关注星融元

不卖关子，今天要拆的就是它：星融元 Asterfusion CX306P-48Y

仅看外观，不过是一款机房里常见的 25G 交换机，可如果我说它还可以加装 DPU 扣卡和一套 GNSS 和 PTP 硬件，事情是不是就变得有趣起来了？

试想当交换机被 DPU 扣卡赋予了额外的通用算力，在常规的2、3层转发业务之外，它既可以作为路由器处理复杂路由的转发业务，或者干脆当个 Server-Switch 留给用户自由定义；而时间同步硬件又能轻松应对各种时间精度敏感的网络场景……

无论是数据中心/中大型云化园区的业务网还是出口路由，从金融交易，智能电网，到广电多媒体制播、电信 5G O-RAN 等等行业网络，好像都有其用武之地了。

这种“全能多面手”的各种模块化硬件如何设计和排布？结合不同的软件配置，又能实现哪些具体功能？

作为行业里可能是最爱拆机的交换机厂商，虽然设备还未正式在国内官宣上线，但不妨碍我们先给它里里外外拆个明明白白，让大伙儿一睹为快！

设备概览

CX306P-48Y 设备硬件架构如下，默认安装的网络操作系统为星融元自研的企业级 SONiC 发行版 AsterNOS 。

设备前面板

CX306P-48Y 的前面板提供了高密度的 6 个 100G QSFP28/ 40G QSFP+ 和 48 个 25G SFP28/10G SFP+ 接口。

细心的读者看硬件架构图应该已经注意到，总共 2T 的交换容量剩余的两个 100G 口并没有成为前面板上的业务接口，而是连接到了内部的 DPU 模块来支持 ASIC 和 DPU 之间的数据传输。

前面板最右侧一列从上到下分别是1个 RJ45 管理口, 1个 USB 接口和1个 Console 口用于设备的远程管理以及离线状态下的访问调试。

设备后面板

布局概览

交换机后面板从左至右分别是 3+1 的可插拔风扇、多个时间同步接口和一个冗余的 RJ45 管理网口，以及1+1的可插拔 PSU。

时间同步接口

该区域是 CX306P-48Y 在外观上相比市面同类设备的最大差异，此处是机器内部的 GNSS 模块向外提供的多个接口，用户可根据实际时间同步需求灵活组合使用。

• 10MHz SMB 接口：可接入外部高精度时钟，为设备提供稳定基准频率，实现 SyncE 频率同步
• GNSS SMA 接口：可连接外部卫星天线，接收 GNSS 信号，实现高精度定位与时间同步
• 1PPS SMB 接口：每秒发送一个脉冲信号，与 PTP 模块协作对齐内部时钟
• ToD（Time of Day）RJ45接口：提供标准时间信息，通常与 1PPS 配合实现内部时钟同步

ToD RJ45 右侧的带外管理网口与前面板配合实现双管理网口设计，满足客户高可靠需求。正常情况下，LNK 指示灯常亮，有数据传输时 ACT 灯闪烁。

1+1 PSU

该设备配备的双电源工作在均流模式下，可通过控制和调节各模块的输出电流，防止单个模块过载，提高系统可靠性和效率。

当单电源故障时，另一个电源可快速响应确保设备正常运行，业务不中断，同时故障电源的指示灯和网络管理界面均有相应提醒。

设备内部

打开机器盖板，我们可以清晰看到内部空间设计相当紧凑工整，控制管理面的CPU（COMe模块）、数据面的 ASIC 和 DPU 扣卡模块均覆有散热鳍片。（为方便看到元器件细节下图已将其部分卸去）

ASIC

CX306P-48Y 设备采用的是 Marvell® Prestera®（Falcon）ASIC 交换芯片，该芯片最突出特点是超大规模的路由表，可支持 504K IPv4 和 252K IPv6 前缀路由，包转发速率高达 2.63Bpps ，整体性能在同类产品中处于领先地位。

COMe 模块

CX306P-48Y采用标准的 COM Express Type 7 CPU 模块，支持灵活更换，标配为Intel® Pentium® ，也可根据客户需求升级为性能更高的 CPU；COMe 配备了 256G m.2 SATA SSD存储。

