艾體寶干貨 差異解讀：IT?和 OT?網(wǎng)絡(luò)的數(shù)據(jù)包和網(wǎng)絡(luò)分析

IT 網(wǎng)絡(luò)（傳統(tǒng)網(wǎng)絡(luò)）

IT網(wǎng)絡(luò)是現(xiàn)代計算的支柱，為數(shù)據(jù)交換、通信和處理提供了基礎(chǔ)設(shè)施。典型應(yīng)用包括

辦公網(wǎng)絡(luò)

數(shù)據(jù)中心

云服務(wù)

互聯(lián)網(wǎng)連接

這些網(wǎng)絡(luò)依靠 TCP/IP、DNS和 HTTP等標(biāo)準(zhǔn)協(xié)議來促進(jìn)設(shè)備之間的通信。通信路徑可能隨時發(fā)生變化，傳輸?shù)臄?shù)據(jù)量也有很大差異。通常情況下，足夠多的數(shù)據(jù)包會以突發(fā)方式發(fā)送，或者在某些時段連接會被關(guān)閉。

連接的可靠性和服務(wù)質(zhì)量對 IT網(wǎng)絡(luò)的質(zhì)量起著非常重要的作用。安全性也是一個非常重要的因素，在內(nèi)容傳輸中也發(fā)揮著作用。

圖1：IT網(wǎng)絡(luò)

OT 網(wǎng)絡(luò)（基于機(jī)器的網(wǎng)絡(luò)）

OT網(wǎng)絡(luò)專為工業(yè)控制系統(tǒng)、SCADA系統(tǒng)或發(fā)動機(jī)控制而設(shè)計，可確保對物理和機(jī)械過程進(jìn)行精確一致的控制。典型應(yīng)用包括

制造自動化

過程控制系統(tǒng)

樓宇自動化

發(fā)動機(jī)和車輛控制系統(tǒng)（如飛機(jī)、汽車和火箭）

安全關(guān)鍵型系統(tǒng)

這些網(wǎng)絡(luò)依靠 PROFINET、Sercos III、EtherNet/IP或 Modbus等工業(yè)專用協(xié)議來促進(jìn)設(shè)備之間的實(shí)時數(shù)據(jù)交換。

圖2：OT網(wǎng)絡(luò)

IT/OT 的區(qū)別

IT網(wǎng)絡(luò)與 OT網(wǎng)絡(luò)的最大區(qū)別之一在于啟動時的啟用方式。IT網(wǎng)絡(luò)會隨著時間的推移而發(fā)展，新系統(tǒng)上線，舊系統(tǒng)下線。而 OT網(wǎng)絡(luò)通常在同一時間整體啟動。網(wǎng)絡(luò)本身有一個基本協(xié)議，所有設(shè)備要么使用該協(xié)議直接與網(wǎng)絡(luò)通信，要么通過某種形式的耦合站進(jìn)行通信，耦合站在不同協(xié)議之間轉(zhuǎn)換數(shù)據(jù)包信息。此外，OT網(wǎng)絡(luò)還有一個配置或啟動階段，用于確保所有預(yù)期存在的設(shè)備都已存在并配置正確。固件更新也可在此階段自動應(yīng)用。這一階段通常稱為異步通信階段。

一旦正確配置了 OT網(wǎng)絡(luò)和中央系統(tǒng)（在機(jī)器應(yīng)用中稱為 PLC，即可編程邏輯控制器），網(wǎng)絡(luò)就會切換到同步或?qū)崟r通信模式。這就是這兩類網(wǎng)絡(luò)的主要區(qū)別。IT網(wǎng)絡(luò)可以在任何時間交換任何類型的信息，而 OT設(shè)備通常傳輸所謂的 IO映像。這是一組詳細(xì)說明設(shè)備當(dāng)前狀態(tài)的信息。與此同時，該設(shè)備還希望從其主設(shè)備接收 IO映像，這將告訴設(shè)備應(yīng)切換到何種狀態(tài)。這一階段的信息交換定期重復(fù)，稱為一個網(wǎng)絡(luò)周期。

