艾体宝干货 | TSN抓包工具解密：为什么选择使用 ProfiShark 进行数据包捕获？

在网络管理中，网络流量分析和故障排查是重要环节，如何高效精准地进行网络流量分析和故障排查？来看看利用ProfiShark数据包捕获，让我们一起探索其中的优势和特点。

一、捕获网络流量的重要性
捕获网络流量涉及访问和记录通过网络传输的数据。捕获网络流量有多种原因和用例。

图 1：捕获网络流量的原因和用例

1、网络故障排除和诊断
第一个原因是网络故障排除和诊断。网络无法运行或性能不佳的事件通常需要数据包捕获工具来收集数据并分析根本原因。
2、安全监控
安全监控也是一个重要的驱动因素，它允许安全或取证团队检测和调查潜在的安全漏洞、入侵和恶意活动。通过检查网络数据包，他们可以识别可疑或未经授权的流量模式，并采取适当的行动。
3、性能问题
捕获流量的另一个原因是性能问题。我们可以使用流量捕获来评估网络上运行的应用程序或服务的性能。它可以帮助优化网络性能，识别数据传输中的瓶颈或低效问题。
还可以捕获流量来验证合规性并完成审计。许多组织必须遵守监管标准和合规要求，其中往往涉及监控和保留网络流量数据。数据包捕获可帮助企业证明数据保留和安全法规的合规性，如使用特定的 TLS 版本和密码。

二、为什么使用专用硬件捕获？
与基于软件的方法相比，使用专用硬件捕获网络流量具有多项优势。专用硬件针对数据包捕获进行了优化，可提供更高的性能和吞吐量，而不会对系统资源造成重大影响。另一个方面是精度更高，丢失帧的概率更低。此外，专用流量捕获设备可实现高精度硬件时间戳，并在捕获过程和生产网络之间提供隔离，从而确保运行网络的安全。

交换端口分析仪（SPAN）将流量导出到捕获主机这样的站点有一些局限性。由于双向流量的发送和接收方向都从单个输出端口发出，因此 SPAN 目标端口超量订阅的可能性很高。TAP 解决方案通过将流量输出到每个方向的单独目标端口来解决这一限制。要接收这两个 TAP 输出，目标端口需要两个网络端口。在笔记本电脑等便携式设备上，这可能是个问题，因为它们很少包含多个以太网接口。

图 2：TAP 与 SPAN

ProfiShark 通过将 TAP 与 USB 3.0 输出端口集成来解决这一挑战，该端口具有足够的带宽来聚合 1 Gbit/s 链路的发送和接收方向。
ProfiShark 通过入口端口上的硬件时间戳帮助获得准确的数据包增量和绝对时间，并能够捕获带有前导码的整个帧，包括线路上的 CRC 故障，无论帧速率、突发或帧大小如何。这样，ProfiShark 在便携式外形中提供了无与伦比的性能，使其成为现场捕捉高保真流量的理想选择。

图 3：Profishark 1G 原理图概览

流量捕获可在 ProfiShark 管理器中启动，PCAP 捕获文件可直接保存在用户定义的特定文件夹中。还可进行环形缓冲、分割或停止特定大小和文件。

图 4：直接捕获到用户定义文件夹的捕获选项

三、如何使用 ProfiShark 捕获流量？
ProfiShark 是基于硬件的网络 TAP（流量接入点），可让您精确、可靠地捕获网络流量。它有两个以太网网络端口：ProfiShark 1G 和 1G+ 有两个 1 GBASE-T 端口，ProfiShark 10G 和 10G+ 有两个用于 10GBASE 连接的 SFP+ 端口。与其他 TAP 不同的是，它能将捕获的流量导出到 USB 3.0 端口。USB 端口可连接到运行任何操作系统的 PC。它可以包含硬件时间戳。1G+ 和 10G+ 型号包括用于精确时间戳的 GPS 接收器和用于时间戳同步的 PPS 输入/输出端口。

ProfiShark 支持内联模式（Inline Mode）和 SPAN 模式（SPAN Mode），前者可在生产流量路径中引入，后者可在两个端口上接收带外流量。

图 5：ProfiShark 的操作模式

如果您在内联模式下进行采集，ProfiShark 100M 和 1G 型号将无法接线，这意味着在断电的情况下仍可保持网络连接。还支持 PoE 直通，以便轻松捕获 VoIP 电话或 IP 摄像头流量。

您可以决定是否要直接捕获到磁盘，还是在基于软件的捕获解决方案（例如 Wireshark）或带有 tshark 的 CLI 上使用虚拟以太网接口。基于 Intel 的 Synology NAS 还可以实现长期流量捕获，这在解决间歇性问题或捕获大型数据集时特别有用。

四、应该在哪里捕获流量？
捕获网络流量的位置取决于您的具体目标以及网络监视或分析任务的性质。在故障排除场景中，应将其放置在靠近发生问题的主机的位置。下图中，ProfiShark 放置在接入交换机和出现问题的客户端之间。

图 6：故障排除场景

五、ProfiShark 如何帮助发现时间敏感网络中的问题？
1、时间敏感网络（TSN）
时间敏感网络（TSN）对网络有一些特殊要求。TSN 定义了一套标准，定义了通过以太网传输时间敏感数据的机制。其中包括音频和视频桥接、汽车应用以及机器人应用等工业流程。

它们对数据包传输中的抖动、高延迟和数据包丢失等变化非常敏感。例如，实时音频视频桥接不可能进行重传。如果传输违反了最后期限，在等待召回丢失的数据包时不会出现延迟，而是在质量下降的情况下继续传输。数据包丢失时也会出现同样的情况，导致音频不流畅或出现机械音、视频像素化或图片出现伪影。

2、ProfiShark应用于时间敏感网络（TSN）
ProfiShark 1G+ 和 10G+ 特别适用于这些环境，因为它们具有 8 ns 分辨率的硬件时间戳和先进的 GPS/PPS 时间戳功能，可提供高精度的测量。

ProfiShark 能够对所有帧、标签和封装进行完全的第 1 层直通。不会切断 CRC 无效帧或碎片流量。ProfiShark 使我们能够看到抢占式帧，如 IEEE 802.1Qbu 或 802.3br 流量。TSN 故障诊断的另一个挑战是避免在内联模式下引入额外的延迟或抖动。在 ProfiShark 中，这种延迟和抖动是最小且恒定的，因此它完全适用于 IEEE 802.1AS 和 1588 v2 流量。

六、使用 ProfiShark 有哪些优势？
ProfiShark 是用于网络数据包捕获和监控的专用硬件解决方案。它具有多项优势，是寻求高精度数据包捕获和分析的专业人员和组织的重要选择。它非常小巧，适合每个故障排除人员的应急包。ProfiShark 易于部署，在内联模式下不会在 1G 网络链路中造成损失。

这种专用 TAP 可以处理大量网络流量，而不会影响系统资源，因此适用于高速网络。它通过硬件时间戳和附加型号上的 GPS 接收器提供高精度。故障排除人员可以看到整个帧的传输过程，因此甚至可以检测到帧中的 CRC 故障。ProfiShark 管理器可以捕获流量，而无需依赖分析软件。

总结如下，为什么在TSN网络中使用 Profishark

TSN支持，低抖动

故障转移时间短

高分辨率时间戳

精准抓包

高保真跟踪

提供 24V 型号

一旦 TAP 在网络中就位，监控端口就可以随意连接和断开，而不会中断网络链路

审核编辑 黄宇