie müssen unterscheiden, ob Pakete im Produktionspfad fehlen oder nur im Mirror-Pfad.

• Produktionsverlust: Endsysteme sehen Retransmissions, Drops, Jitter; Interface-Counter zeigen Drops/Errors; mehrere Messpunkte bestätigen.
• Mirror-Verlust: Endsysteme sind stabil, aber PCAP hat Lücken; Capture-Host zeigt capture drops; Mirror-Port ist oversubscribed.

Kapazitätsplanung: Mirror-Port darf nie kleiner sein als die Summe Ihrer Quellen

Die häufigste Ursache für unvollständige SPAN-Captures ist mathematisch: Sie spiegeln mehr Traffic, als der Mirror-Port übertragen kann. Beispiel: Sie spiegeln zwei 10G-Ports auf einen 10G-Mirror-Port – das kann im Peak nicht gut gehen. Selbst wenn die durchschnittliche Auslastung niedrig ist, reichen Microbursts, um Buffers zu füllen und Mirror-Pakete zu verlieren.

Pragmatische Daumenregeln für SPAN-Design

• 1:1 Spiegelung bevorzugen: Ein Quellport auf einen Mirror-Port ist die stabilste Option.
• Aggregation nur mit Reserve: Wenn Sie mehrere Quellen auf einen Mirror-Port aggregieren, planen Sie Peak + Burst, nicht Durchschnitt.
• Ingress/Egress bewusst wählen: „Both“ verdoppelt im Worst Case den Mirror-Traffic. In vielen Fällen reicht Ingress oder Egress für die Beweisfrage.
• Filter vor Spiegelung: Wenn die Plattform es unterstützt, filtern Sie nach VLAN/ACL/Flow, bevor Sie spiegeln.

SPAN-Quellen richtig auswählen: Weniger ist oft mehr

Ein Mirror-Setup ist dann gut, wenn es die Beweisfrage beantwortet, nicht wenn es „alles“ enthält. Typische Anfängerfehler sind das Spiegeln kompletter Trunks oder ganzer VLANs, obwohl man nur einen einzelnen Flow (5-Tuple) braucht. Experten wählen die Quelle so nah wie möglich an der Fragestellung.

• Client-seitig spiegeln: Wenn Sie beweisen wollen, was der Client wirklich sendet (DNS, SYN, QUIC, TLS ClientHello).
• Server-seitig spiegeln: Wenn Sie beweisen wollen, was am Server ankommt und wie er antwortet (SYN/ACK, RST, TLS ServerHello).
• Vor/Nach der Middlebox spiegeln: Wenn NAT, WAF, Proxy oder Firewall im Spiel ist. Zwei Captures sind hier oft schneller als ein riesiger Trunk-Capture.

RSPAN: Spiegelung über L2 mit eigenen Failure-Modes

RSPAN wirkt attraktiv, weil Sie den Analyzer nicht am selben Switch anschließen müssen. Gleichzeitig bringt RSPAN zusätzliche Risiken: Das RSPAN-VLAN kann selbst congested sein, es kann über Trunks laufen, die nicht genug Reserve haben, und es kann durch VLAN-Fehlkonfiguration oder STP-Events gestört werden.

RSPAN-Designprinzipien

• Dediziertes RSPAN-VLAN: Keine Vermischung mit Produktivtraffic, klare Dokumentation.
• Trunk-Reserve: RSPAN-VLAN nur über Links führen, die genügend freie Kapazität haben.
• STP und Loop-Schutz: RSPAN darf nicht versehentlich Brückenpfade erzeugen; VLAN-Propagation bewusst kontrollieren.
• QoS/CoS setzen: Wenn möglich, Mirror-Traffic markieren und auf Trunks priorisieren, damit er bei Congestion nicht zuerst fällt.

ERSPAN: Remote Mirroring über L3 – mächtig, aber nur mit Transportdesign zuverlässig

ERSPAN kapselt Mirror-Pakete (typischerweise in GRE) und sendet sie zu einem Remote-Collector. Das ist ideal für verteilte Rechenzentren, Fabrics und Cloud-Edges. Der Preis: Sie bauen einen zusätzlichen Overlay-Traffic, der eigene MTU-, QoS- und Routing-Anforderungen hat.

