相关概念

1. ECMP (Equal-Cost Multi-Path Routing – 等价多路径路由)： 当路由器发现到达同一目的网络存在多条具有相同“代价”（如带宽、跳数、管理距离等）的最佳路径时，它会将这些路径都加入路由表。为了充分利用带宽并实现负载均衡，ECMP使用一种机制（通常是哈希算法）将不同的数据流分配到不同的下一跳路径上。

2. 哈希算法： 哈希算法将一个输入（如数据包的五元组：源IP、目的IP、源端口、目的端口、协议号）映射为一个固定范围的输出值（哈希桶/索引）。在ECMP中，这个输出值决定了数据流应该走哪条路径（例如，有4条路径，哈希输出范围就是0-3）。

3. 流的概念： ECMP通常基于“流”进行负载均衡。一个“流”通常指具有相同五元组（或其中关键几项）的数据包序列。哈希算法保证同一个流的所有数据包走同一条路径，以避免乱序问题。不同的流则可能被哈希到不同的路径。

什么是Hash极化

理解ECMP路由方式下的Hash极化现象，需要结合ECMP的工作原理和哈希算法的特性来分析。

Hash极化，又称hash不均，具体的表现是在ECMP进行多路径负载均衡时，流量并没有像预期那样均匀地分布到所有可用的等价路径上，而是呈现出明显的偏向性，导致某些路径负载过重（拥塞），而其他路径负载很轻（闲置）的现象。

为什么会出现Hash极化？

Hash极化现象的根本原因在于哈希算法的一致性与网络拓扑结构和流量模式特性之间的相互作用：

1. 哈希算法的一致性

   • 网络设备（路由器、交换机）通常使用相同或非常相似的哈希算法（如Toeplitz哈希）和相同的输入参数（如标准的五元组）。

   • 当流量经过多个使用ECMP的网络设备（尤其是在层次化网络如Clos架构的数据中心中）时，如果这些设备使用相同的哈希算法和参数，它们对同一个数据流计算出的哈希结果（即选择的路径索引）高度一致。

2. 网络拓扑的层次化

   数据中心常见的Clos架构是Hash极化最常见的发生场景。

   • 想象一个典型的三层Clos架构：服务器 -> Leaf交换机 -> Spine交换机 -> … -> 目的地。

   • 第一层ECMP (Leaf -> Spine): 假设Leaf有4个上行端口连接到4个不同的Spine交换机。Leaf使用ECMP和哈希算法H1将服务器流量分配到4个Spine上。目标是均匀分布。

   • 第二层ECMP (Spine -> 下一跳/Leaf): Spine交换机接收到来自Leaf的流量后，它自己也需要使用ECMP（假设也是基于相同的哈希算法H1和相同的五元组输入）将流量转发到其下一跳（可能是另一组Leaf或核心路由器）。

   • 极化发生： 问题就在这里！Leaf交换机已经基于五元组和H1把流A哈希到了Spine 1。当Spine 1收到流A的数据包后，它再次使用相同的H1算法和相同的五元组计算哈希，决定将流A发送到它的哪个下一跳。由于输入（五元组）和哈希函数（H1）都没变，Spine 1计算出的哈希结果（路径索引）极大概率会与Leaf计算出的哈希结果（选择Spine 1这个事实）具有某种相关性，甚至是相同的模式。

   • 结果： 原本在Leaf层被“均匀”分配到4个Spine的流量，在Spine层再次被哈希时，所有来自Spine 1的流量（无论它在Leaf层是从哪个端口来的）都可能被Spine 1的哈希算法再次集中分配到其少数几个下一跳路径上，而不是均匀分散到所有可用路径。 其他Spine上的情况类似。最终导致Spine交换机到其下一跳的链路上，只有少数几条承载了绝大部分来自其上游Leaf的流量，而其他链路则很空闲。这就是极化——流量在下一层被“集中”而非“分散”了。

