标签: 故障排除

网络流量中的微突发问题常常难以察觉，但它们可能对网络性能产生显著影响。这篇文章深入探讨了如何利用IOTA来捕捉和分析微突发，帮助您快速有效地解决网络中的突发流量问题。 什么是微突发（Microburst）流量？ 微突发是指接口在极短时间（毫秒级别）内收到大量突发流量，以至于瞬时速率达到平均速率的数十倍、数百倍，甚至超过接口带宽的现象。网络流量通常使用链路的平均利用率来衡量，即5分钟的输入或输出率，单位为Mbps或Gbps。5分钟平均值，甚至1秒钟平均值通常都很平滑，显示了网络的稳定状态。如果以更细的粒度（如每毫秒）查看网络中的实际流量，则会发现突发流量要大得多。这些突发非常细微，以至于标准监控工具经常会忽略它们。微突发就是网络流量中的这些短时间峰值。 问题描述 网络中的短期过载（即所谓的 Microburst）会影响应用程序的服务质量。传统方法（如交换机和路由器上的接口统计数据以及SNMP数据）很难或根本无法检测到这种情况。这是因为这些方法通常只能评估较长的时间间隔。因此，微突发分析给IT经理的故障排除工作带来了真正的挑战。 入门 下面的示例逐步概述了如何使用IOTA进行微突发分析。 第一步，我们需要配置物理接口。为此，我们导航到左侧菜单树中的捕获菜单，然后导航到接口配置部分。在所示配置中，接口配置为10/100/1000 Mbit/s自动协商的内联模式，这意味着物理接口可以直接从内联链路看到并捕获要分析的流量。如果要将IOTA设置为带外捕获，以接收来自TAP或SPAN端口的流量，则必须取消勾选内联模式框，并单击保存按钮。 图1 物理接口的配置。在本例中，10/100/1000 Mbit/s自动协商为内联模式。 IOTA的放置 为进行微突发错误模式分析，应通过IOTA的集成端口或使用TAP内联部署IOTA。 为了获得真实的场景，IOTA应尽可能靠近发生错误的地点。但是，如果大量客户出现瓶颈，首先必须确定他们使用哪些组件和接口进行通信，以确定适当的点。这通常是向提供商的广域网过渡。 图2 IOTA的位置，用于数据包平均和随后的微突发分析。 开始捕获 放置好IOTA并准备好物理接口后，我们连接到适当的电缆，然后导航到捕获控制部分并单击屏幕底部的开始捕获按钮，开始捕获过程。 图3 使用“捕获控制”部分的“开始捕获”按钮开始捕获。 微突发分析 当用户报告性能问题时，我们首先会询问发生的时间。这通常只是一个非常粗略的时间：例如2023年5月20日，18:50至19:00。在后续工作中，我们首先将时间间隔限制在这个范围内。为此，我们使用时间范围的相对或绝对规格，或“向下钻取”。然后，我们使用导航菜单切换到Microburst仪表板。 图4 使用屏幕右上角的导航菜单切换到Microburst仪表板。 在该仪表板上，可以对负载范围进行下钻，以缩小时间范围。 如图5所示，微突发仪表板根据很短的时间间隔显示微突发。IOTA会自动选择适当的接口，并在右下方窗格中显示以Mb/s为单位的最大入站和出站微突发，以及上方时间间隔内传输的字节数和数据包数。在图表中，传出流量显示为红色，传入流量显示为蓝色。 向下钻取到相应的时间范围后，我们可以看到以200毫秒为时间间隔的微突发发显示。我们检测到1 Gbit/s连接的利用率为998 Mbit/s，相当于满负荷。这一瓶颈导致了性能问题。 图5 以200毫秒的时间间隔钻取后的Microburst仪表板。 不过，我们仍然需要分析是哪个网络流“拖慢”了应用程序。为此，我们需要通过导航菜单切换到应用程序概览仪表板。 图6 应用程序概览仪表板，其中指出了造成被检查微突发的根本原因。 在应用程序概览仪表板上，我们可以看到IOTA识别的应用程序。IOTA使用深度数据包检测来识别使用过的应用程序。如图6所示，Google共享服务的流量导致了微突发。因此，我们回到问题开始的客户端，查看此刻使用了哪些Google服务。我们看到，此时正在运行备份到Google Drive的服务，占用了整个链接容量。如果应用程序概览仪表板无法识别应用程序，IOTA可以选择在Microburst仪表板中导出相应的时间段。我们可以回到该仪表板，单击导航菜单左侧的下载按钮，这样就可以在需要时使用Wireshark等其他工具分析PCAP。 图7 从Microburst面板直接下载相应时间间隔的数据。 在Microburst面板的底部，我们还可以看到相应的PCAP文件，其中包含时间范围、持续时间和文件大小。我们可以复制这些文件名来下载我们需要的文件。 图8 微突发选定时间间隔内记录的PCAPNG文件列表。 在此基础上，我们导航到捕获文件页面，如图9所示。 图9 导航至“捕获的文件”页面。 在PCAPNG文件列表中，我们选择之前记下的文件名，然后点击下载按钮。 图10 选择和下载PCAPNG文件 IOTA的优势 由于测量时间间隔较短，IOTA可以检测活动网络组件上的普通接口工作负载无法捕获的临时瓶颈。此外，它还能通过应用识别对这些数据进行相应分析，或将其提供给进一步分析。因此，IOTA为我们分析瓶颈提供了更多可见性。