Die häufigsten ERSPAN-Fallen

• MTU/Fragmentation: ERSPAN fügt Overhead hinzu. Wenn der Transportpfad keine ausreichend große MTU hat, fragmentiert der Mirror-Traffic oder wird gedroppt. Für PMTUD-Hintergrund sind RFC 1191 (IPv4) und RFC 8201 (IPv6) relevant.
• Best-Effort Transport: Ohne QoS wird Mirror-Traffic bei Congestion als erstes verworfen, weil er „nur Monitoring“ ist.
• Routing-Asymmetrie: Mirror-Traffic nimmt einen anderen Pfad als der produktive Flow; das ist oft okay, aber Sie müssen sicherstellen, dass der ERSPAN-Pfad stabil und nicht rate-limited ist.
• Collector-Overload: Remote-Collector kann PPS/Throughput nicht verarbeiten; Captures droppen am Host, nicht im Netz.

ERSPAN ohne Paketverlust: Transport als First-Class Citizen behandeln

• Dedizierte VRF/Segmentierung: Wenn möglich, Mirror-Traffic getrennt führen, um Konflikte mit Produktivtraffic zu minimieren.
• QoS priorisieren: Mirror-Traffic markieren (DSCP/CoS) und über den Transportpfad priorisieren, damit er bei Congestion nicht untergeht.
• MTU bewusst planen: Transport-MTU so wählen, dass encapsulated Mirror-Pakete nicht fragmentieren. Alternativ Snaplen/Truncation so nutzen, dass Mirror-Pakete kleiner bleiben.
• Collector skalieren: NIC-Offloads, ausreichend CPU, schnelles Storage, ring buffers und Capture-Filter auch am Collector (z. B. via tcpdump).

Mirror-Port und Analyzer-Host: Der Collector ist Teil des Designs

Viele Teams optimieren den Switch, vergessen aber den Analyzer. Ein Capture-Host kann leicht zum Flaschenhals werden: zu langsame Disk, zu kleines Capture-Buffering, falsches Interface (1G statt 10G), oder CPU-Limit durch zu viel Dekodierung in Echtzeit. Für produktionsnahe Captures ist es oft besser, roh zu schreiben (pcap/pcapng) und später zu analysieren.

Collector-Checkliste gegen Capture-Drops

• Schnelles Interface: Mirror-Port und Capture-NIC müssen gleiche oder höhere Geschwindigkeit haben als der gespiegelt Traffic.
• Ring Buffer am Host: tcpdump mit Rotation nach Größe/Zeit (Ring Buffer) schützt vor „Disk voll“. Siehe tcpdump Manpage.
• Snaplen bewusst: Reduzieren Sie Snaplen, wenn Payload nicht nötig ist, um IO zu senken (ohne Beweise zu zerstören).
• Capture-Filter setzen: BPF-Filter reduziert PPS/Bytes massiv; Syntax in pcap-filter(7).
• Nicht live dekodieren: Wireshark-Live-Capture auf hohen Raten führt oft zu Drops; lieber mitschreiben und später öffnen.

VLAN-Tags, Trunks und „was sehe ich eigentlich?“

Ein häufiger Stolperstein: Mirror-Captures enthalten VLAN-Tags oder eben nicht – je nach Plattform. Das kann Analysen verfälschen, wenn Sie z. B. glauben, ein Paket sei untagged, obwohl es im Produktivpfad getagged war. Ebenso können Trunk-Mirrors doppelt so viel Traffic enthalten wie erwartet, weil mehrere VLANs und Broadcast/Multicast-Anteile enthalten sind.

• Beweisfrage anpassen: Wenn Sie nur einen Server-Flow brauchen, spiegeln Sie den Access-Port oder filtern Sie VLANs.
• Tagging prüfen: In Wireshark gezielt nach 802.1Q filtern, um VLAN-Kontext zu sehen.
• Mirror-Optionen dokumentieren: Ob tags preserved/stripped ist, sollte im Evidence Pack stehen.

Microbursts und Buffering: Warum Spiegelung bei Peaks besonders leidet

Selbst bei ausreichender Durchschnittskapazität können Microbursts (kurze Spitzen im Millisekundenbereich) Mirror-Pakete droppen lassen. Gründe: interne ASIC-Puffer sind für Produktionsforwarding optimiert, Mirror-Replication braucht zusätzliche Ressourcen, und Mirror-Queues sind oft kleiner oder niedriger priorisiert.