3. 流量模式的不均衡：

   • 哈希算法的均匀分布依赖于输入（流标识/五元组）本身的随机性。如果实际流量中存在大量具有相似特征的流（例如，大量流共享相同的源IP或目的IP），而这些特征恰好是哈希算法的主要输入，那么这些相似的流就非常可能被哈希到相同的路径上（哈希碰撞），导致该路径过载。

   • 即使没有层次化拓扑，仅在一个ECMP组内，如果流量模式本身高度偏斜（少数大流主导），哈希极化也会导致负载不均。

4. 路径数量与哈希范围：

   • 哈希算法输出范围（桶的数量）需要与可用路径数量匹配。如果算法设计的哈希空间分布不均匀，或者路径数量不是2的幂次而哈希桶分配不合理，也可能导致某些路径被选中的概率更高。

Hash极化的影响

1. 负载不均衡： 这是最直接的影响。部分链路拥塞，部分链路闲置，浪费了宝贵的带宽资源。

2. 网络性能下降： 拥塞链路导致数据包丢失、延迟增加、抖动增大，影响应用性能（特别是对延迟敏感的应用）。

3. 吞吐量瓶颈： 整体网络吞吐量受限于那些被过度使用的链路，无法达到理论上的多路径叠加带宽。

4. 可靠性潜在风险： 过载的链路和设备故障风险更高。同时，当一条过载链路故障时，其承载的大量流量瞬间切换到其他链路，可能引发新的拥塞。

如何缓解Hash极化

1. 使用不同的哈希因子： 这是最常用且有效的方法。为网络中的不同设备（或同一设备的不同ECMP组）配置不同的随机哈希种子。即使算法相同，不同的种子会导致相同的输入产生完全不同的哈希结果，打破了哈希结果在不同层级间的相关性。例如，Spine交换机使用与Leaf交换机不同的种子。

2. 使用不同的哈希算法： 在支持的情况下，让不同层级的设备使用不同的哈希算法。

3. 使用更丰富的哈希输入： 增加哈希算法的输入字段，如加入MAC地址、VLAN标签、MPLS标签、GTP TEID（移动网络）、NVGRE/VXLAN VNI（Overlay网络）、甚至包内特定偏移的字节等。这增加了输入空间的随机性，减少了因五元组相似导致的碰撞。现代设备通常支持灵活选择哈希字段。

4. 层次化感知的哈希/负载均衡： 在Leaf层，除了五元组，可以加入Spine交换机的信息（如出端口ID或Spine的IP）作为哈希输入的一部分。这样，当流量到达Spine时，其哈希输入已经包含了路径信息，有助于Spine层更均匀地分布。这需要设备支持更复杂的哈希策略。

5. 动态负载均衡： 超越静态的基于流的哈希，采用基于实时链路利用率或队列深度的动态负载均衡机制（如一些厂商的“自适应路由”或类似CONGA的思想）。这种方法直接感知拥塞并调整路径选择，能有效避免极化，但实现更复杂。

6. 调整网络拓扑/路径数量： 有时增加路径数量或调整拓扑结构也能缓解问题，但成本较高。

Hash极化是ECMP在多层级网络（尤其是数据中心Clos架构）中使用相同哈希算法和参数时，流量在逐层转发过程中被反复集中到少数路径上，导致负载严重不均衡的现象。其核心原因在于哈希算法在不同层级设备上计算结果的相关性。解决的关键在于打破这种相关性，主要方法包括为不同设备配置不同的哈希种子、使用更丰富多样的哈希输入字段，以及采用更先进的动态负载均衡技术。理解Hash极化对于设计和优化高性能数据中心网络至关重要。

在传统数据中心网络（尤其是Leaf-Spine架构）中，东西向流量的高效调度是核心挑战。传统BGP协议虽能实现路由可达性，但缺乏对路径质量的动态感知能力，导致流量分配不均、高延迟链路未被规避等问题。为提升网络资源利用率，动态智能选路技术应运而生。该技术基于BGP扩展机制，通过实时收集路径质量指标，实现数据流的智能调度，显著优化高吞吐场景（如分布式存储、AI训练）的性能。

