Im Netzwerkmanagement ist das Monitoring von Datenströmen ein wesentlicher Bestandteil der Fehlerdiagnose und -behebung. Eine der effektivsten Methoden dafür ist das Port Mirroring, bei dem der Netzwerkverkehr von einem oder mehreren Ports auf einen anderen Port kopiert wird. Dabei kommen verschiedene Mirroring-Techniken wie SPAN, RSPAN und ERSPAN zum Einsatz. In diesem Artikel wird erklärt, wann welche Technik am besten geeignet ist und wie Sie sie richtig konfigurieren.
1. Was ist SPAN (Switched Port Analyzer)?
SPAN ist die einfachste Form des Port-Mirroring und wird in der Regel auf einem einzelnen Switch verwendet. Dabei wird der Verkehr eines oder mehrerer Ports auf einen anderen Port dupliziert, an dem ein Analysegerät (z.B. ein Sniffer oder ein Netzwerkanalyzer) angeschlossen ist.
1.1. SPAN-Konfiguration auf einem Cisco Switch
Um SPAN auf einem Cisco Switch zu konfigurieren, müssen Sie den Quell- und Zielport definieren:
Switch(config)# monitor session 1 source interface gigabitEthernet 1/0/1Switch(config)# monitor session 1 destination interface gigabitEthernet 1/0/2
In diesem Beispiel wird der Verkehr vom Port GigabitEthernet 1/0/1 auf den Port GigabitEthernet 1/0/2 dupliziert.
2. Was ist RSPAN (Remote SPAN)?
RSPAN erweitert SPAN, indem es ermöglicht, den Traffic von einem Switch-Port auf einen anderen Switch-Port zu übertragen, der sich auf einem anderen Switch im Netzwerk befindet. Dies ist besonders nützlich, wenn Sie den Netzwerkverkehr von entfernten Switches überwachen müssen.
2.1. RSPAN-Konfiguration auf einem Cisco Switch
RSPAN erfordert die Konfiguration eines RSPAN-VLANs, das als Transportmedium zwischen den Switches dient. Zunächst müssen Sie das RSPAN-VLAN konfigurieren:
Switch(config)# vlan 100Switch(config-vlan)# remote-span
Nun müssen Sie auf dem Quell-Switch die Session mit dem RSPAN-VLAN und dem Ziel-Port konfigurieren:
Switch(config)# monitor session 1 source interface gigabitEthernet 1/0/1Switch(config)# monitor session 1 destination remote vlan 100
Auf dem Ziel-Switch wird der RSPAN-Traffic aus dem RSPAN-VLAN empfangen:
Switch(config)# monitor session 1 source remote vlan 100Switch(config)# monitor session 1 destination interface gigabitEthernet 1/0/2
3. Was ist ERSPAN (Encapsulated Remote SPAN)?
ERSPAN ist die fortgeschrittenste Mirroring-Technik und ermöglicht es, den Verkehr von einem oder mehreren Switches über das Netzwerk zu einem zentralen Analysegerät zu übertragen, und zwar über ein IP-Netzwerk. Im Gegensatz zu RSPAN, das auf VLANs basiert, wird ERSPAN mit GRE-Tunneln und IP-Protokollen betrieben und ermöglicht die Übertragung über weite Strecken.
3.1. ERSPAN-Konfiguration auf einem Cisco Switch
ERSPAN benötigt die Konfiguration eines ERSPAN-Tunnels, der den Verkehr kapselt und über das Netzwerk sendet. Zunächst müssen Sie eine ERSPAN-Session einrichten:
Switch(config)# monitor session 1 type erspan-sourceSwitch(config)# monitor session 1 source interface gigabitEthernet 1/0/1Switch(config)# monitor session 1 destination erspan-ip address 192.168.1.10
In diesem Beispiel wird der Verkehr von GigabitEthernet 1/0/1 auf die IP-Adresse 192.168.1.10 über einen ERSPAN-Tunnel gesendet.
4. Wann welches Mirroring verwenden?
Jede der genannten Mirroring-Techniken hat ihre spezifischen Einsatzszenarien:
- SPAN: Ideal für einfache Traffic-Überwachung auf einem einzelnen Switch. Wird verwendet, wenn der Analyseport und der Quellport auf dem gleichen Switch liegen.
- RSPAN: Geeignet, wenn der Verkehr über mehrere Switches hinweg überwacht werden muss, z.B. für entfernte Standorte oder größere Campus-Netzwerke. RSPAN transportiert den Datenverkehr über ein VLAN von einem Switch zum anderen.
- ERSPAN: Optimal, wenn der Datenverkehr über das gesamte Netzwerk hinweg erfasst werden muss und eine Fernüberwachung über IP-Netzwerke erforderlich ist. ERSPAN kann sogar über WAN-Verbindungen oder VPNs hinweg eingesetzt werden.
5. Best Practices für das Mirroring
Um ein effektives Mirroring durchzuführen, sollten folgende Best Practices berücksichtigt werden:
- Vermeiden Sie es, den gesamten Verkehr eines Switches zu spiegeln, es sei denn, es ist unbedingt erforderlich. Dies kann zu einer Überlastung des Analyseports führen.
- Nutzen Sie Filter, um nur den relevanten Verkehr zu spiegeln. Dies reduziert den Overhead und sorgt dafür, dass nur nützliche Daten übertragen werden.
- Verwenden Sie RSPAN oder ERSPAN für größere Netzwerke, um Datenverkehr über mehrere Switches hinweg zu überwachen, ohne die Performance des Hauptswitches zu beeinträchtigen.
- Planen Sie die Implementierung von Mirroring-Mechanismen in regelmäßige Wartungsfenster, um die Netzwerklast zu minimieren.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.