在網絡管理中，網絡流量分析和故障排查是重要環(huán)節(jié)，如何高效精準地進行網絡流量分析和故障排查？來看看利用ProfiShark數(shù)據(jù)包捕獲，讓我們一起探索其中的優(yōu)勢和特點。

一、捕獲網絡流量的重要性
捕獲網絡流量涉及訪問和記錄通過網絡傳輸?shù)臄?shù)據(jù)。捕獲網絡流量有多種原因和用例。

圖 1：捕獲網絡流量的原因和用例

1、網絡故障排除和診斷
第一個原因是網絡故障排除和診斷。網絡無法運行或性能不佳的事件通常需要數(shù)據(jù)包捕獲工具來收集數(shù)據(jù)并分析根本原因。
2、安全監(jiān)控
安全監(jiān)控也是一個重要的驅動因素，它允許安全或取證團隊檢測和調查潛在的安全漏洞、入侵和惡意活動。通過檢查網絡數(shù)據(jù)包，他們可以識別可疑或未經授權的流量模式，并采取適當?shù)男袆印?br /> 3、性能問題
捕獲流量的另一個原因是性能問題。我們可以使用流量捕獲來評估網絡上運行的應用程序或服務的性能。它可以幫助優(yōu)化網絡性能，識別數(shù)據(jù)傳輸中的瓶頸或低效問題。
還可以捕獲流量來驗證合規(guī)性并完成審計。許多組織必須遵守監(jiān)管標準和合規(guī)要求，其中往往涉及監(jiān)控和保留網絡流量數(shù)據(jù)。數(shù)據(jù)包捕獲可幫助企業(yè)證明數(shù)據(jù)保留和安全法規(guī)的合規(guī)性，如使用特定的 TLS 版本和密碼。

二、為什么使用專用硬件捕獲？
與基于軟件的方法相比，使用專用硬件捕獲網絡流量具有多項優(yōu)勢。專用硬件針對數(shù)據(jù)包捕獲進行了優(yōu)化，可提供更高的性能和吞吐量，而不會對系統(tǒng)資源造成重大影響。另一個方面是精度更高，丟失幀的概率更低。此外，專用流量捕獲設備可實現(xiàn)高精度硬件時間戳，并在捕獲過程和生產網絡之間提供隔離，從而確保運行網絡的安全。

交換端口分析儀（SPAN）將流量導出到捕獲主機這樣的站點有一些局限性。由于雙向流量的發(fā)送和接收方向都從單個輸出端口發(fā)出，因此 SPAN 目標端口超量訂閱的可能性很高。TAP 解決方案通過將流量輸出到每個方向的單獨目標端口來解決這一限制。要接收這兩個 TAP 輸出，目標端口需要兩個網絡端口。在筆記本電腦等便攜式設備上，這可能是個問題，因為它們很少包含多個以太網接口。

圖 2：TAP 與 SPAN

ProfiShark 通過將 TAP 與 USB 3.0 輸出端口集成來解決這一挑戰(zhàn)，該端口具有足夠的帶寬來聚合 1 Gbit/s 鏈路的發(fā)送和接收方向。
ProfiShark 通過入口端口上的硬件時間戳幫助獲得準確的數(shù)據(jù)包增量和絕對時間，并能夠捕獲帶有前導碼的整個幀，包括線路上的 CRC 故障，無論幀速率、突發(fā)或幀大小如何。這樣，ProfiShark 在便攜式外形中提供了無與倫比的性能，使其成為現(xiàn)場捕捉高保真流量的理想選擇。

圖 3：Profishark 1G 原理圖概覽

流量捕獲可在 ProfiShark 管理器中啟動，PCAP 捕獲文件可直接保存在用戶定義的特定文件夾中。還可進行環(huán)形緩沖、分割或停止特定大小和文件。

圖 4：直接捕獲到用戶定義文件夾的捕獲選項

三、如何使用 ProfiShark 捕獲流量？
ProfiShark 是基于硬件的網絡 TAP（流量接入點），可讓您精確、可靠地捕獲網絡流量。它有兩個以太網網絡端口：ProfiShark 1G 和 1G+ 有兩個 1 GBASE-T 端口，ProfiShark 10G 和 10G+ 有兩個用于 10GBASE 連接的 SFP+ 端口。與其他 TAP 不同的是，它能將捕獲的流量導出到 USB 3.0 端口。USB 端口可連接到運行任何操作系統(tǒng)的 PC。它可以包含硬件時間戳。1G+ 和 10G+ 型號包括用于精確時間戳的 GPS 接收器和用于時間戳同步的 PPS 輸入/輸出端口。

