艾體寶干貨丨差異解讀：IT 和 OT 網(wǎng)絡(luò)的數(shù)據(jù)包和網(wǎng)絡(luò)分析

引導(dǎo)語：
在現(xiàn)代網(wǎng)絡(luò)管理中，了解信息技術(shù)（IT）和操作技術(shù)（OT）網(wǎng)絡(luò)的獨(dú)特需求至關(guān)重要。本文詳細(xì)分析了IT和OT網(wǎng)絡(luò)的差異，并介紹了如何通過有效的數(shù)據(jù)包和網(wǎng)絡(luò)分析來優(yōu)化兩者的性能。這些洞見將幫助您在復(fù)雜的網(wǎng)絡(luò)環(huán)境中做出明智的決策，確保系統(tǒng)的安全性和高效運(yùn)行。

簡介：

隨著技術(shù)的不斷發(fā)展，傳統(tǒng)信息技術(shù)（IT）網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)或操作技術(shù)（OT）之間的界限越來越模糊。雖然這兩個(gè)領(lǐng)域都依賴于網(wǎng)絡(luò)分析，但其底層協(xié)議、架構(gòu)和要求的不同使得了解這些區(qū)別至關(guān)重要。本文將深入探討將這兩個(gè)領(lǐng)域區(qū)分開來的基本概念，并重點(diǎn)介紹數(shù)據(jù)包分析和網(wǎng)絡(luò)分析不同的關(guān)鍵領(lǐng)域。

IT 網(wǎng)絡(luò)（傳統(tǒng)網(wǎng)絡(luò)）

IT 網(wǎng)絡(luò)是現(xiàn)代計(jì)算的支柱，為數(shù)據(jù)交換、通信和處理提供了基礎(chǔ)設(shè)施。典型應(yīng)用包括

• 辦公網(wǎng)絡(luò)
• 數(shù)據(jù)中心
• 云服務(wù)
• 互聯(lián)網(wǎng)連接

這些網(wǎng)絡(luò)依靠 TCP/IP、DNS 和 HTTP 等標(biāo)準(zhǔn)協(xié)議來促進(jìn)設(shè)備之間的通信。通信路徑可能隨時(shí)發(fā)生變化，傳輸?shù)臄?shù)據(jù)量也有很大差異。通常情況下，足夠多的數(shù)據(jù)包會以突發(fā)方式發(fā)送，或者在某些時(shí)段連接會被關(guān)閉。

連接的可靠性和服務(wù)質(zhì)量對 IT 網(wǎng)絡(luò)的質(zhì)量起著非常重要的作用。安全性也是一個(gè)非常重要的因素，在內(nèi)容傳輸中也發(fā)揮著作用。

圖1：IT網(wǎng)絡(luò)

OT 網(wǎng)絡(luò)（基于機(jī)器的網(wǎng)絡(luò)）

OT 網(wǎng)絡(luò)專為工業(yè)控制系統(tǒng)、SCADA 系統(tǒng)或發(fā)動機(jī)控制而設(shè)計(jì)，可確保對物理和機(jī)械過程進(jìn)行精確一致的控制。典型應(yīng)用包括

• 制造自動化
• 過程控制系統(tǒng)
• 樓宇自動化
• 發(fā)動機(jī)和車輛控制系統(tǒng)（如飛機(jī)、汽車和火箭）
• 安全關(guān)鍵型系統(tǒng)

這些網(wǎng)絡(luò)依靠 PROFINET、Sercos III、EtherNet/IP 或 Modbus 等工業(yè)專用協(xié)議來促進(jìn)設(shè)備之間的實(shí)時(shí)數(shù)據(jù)交換。

圖2：OT網(wǎng)絡(luò)

IT/OT 的區(qū)別

IT 網(wǎng)絡(luò)與 OT 網(wǎng)絡(luò)的最大區(qū)別之一在于啟動時(shí)的啟用方式。IT 網(wǎng)絡(luò)會隨著時(shí)間的推移而發(fā)展，新系統(tǒng)上線，舊系統(tǒng)下線。而 OT 網(wǎng)絡(luò)通常在同一時(shí)間整體啟動。網(wǎng)絡(luò)本身有一個(gè)基本協(xié)議，所有設(shè)備要么使用該協(xié)議直接與網(wǎng)絡(luò)通信，要么通過某種形式的耦合站進(jìn)行通信，耦合站在不同協(xié)議之間轉(zhuǎn)換數(shù)據(jù)包信息。此外，OT 網(wǎng)絡(luò)還有一個(gè)配置或啟動階段，用于確保所有預(yù)期存在的設(shè)備都已存在并配置正確。固件更新也可在此階段自動應(yīng)用。這一階段通常稱為異步通信階段。