BGP扩展能力创新

• 核心属性：定义 Path Bandwidth Extended Community（路径带宽扩展社区属性），类型字段值固定为 0x0005（高8位0x00保留，低8位0x05标识带宽属性）。
• 数据结构：1️⃣ Global Administrator：4字节，存储发起路由宣告的AS号，用于标识路径源。2️⃣ 路径质量值：4字节，以 IEEE 754浮点数格式 存储带宽信息，单位为 GB/s，精确表征链路传输能力。

路径质量同步算法流程

以NIC1与NIC2通信为例：

1. 终端注册：NIC2向直连交换机Leaf2宣告自身IP地址；
2. 质量加权：Leaf2计算 NIC2→Leaf2下行链路质量 × Leaf2下行口权重系数，附加至路由信息；
3. 跨层传递：Leaf2将携带质量值的路由通告至Spine；Spine叠加质量：Spine→Leaf2链路质量 × Spine权重系数 + 已有路径质量值；
4. 路由汇总：Spine将聚合后的路由通告至Leaf1，Leaf1最终生成含完整路径质量的路由表，指导流量转发。注：权重系数按端口类型动态配置，实现差异化路径评估。
5. 交换机端口分类与系数配置：为精准量化路径质量，将端口划分为三类并赋予可调系数：

端口类型	作用	系数意义
Leaf上行口	连接Spine	影响跨设备链路质量权重
Leaf下行口	连接服务器/终端	决定终端接入链路质量权重
Spine口	连接Leaf	控制核心层链路质量聚合权重

灵活性：管理员可根据网络架构需求（如高带宽优先/低延迟优先）动态调整系数。

基于BGP扩展的动态路径优化

• 精细化路径选择：通过浮点数精确量化带宽，替代传统“跳数”或静态成本值，避免ECMP（等价多路径）在非对称链路中的负载失衡问题。
• 实时动态优化：链路质量变化（如拥塞、故障）可快速通过BGP更新传递，触发路径重计算，提升网络韧性。
• 兼容性与扩展性：基于BGP扩展实现，无需改造底层协议，平滑兼容现有网络设备，支持大规模部署。

优化高吞吐场景

• 分布式计算集群：优化AI训练任务中参数服务器与工作节点的通信路径；
• 金融交易系统：确保低延迟链路优先承载订单流量；
• 云数据中心：提升虚拟机迁移和存储复制的吞吐性能。

优化智算中心：动态智能选路新方向

动态智能选路技术通过扩展BGP的路径质量感知能力，解决了传统数据中心网络“只连通、不优化”的痛点。其分层加权算法与可配置端口系数设计，为复杂流量调度场景提供了高适应性解决方案，是构建高性能、自优化数据中心网络的关键演进方向。

【参考文献】
想了解更多智能选路技术，可访问

https://asterfusion.com/a20250528-flowlet-alb/

什么是 DHCP 侦听

DHCP侦听（DHCP snooping）是一种部署在以太网交换机上的网络安全机制，用于阻止未经授权的 DHCP 服务器为客户端分配 IP 地址。该机制通过检查 DHCP 消息并仅允许来自受信任端口的 DHCP 消息通过，从而防止非法 IP 地址分配，确保网络环境安全稳定。

为什么需要DHCP侦听？

在企业、校园甚至公共网络中，与 DHCP 相关的问题并不少见，而且它们可能会造成严重的网络中断。有时，仅仅是配置错误的设备意外地充当了 DHCP 服务器，分配了错误的 IP 地址，导致连接中断。有时，问题更为严重，例如攻击者设置了恶意 DHCP 服务器，通过虚假网关或 DNS 服务器重新路由用户，从而为中间人攻击打开了方便之门。即使是客户端手动为自己分配静态 IP 地址，也可能造成混乱，引发冲突，并使网络安全管理更加困难。