交换机预装的 AsterNOS 网络操作系统就运行在此，提供全面丰富的数据中心和园区网络特性如 VXLAN, BGP EVPN, EVPN-MH, MPLS, PTP 等，确保其既能胜任园区网络核心层的高可靠部署，也能在数据中心内部稳定运行。

时间同步模块

CX306P-48Y 可选配 GNSS 与 PTP 时间模块，两者均采用扣卡式设计，方便用户更换升级。

以上模块结合设备后面板集成的各类时间同步接口和天线配件，组成了一套完整的高精度时间同步系统，接收来自 GPS/QZSS、GLONASS、北斗、Galileo 的卫星时钟信号，为 5G O-RAN、视频/直播平台等时延敏感网络场景提供灵活的时间同步方式。

• 当使用 GNSS 模块时，设备通过连接到GNSS的天线获取卫星信号，由 GNSS 模块，生成基准时间并传递给 PTP 模块，实现全网精准同步。
• 不使用 GNSS 模块时，设备可通过 10 MH、1 PPS、和 ToD 时间接口接入外部时钟源，再结合 PTP 模块完成高精度时间同步。此外，在对绝对时间要求不高的场景也可仅用 10 MHz 接口实现 SyncE 频率同步。

DPU 扣卡模块

真正让 CX306P-48Y 脱颖而出的，是它独特的可扩展设计——支持选配一到两块 DPU 模块扣卡专门用于承担高性能的路由与安全任务，下一节我们将重点介绍。

此处展示的扣卡为2块 Marvell OCTEON 10 CN103 （用户也可以按需选用其他扣卡配置，如 CN96 卡），每块 DPU 可提供 100Gbps 路由转发性能，80Gbps 防火墙处理能力，80Gbps 加解密计算性能和 10K+ 的 ACL 策略。

值得一提的是，我们为每块DPU 都配备了 NVMe SSD 插槽并通过 PCIe 高速通道与 DPU 直连。DPU 可在本地独立完成流量缓存、安全策略执行、数据分析等任务，而无需经由 CPU ——正所谓“在数据面处理数据”，显著降低了业务延迟与主控 CPU 负载。

DPU 加持下的交换、路由与安全融合平台

CX306P-48Y 的每个 DPU 都可以运行独立的操作系统，加上 COMe 上运行的SONiC/AsterNOS，1U 的交换机内可运行两个或三个独立的操作系统环境，通过不同软件安装组合给到用户丰富的应用选项。

DPU 安装 AsterNOS-VPP，交换+路由二合一

AsterNOS-VPP 是星融元 Asterfusion 继数据中心和园区网络场景后，面向边缘路由场景推出的开放网络操作系统，其融合了 SONiC 强大的控制面能力以及 VPP 的高性能数据转发能力，实现新一代企业级路由器和防火墙等功能，帮助用户构建高性能、灵活性和成本效益的网络环境。

此外，AsterNOS-VPP 继承了 SONiC 广泛采用的管理面框架，其中包括ZTP、Klish 命令行，以及 RESTful API, gNMI, NetConf, Prometheus Exporter 和 uCentral 等管理面接口，带来一致的运维管理体验和自定义开发集成空间。

关于 AsterNOS-VPP 请参阅：基于SONiC+VPP的企业级开放式路由解决方案

一台仅为 1U 高度的 CX306P-48Y 设备不但可以作为常规的 25G 交换机用于 L2/L3 转发，同时也可借助内置的 DPU 实现路由器功能，而无需额外采购和部署外部路由器。

• 多 WAN 路由：根据预配置的策略，将流量分配并路由到不同运营商线路
• 支持百万条规模 BGP 路由反射、10K+ ACL 通配五元组过滤
• 高达 80G IPSec/WireGuard VPN ，在不可信网络中提供安全加密隧道
• 100G 的 NAT/CGNAT/MAP-T等核心功能，公共IPv4地址共享，无状态IPv4到IPv6转换
• 内置分层QoS（HQoS）提供精细化流量整形与优先级管理
• 运行 PPPoE 客户端与服务器实现宽带接入，支持认证、计费及IP地址分配