實(shí)時與軟實(shí)時

在 OT網(wǎng)絡(luò)中，實(shí)時和硬實(shí)時應(yīng)用需要可預(yù)測和一致的網(wǎng)絡(luò)周期時間，而軟實(shí)時應(yīng)用可以容忍一定程度的延遲。例如，制造自動化系統(tǒng)可能需要硬實(shí)時響應(yīng)來控制物理過程，而樓宇自動化系統(tǒng)可能需要軟實(shí)時響應(yīng)來監(jiān)控溫度和濕度水平。

實(shí)時通常被誤認(rèn)為是快速通信。事實(shí)并非如此。硬實(shí)時和軟實(shí)時的區(qū)別在于重復(fù)周期的抖動容差。硬實(shí)時應(yīng)用通常希望抖動在納秒級以下，而軟實(shí)時可以容忍毫秒甚至秒級的抖動。

時間戳

在 IT網(wǎng)絡(luò)中，時間戳對于確保準(zhǔn)確的數(shù)據(jù)包排序和檢測異常至關(guān)重要。例如，在基于云的環(huán)境中，時間戳有助于識別和排除與數(shù)據(jù)包重新排序或重復(fù)相關(guān)的問題。

與此相反，OT網(wǎng)絡(luò)需要高精度的時間戳來維持分布式系統(tǒng)的同步時鐘，確保對物理流程的一致控制。這在制造自動化等應(yīng)用中尤為重要，因?yàn)樵谶@些應(yīng)用中，毫秒之差就能決定生產(chǎn)運(yùn)行的成敗。

延遲和抖動

IT網(wǎng)絡(luò)優(yōu)先考慮低延遲以實(shí)現(xiàn)無縫通信，目標(biāo)響應(yīng)時間在 1-10毫秒之間。

與此相反，OT網(wǎng)絡(luò)側(cè)重于最大限度地減少抖動，以保持一致的流程控制，要求響應(yīng)時間在幾十納秒到幾百納秒之間。

協(xié)議

IT網(wǎng)絡(luò)在很大程度上依賴 TCP/IP（傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議）、UDP（用戶數(shù)據(jù)報協(xié)議）、SIP（會話啟動協(xié)議）和 HTTP（超文本傳輸協(xié)議）等標(biāo)準(zhǔn)協(xié)議進(jìn)行通信，

而 OT網(wǎng)絡(luò)則采用專為實(shí)時控制和監(jiān)控而設(shè)計的工業(yè)專用協(xié)議。PROFINET是一種基于以太網(wǎng)的現(xiàn)場總線，用于設(shè)備與設(shè)備之間的通信，而 CAN（控制器局域網(wǎng)）和 Modbus則是自動化系統(tǒng)中廣泛使用的協(xié)議。這些 OT協(xié)議優(yōu)先考慮可靠性、確定性和低延遲，通常需要定制實(shí)施，以確保與工業(yè)設(shè)備無縫集成。相比之下，IT協(xié)議則側(cè)重于數(shù)據(jù)包交換、糾錯和高效數(shù)據(jù)傳輸，以實(shí)現(xiàn)通用通信。

OT 協(xié)議有哪些種類

OT協(xié)議形形色色。有些協(xié)議（如 Modbus或 Ethernet/IP）基于傳統(tǒng)的 IT協(xié)議（如 Modbus/TCP中的 TCP）。我們的 IOTA有針對此類協(xié)議的特定儀表板，可以幫助分析設(shè)備或 PLC網(wǎng)絡(luò)。

其他協(xié)議則基于完全不同的體系，如 CAN或 PROFIBUS。對于這些協(xié)議，需要使用特定的嗅探器硬件，而且由于這些協(xié)議不是基于 RJ45或類似標(biāo)準(zhǔn)，因此追蹤工作需要使用能夠符合協(xié)議物理特性的專用硬件。