DHCP 侦听的好处：

• 阻止恶意 DHCP 服务器干扰网络。
• 确保客户端收到准确的 IP 地址和网络配置。
• 通过降低攻击风险来增强网络安全。

DHCP 侦听如何工作？

要真正理解DHCP 监听的工作原理，首先必须清楚了解DHCP（动态主机配置协议）的工作原理。当设备加入网络且尚未获得 IP 地址时，它会发起与 DHCP 服务器的对话——这是一个四步握手过程，包括：发现 (Discover )、提供 (Offer)、请求 (Request)和确认 (Acknowledge )。可以将其视为设备和服务器之间获取 IP 身份的快速协商过程。下图详细分析了此动态交换过程中每个步骤的具体细节。

在启用 DHCP Snooping 的网络中，交换机接口分为两个主要角色：可信端口和不可信端口。

• 可信端口：这些端口连接到合法的 DHCP 服务器或上行链路设备（例如路由器或核心交换机），并被允许发送 DHCP 服务器消息（例如 DHCP OFFER、DHCP ACK）。
• 不受信任的端口：这些端口连接到常规客户端（例如，PC 或打印机），并且仅限于发送 DHCP 客户端消息（例如，DHCP DISCOVER、DHCP REQUEST）。
• 默认情况下，所有端口都是不受信任的；必须手动配置受信任的端口。

DHCP 消息过滤：

• 来自不受信任端口的 DHCP 服务器消息（例如 DHCP OFFER、DHCP ACK）将被丢弃，以防止恶意 DHCP 服务器运行。
• 客户端请求（例如，DHCP DISCOVER、DHCP REQUEST）可以来自不受信任的端口，但服务器响应只允许来自受信任的端口。

DHCP绑定表：

• DHCP 侦听维护一个绑定表，其中记录每个客户端的 MAC 地址、分配的 IP 地址、租用期限、VLAN 和端口信息。
• 该表用于验证后续流量，防止 IP 地址欺骗。

与 IP Source Guard 集成：

DHCP 侦听通常与 IP 源防护配合使用，根据绑定表过滤流量，仅允许分配的 IP 地址从客户端发送数据，阻止未经授权的 IP。

支持 DHCP  option 82（可选）：

DHCP 侦听可以插入或处理 DHCP option 82（中继代理信息），为 DHCP 服务器提供有关客户端端口和交换机的详细信息，从而实现更精确的 IP 分配。

DHCP 侦听可以防范哪些常见网络攻击

DHCP 侦听可有效缓解以下网络威胁：

恶意 DHCP 服务器攻击：

• 工作原理：攻击者设置未经授权的 DHCP 服务器来分发不正确的 IP 地址、网关或 DNS 服务器。
• 影响：客户端流量被重定向到攻击者的设备，从而实现 MITM 攻击、流量拦截或 DNS 欺骗。
• 防御：DHCP 侦听会丢弃来自不受信任端口的服务器消息，仅允许受信任的端口发送 DHCP 响应。

DHCP 饥饿攻击：

• 工作原理：攻击者利用 DHCPDISCOVER 请求淹没网络，耗尽 DHCP 服务器的 IP 地址池。
• 影响：合法客户端无法获取IP地址，导致网络服务中断。
• 防御：当与端口安全或每个端口的速率限制 DHCP 请求相结合时，DHCP 侦听可以防止过多的流量压垮服务器。

中间人（MITM）攻击：

• 工作原理：恶意 DHCP 服务器分配虚假网关或 DNS 服务器，通过攻击者的设备路由客户端流量。
• 影响：攻击者可以监控、修改或重定向客户端通信。
• 防御：DHCP 侦听确保仅处理受信任的 DHCP 消息，从而阻止恶意配置。

IP欺骗攻击：

• 工作原理：客户端手动配置未经授权的 IP 地址来冒充合法主机。
• 影响：这可能导致 IP 冲突、网络中断，或成为进一步攻击的垫脚石。
• 防御：通过与 IP Source Guard 和 DHCP 绑定表集成，DHCP Snooping 可以阻止来自未经授权的 IP 地址的流量。