DPU 安装 FusionNOS，构建网络可视化系统

用户也可以选择在 DPU 上安装 Asterfusion 自研的 FusionNOS，搭配 AsterNOS 的 NPB2.0 增强（什么是NPB2.0？），让交换机升级为交换机+网络流量分析一体机。

• 借助 DPU 的智能加速性能，在不影响正常的L2/L3转发性能的前提下，提供 100G 线速的 NetFlow/IPFIX 输出，对接已有后端监控工具
• 如果配置场景允许，用户还可在另一块 DPU 部署 Ntopng工具（基于Ubuntu OS），直接实现对 20K 用户规模下的实时网络流量行为分析和可视化呈现，无需额外TAP/NPB/后端分析工具。

DPU 部署控制器（ACC），一站式管理园区网络

ACC 园区网络控制器（Asteria Campus Controller）是星融元云化园区网络解决方案配套的管理平台。告别繁琐！分钟级部署+可视化掌控，星融元ACC再造园区网运维新范式

ACC 基于开源开放的 TIP OpenWiFi 框架，为园区有线网络和无线网络的统一管理提供了全面的解决方案，可以无缝管理无线 AP（包括第三方白盒 AP）和所有搭载着 AsterNOS 的 SONiC 交换机，自动执行网络配置和管理等关键任务。

• 本地部署控制器，无需引入额外的管理服务器。
• 一站式统一管理无线、有线和路由设备
• 支持 OAuth 2.0 与 RADIUS 双认证机制

DPU 运行自定义系统

如果以上方案都无法满足需求，用户可直接将其视为一个高性能服务器（8核 DPU+ 2T 交换能力的独立 Linux 系统）安装 Ubuntu 或 Debian 系统，根据需求灵活安装新软件，或利用内置工具链开发自有软件，实现完全自定义的开发与部署以满足更多应用场景。

关注星融元

星融元推出的基于 SONiC 的 NPB 2.0 解决方案将开放的 SONiC 操作系统与容器化的NPB应用相结合，实现了更高的灵活性和成本效益，帮助企业轻松构建网络可视化系统。

网络环境的复杂性与日俱增，伴随着数据流量的迅猛增长及多样化应用的爆发，网络流量精细管理和可视化监控从来都是一个市场刚需。

为此，一般我们会在业务网络之外构建一张带外管理网络：从指定位置采集提取流量并分发到各类网络可视化后端分析工具（如 IPS，IDS 等等…）。为提高整体系统效率，上述采集和分发过程会涉及大量自定义的策略控制和报文预处理工作，需要用到网络数据包代理（Network Packet Broker）技术来构建一个智能高效的网络可视化前端。

传统的基于专用硬件的实现方案，例如使用TAP交换机/分流器等采集设备，其初期购置和维护成本显而易见，并且随着网络规模的扩大，采购和运维费用都将继续增长。

NPB 2.0：交换机上跑 NPB 容器

为区别于传统NPB的实现，我们将这套创新方案称为 NPB 2.0 。

NPB 2.0 根植于我们在 SONiC 等开放网络技术栈的前沿实践，鲜明体现了网络可视化系统建设从硬件密集型向软件定义网络（SDN）的转变——减轻了对专用硬件的依赖，拥有灵活的部署模式和完备的NPB功能，为中大型企业复杂网络环境提供了一个更具成本效益的选择。

无需专用前端采集设备

NPB 2.0 方案下，用户只需在原本搭载企业级 SONiC/AsterNOS 的交换机上运行 NPB容器 即可使其华丽变身，承担起 NPB 服务。

此外，这种容器化特性使其较传统方案更快适应实际需求变化——无论是增加新的流量处理规则，还是扩展服务规模都能以最小的中断和成本完成，确保网络的持续优化和敏捷升级。

基于SONiC的数据包代理的软件架构

灵活的部署模式

对于特定场景，用户可以按需选择并存或独立运行两种模式。

• 独立模式：让部署NPB2.0的交换机专注于流量代理和策略控制，适用于需要高度精细化的流量管理，但不依赖交换服务的环境，提高整体流量管理和监控系统的准确性和运行效率。
• 并存模式： 同时运行标准交换机的L2/L3转发服务和NPB的流量采集服务，即通过 SPAN 或 RSPAN ，将特定流量的副本引导至后端分析设备，无需牺牲传统网络服务的性能，实现一机多能。

