艾體寶干貨 | TSN抓包工具解密：為什么選擇使用 ProfiShark 進行數(shù)據(jù)包捕獲？

在網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)流量分析和故障排查是重要環(huán)節(jié)，如何高效精準(zhǔn)地進行網(wǎng)絡(luò)流量分析和故障排查？來看看利用ProfiShark數(shù)據(jù)包捕獲，讓我們一起探索其中的優(yōu)勢和特點。

一、捕獲網(wǎng)絡(luò)流量的重要性
捕獲網(wǎng)絡(luò)流量涉及訪問和記錄通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。捕獲網(wǎng)絡(luò)流量有多種原因和用例。

圖 1：捕獲網(wǎng)絡(luò)流量的原因和用例

1、網(wǎng)絡(luò)故障排除和診斷
第一個原因是網(wǎng)絡(luò)故障排除和診斷。網(wǎng)絡(luò)無法運行或性能不佳的事件通常需要數(shù)據(jù)包捕獲工具來收集數(shù)據(jù)并分析根本原因。
2、安全監(jiān)控
安全監(jiān)控也是一個重要的驅(qū)動因素，它允許安全或取證團隊檢測和調(diào)查潛在的安全漏洞、入侵和惡意活動。通過檢查網(wǎng)絡(luò)數(shù)據(jù)包，他們可以識別可疑或未經(jīng)授權(quán)的流量模式，并采取適當(dāng)?shù)男袆印?br /> 3、性能問題
捕獲流量的另一個原因是性能問題。我們可以使用流量捕獲來評估網(wǎng)絡(luò)上運行的應(yīng)用程序或服務(wù)的性能。它可以幫助優(yōu)化網(wǎng)絡(luò)性能，識別數(shù)據(jù)傳輸中的瓶頸或低效問題。
還可以捕獲流量來驗證合規(guī)性并完成審計。許多組織必須遵守監(jiān)管標(biāo)準(zhǔn)和合規(guī)要求，其中往往涉及監(jiān)控和保留網(wǎng)絡(luò)流量數(shù)據(jù)。數(shù)據(jù)包捕獲可幫助企業(yè)證明數(shù)據(jù)保留和安全法規(guī)的合規(guī)性，如使用特定的 TLS 版本和密碼。

二、為什么使用專用硬件捕獲？
與基于軟件的方法相比，使用專用硬件捕獲網(wǎng)絡(luò)流量具有多項優(yōu)勢。專用硬件針對數(shù)據(jù)包捕獲進行了優(yōu)化，可提供更高的性能和吞吐量，而不會對系統(tǒng)資源造成重大影響。另一個方面是精度更高，丟失幀的概率更低。此外，專用流量捕獲設(shè)備可實現(xiàn)高精度硬件時間戳，并在捕獲過程和生產(chǎn)網(wǎng)絡(luò)之間提供隔離，從而確保運行網(wǎng)絡(luò)的安全。

交換端口分析儀（SPAN）將流量導(dǎo)出到捕獲主機這樣的站點有一些局限性。由于雙向流量的發(fā)送和接收方向都從單個輸出端口發(fā)出，因此 SPAN 目標(biāo)端口超量訂閱的可能性很高。TAP 解決方案通過將流量輸出到每個方向的單獨目標(biāo)端口來解決這一限制。要接收這兩個 TAP 輸出，目標(biāo)端口需要兩個網(wǎng)絡(luò)端口。在筆記本電腦等便攜式設(shè)備上，這可能是個問題，因為它們很少包含多個以太網(wǎng)接口。

圖 2：TAP 與 SPAN

ProfiShark 通過將 TAP 與 USB 3.0 輸出端口集成來解決這一挑戰(zhàn)，該端口具有足夠的帶寬來聚合 1 Gbit/s 鏈路的發(fā)送和接收方向。
ProfiShark 通過入口端口上的硬件時間戳幫助獲得準(zhǔn)確的數(shù)據(jù)包增量和絕對時間，并能夠捕獲帶有前導(dǎo)碼的整個幀，包括線路上的 CRC 故障，無論幀速率、突發(fā)或幀大小如何。這樣，ProfiShark 在便攜式外形中提供了無與倫比的性能，使其成為現(xiàn)場捕捉高保真流量的理想選擇。

圖 3：Profishark 1G 原理圖概覽

流量捕獲可在 ProfiShark 管理器中啟動，PCAP 捕獲文件可直接保存在用戶定義的特定文件夾中。還可進行環(huán)形緩沖、分割或停止特定大小和文件。

圖 4：直接捕獲到用戶定義文件夾的捕獲選項

三、如何使用 ProfiShark 捕獲流量？
ProfiShark 是基于硬件的網(wǎng)絡(luò) TAP（流量接入點），可讓您精確、可靠地捕獲網(wǎng)絡(luò)流量。它有兩個以太網(wǎng)網(wǎng)絡(luò)端口：ProfiShark 1G 和 1G+ 有兩個 1 GBASE-T 端口，ProfiShark 10G 和 10G+ 有兩個用于 10GBASE 連接的 SFP+ 端口。與其他 TAP 不同的是，它能將捕獲的流量導(dǎo)出到 USB 3.0 端口。USB 端口可連接到運行任何操作系統(tǒng)的 PC。它可以包含硬件時間戳。1G+ 和 10G+ 型號包括用于精確時間戳的 GPS 接收器和用于時間戳同步的 PPS 輸入/輸出端口。