DHCP 侦听的应用场景

1. 公共网络：在咖啡店、酒店或共同工作空间等环境中，恶意用户可能会部署恶意 DHCP 服务器来窃取数据或发起攻击。
2. 企业网络：具有多个部门或 VLAN 的大型网络依靠 DHCP 侦听来确保客户端连接到正确的 DHCP 服务器。
3. 高安全性环境：在需要遵守数据保护法规和其他有保密等级要求的环境中，DHCP 侦听功能有助于防止未经授权的访问。
4. 防范 DHCP 欺骗：它减轻了客户端被重定向到恶意网关的风险，增强了整体网络安全性。

配置示例

传统方式-手动配置

configure Terminal #进入系统配置视图
dhcp snooping enable{v4|v6} #启用DHCP Snooping功能，默认禁用。
interface ethernet  interface-id  #进入接口视图
dhcp-snooping enable #启用DHCP Snooping功能，默认禁用。
dhcp-snooping trusted #设置端口的信任状态，默认不信任。

sonic# configure terminal
sonic(config)# dhcp snooping enable v4
sonic(config)# interface ethernet 20
sonic(config-if-20)# dhcp-snooping enable
sonic(config-if-20)# dhcp-snooping trusted

云化配置方式 – 图形化配置

星融元的云化园区网络解决方案，通过一个开源、开放架构（基于OpenWiFi）的网络控制器来为有线无线网络设备下发配置，进行开局配置时在交换机上会默认开启DHCP Snooping，有效防止 DHCP Server 仿冒者攻击，使 DHCP 客户端能够通过合法的DHCP 服务器获取 IP 地址，管理员无需关注不同设备的信任接口与非信任接口，而是通过控制器的拓扑信息自动生成。

根据当前网络的所需的安全等级，管理员可在控制器界面上自行选择是否还需要开启ARP检测(DAI)和IP源攻击防护(IPSG)功能，该功能主要是通过全局的 DHCP Snooping 表项判断主机是否合法，不仅可以防止恶意主机伪造合法主机访问网络，同时还能确保主机不通过自己指定 IP 地址的方式来访问或攻击网络，造成可能的IP 地址冲突。

更多配置流程请参考：完整流程揭秘：30分钟搞定中大型园区网络业务开通，可行吗？

随着现代企业园区网络和运营商级基础设施的不断发展，多协议标签交换 （MPLS） 已成为一项基础技术，这要归功于其高效的数据包转发、高级流量工程功能以及对多租户环境的强大支持。

什么是MPLS？

MPLS（多协议标签交换，Multiprotocol Label Switching）是一种基于标签的转发技术，结合了二层交换的简捷性与三层路由的灵活性。通过预分配的标签（Label）替代传统IP路由的逐跳查表，提升转发效率。

MPLS起源于IPv4（Internet Protocol version 4），其核心技术可扩展到多种网络协议，包括IPv6（Internet Protocol version 6）、IPX（Internet Packet Exchange）和CLNP（Connectionless Network Protocol）等。MPLS中的“Multiprotocol”指的就是支持多种网络协议。

由此可见，MPLS并不是一种业务或者应用，它实际上是一种隧道技术。这种技术不仅支持多种高层协议与业务，而且在一定程度上可以保证信息传输的安全性。

核心组件：LER（标签边缘路由器）、LSR（标签交换路由器）、FEC（转发等价类）。

工作原理

1. 标签分配：入口路由器（LER）为数据包分配标签，标签对应转发路径（LSP）。
2. 标签交换：中间路由器（LSR）根据标签转发表（LFIB）快速转发，无需解析IP头部。
3. 标签移除：出口路由器（LER）剥离标签，恢复原始IP数据包。

标签结构

MPLS 标签是一个紧凑的 32 位报头，包含四个关键字段：

• 标签 （20 位） — 标识通过 MPLS 网络的路径 （LSP）
• EXP（3 位）— 用于 QoS（服务质量）标记或流量优先级
• S （1 bit） – 堆栈标志的底部;指示这是否是堆栈中的最后一个标签
• TTL（8 位）– 生存时间;通过限制数据包的生命周期来防止路由循环