一旦正確配置了 OT 網(wǎng)絡(luò)和中央系統(tǒng)（在機(jī)器應(yīng)用中稱為 PLC，即可編程邏輯控制器），網(wǎng)絡(luò)就會切換到同步或?qū)崟r(shí)通信模式。這就是這兩類網(wǎng)絡(luò)的主要區(qū)別。IT 網(wǎng)絡(luò)可以在任何時(shí)間交換任何類型的信息，而 OT 設(shè)備通常傳輸所謂的 IO 映像。這是一組詳細(xì)說明設(shè)備當(dāng)前狀態(tài)的信息。與此同時(shí)，該設(shè)備還希望從其主設(shè)備接收 IO 映像，這將告訴設(shè)備應(yīng)切換到何種狀態(tài)。這一階段的信息交換定期重復(fù)，稱為一個(gè)網(wǎng)絡(luò)周期。

實(shí)時(shí)與軟實(shí)時(shí)

在 OT 網(wǎng)絡(luò)中，實(shí)時(shí)和硬實(shí)時(shí)應(yīng)用需要可預(yù)測和一致的網(wǎng)絡(luò)周期時(shí)間，而軟實(shí)時(shí)應(yīng)用可以容忍一定程度的延遲。例如，制造自動化系統(tǒng)可能需要硬實(shí)時(shí)響應(yīng)來控制物理過程，而樓宇自動化系統(tǒng)可能需要軟實(shí)時(shí)響應(yīng)來監(jiān)控溫度和濕度水平。

實(shí)時(shí)通常被誤認(rèn)為是快速通信。事實(shí)并非如此。硬實(shí)時(shí)和軟實(shí)時(shí)的區(qū)別在于重復(fù)周期的抖動容差。硬實(shí)時(shí)應(yīng)用通常希望抖動在納秒級以下，而軟實(shí)時(shí)可以容忍毫秒甚至秒級的抖動。

時(shí)間戳

在 IT 網(wǎng)絡(luò)中，時(shí)間戳對于確保準(zhǔn)確的數(shù)據(jù)包排序和檢測異常至關(guān)重要。例如，在基于云的環(huán)境中，時(shí)間戳有助于識別和排除與數(shù)據(jù)包重新排序或重復(fù)相關(guān)的問題。

與此相反，OT 網(wǎng)絡(luò)需要高精度的時(shí)間戳來維持分布式系統(tǒng)的同步時(shí)鐘，確保對物理流程的一致控制。這在制造自動化等應(yīng)用中尤為重要，因?yàn)樵谶@些應(yīng)用中，毫秒之差就能決定生產(chǎn)運(yùn)行的成敗。

延遲和抖動

IT 網(wǎng)絡(luò)優(yōu)先考慮低延遲以實(shí)現(xiàn)無縫通信，目標(biāo)響應(yīng)時(shí)間在 1-10 毫秒之間。

與此相反，OT 網(wǎng)絡(luò)側(cè)重于最大限度地減少抖動，以保持一致的流程控制，要求響應(yīng)時(shí)間在幾十納秒到幾百納秒之間。

協(xié)議

IT 網(wǎng)絡(luò)在很大程度上依賴 TCP/IP（傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議）、UDP（用戶數(shù)據(jù)報(bào)協(xié)議）、SIP（會話啟動協(xié)議）和 HTTP（超文本傳輸協(xié)議）等標(biāo)準(zhǔn)協(xié)議進(jìn)行通信，

而 OT 網(wǎng)絡(luò)則采用專為實(shí)時(shí)控制和監(jiān)控而設(shè)計(jì)的工業(yè)專用協(xié)議。PROFINET 是一種基于以太網(wǎng)的現(xiàn)場總線，用于設(shè)備與設(shè)備之間的通信，而 CAN（控制器局域網(wǎng)）和 Modbus 則是自動化系統(tǒng)中廣泛使用的協(xié)議。這些 OT 協(xié)議優(yōu)先考慮可靠性、確定性和低延遲，通常需要定制實(shí)施，以確保與工業(yè)設(shè)備無縫集成。相比之下，IT 協(xié)議則側(cè)重于數(shù)據(jù)包交換、糾錯(cuò)和高效數(shù)據(jù)傳輸，以實(shí)現(xiàn)通用通信。

OT 協(xié)議有哪些種類

OT 協(xié)議形形色色。有些協(xié)議（如 Modbus 或 Ethernet/IP）基于傳統(tǒng)的 IT 協(xié)議（如 Modbus/TCP 中的 TCP）。我們的 IOTA 有針對此類協(xié)議的特定儀表板，可以幫助分析設(shè)備或 PLC 網(wǎng)絡(luò)。

