在多點(diǎn)采集場(chǎng)景中，匯聚流量往往需要經(jīng)過長(zhǎng)距離傳輸，而這些鏡像流量本身通常包含敏感數(shù)據(jù)，如何在傳輸過程中保障安全成為關(guān)鍵問題。

傳統(tǒng)做法是通過NPB的高級(jí)功能對(duì)報(bào)文 Payload 進(jìn)行加密，但這種方式依賴軟件處理，極大消耗系統(tǒng)性能，難以在大規(guī)模場(chǎng)景下推廣。

NPB 2.0 采用了全新的思路：充分利用交換芯片內(nèi)置的 MACsec（Media Access Control Security） 能力，不在業(yè)務(wù)層執(zhí)行“軟件加密”，而是在鏈路層對(duì)整個(gè)以太網(wǎng)幀進(jìn)行硬件級(jí)加密，實(shí)現(xiàn)線速的安全傳輸，從根本上保障采集流量在匯聚和傳輸過程中的安全性。

什么是MACsec？

MACsec 基于 MKA（MACsec Key Agreement） 協(xié)議完成密鑰協(xié)商，為通信雙方建立安全通道，并使用高強(qiáng)度算法（如 AES-GCM）對(duì)以太網(wǎng)幀進(jìn)行實(shí)時(shí)加密和完整性校驗(yàn)，防止數(shù)據(jù)泄露與篡改。

TLS 、IP sec和MACsec的區(qū)別？

• TLS于 1999 年制定，作為對(duì) SSL 的增強(qiáng)，在 TCP/IP 的傳輸層（OSI 的第 4 層）實(shí)現(xiàn)。DTLS 最初于 2006 年 4 月通過 RFC 4347 提出，適用于數(shù)據(jù)報(bào)協(xié)議，例如 UDP/IP（也是第 4 層）。因此，它不僅局限于以太網(wǎng)，但一次只能保護(hù)單個(gè)數(shù)據(jù)流或一個(gè)通信通道。TLS 保護(hù)網(wǎng)絡(luò)瀏覽器、客戶端應(yīng)用程序以及所有應(yīng)用程序與云服務(wù)的通信。HTTPS 和 SSH 是可以利用 TLS 的其中兩個(gè)協(xié)議，它們的實(shí)現(xiàn)完全在軟件的控制范圍內(nèi)。
• IPsec：如果需要加密來保護(hù)網(wǎng)絡(luò)（以及遍歷 IP 協(xié)議的任何其他內(nèi)容），則 IPsec 是理想之選。IPsec 在 OSI 堆棧的網(wǎng)絡(luò)層（第 3 層）實(shí)現(xiàn)，通常作為 VPN 連接。
• MACsec：當(dāng)需要對(duì)所有以太網(wǎng)流量，無論涉及的上層協(xié)議如何，都進(jìn)行加密時(shí)，則需要在硬件級(jí)別（鏈路或媒體訪問層 2）執(zhí)行加密。一旦鏈路啟用了 MACsec，該連接上的所有流量都將受到保護(hù)，免遭窺探。

硬件MACsec，保障長(zhǎng)距鏡像流量傳輸安全

在 NPB 2.0 中，我們所使用的設(shè)備（運(yùn)行NPB增強(qiáng)功能的SONiC交換機(jī)）依托交換芯片的MACsec能力，支持端口級(jí)別啟用，由硬件加速引擎執(zhí)行加解密操作，不影響線速轉(zhuǎn)發(fā)性能。對(duì)于通過暗光纖或租賃物理專線進(jìn)行跨區(qū)長(zhǎng)距離流量采集傳輸?shù)膱?chǎng)景，可有效抵御中間人攻擊、鏈路竊聽等風(fēng)險(xiǎn)。

對(duì)比基于 IP 層的加密方案（如 IPsec，不能實(shí)現(xiàn)線速轉(zhuǎn)發(fā)，也不能保護(hù)二層幀頭后的所有數(shù)據(jù)，性能開銷較高），MACsec 延遲更低、帶寬利用率更高，是保障二層鏈路安全的理想方案，在網(wǎng)絡(luò)可視化與數(shù)據(jù)安全之間實(shí)現(xiàn)性能與保護(hù)的平衡。

在NPB 2.0架構(gòu)中，通過交換芯片原生支持MACsec，不僅實(shí)現(xiàn)了對(duì)敏感鏡像流量的全程加密與完整性保護(hù)，更在性能與安全之間取得了理想平衡。未來，隨著網(wǎng)絡(luò)可視化與數(shù)據(jù)安全需求的持續(xù)增長(zhǎng)，基于硬件的MACsec技術(shù)有望成為跨區(qū)域、高性能流量采集場(chǎng)景中的標(biāo)準(zhǔn)安全實(shí)踐，進(jìn)一步推動(dòng)網(wǎng)絡(luò)安全架構(gòu)向更高效、更可信的方向演進(jìn)。