在網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)流量分析和故障排查是重要環(huán)節(jié)，如何高效精準(zhǔn)地進(jìn)行網(wǎng)絡(luò)流量分析和故障排查？來看看利用ProfiShark數(shù)據(jù)包捕獲，讓我們一起探索其中的優(yōu)勢(shì)和特點(diǎn)。

一、捕獲網(wǎng)絡(luò)流量的重要性

捕獲網(wǎng)絡(luò)流量涉及訪問和記錄通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。捕獲網(wǎng)絡(luò)流量有多種原因和用例。

圖 1：捕獲網(wǎng)絡(luò)流量的原因和用例

01

網(wǎng)絡(luò)故障排除和診斷

第一個(gè)原因是網(wǎng)絡(luò)故障排除和診斷。網(wǎng)絡(luò)無法運(yùn)行或性能不佳的事件通常需要數(shù)據(jù)包捕獲工具來收集數(shù)據(jù)并分析根本原因。

02

安全監(jiān)控

安全監(jiān)控也是一個(gè)重要的驅(qū)動(dòng)因素，它允許安全或取證團(tuán)隊(duì)檢測(cè)和調(diào)查潛在的安全漏洞、入侵和惡意活動(dòng)。通過檢查網(wǎng)絡(luò)數(shù)據(jù)包，他們可以識(shí)別可疑或未經(jīng)授權(quán)的流量模式，并采取適當(dāng)?shù)男袆?dòng)。

03

性能問題

捕獲流量的另一個(gè)原因是性能問題。我們可以使用流量捕獲來評(píng)估網(wǎng)絡(luò)上運(yùn)行的應(yīng)用程序或服務(wù)的性能。它可以幫助優(yōu)化網(wǎng)絡(luò)性能，識(shí)別數(shù)據(jù)傳輸中的瓶頸或低效問題。

還可以捕獲流量來驗(yàn)證合規(guī)性并完成審計(jì)。許多組織必須遵守監(jiān)管標(biāo)準(zhǔn)和合規(guī)要求，其中往往涉及監(jiān)控和保留網(wǎng)絡(luò)流量數(shù)據(jù)。數(shù)據(jù)包捕獲可幫助企業(yè)證明數(shù)據(jù)保留和安全法規(guī)的合規(guī)性，如使用特定的 TLS 版本和密碼。

二、為什么使用專用硬件捕獲？

與基于軟件的方法相比，使用專用硬件捕獲網(wǎng)絡(luò)流量具有多項(xiàng)優(yōu)勢(shì)。專用硬件針對(duì)數(shù)據(jù)包捕獲進(jìn)行了優(yōu)化，可提供更高的性能和吞吐量，而不會(huì)對(duì)系統(tǒng)資源造成重大影響。另一個(gè)方面是精度更高，丟失幀的概率更低。此外，專用流量捕獲設(shè)備可實(shí)現(xiàn)高精度硬件時(shí)間戳，并在捕獲過程和生產(chǎn)網(wǎng)絡(luò)之間提供隔離，從而確保運(yùn)行網(wǎng)絡(luò)的安全。

交換端口分析儀（SPAN）將流量導(dǎo)出到捕獲主機(jī)這樣的站點(diǎn)有一些局限性。由于雙向流量的發(fā)送和接收方向都從單個(gè)輸出端口發(fā)出，因此 SPAN 目標(biāo)端口超量訂閱的可能性很高。TAP 解決方案通過將流量輸出到每個(gè)方向的單獨(dú)目標(biāo)端口來解決這一限制。要接收這兩個(gè) TAP 輸出，目標(biāo)端口需要兩個(gè)網(wǎng)絡(luò)端口。在筆記本電腦等便攜式設(shè)備上，這可能是個(gè)問題，因?yàn)樗鼈兒苌侔鄠€(gè)以太網(wǎng)接口。

ProfiShark 通過將 TAP 與 USB 3.0 輸出端口集成來解決這一挑戰(zhàn)，該端口具有足夠的帶寬來聚合 1 Gbit/s 鏈路的發(fā)送和接收方向。

ProfiShark 通過入口端口上的硬件時(shí)間戳幫助獲得準(zhǔn)確的數(shù)據(jù)包增量和絕對(duì)時(shí)間，并能夠捕獲帶有前導(dǎo)碼的整個(gè)幀，包括線路上的 CRC 故障，無論幀速率、突發(fā)或幀大小如何。這樣，ProfiShark 在便攜式外形中提供了無與倫比的性能，使其成為現(xiàn)場(chǎng)捕捉高保真流量的理想選擇。

流量捕獲可在 ProfiShark 管理器中啟動(dòng)，PCAP 捕獲文件可直接保存在用戶定義的特定文件夾中。還可進(jìn)行環(huán)形緩沖、分割或停止特定大小和文件。

圖 4：直接捕獲到用戶定義文件夾的捕獲選項(xiàng)

三、如何使用 ProfiShark 捕獲流量？

ProfiShark 是基于硬件的網(wǎng)絡(luò) TAP（流量接入點(diǎn)），可讓您精確、可靠地捕獲網(wǎng)絡(luò)流量。它有兩個(gè)以太網(wǎng)網(wǎng)絡(luò)端口：ProfiShark 1G 和 1G+ 有兩個(gè) 1 GBASE-T 端口，ProfiShark 10G 和 10G+ 有兩個(gè)用于 10GBASE 連接的 SFP+ 端口。與其他 TAP 不同的是，它能將捕獲的流量導(dǎo)出到 USB 3.0 端口。USB 端口可連接到運(yùn)行任何操作系統(tǒng)的 PC。它可以包含硬件時(shí)間戳。1G+ 和 10G+ 型號(hào)包括用于精確時(shí)間戳的 GPS 接收器和用于時(shí)間戳同步的 PPS 輸入/輸出端口。

