星融元 NPB 解决方案的 Inline-Bypass 高可靠机制通过将复杂的故障检测逻辑下沉至硬件转发层以实现“底层自愈”,达成安全性与连通性的平衡。这不仅是 NPB 功能的叠加,更是对超大规模网络架构韧性的重塑。
为何需要“串接”?
在高性能网络安全与审计领域,流量处理已从传统的旁路镜像全面转向串接监测:将安全设备串接部署在流量的主路径上,以实现流量的实时清洗、深度解析(DPI)以及恶意流量的拦截阻断。
毫无疑问,引入串接架构的前提是妥善解决好随之而来的风险,例如:
- 物理层故障:光模块损坏、线缆断裂或单板掉电导致网络主干道物理性截断。
- 逻辑层假死:DPI 引擎在处理复杂协议或大流量冲击时,可能由于软件原因导致挂死,而此时物理链路往往仍显示为 Up。
技术剖析:星融元 Inline-Bypass 高可靠机制
星融元推出的新一代网络可视化(NPB2.0)是一套基于SONiC的容器化的解决方案。
该方案抛弃了传统TAP/汇聚分流器等专用硬件,采用标准化且经过大规模高压力关键流量场景验证过的数据中心级交换机实现,产品覆盖从25G/100G 经典机型,直至400G/800G的高端机型。
更多介绍请参阅:
对于串接部署场景,NPB设备的高可靠机制不再是一个可选功能,而是保障核心业务稳定的基础底座。
多维权重的故障感知
Inline-Bypass 技术的核心是一套精密的状态机检测引擎,构建了多维度的健康评估模型,并非单纯监测链路状态。
- L1 物理监测:实时采集 SerDes 信号。当检测到成员端口 Down 时,由硬件中断触发快速收敛。
- L2 协议监测(可选):通过 LLDP 心跳检测 或其他私有协议确认 DPI 内部转发面的逻辑存活度。
- 聚合组逻辑感知 (LAG-Aware) :系统精准判定“部分链路 Down(触发负载重分担)”与“全组链路 Down(触发透传)”的差异,确保动作的精确性。
- 延时滤波算法 (T1 Delay) :支持 1s-30s 的配置。系统通过滑动窗口算法平滑物理波动,避免在链路闪断时频繁切换策略导致的传输异常。
硬件级路径切换
为了实现高效的切换体验,本方案在底层 ASIC 芯片中预置了双转发路径
- 正常路径(Normal Mode):ISP 入接口 -> 添加VLAN 标签 -> 分发至下联 LAG -> 接收 DPI 回传流量 -> 剥离VLAN标签 -> 业务出接口。
- 透传路径(Bypass Mode):ISP 入接口 -> ACL 匹配 -> 直接转发至业务出接口(保持原始报文格式)。
当满足切换条件时,切换引擎将直接启用已经缓存的 bypass 策略,达到快速恢复的目的。
稳健回切机制
回切是导致二次故障的高发期,本方案系统引入了回切延时 (T2 Delay)机制(推荐设置60s以上)提高业务稳定性:
- 稳定性观察期:只有当 LAG 内至少一个成员端口 Up 且持续 T2 时间无抖动,才触发回切。
- 缓冲窗口:这为 DPI 设备加载特征库、热启动解析引擎提供了充足的缓冲期,确保导回流量时 DPI 已处于 100% 的处理能力状态。
运维可视化与审计支持
基于管理控制台,运维人员可以获得全方位的管理支撑。
- 实时状态看板:通过绿色(正常)、红色(故障透传)、蓝色(手动强制)三色实时映射设备状态。
- 手动/自动双模式:在手动模式下,流量会绕过DPI,此时DPI可以进行设备升级或人工检修。在自动模式下,系统会自动检查DPI状态,当满足切换条件时,流量会绕过DPI进入透传路径,并在满足回切条件时,快速恢复。
- 全生命周期日志:详细记录“全 Down 触发时间”、“剩余回切时间”、“触发端口细节”等关键参数,并同步触发 Syslog 紧急告警。