为什么需要MPLS？

在传统IP网络架构中，基于三层路由的转发机制逐渐暴露很多问题。

首先，转发效率低下的问题尤为突出，由于每台路由器都需要逐跳解析IP报文头部并查询路由表，这种反复查表的机制在大流量场景下会产生显著延迟，难以满足数据中心或运营商核心网的高吞吐需求。

其次，传统路由技术对路径控制能力薄弱，完全依赖OSPF、BGP等动态路由协议自动选路，既无法主动规避拥塞链路，也无法为特定业务指定优化路径，导致网络资源利用率低下。

更棘手的是多业务隔离难题，VLAN受限于4096个ID的规模上限，ACL策略管理复杂度随业务增长呈指数级上升，这种基于二层的隔离方案难以支撑跨地域、多租户的现代组网需求。

MPLS技术的核心功能

服务质量（QoS）

MPLS在QoS中的应用主要体现在其对网络流量优先级管理的精细化能力上，而EXP字段（Experimental Bits，后更名为Traffic Class字段）是两者结合的核心纽带。MPLS如何实现QoS保障？在MPLS网络入口（LER），根据业务类型（如语音、视频、普通数据）为流量分配EXP值，可通过手动配置或自动映射（如将IP层的DSCP值转换为EXP值）。LSR根据EXP值分为不同优先级队列，优先转发低延迟流量（SP）和按比例分配剩余带宽（WFQ）。当链路拥塞时，低EXP值的流量可能被丢弃（如TCP流量），而高EXP值的流量（如VoIP）始终保障带宽，此外，再结合RSVP-TE等协议实现关键业务（如语音、实时视频）的带宽保障和低抖动传输，构建起从转发效率到业务体验的全方位优化体系。

流量工程（TE）

TE通过MPLS技术解决了传统IP网络无法实现的精细化流量控制需求，通过显式路径（Explicit Path）手动或策略驱动流量走向，均衡负载或避开瓶颈链路，从而优化网络性能。

业务隔离与VPN

传统VPN一般是通过GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）、PPTP（Point to Point Tunneling Protocol）等隧道协议来实现私有网络间数据在公网上的传送，而MPLS LSP是通过标签交换形成的隧道，数据报文不再经过封装或者加密，因此，用MPLS实现VPN具有天然的优势。

基于MPLS的VPN通过LSP将私有网络的不同分支联结起来，形成一个统一的网络，如图所示。基于MPLS的VPN还支持对不同VPN间的互通控制。这对于企业和运营商网络至关重要。

• CE（Customer Edge）是用户边缘设备，可以是路由器，也可以是交换机或主机。
• PE（Provider Edge）是IP/MPLS骨干网的边缘设备。
• P（Provider）是IP/MPLS骨干网的骨干设备，不与CE直接相连。P设备只需要具备基本MPLS转发能力，不维护VPN信息。

AsterNOS：软件定义架构下的MPLS转发技术革新

SONiC（Software for Open Networking in the Cloud） 是开源社区的网络操作系统，其核心目标是构建开放、解耦的云数据中心网络架构。作为全球首个完全开源的网络操作系统，SONiC基于Linux内核设计，支持标准化硬件（如白盒交换机）与容器化微服务架构，通过模块化组件（如SAI——交换机抽象接口）实现灵活的功能扩展。其开源特性吸引了全球云服务商、运营商及企业的广泛参与，逐步成为云原生网络的事实标准。

尽管社区版 SONiC 通过模块化设计为云数据中心提供了开放灵活的基础架构，但其在复杂协议支持上的短板始终制约着企业级场景的深度应用。以MPLS为例，社区版本需依赖第三方扩展或定制化开发，导致功能碎片化、性能不稳定，难以满足金融专网、跨云互联等高可靠性需求。

AsterNOS基于 SONiC 的开放式园区交换机的完整产品组合现在完全支持 MPLS，它提高了数据包转发速度，支持精细的流量控制，并支持多协议环境，使其成为电信、企业 WAN 和云数据中心中的大规模网络不可或缺的工具。

这种“开源基因+商业级能力”的融合，使得AsterNOS既能继承开源生态的灵活性，又能以超前技术布局填补开源生态与商业需求间的鸿沟。