TSN抓包工具解密：數據包捕獲，為什么選Profishark？

在網絡管理中，網絡流量分析和故障排查是重要環節，如何高效精準地進行網絡流量分析和故障排查？來看看利用ProfiShark數據包捕獲，讓我們一起探索其中的優勢和特點。

一、捕獲網絡流量的重要性

捕獲網絡流量涉及訪問和記錄通過網絡傳輸的數據。捕獲網絡流量有多種原因和用例。

圖 1：捕獲網絡流量的原因和用例

01

網絡故障排除和診斷

第一個原因是網絡故障排除和診斷。網絡無法運行或性能不佳的事件通常需要數據包捕獲工具來收集數據并分析根本原因。

02

安全監控

安全監控也是一個重要的驅動因素，它允許安全或取證團隊檢測和調查潛在的安全漏洞、入侵和惡意活動。通過檢查網絡數據包，他們可以識別可疑或未經授權的流量模式，并采取適當的行動。

03

性能問題

捕獲流量的另一個原因是性能問題。我們可以使用流量捕獲來評估網絡上運行的應用程序或服務的性能。它可以幫助優化網絡性能，識別數據傳輸中的瓶頸或低效問題。

還可以捕獲流量來驗證合規性并完成審計。許多組織必須遵守監管標準和合規要求，其中往往涉及監控和保留網絡流量數據。數據包捕獲可幫助企業證明數據保留和安全法規的合規性，如使用特定的 TLS 版本和密碼。

二、為什么使用專用硬件捕獲？

與基于軟件的方法相比，使用專用硬件捕獲網絡流量具有多項優勢。專用硬件針對數據包捕獲進行了優化，可提供更高的性能和吞吐量，而不會對系統資源造成重大影響。另一個方面是精度更高，丟失幀的概率更低。此外，專用流量捕獲設備可實現高精度硬件時間戳，并在捕獲過程和生產網絡之間提供隔離，從而確保運行網絡的安全。

交換端口分析儀（SPAN）將流量導出到捕獲主機這樣的站點有一些局限性。由于雙向流量的發送和接收方向都從單個輸出端口發出，因此 SPAN 目標端口超量訂閱的可能性很高。TAP 解決方案通過將流量輸出到每個方向的單獨目標端口來解決這一限制。要接收這兩個 TAP 輸出，目標端口需要兩個網絡端口。在筆記本電腦等便攜式設備上，這可能是個問題，因為它們很少包含多個以太網接口。

ProfiShark 通過將 TAP 與 USB 3.0 輸出端口集成來解決這一挑戰，該端口具有足夠的帶寬來聚合 1 Gbit/s 鏈路的發送和接收方向。

ProfiShark 通過入口端口上的硬件時間戳幫助獲得準確的數據包增量和絕對時間，并能夠捕獲帶有前導碼的整個幀，包括線路上的 CRC 故障，無論幀速率、突發或幀大小如何。這樣，ProfiShark 在便攜式外形中提供了無與倫比的性能，使其成為現場捕捉高保真流量的理想選擇。

流量捕獲可在 ProfiShark 管理器中啟動，PCAP 捕獲文件可直接保存在用戶定義的特定文件夾中。還可進行環形緩沖、分割或停止特定大小和文件。

圖 4：直接捕獲到用戶定義文件夾的捕獲選項

三、如何使用 ProfiShark 捕獲流量？

ProfiShark 是基于硬件的網絡 TAP（流量接入點），可讓您精確、可靠地捕獲網絡流量。它有兩個以太網網絡端口：ProfiShark 1G 和 1G+ 有兩個 1 GBASE-T 端口，ProfiShark 10G 和 10G+ 有兩個用于 10GBASE 連接的 SFP+ 端口。與其他 TAP 不同的是，它能將捕獲的流量導出到 USB 3.0 端口。USB 端口可連接到運行任何操作系統的 PC。它可以包含硬件時間戳。1G+ 和 10G+ 型號包括用于精確時間戳的 GPS 接收器和用于時間戳同步的 PPS 輸入/輸出端口。