其他協(xié)議則基于完全不同的體系，如 CAN 或 PROFIBUS。對于這些協(xié)議，需要使用特定的嗅探器硬件，而且由于這些協(xié)議不是基于 RJ45 或類似標(biāo)準(zhǔn)，因此追蹤工作需要使用能夠符合協(xié)議物理特性的專用硬件。

另一類協(xié)議通常被稱為工業(yè)以太網(wǎng)。這類協(xié)議通?；?IEEE802.3，并根據(jù)特定需求采用更高層協(xié)議。例如，以太網(wǎng) POWERLINK 在標(biāo)準(zhǔn)以太網(wǎng)幀的基礎(chǔ)上使用特定幀來傳輸數(shù)據(jù)。另一方面，TTEthernet 也需要交換機(jī)和終端內(nèi)的特定硬件組件，以利用時(shí)間同步協(xié)議實(shí)現(xiàn)硬實(shí)時(shí)應(yīng)用。最新的此類協(xié)議稱為 TSN。TSN 使用特定類型的交換機(jī)和硬件組件來同步整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包。使用該協(xié)議，可以保證在幾微秒內(nèi)接收數(shù)據(jù)包。

數(shù)據(jù)包捕獲面臨的挑戰(zhàn)

所有工業(yè)以太網(wǎng)協(xié)議都有相同的目標(biāo)：確保在給定時(shí)間內(nèi)傳輸和接收數(shù)據(jù)包。因此，分析方法需要與 IT 協(xié)議不同。了解傳輸?shù)男畔⒉⒉浑y，難的是如何精確應(yīng)用和理解時(shí)間間隔。使用普通 PC 或硬件進(jìn)行分析往往會導(dǎo)致錯(cuò)誤的分析。原因在于，幾乎所有以太網(wǎng)硬件的實(shí)現(xiàn)都是為了滿足吞吐量和保證數(shù)據(jù)包的接收，而不是理解數(shù)據(jù)包的接收時(shí)間。例如，如果使用基于 Windows 的 PC 進(jìn)行網(wǎng)絡(luò)分析，數(shù)據(jù)包往往會在毫秒級的捕獲過程中發(fā)生抖動，這使得任何分析方法都無法進(jìn)行。

另一個(gè)問題是以太網(wǎng)前綴和后綴。一些 OT 協(xié)議使用這些部分來傳輸附加信息和同步。現(xiàn)代網(wǎng)卡在捕獲數(shù)據(jù)包時(shí)會刪除這些部分，因?yàn)椴僮飨到y(tǒng)通常不需要或不想要它們。

因此，必須盡可能精確和準(zhǔn)確地接收數(shù)據(jù)包并正確標(biāo)注時(shí)間戳。此外，數(shù)據(jù)包的相關(guān)信息（數(shù)據(jù)包來自何處、何時(shí)收到......）以及數(shù)據(jù)包 MAC 層的附加信息通常只有在直接從網(wǎng)絡(luò)上捕獲數(shù)據(jù)包時(shí)才能讀取。

最后，由于 OT 網(wǎng)絡(luò)通常需要精確的時(shí)間，而精確的時(shí)間又取決于電纜長度等因素，因此數(shù)據(jù)包捕獲應(yīng)盡可能減少對整個(gè)網(wǎng)絡(luò)的干擾。

ProfiShark 和 IOTA 如何幫助您

ProfiShark 和 IOTA EDGE 型號均采用基于 FPGA 的捕獲引擎，可完整捕獲所有信息，而不會受到捕獲本身的進(jìn)一步干擾。此外，所有數(shù)據(jù)包在接收到引擎后都會以極低的抖動（以毫微秒為單位）標(biāo)注時(shí)間戳。這樣就可以對定時(shí)間隔、延遲、抖動和其他問題（這是 OT 網(wǎng)絡(luò)最常見的問題）進(jìn)行非常精確和簡明的分析。

如今，許多工業(yè)公司都在使用 ProfiShark 分析 PROFINET、TSN 和以太網(wǎng) POWERLINK 等各種協(xié)議。其非常精確的時(shí)間戳比目前市場上的大多數(shù)其他解決方案都要好得多。此外，切換時(shí)的網(wǎng)絡(luò)中斷時(shí)間非常短，而且?guī)獠东@引擎允許直接在機(jī)器中實(shí)施 ProfiShark 和 IOTA，這使得未來的分析變得輕而易舉。IOTA 可以直接集成，并使用與現(xiàn)代機(jī)器相同的功率級別，利用其 API，可以在疊加 PLC 系統(tǒng)需要時(shí)執(zhí)行分析和記錄軌跡的任務(wù)，使詳細(xì)和精確的分析變得前所未有的簡單。