AEGYS DATALYTICS

WISSEN — GRUNDLAGEN & COMPLIANCE

SPAN-Port und Netzwerk-TAP

Ein SPAN-Port und ein Netzwerk-TAP sind zwei Wege, eine Kopie des Netzwerkverkehrs passiv abzugreifen, ohne den Datenfluss zu stören. Ein SPAN-Port (auch Mirror-Port) ist eine Funktion im Switch, die den Verkehr spiegelt; ein TAP ist ein dediziertes Gerät zwischen zwei Punkten der Leitung. Beide sind die technische Grundlage, über die NDR passiv mitliest.

Einfach erklärt

Um Netzwerkverkehr zu analysieren, ohne ihn zu beeinflussen, braucht man eine Kopie davon. Der SPAN-Port ist wie eine Abzweigung, die der Switch selbst bereitstellt. Der TAP ist ein kleines Gerät, das man in die Leitung einsetzt und das den Verkehr unverändert durchlässt, aber eine Kopie ausleitet. Beide ermöglichen reines Mitlesen.

Der Unterschied

A · SPAN-PortSwitchMirror-KopieNDR-ApplianceB · Netzwerk-TAPHost AHost BTAPNDR-ApplianceBeide liefern eine passive Kopie — TAP verlustfrei auch bei Volllast, SPAN ohne Zusatzhardware.

Ein SPAN-Port ist flexibel und ohne Zusatzhardware nutzbar, kann aber bei hoher Last Pakete verwerfen und belastet den Switch. Ein TAP liefert eine vollständige, unveränderte Kopie auch unter Volllast, erfordert aber ein physisches Gerät in der Leitung. Welcher Weg passt, hängt von Umgebung und Anforderung ab.

Wozu es dient und wo die Grenze liegt

SPAN-Port und TAP sind die Voraussetzung für passive Netzwerkanalyse. „Passiv" ist hier entscheidend: Weil nur eine Kopie ausgeleitet wird, entsteht keine Rückwirkung auf den produktiven Betrieb — ein wichtiger Punkt gerade in sensiblen oder OT-Umgebungen, in denen kein Eingriff erlaubt ist.

Verwandte Begriffe

AEGYS Monitor wird passiv über SPAN-Port oder TAP angebunden — mehr dazu.

Zuletzt aktualisiert: 5. Juni 2026 · 4 Min. Lesezeit