另一類協(xié)議通常被稱為工業(yè)以太網(wǎng)。這類協(xié)議通常基于 IEEE802.3，并根據(jù)特定需求采用更高層協(xié)議。例如，以太網(wǎng) POWERLINK在標(biāo)準(zhǔn)以太網(wǎng)幀的基礎(chǔ)上使用特定幀來傳輸數(shù)據(jù)。另一方面，TTEthernet 也需要交換機(jī)和終端內(nèi)的特定硬件組件，以利用時間同步協(xié)議實(shí)現(xiàn)硬實(shí)時應(yīng)用。最新的此類協(xié)議稱為 TSN。TSN使用特定類型的交換機(jī)和硬件組件來同步整個網(wǎng)絡(luò)的數(shù)據(jù)包。使用該協(xié)議，可以保證在幾微秒內(nèi)接收數(shù)據(jù)包。

數(shù)據(jù)包捕獲面臨的挑戰(zhàn)

所有工業(yè)以太網(wǎng)協(xié)議都有相同的目標(biāo)：確保在給定時間內(nèi)傳輸和接收數(shù)據(jù)包。因此，分析方法需要與 IT協(xié)議不同。了解傳輸?shù)男畔⒉⒉浑y，難的是如何精確應(yīng)用和理解時間間隔。使用普通 PC或硬件進(jìn)行分析往往會導(dǎo)致錯誤的分析。原因在于，幾乎所有以太網(wǎng)硬件的實(shí)現(xiàn)都是為了滿足吞吐量和保證數(shù)據(jù)包的接收，而不是理解數(shù)據(jù)包的接收時間。例如，如果使用基于 Windows的 PC進(jìn)行網(wǎng)絡(luò)分析，數(shù)據(jù)包往往會在毫秒級的捕獲過程中發(fā)生抖動，這使得任何分析方法都無法進(jìn)行。

另一個問題是以太網(wǎng)前綴和后綴。一些 OT協(xié)議使用這些部分來傳輸附加信息和同步。現(xiàn)代網(wǎng)卡在捕獲數(shù)據(jù)包時會刪除這些部分，因?yàn)?a target="_blank">操作系統(tǒng)通常不需要或不想要它們。

因此，必須盡可能精確和準(zhǔn)確地接收數(shù)據(jù)包并正確標(biāo)注時間戳。此外，數(shù)據(jù)包的相關(guān)信息（數(shù)據(jù)包來自何處、何時收到......）以及數(shù)據(jù)包 MAC層的附加信息通常只有在直接從網(wǎng)絡(luò)上捕獲數(shù)據(jù)包時才能讀取。

最后，由于 OT網(wǎng)絡(luò)通常需要精確的時間，而精確的時間又取決于電纜長度等因素，因此數(shù)據(jù)包捕獲應(yīng)盡可能減少對整個網(wǎng)絡(luò)的干擾。

ProfiShark 和 IOTA如何幫助您

ProfiShark和 IOTA EDGE型號均采用基于 FPGA的捕獲引擎，可完整捕獲所有信息，而不會受到捕獲本身的進(jìn)一步干擾。此外，所有數(shù)據(jù)包在接收到引擎后都會以極低的抖動（以毫微秒為單位）標(biāo)注時間戳。這樣就可以對定時間隔、延遲、抖動和其他問題（這是 OT網(wǎng)絡(luò)最常見的問題）進(jìn)行非常精確和簡明的分析。

如今，許多工業(yè)公司都在使用 ProfiShark分析 PROFINET、TSN和以太網(wǎng) POWERLINK等各種協(xié)議。其非常精確的時間戳比目前市場上的大多數(shù)其他解決方案都要好得多。此外，切換時的網(wǎng)絡(luò)中斷時間非常短，而且?guī)獠东@引擎允許直接在機(jī)器中實(shí)施 ProfiShark和 IOTA，這使得未來的分析變得輕而易舉。IOTA可以直接集成，并使用與現(xiàn)代機(jī)器相同的功率級別，利用其 API，可以在疊加 PLC系統(tǒng)需要時執(zhí)行分析和記錄軌跡的任務(wù)，使詳細(xì)和精確的分析變得前所未有的簡單。

審核編輯 黃宇