硬件级加密：NPB 2.0如何用MACsec守护长距镜像流量安全

在多点采集场景中，汇聚流量往往需要经过长距离传输，而这些镜像流量本身通常包含敏感数据，如何在传输过程中保障安全成为关键问题。

传统做法是通过NPB的高级功能对报文 Payload 进行加密，但这种方式依赖软件处理，极大消耗系统性能，难以在大规模场景下推广。

NPB 2.0 采用了全新的思路：充分利用交换芯片内置的 MACsec（Media Access Control Security） 能力，不在业务层执行“软件加密”，而是在链路层对整个以太网帧进行硬件级加密，实现线速的安全传输，从根本上保障采集流量在汇聚和传输过程中的安全性。

什么是MACsec？

MACsec 基于 MKA（MACsec Key Agreement） 协议完成密钥协商，为通信双方建立安全通道，并使用高强度算法（如 AES-GCM）对以太网帧进行实时加密和完整性校验，防止数据泄露与篡改。

TLS 、IP sec和MACsec的区别？

• TLS 于 1999 年制定，作为对 SSL 的增强，在 TCP/IP 的传输层（OSI 的第 4 层）实现。DTLS 最初于 2006 年 4 月通过 RFC 4347 提出，适用于数据报协议，例如 UDP/IP（也是第 4 层）。因此，它不仅局限于以太网，但一次只能保护单个数据流或一个通信通道。TLS 保护网络浏览器、客户端应用程序以及所有应用程序与云服务的通信。HTTPS 和 SSH 是可以利用 TLS 的其中两个协议，它们的实现完全在软件的控制范围内。
• IPsec：如果需要加密来保护网络（以及遍历 IP 协议的任何其他内容），则 IPsec 是理想之选。IPsec 在 OSI 堆栈的网络层（第 3 层）实现，通常作为 VPN 连接。
• MACsec：当需要对所有以太网流量，无论涉及的上层协议如何，都进行加密时，则需要在硬件级别（链路或媒体访问层 2）执行加密。一旦链路启用了 MACsec，该连接上的所有流量都将受到保护，免遭窥探。

  MACsec 通过向以太网帧添加两个额外字段来提供加密和身份验证服务。

硬件MACsec，保障长距镜像流量传输安全

在 NPB 2.0 中，我们所使用的设备（运行NPB增强功能的SONiC交换机）依托交换芯片的MACsec能力，支持端口级别启用，由硬件加速引擎执行加解密操作，不影响线速转发性能。对于通过暗光纤或租赁物理专线进行跨区长距离流量采集传输的场景，可有效抵御中间人攻击、链路窃听等风险。

对比基于 IP 层的加密方案（如 IPsec，不能实现线速转发，也不能保护二层帧头后的所有数据，性能开销较高），MACsec 延迟更低、带宽利用率更高，是保障二层链路安全的理想方案，在网络可视化与数据安全之间实现性能与保护的平衡。

在NPB 2.0架构中，通过交换芯片原生支持MACsec，不仅实现了对敏感镜像流量的全程加密与完整性保护，更在性能与安全之间取得了理想平衡。未来，随着网络可视化与数据安全需求的持续增长，基于硬件的MACsec技术有望成为跨区域、高性能流量采集场景中的标准安全实践，进一步推动网络安全架构向更高效、更可信的方向演进。