在多點采集場景中，匯聚流量往往需要經過長距離傳輸，而這些鏡像流量本身通常包含敏感數據，如何在傳輸過程中保障安全成為關鍵問題。

傳統做法是通過NPB的高級功能對報文 Payload 進行加密，但這種方式依賴軟件處理，極大消耗系統性能，難以在大規模場景下推廣。

NPB 2.0 采用了全新的思路：充分利用交換芯片內置的 MACsec（Media Access Control Security） 能力，不在業務層執行“軟件加密”，而是在鏈路層對整個以太網幀進行硬件級加密，實現線速的安全傳輸，從根本上保障采集流量在匯聚和傳輸過程中的安全性。

什么是MACsec？

MACsec 基于 MKA（MACsec Key Agreement） 協議完成密鑰協商，為通信雙方建立安全通道，并使用高強度算法（如 AES-GCM）對以太網幀進行實時加密和完整性校驗，防止數據泄露與篡改。

TLS 、IP sec和MACsec的區別？

• TLS于 1999 年制定，作為對 SSL 的增強，在 TCP/IP 的傳輸層（OSI 的第 4 層）實現。DTLS 最初于 2006 年 4 月通過 RFC 4347 提出，適用于數據報協議，例如 UDP/IP（也是第 4 層）。因此，它不僅局限于以太網，但一次只能保護單個數據流或一個通信通道。TLS 保護網絡瀏覽器、客戶端應用程序以及所有應用程序與云服務的通信。HTTPS 和 SSH 是可以利用 TLS 的其中兩個協議，它們的實現完全在軟件的控制范圍內。
• IPsec：如果需要加密來保護網絡（以及遍歷 IP 協議的任何其他內容），則 IPsec 是理想之選。IPsec 在 OSI 堆棧的網絡層（第 3 層）實現，通常作為 VPN 連接。
• MACsec：當需要對所有以太網流量，無論涉及的上層協議如何，都進行加密時，則需要在硬件級別（鏈路或媒體訪問層 2）執行加密。一旦鏈路啟用了 MACsec，該連接上的所有流量都將受到保護，免遭窺探。

硬件MACsec，保障長距鏡像流量傳輸安全

在 NPB 2.0 中，我們所使用的設備（運行NPB增強功能的SONiC交換機）依托交換芯片的MACsec能力，支持端口級別啟用，由硬件加速引擎執行加解密操作，不影響線速轉發性能。對于通過暗光纖或租賃物理專線進行跨區長距離流量采集傳輸的場景，可有效抵御中間人攻擊、鏈路竊聽等風險。

對比基于 IP 層的加密方案（如 IPsec，不能實現線速轉發，也不能保護二層幀頭后的所有數據，性能開銷較高），MACsec 延遲更低、帶寬利用率更高，是保障二層鏈路安全的理想方案，在網絡可視化與數據安全之間實現性能與保護的平衡。

在NPB 2.0架構中，通過交換芯片原生支持MACsec，不僅實現了對敏感鏡像流量的全程加密與完整性保護，更在性能與安全之間取得了理想平衡。未來，隨著網絡可視化與數據安全需求的持續增長，基于硬件的MACsec技術有望成為跨區域、高性能流量采集場景中的標準安全實踐，進一步推動網絡安全架構向更高效、更可信的方向演進。