ProfiShark 支持內聯模式（Inline Mode）和 SPAN 模式（SPAN Mode），前者可在生產流量路徑中引入，后者可在兩個端口上接收帶外流量。

圖 5：ProfiShark 的操作模式

如果您在內聯模式下進行采集，ProfiShark 100M 和 1G 型號將無法接線，這意味著在斷電的情況下仍可保持網絡連接。還支持 PoE 直通，以便輕松捕獲 VoIP 電話或 IP 攝像頭流量。

您可以決定是否要直接捕獲到磁盤，還是在基于軟件的捕獲解決方案（例如 Wireshark）或帶有 tshark 的 CLI 上使用虛擬以太網接口?；?Intel 的 Synology NAS 還可以實現長期流量捕獲，這在解決間歇性問題或捕獲大型數據集時特別有用。

四、應該在哪里捕獲流量？

捕獲網絡流量的位置取決于您的具體目標以及網絡監視或分析任務的性質。在故障排除場景中，應將其放置在靠近發生問題的主機的位置。下圖中，ProfiShark 放置在接入交換機和出現問題的客戶端之間。

圖 6：故障排除場景

五、ProfiShark-發現時間敏感網絡中的問題

1、時間敏感網絡（TSN）

時間敏感網絡（TSN）對網絡有一些特殊要求。TSN 定義了一套標準，定義了通過以太網傳輸時間敏感數據的機制。其中包括音頻和視頻橋接、汽車應用以及機器人應用等工業流程。

它們對數據包傳輸中的抖動、高延遲和數據包丟失等變化非常敏感。例如，實時音頻視頻橋接不可能進行重傳。如果傳輸違反了最后期限，在等待召回丟失的數據包時不會出現延遲，而是在質量下降的情況下繼續傳輸。數據包丟失時也會出現同樣的情況，導致音頻不流暢或出現機械音、視頻像素化或圖片出現偽影。

2、ProfiShark應用于時間敏感網絡（TSN）

ProfiShark 1G+ 和 10G+ 特別適用于這些環境，因為它們具有8 ns 分辨率的硬件時間戳和先進的 GPS/PPS 時間戳功能，可提供高精度的測量。

ProfiShark 能夠對所有幀、標簽和封裝進行完全的第 1 層直通。不會切斷 CRC 無效幀或碎片流量。ProfiShark 使我們能夠看到搶占式幀，如 IEEE 802.1Qbu 或 802.3br 流量。TSN 故障診斷的另一個挑戰是避免在內聯模式下引入額外的延遲或抖動。在 ProfiShark 中，這種延遲和抖動是最小且恒定的，因此它完全適用于 IEEE 802.1AS 和 1588 v2 流量。

六、使用 ProfiShark 有哪些優勢

ProfiShark 是用于網絡數據包捕獲和監控的專用硬件解決方案。它具有多項優勢，是尋求高精度數據包捕獲和分析的專業人員和組織的重要選擇。它非常小巧，適合每個故障排除人員的應急包。ProfiShark 易于部署，在內聯模式下不會在 1G 網絡鏈路中造成損失。

這種專用 TAP 可以處理大量網絡流量，而不會影響系統資源，因此適用于高速網絡。它通過硬件時間戳和附加型號上的 GPS 接收器提供高精度。故障排除人員可以看到整個幀的傳輸過程，因此甚至可以檢測到幀中的 CRC 故障。ProfiShark 管理器可以捕獲流量，而無需依賴分析軟件。

在TSN網絡中使用 Profishark的原因總結如下：

TSN支持，低抖動

故障轉移時間短

高分辨率時間戳

精準抓包

高保真跟蹤

提供 24V 型號

一旦 TAP 在網絡中就位，監控端口就可以隨意連接和斷開，而不會中斷網絡鏈路