完备的NPB汇聚分流功能

NPB 2.0 支持流量镜像、原始信息打标，流量的过滤、聚合，以及报文预处理（报文头部剥离，GRE和 VXLAN隧道终结，VLAN剥离等）和其他高级报文预处理选项（如IP碎片整理。TCP重新组装，数据包截断去重，隧道封装和解封装，数据脱敏等），为后端分析工具精准提供所需流量。

高效直观的图形化界面

用户可在 Web 界面一站查看设备和链路状态，并根据“输入-规则-输出”的逻辑自主完成规则配置，灵活简捷地制定、调整流量管理策略。

典型应用场景

新一代云化园区网络（SONiC）

目前 NPB 2.0 已支持星融元 CX-M 系列园区交换机，可与现有云化园区网络方案无缝融合，将 NPB 功能完全集成到业务网络中。

在 Spine 交换机上运行 Packet Broker，在镜像流量的同时执行第一级流量预处理，并利用 NPB Spine 减轻 NPB leaf 的负担；对于小规模网络，NPB Spine 也可以直接连接到后端系统。

非SONiC的传统网络

添加一个Leaf 交换机并部署 Packet Broker， 并在原 Spine交换机相关接口上配置 SPAN/RSPAN 镜像，将流量转发给 NPB Leaf；经由该 Leaf 交换机的过滤，复制，负载均衡等将流量精准的发送到后端工具。

串接部署场景

在某些场景，用户会要求将设备串接部署在链路中。上行链路流量会先经过部署NPB的交换机做筛选，指定流量负载均衡到后端工具（如IPS）上处理，其返回流量并转发到下行链路；不需要的监测流量则直接转发到下行链路（下行链路与上行类似）；如果 Packet Broker 故障，则流量会走bypass设备。

关注星融元

现状和背景：传统的园区企业用户从电信运营商购买互联网服务，再由园区运维人员为其开通配套有线局域网业务，日常企业迁入迁出、办公区域变更等等都需要运维人员手动修改配置；无线网往往直接下放给企业自行购买设备搭建……如此不但管理分散，还容易滋生各种不可控的风险因素，在园区有限的运维人力条件下，问题将更加凸显。

园区多租户网络作为星融元新一代云化园区网的典型场景，我们依旧会把将数据中心级的 Spine/Leaf 架构，以及“全三层”、“云架构”、“超堆叠”、“云漫游”等一系列创新性的云化设计理念，有机应用于园区网络设计、建设和运营当中，提升服务水平和质量。

相较于为单一企业搭建网络基础设施，园区多租户网络在资源隔离、安全保障和自动化运维要求更高，也是本文重点关注的方面。

01 网络建设总体规划

每个楼宇作为一个部署单元，在园区局域网内提供 10G/25G 高带宽链路，用以承载大量企业租户的业务网络，也为智慧园区中物联网设备以及服务器区提供所需的网络互联能力。

有线网络采用简洁、高可靠的 Spine/Leaf 架构运行全三层网络，天然无环路，隔绝广播风暴，同时支持按需横向扩展满足未来5-8年的扩容升级需求；

无线网络则借助分布式网关设计，提供超大漫游域的无缝漫游，实现跨楼栋漫游不中断，网随人动，策略随行，兼顾安全和便利性。

云化园区网络设备

• 全盒式交换机（搭载面向园区网络特性增强的企业级 SONiC——AsterNOS）；智能开放网关平台（选配智能业务处理卡/AI加速卡等模块化硬件，结合开源软件组合）【深度拆解：ET2500 系列开放智能网关平台】
• 所有网络产品和相关组件皆遵循开放的标准和协议（OpenWiFi/OLS等），能够与第三方的产品和服务集成和互操作，支持云化部署和管理【关于OpenWiFi和OLS】

云原生的管理平台

• 基于 Asteria Campus Controller(ACC)，支持本地或云上部署，实现极速业务开通和有线无线一体的可视化集中运维管理。参考：【新一代园区网可视化运维实践】
• 基于PacketFence 的认证系统，可提供开放接口与现有/自研的租户管理系统无缝对接