ProfiShark 支持內(nèi)聯(lián)模式（Inline Mode）和 SPAN 模式（SPAN Mode），前者可在生產(chǎn)流量路徑中引入，后者可在兩個(gè)端口上接收帶外流量。

圖 5：ProfiShark 的操作模式

如果您在內(nèi)聯(lián)模式下進(jìn)行采集，ProfiShark 100M 和 1G 型號(hào)將無法接線，這意味著在斷電的情況下仍可保持網(wǎng)絡(luò)連接。還支持 PoE 直通，以便輕松捕獲 VoIP 電話或 IP 攝像頭流量。

您可以決定是否要直接捕獲到磁盤，還是在基于軟件的捕獲解決方案（例如 Wireshark）或帶有 tshark 的 CLI 上使用虛擬以太網(wǎng)接口。基于 Intel 的 Synology NAS 還可以實(shí)現(xiàn)長期流量捕獲，這在解決間歇性問題或捕獲大型數(shù)據(jù)集時(shí)特別有用。

四、應(yīng)該在哪里捕獲流量？

捕獲網(wǎng)絡(luò)流量的位置取決于您的具體目標(biāo)以及網(wǎng)絡(luò)監(jiān)視或分析任務(wù)的性質(zhì)。在故障排除場(chǎng)景中，應(yīng)將其放置在靠近發(fā)生問題的主機(jī)的位置。下圖中，ProfiShark 放置在接入交換機(jī)和出現(xiàn)問題的客戶端之間。

圖 6：故障排除場(chǎng)景

五、ProfiShark-發(fā)現(xiàn)時(shí)間敏感網(wǎng)絡(luò)中的問題

1、時(shí)間敏感網(wǎng)絡(luò)（TSN）

時(shí)間敏感網(wǎng)絡(luò)（TSN）對(duì)網(wǎng)絡(luò)有一些特殊要求。TSN 定義了一套標(biāo)準(zhǔn)，定義了通過以太網(wǎng)傳輸時(shí)間敏感數(shù)據(jù)的機(jī)制。其中包括音頻和視頻橋接、汽車應(yīng)用以及機(jī)器人應(yīng)用等工業(yè)流程。

它們對(duì)數(shù)據(jù)包傳輸中的抖動(dòng)、高延遲和數(shù)據(jù)包丟失等變化非常敏感。例如，實(shí)時(shí)音頻視頻橋接不可能進(jìn)行重傳。如果傳輸違反了最后期限，在等待召回丟失的數(shù)據(jù)包時(shí)不會(huì)出現(xiàn)延遲，而是在質(zhì)量下降的情況下繼續(xù)傳輸。數(shù)據(jù)包丟失時(shí)也會(huì)出現(xiàn)同樣的情況，導(dǎo)致音頻不流暢或出現(xiàn)機(jī)械音、視頻像素化或圖片出現(xiàn)偽影。

2、ProfiShark應(yīng)用于時(shí)間敏感網(wǎng)絡(luò)（TSN）

ProfiShark 1G+ 和 10G+ 特別適用于這些環(huán)境，因?yàn)樗鼈兙哂?/strong>8 ns 分辨率的硬件時(shí)間戳和先進(jìn)的 GPS/PPS 時(shí)間戳功能，可提供高精度的測(cè)量。

ProfiShark 能夠?qū)λ袔?a target="_blank">標(biāo)簽和封裝進(jìn)行完全的第 1 層直通。不會(huì)切斷 CRC 無效幀或碎片流量。ProfiShark 使我們能夠看到搶占式幀，如 IEEE 802.1Qbu 或 802.3br 流量。TSN 故障診斷的另一個(gè)挑戰(zhàn)是避免在內(nèi)聯(lián)模式下引入額外的延遲或抖動(dòng)。在 ProfiShark 中，這種延遲和抖動(dòng)是最小且恒定的，因此它完全適用于 IEEE 802.1AS 和 1588 v2 流量。

六、使用 ProfiShark 有哪些優(yōu)勢(shì)

ProfiShark 是用于網(wǎng)絡(luò)數(shù)據(jù)包捕獲和監(jiān)控的專用硬件解決方案。它具有多項(xiàng)優(yōu)勢(shì)，是尋求高精度數(shù)據(jù)包捕獲和分析的專業(yè)人員和組織的重要選擇。它非常小巧，適合每個(gè)故障排除人員的應(yīng)急包。ProfiShark 易于部署，在內(nèi)聯(lián)模式下不會(huì)在 1G 網(wǎng)絡(luò)鏈路中造成損失。

這種專用 TAP 可以處理大量網(wǎng)絡(luò)流量，而不會(huì)影響系統(tǒng)資源，因此適用于高速網(wǎng)絡(luò)。它通過硬件時(shí)間戳和附加型號(hào)上的 GPS 接收器提供高精度。故障排除人員可以看到整個(gè)幀的傳輸過程，因此甚至可以檢測(cè)到幀中的 CRC 故障。ProfiShark 管理器可以捕獲流量，而無需依賴分析軟件。

在TSN網(wǎng)絡(luò)中使用 Profishark的原因總結(jié)如下：

TSN支持，低抖動(dòng)

故障轉(zhuǎn)移時(shí)間短

高分辨率時(shí)間戳

精準(zhǔn)抓包

高保真跟蹤

提供 24V 型號(hào)

一旦 TAP 在網(wǎng)絡(luò)中就位，監(jiān)控端口就可以隨意連接和斷開，而不會(huì)中斷網(wǎng)絡(luò)鏈路