艾体宝干货 差异解读：IT 和 OT 网络的数据包和网络分析

IT 网络（传统网络）

IT网络是现代计算的支柱，为数据交换、通信和处理提供了基础设施。典型应用包括

办公网络

数据中心

云服务

互联网连接

这些网络依靠 TCP/IP、DNS和 HTTP等标准协议来促进设备之间的通信。通信路径可能随时发生变化，传输的数据量也有很大差异。通常情况下，足够多的数据包会以突发方式发送，或者在某些时段连接会被关闭。

连接的可靠性和服务质量对 IT网络的质量起着非常重要的作用。安全性也是一个非常重要的因素，在内容传输中也发挥着作用。

图1：IT网络

OT 网络（基于机器的网络）

OT网络专为工业控制系统、SCADA系统或发动机控制而设计，可确保对物理和机械过程进行精确一致的控制。典型应用包括

制造自动化

过程控制系统

楼宇自动化

发动机和车辆控制系统（如飞机、汽车和火箭）

安全关键型系统

这些网络依靠 PROFINET、Sercos III、EtherNet/IP或 Modbus等工业专用协议来促进设备之间的实时数据交换。

图2：OT网络

IT/OT 的区别

IT网络与 OT网络的最大区别之一在于启动时的启用方式。IT网络会随着时间的推移而发展，新系统上线，旧系统下线。而 OT网络通常在同一时间整体启动。网络本身有一个基本协议，所有设备要么使用该协议直接与网络通信，要么通过某种形式的耦合站进行通信，耦合站在不同协议之间转换数据包信息。此外，OT网络还有一个配置或启动阶段，用于确保所有预期存在的设备都已存在并配置正确。固件更新也可在此阶段自动应用。这一阶段通常称为异步通信阶段。

一旦正确配置了 OT网络和中央系统（在机器应用中称为 PLC，即可编程逻辑控制器），网络就会切换到同步或实时通信模式。这就是这两类网络的主要区别。IT网络可以在任何时间交换任何类型的信息，而 OT设备通常传输所谓的 IO映像。这是一组详细说明设备当前状态的信息。与此同时，该设备还希望从其主设备接收 IO映像，这将告诉设备应切换到何种状态。这一阶段的信息交换定期重复，称为一个网络周期。

实时与软实时

在 OT网络中，实时和硬实时应用需要可预测和一致的网络周期时间，而软实时应用可以容忍一定程度的延迟。例如，制造自动化系统可能需要硬实时响应来控制物理过程，而楼宇自动化系统可能需要软实时响应来监控温度和湿度水平。

实时通常被误认为是快速通信。事实并非如此。硬实时和软实时的区别在于重复周期的抖动容差。硬实时应用通常希望抖动在纳秒级以下，而软实时可以容忍毫秒甚至秒级的抖动。

时间戳

在 IT网络中，时间戳对于确保准确的数据包排序和检测异常至关重要。例如，在基于云的环境中，时间戳有助于识别和排除与数据包重新排序或重复相关的问题。

与此相反，OT网络需要高精度的时间戳来维持分布式系统的同步时钟，确保对物理流程的一致控制。这在制造自动化等应用中尤为重要，因为在这些应用中，毫秒之差就能决定生产运行的成败。

延迟和抖动

IT网络优先考虑低延迟以实现无缝通信，目标响应时间在 1-10毫秒之间。

与此相反，OT网络侧重于最大限度地减少抖动，以保持一致的流程控制，要求响应时间在几十纳秒到几百纳秒之间。

协议

IT网络在很大程度上依赖 TCP/IP（传输控制协议/互联网协议）、UDP（用户数据报协议）、SIP（会话启动协议）和 HTTP（超文本传输协议）等标准协议进行通信，

而 OT网络则采用专为实时控制和监控而设计的工业专用协议。PROFINET是一种基于以太网的现场总线，用于设备与设备之间的通信，而 CAN（控制器局域网）和 Modbus则是自动化系统中广泛使用的协议。这些 OT协议优先考虑可靠性、确定性和低延迟，通常需要定制实施，以确保与工业设备无缝集成。相比之下，IT协议则侧重于数据包交换、纠错和高效数据传输，以实现通用通信。

OT 协议有哪些种类

OT协议形形色色。有些协议（如 Modbus或 Ethernet/IP）基于传统的 IT协议（如 Modbus/TCP中的 TCP）。我们的 IOTA有针对此类协议的特定仪表板，可以帮助分析设备或 PLC网络。

其他协议则基于完全不同的体系，如 CAN或 PROFIBUS。对于这些协议，需要使用特定的嗅探器硬件，而且由于这些协议不是基于 RJ45或类似标准，因此追踪工作需要使用能够符合协议物理特性的专用硬件。

另一类协议通常被称为工业以太网。这类协议通常基于 IEEE802.3，并根据特定需求采用更高层协议。例如，以太网 POWERLINK在标准以太网帧的基础上使用特定帧来传输数据。另一方面，TTEthernet 也需要交换机和终端内的特定硬件组件，以利用时间同步协议实现硬实时应用。最新的此类协议称为 TSN。TSN使用特定类型的交换机和硬件组件来同步整个网络的数据包。使用该协议，可以保证在几微秒内接收数据包。

数据包捕获面临的挑战

所有工业以太网协议都有相同的目标：确保在给定时间内传输和接收数据包。因此，分析方法需要与 IT协议不同。了解传输的信息并不难，难的是如何精确应用和理解时间间隔。使用普通 PC或硬件进行分析往往会导致错误的分析。原因在于，几乎所有以太网硬件的实现都是为了满足吞吐量和保证数据包的接收，而不是理解数据包的接收时间。例如，如果使用基于 Windows的 PC进行网络分析，数据包往往会在毫秒级的捕获过程中发生抖动，这使得任何分析方法都无法进行。

另一个问题是以太网前缀和后缀。一些 OT协议使用这些部分来传输附加信息和同步。现代网卡在捕获数据包时会删除这些部分，因为操作系统通常不需要或不想要它们。

因此，必须尽可能精确和准确地接收数据包并正确标注时间戳。此外，数据包的相关信息（数据包来自何处、何时收到......）以及数据包 MAC层的附加信息通常只有在直接从网络上捕获数据包时才能读取。

最后，由于 OT网络通常需要精确的时间，而精确的时间又取决于电缆长度等因素，因此数据包捕获应尽可能减少对整个网络的干扰。

ProfiShark 和 IOTA如何帮助您

ProfiShark和 IOTA EDGE型号均采用基于 FPGA的捕获引擎，可完整捕获所有信息，而不会受到捕获本身的进一步干扰。此外，所有数据包在接收到引擎后都会以极低的抖动（以毫微秒为单位）标注时间戳。这样就可以对定时间隔、延迟、抖动和其他问题（这是 OT网络最常见的问题）进行非常精确和简明的分析。

如今，许多工业公司都在使用 ProfiShark分析 PROFINET、TSN和以太网 POWERLINK等各种协议。其非常精确的时间戳比目前市场上的大多数其他解决方案都要好得多。此外，切换时的网络中断时间非常短，而且带外捕获引擎允许直接在机器中实施 ProfiShark和 IOTA，这使得未来的分析变得轻而易举。IOTA可以直接集成，并使用与现代机器相同的功率级别，利用其 API，可以在叠加 PLC系统需要时执行分析和记录轨迹的任务，使详细和精确的分析变得前所未有的简单。

审核编辑 黄宇