ProfiShark 支持內聯(lián)模式（Inline Mode）和 SPAN 模式（SPAN Mode），前者可在生產流量路徑中引入，后者可在兩個端口上接收帶外流量。

圖 5：ProfiShark 的操作模式

如果您在內聯(lián)模式下進行采集，ProfiShark 100M 和 1G 型號將無法接線，這意味著在斷電的情況下仍可保持網絡連接。還支持 PoE 直通，以便輕松捕獲 VoIP 電話或 IP 攝像頭流量。

您可以決定是否要直接捕獲到磁盤，還是在基于軟件的捕獲解決方案（例如 Wireshark）或帶有 tshark 的 CLI 上使用虛擬以太網接口?；?Intel 的 Synology NAS 還可以實現(xiàn)長期流量捕獲，這在解決間歇性問題或捕獲大型數(shù)據(jù)集時特別有用。

四、應該在哪里捕獲流量？
捕獲網絡流量的位置取決于您的具體目標以及網絡監(jiān)視或分析任務的性質。在故障排除場景中，應將其放置在靠近發(fā)生問題的主機的位置。下圖中，ProfiShark 放置在接入交換機和出現(xiàn)問題的客戶端之間。

圖 6：故障排除場景

五、ProfiShark 如何幫助發(fā)現(xiàn)時間敏感網絡中的問題？
1、時間敏感網絡（TSN）
時間敏感網絡（TSN）對網絡有一些特殊要求。TSN 定義了一套標準，定義了通過以太網傳輸時間敏感數(shù)據(jù)的機制。其中包括音頻和視頻橋接、汽車應用以及機器人應用等工業(yè)流程。

它們對數(shù)據(jù)包傳輸中的抖動、高延遲和數(shù)據(jù)包丟失等變化非常敏感。例如，實時音頻視頻橋接不可能進行重傳。如果傳輸違反了最后期限，在等待召回丟失的數(shù)據(jù)包時不會出現(xiàn)延遲，而是在質量下降的情況下繼續(xù)傳輸。數(shù)據(jù)包丟失時也會出現(xiàn)同樣的情況，導致音頻不流暢或出現(xiàn)機械音、視頻像素化或圖片出現(xiàn)偽影。

2、ProfiShark應用于時間敏感網絡（TSN）
ProfiShark 1G+ 和 10G+ 特別適用于這些環(huán)境，因為它們具有 8 ns 分辨率的硬件時間戳和先進的 GPS/PPS 時間戳功能，可提供高精度的測量。

ProfiShark 能夠對所有幀、標簽和封裝進行完全的第 1 層直通。不會切斷 CRC 無效幀或碎片流量。ProfiShark 使我們能夠看到搶占式幀，如 IEEE 802.1Qbu 或 802.3br 流量。TSN 故障診斷的另一個挑戰(zhàn)是避免在內聯(lián)模式下引入額外的延遲或抖動。在 ProfiShark 中，這種延遲和抖動是最小且恒定的，因此它完全適用于 IEEE 802.1AS 和 1588 v2 流量。

六、使用 ProfiShark 有哪些優(yōu)勢？
ProfiShark 是用于網絡數(shù)據(jù)包捕獲和監(jiān)控的專用硬件解決方案。它具有多項優(yōu)勢，是尋求高精度數(shù)據(jù)包捕獲和分析的專業(yè)人員和組織的重要選擇。它非常小巧，適合每個故障排除人員的應急包。ProfiShark 易于部署，在內聯(lián)模式下不會在 1G 網絡鏈路中造成損失。

這種專用 TAP 可以處理大量網絡流量，而不會影響系統(tǒng)資源，因此適用于高速網絡。它通過硬件時間戳和附加型號上的 GPS 接收器提供高精度。故障排除人員可以看到整個幀的傳輸過程，因此甚至可以檢測到幀中的 CRC 故障。ProfiShark 管理器可以捕獲流量，而無需依賴分析軟件。

總結如下，為什么在TSN網絡中使用 Profishark

TSN支持，低抖動

故障轉移時間短

高分辨率時間戳

精準抓包

高保真跟蹤

提供 24V 型號

一旦 TAP 在網絡中就位，監(jiān)控端口就可以隨意連接和斷開，而不會中斷網絡鏈路

審核編輯 黃宇