ProfiShark 支持內(nèi)聯(lián)模式（Inline Mode）和 SPAN 模式（SPAN Mode），前者可在生產(chǎn)流量路徑中引入，后者可在兩個端口上接收帶外流量。

圖 5：ProfiShark 的操作模式

如果您在內(nèi)聯(lián)模式下進行采集，ProfiShark 100M 和 1G 型號將無法接線，這意味著在斷電的情況下仍可保持網(wǎng)絡(luò)連接。還支持 PoE 直通，以便輕松捕獲 VoIP 電話或 IP 攝像頭流量。

您可以決定是否要直接捕獲到磁盤，還是在基于軟件的捕獲解決方案（例如 Wireshark）或帶有 tshark 的 CLI 上使用虛擬以太網(wǎng)接口?；?Intel 的 Synology NAS 還可以實現(xiàn)長期流量捕獲，這在解決間歇性問題或捕獲大型數(shù)據(jù)集時特別有用。

四、應(yīng)該在哪里捕獲流量？
捕獲網(wǎng)絡(luò)流量的位置取決于您的具體目標(biāo)以及網(wǎng)絡(luò)監(jiān)視或分析任務(wù)的性質(zhì)。在故障排除場景中，應(yīng)將其放置在靠近發(fā)生問題的主機的位置。下圖中，ProfiShark 放置在接入交換機和出現(xiàn)問題的客戶端之間。

圖 6：故障排除場景

五、ProfiShark 如何幫助發(fā)現(xiàn)時間敏感網(wǎng)絡(luò)中的問題？
1、時間敏感網(wǎng)絡(luò)（TSN）
時間敏感網(wǎng)絡(luò)（TSN）對網(wǎng)絡(luò)有一些特殊要求。TSN 定義了一套標(biāo)準(zhǔn)，定義了通過以太網(wǎng)傳輸時間敏感數(shù)據(jù)的機制。其中包括音頻和視頻橋接、汽車應(yīng)用以及機器人應(yīng)用等工業(yè)流程。

它們對數(shù)據(jù)包傳輸中的抖動、高延遲和數(shù)據(jù)包丟失等變化非常敏感。例如，實時音頻視頻橋接不可能進行重傳。如果傳輸違反了最后期限，在等待召回丟失的數(shù)據(jù)包時不會出現(xiàn)延遲，而是在質(zhì)量下降的情況下繼續(xù)傳輸。數(shù)據(jù)包丟失時也會出現(xiàn)同樣的情況，導(dǎo)致音頻不流暢或出現(xiàn)機械音、視頻像素化或圖片出現(xiàn)偽影。

2、ProfiShark應(yīng)用于時間敏感網(wǎng)絡(luò)（TSN）
ProfiShark 1G+ 和 10G+ 特別適用于這些環(huán)境，因為它們具有 8 ns 分辨率的硬件時間戳和先進的 GPS/PPS 時間戳功能，可提供高精度的測量。

ProfiShark 能夠?qū)λ袔?a target="_blank">標(biāo)簽和封裝進行完全的第 1 層直通。不會切斷 CRC 無效幀或碎片流量。ProfiShark 使我們能夠看到搶占式幀，如 IEEE 802.1Qbu 或 802.3br 流量。TSN 故障診斷的另一個挑戰(zhàn)是避免在內(nèi)聯(lián)模式下引入額外的延遲或抖動。在 ProfiShark 中，這種延遲和抖動是最小且恒定的，因此它完全適用于 IEEE 802.1AS 和 1588 v2 流量。

六、使用 ProfiShark 有哪些優(yōu)勢？
ProfiShark 是用于網(wǎng)絡(luò)數(shù)據(jù)包捕獲和監(jiān)控的專用硬件解決方案。它具有多項優(yōu)勢，是尋求高精度數(shù)據(jù)包捕獲和分析的專業(yè)人員和組織的重要選擇。它非常小巧，適合每個故障排除人員的應(yīng)急包。ProfiShark 易于部署，在內(nèi)聯(lián)模式下不會在 1G 網(wǎng)絡(luò)鏈路中造成損失。

這種專用 TAP 可以處理大量網(wǎng)絡(luò)流量，而不會影響系統(tǒng)資源，因此適用于高速網(wǎng)絡(luò)。它通過硬件時間戳和附加型號上的 GPS 接收器提供高精度。故障排除人員可以看到整個幀的傳輸過程，因此甚至可以檢測到幀中的 CRC 故障。ProfiShark 管理器可以捕獲流量，而無需依賴分析軟件。

總結(jié)如下，為什么在TSN網(wǎng)絡(luò)中使用 Profishark

TSN支持，低抖動

故障轉(zhuǎn)移時間短

高分辨率時間戳

精準(zhǔn)抓包

高保真跟蹤

提供 24V 型號

一旦 TAP 在網(wǎng)絡(luò)中就位，監(jiān)控端口就可以隨意連接和斷開，而不會中斷網(wǎng)絡(luò)鏈路

審核編輯 黃宇