• Symptom: PCAP zeigt Lücken genau bei Lastspitzen, obwohl Interfaces keine Drops melden.
• Mitigation: Quellen reduzieren, nur eine Richtung spiegeln, Filter nutzen, Mirror-Port überdimensionieren.
• Mitigation: ERSPAN/RSPAN Transport priorisieren, damit Mirror-Pakete nicht in Best-Effort untergehen.

Beweisführung: Wie Sie Mirror-Vollständigkeit verifizieren

Sie sollten nie davon ausgehen, dass ein Mirror vollständig ist. Verifizieren Sie Vollständigkeit mit schnellen Checks, bevor Sie aus einem PCAP starke Schlussfolgerungen ziehen.

Schnelle Validierungsansätze

• Zählervergleich: Switch-Interface-Counter (Bytes/Pkts) auf Quelle und Mirror-Port grob vergleichen (unter Berücksichtigung von Ingress/Egress und Replikation).
• Capture-Drops am Collector: tcpdump meldet Drops; wenn Drops > 0 sind, ist Ihr PCAP unvollständig.
• Sequenzlogik: Bei TCP-Flows prüfen, ob Sequenzsprünge plausibel sind oder ob ganze Segmente fehlen (als Indiz).
• Mehrpunktmessung: Wenn möglich, parallel am Client und am Server capturen. Wenn beide Captures konsistent sind, ist der Befund stärker.

Designmuster: Mirror-Design ohne Paketverlust in typischen Szenarien

Scenario: Einzelner Server-Flow auf einem 10G-Access-Port

• Design: SPAN nur dieses Access-Interface, nur Ingress oder nur Egress je nach Frage.
• Collector: 10G NIC, tcpdump Ring Buffer, Snaplen 256–512, BPF auf Ziel-IP/Port.
• Ergebnis: Sehr hohe Vollständigkeit, geringer Noise.

Scenario: Firewall/Load-Balancer Troubleshooting mit Vor/Nach-Vergleich

• Design: Zwei Mirrors: einmal vor der Middlebox, einmal danach. Captures zeitlich synchronisieren.
• Transport: ERSPAN zu zentralem Collector, QoS-markiert.
• Ergebnis: Beweisführung „Transformation vs. Drop“ wird belastbar.

Scenario: Fabric/Trunk-Analyse im Rechenzentrum

• Design: Nicht den kompletten Trunk spiegeln, sondern ERSPAN-Filter auf relevante VLANs/Flows nutzen (wenn Plattform unterstützt).
• Kapazität: Mirror-Port/Collector überdimensionieren, sonst werden Microbursts dominieren.
• Ergebnis: Statt unbrauchbarem „alles“ bekommen Sie analysierbare Beweise.

Runbook-Baustein: SPAN/ERSPAN in 15 Minuten korrekt aufsetzen

• Minute 0–3: Beweisfrage und Flow definieren. Entscheiden: SPAN lokal, RSPAN L2 oder ERSPAN L3. Quelle so nah wie möglich am Problem wählen.
• Minute 3–6: Kapazität prüfen: Peak der Quelle(n) vs. Mirror-Port/Transport. Ingress/Egress bewusst wählen, Filter aktivieren, wenn möglich.
• Minute 6–9: Collector vorbereiten: schnelles Interface, tcpdump Ring Buffer, Snaplen passend, BPF-Filter. Testcapture 10–20 Sekunden, Drops prüfen.
• Minute 9–12: ERSPAN/RSPAN Transport verifizieren: MTU, QoS/DSCP, Pfad stabil. Bei ERSPAN: Fragmentation vermeiden, ggf. Snaplen reduzieren.
• Minute 12–15: Vollständigkeit validieren: Counter grob vergleichen, tcpdump Drops kontrollieren, Schlüssel-Flow in Wireshark öffnen und auf Lücken prüfen. Erst dann Aussagen treffen.

Weiterführende Quellen

• tcpdump Manpage für Ring Buffer, Snaplen und Capture-Workflows am Collector
• pcap-filter(7) für BPF-Filter, um Mirror-Traffic auf relevante Flows zu begrenzen
• Wireshark Dokumentation für Analyse, VLAN-Interpretation und Beweisführung aus PCAPs
• RFC 1191 und RFC 8201 für PMTUD/MTU-Hintergründe, die bei ERSPAN-Encapsulation schnell relevant werden

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.