时间戳分析的重要性及3种有效运行方式

运行和维护网络的一个重要方面是实现最佳性能。在网络监控的背景下,性能可以与延迟的概念联系起来,指的是网络的速度或远程响应时间。除了任何网络应用服务处理一个请求所需的处理时间外,请求到达服务的过程中还会有延迟。在提到延迟时,我们所说的就是这种延迟。

图1:在网络监控中,性能可以与延迟的概念联系在一起,指的是网络速度或远程响应时间。

这对于具有远程位置的工业控制系统(ICS)来说是一个大问题。想象一下,一个在中国的制造中心访问欧洲的数据中心。如果忽略,延迟可能会触发服务级别协议(SLA)违规。换句话说:每次失去对数据和基于云的应用程序的访问,哪怕只有几分钟,也会对公司生产力,收入机会和品牌造成损失。

尽管改善延迟可能相当困难,但用专门的解决方案精确测量它是很重要的。因此,在监控时能够对数据包进行高精度的时间标记,对了解网络中数据包层面的情况至关重要。准确的时间信息对法律和刑事调查非常重要,同样适用于准确的取证分析和性能测试,以测量关键指标,如延迟。

时间戳是一串字符,可以帮助你确定某一事件发生的时间,通过提供实际的日期和时间,有时精确到零点几秒。 时间戳作为信息被添加到每个数据包的头部,反过来可以被IOTA或Wireshark等分析器分析。简而言之,时间戳是通过网络接入设备接收和处理数据包的时间记录。

当开始分析数据包时,一个重要的要求是以尽可能高的精度和分辨率知道它们被捕获的确切日期和时间。这在许多涉及不同时区的应用和情况下可能特别重要,如合规性、故障排除、容量规划、入侵检测和预防网络攻击等等。这确保了数据包包含其在网络上发生的实际时间。

使用IOTA+运行时间戳分析的3种方法

如前所述,在分析网络流量时,时间戳是一个重要工具。但是,你可以用什么设备进行这种分析呢?这里我们将讨论IOTA系列,它提供了几个时间戳选项。

所有的IOTA型号都能够使用硬件时间计数器对入口帧进行时间标记。时间计数器的分辨率<10 ns,分辨率取决于设备和功能:1G和1G+为8 ns,10G为6.4 ns,而10G+为5 ns。

我们将通过3种方法来同步2个IOTA设备:用一个GPS信号,用2个GPS信号,以及没有GPS信号。

图2:使用IOTA在不同时区进行现场监控或远程监控

方法1:依靠1个GPS信号

让我们从两个关键的定义开始。时间初始化意味着从一个源头获取一个时间戳。它在IOTA启动时发生一次。计数器调控是指将计数器的速度与外部源同步。这在IOTA运行期间每秒钟发生一次。

图3:方法1,依靠1个GPS信号

IOTA 1的时间由GPS信号初始化,而时间戳计数器由GPS控制。在这种情况下,IOTA 1是 “主 “设备,对IOTA 2进行约束。

IOTA 2使用自己的系统时间(通过NTP或手动设置),而时间戳计数器则由外部PPS(来自IOTA 1)控制。

对于这种方法,重要的是IOTA 2的系统时间要在UTC全球时间的0.5秒内。

如果IOTA 2的系统时间有一个大于0.5秒的偏移,这可能会引起IOTA 1和IOTA 2之间的恒定时间偏移(对齐到整秒,如1秒,2秒等)。

这种方法的优势:

♦ 它测量IOTA1内的数据包和IOTA2内的相同数据包之间的延迟(因为时钟是同步的)。

♦ 它使得在I0TA2上无法使用GPS(或没有/弱信号)时也可以进行时间戳分析。

方法2:依靠2个GPS信号

图4:方法2,依靠2个GPS信号

时间是由GPS初始化的,时间戳计数器是由GPS控制的。

在这种情况下,两个IOTA都依靠GPS信号来获取时间戳并进行控制。因此,两个IOTA都具有有效的绝对UTC对齐时间戳。

这种方法的优势:

♦ 它可以精确测量IOTA之间的数据包延迟。
♦ 如果采集点的位置在地理上分离(不同的城市/国家),则没有距离限制。

方法3:没有GPS信号

图5:方法3,没有GPS信号

为了使两个IOTA在没有GPS信号的情况下同步(不与UTC同步),两个IOTA都使用自己的系统时间进行时间标记(通用的 “0.5秒差异 “规则也适用于此)。IOTA 1产生一个PPS信号,并通过PPS电缆将其转发给IOTA 2。

或者,一个外部PPS源向两个IOTA提供PPS。

这种方法的优势:

♦ IOTA之间和内部的相对(非UTC-aligned)延迟测量。
♦ 如果没有可能使用GPS,这是进行时间戳分析的一种有效方法。