9.2.2　ERSPAN设计样例

企业“G”刚启动了一个小规模的服务器虚拟化工作，使用NX1KV交换机作为虚拟接入层，同时保留了现有的服务汇聚层的Cat6K交换机。企业“G”希望通过实现ERSPAN以获得新生成的虚拟接入层网络传输流的可视性。

图9-5展示了企业“G”的ERSPAN部署，此时，目标IP属于Cat6K交换机，ERSPAN目标会话也在Cat6K交换机上完成，能够将GRE封装包转发给其他附带了监听设备（也可以为NAM或IPS设施）的端口。

图9-5中ERSPAN到目标Cat6K的操作包括以下5个简单步骤：

步骤1：将某个ERSPAN源端口配置成Veth1，连接到VM1；

步骤2：如果上述ERSPAN源端口接收了GRE封装包，则将它们发送到目标IP；

步骤3：包将路由后发送至Cat6K上配置的目标IP；

步骤4：Cat6K配置了一个ERSPAN目标会话，将端口Fat4/1接收到的GRE封装包解封装，并转发到端口Fat4/2；

步骤5：连接到端口Fat4/2的外部网络截获了这些包以进行分析。

图　9-5　以L3交换机为目标的ERSPAN

说明：为了实现安全监控，读者可以采用IDS/IPS设备来代替外部网络分析器。