02 多租户资源隔离设计

我们通过 BGP EVPN 为不同企业租户构建独立的虚拟网络，支持灵活的业务扩展，同时辅以端口隔离、ACL隔离和AP严格转发确保该机制正常运行。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一种结合了 BGP 协议 和 EVPN 技术 的标准化解决方案，主要用于构建大规模、高性能的 二层（L2）和三层（L3）虚拟化网络，广泛应用于数据中心、云服务、多租户园区网络等场景。其核心目标是通过控制平面优化，实现 高效的 MAC/IP 地址学习、灵活的多租户隔离 和 网络虚拟化。

端口隔离：隔离二层流量，所有流量通过查找路由进行三层转发

ACL 隔离：通过隔离不同的业务 VLAN，可对特定子网（租户）进行访问控制，并控制租户间的业务互访

AP 严格转发：AP 不直接转发流量，而是将所有业务流量都发送到交换机，通过交换机查表完成转发

03 访问准入和用户权限控制

园区多租户网络在访问准入控制主要考虑三个关键点：

• 接入终端的合法性检查
• 用户身份信息检查
• 划分不同用户的访问权限

我们使用 Portal认证+动态VLAN 的方式来实现以上能力：所有用户接入网络时都需要通过 Portal 认证来得到资源访问授权，PacketFence 认证管理平台既是 Portal 服务器，也兼顾RADIUS服务器相关功能。

该平台存储了企业租户、终端信息和授权 VLAN 的映射关系，由此我们可通过动态VLAN 机制根据上线用户终端的信息自动为其划分 VLAN，并控制网络访问权限。

一个典型的无线终端上线认证流程大致如此：

1. 当用户连接到 AP，会得到一个未授权 VLAN 下的 IP 地址，使之可以访问与认证相关的网络资源；
2. AP 作为无线接入认证控制点会将用户终端的 HTTP 报文重定向到 Portal 服务器，采用RADIUS协议交互认证信息，完成认证和授权；
3. 此时，AP 会强制终端下线重连，重新获取一个授权企业 VLAN 下的 IP 地址，从而能够正常访问网络资源。

更安全、方便的MAC优先Portal认证

完成初次认证后，RADIUS 服务器已记录到合法终端的MAC地址，当该终端再次接入网络，服务器会优先以 MAC 地址匹配已有记录去完成认证，而无需用户重复进行 Portal 认证流程。

此外，MAC 优先的 Portal 认证还会结合终端厂商型号信息验证、漫游异常检测等方式触发系统告警，及时向管理员提示仿冒接入风险。

开放 API 与第三方租户管理系统集成

对于已有租户管理系统或其他上层管理平台的园区改造升级类项目，从认证系统到更底层的园区网络设备我们都可提供丰富的 API 供二次开发集成调用。

04 极简运维管理

上千租户业务分钟级开通

作为云园区的配套组件，ACC 控制器为园区多租户场景提供一套简洁易用的自动化配置流程，最多支持为 2K 企业租户一键同步开通业务。

参考：【完整流程揭秘：30分钟搞定中大型园区网络业务开通，可行吗？】

某科创园区多租户网络典型部署案例

有线无线集中式管理

网络中网关、交换机、无线 AP 等设备统一被 ACC 纳管。ACC 为管理员提供丰富的统一运维功能，支持对单台/批量设备的配置进行增删改查。

设备的 CPU、内存、各硬件状态、IP地址、整机/单接口流量、链路状态、接口状态、 PoE 状态等信息可视化。支持查看全网任意设备的实时状态信息，将所有在线设备的监控数据进行全量计算，最终以综合健康值全局呈现。

终端智能管理

统计和指纹识别：自动收集终端指纹信息，识别终端设备类型、系统信息、在线状态、信号质量等信息，同时记录每个终端的上网行为和流量统计信息。

终端流量回溯：支持查看终端从上线到下线整个过程中的连接状态、信号质量、协商速率、信噪比、所连接AP的位置等信息，便于运维人员查看当前无线用户的上网情况，加速问题定位排障。