在企业网络和供应商环境中，通过 IP 协议传输语音面临着各种挑战。首先，对可用性的要求非常高。作为一种实时服务，用户也会立即发现服务质量方面的问题。丢包、抖动和延迟等网络质量参数会严重影响实时传输协议（RTP）的语音质量。 请注意，在 VoIP 环境中，不同的数据流是有区别的。信令是第一个数据流。信令是用于设置和清除下行数据流及其变化的通信。在当今的 VoIP 网络中，通常使用会话启动协议（SIP）来完成。第二个数据流是语音传输。因此，在发生错误时，必须能够记录这两个数据流并对其进行有效分析。 IOTA简介：IOTA 是一款功能强大的网络捕获和分析解决方案，适用于边缘和核心网络。IOTA 系列包括便携式 EDGE 型号、高速 CORE 型号和 IOTA CM 集中设备管理系统。IOTA 解决方案可为分支机构、中小企业和核心网络（如数据中心）提供快速高效的网络分析和故障排除功能。 开始 下面的示例逐步概述了如何使用IOTA 分析降低的 VoIP 质量。它涉及呼叫设置错误和语音质量错误。 第一步是配置物理接口。 为此，我们使用左侧菜单树导航到 “捕获 ”页面，然后导航到 “接口配置 ”部分。如下图所示，接口配置为 SPAN（带外），具有 10/100/1000 Mbit/s 自动协商功能，这意味着两个物理接口都可以接收来自 SPAN 端口或 TAP 的待分析流量。如果要将 IOTA 内联到数据流中，则必须勾选内联模式旁边的复选框并点击保存按钮。 图1 物理接口配置。本例中为 SPAN 模式下的 10/100/1000 Mbit/s 自动协商 准备好物理接口并定位好 IOTA 后，我们连接到相应的电缆，然后在捕获控制页面上单击页面底部的开始捕获按钮启动捕获过程。或者，我们也可以按下 IOTA 设备上的物理 “开始捕捉 ”按钮来启动捕捉过程。这将加快整个过程，未经培训或没有权限的人员也可以进行操作。 图2 使用 “Capture Control（捕捉控制）”子菜单中的 “Start Capture（开始捕捉）”按钮开始录制 故障排除仪表板 要排除网络电话的故障，我们首先要使用网络电话仪表板。 图3 导航至 VoIP 控制面板 会话过滤 在 VoIP 仪表板上，我们可以看到 VoIP 会话的列表。在这里，我们可以看到源 URI 和目标 URI、用户代理和会话持续时间。使用 VoIP 会话表的 “选择 ”列过滤特定会话，如图 4 中的示例，我们过滤了与 “sip:23@192.168.178.1;user=phone ”相关的会话。 对所需 VoIP 会话应用筛选器后，我们会在右侧边缘看到 VoIP 流程图，通过该图可以大致了解 VoIP 会话中涉及的端点。此外，还可将过滤器设置为上部区域的 VoIP 通话 ID。因此，仪表板下部区域的所有面板都会过滤为该呼叫。 图4 VoIP 仪表板，SIP 会话从号码 *29 转到号码 23 RTP 分析 再往下看，您可以看到与传输语音的实时传输协议相关的丢包和抖动等质量参数。高抖动会导致机器人声音，而丢包会导致对话无声。图 5 显示了网络电话会话中的高丢包率和高抖动率。我们还可以看到由此产生的抖动和丢包的方向。在示例中，这是由于所使用的软电话的 WiFi 连接不佳造成的。 图5 VoIP 仪表板中的 RTP 抖动和数据包丢失 该仪表板还可以查看所谓的平均意见分（MOS），即用户的主观通话质量（取决于通信方向）。图 6 举例说明了这一点。不过，这也取决于所使用的编解码器。常用的 G.711 编解码器的最大 MOS 约为 4.4。 图6 VoIP 面板中的计算 MOS 图 如图 7 所示，根据对 VoIP 呼叫 ID 的过滤，还可显示相应语音数据流（RTP 流）的信息。除了客户端和服务器 IP 和端口外，我们还可以看到呼叫持续时间。此外，还可以下载包含 RTP 流的 PCAPNG 文件。例如，我们可以在 Wireshark 中使用支持的编解码器监听语音数据，并听到语音传输中的任何错误。如果用户报告在通话过程中出现噪音，则可以快速、轻松地检查网络中的潜在错误。 图7 VoIP 面板中的 RTP 流列表 信令分析 除了语音质量差的评估外，信令中也可能存在错误，如呼叫设置或拆分。要对单个呼叫进行评估，我们需要在 VoIP 会话中选择所需的呼叫，如上所述。然后，我们可以在 SIP 响应类型部分看到对 SIP 请求的响应。如果有许多信息带有 4xx（客户端错误）、5xx（服务器端错误）或 6xx（全局错误），则应对这些信息进行更仔细的分析。 图8 SIP 响应类型图与各响应类型的编号 不过，建议特别注意 4xx，因为如果 SIP 使用了身份验证，注册和邀请的 407 和 401 消息是完全正常的。要查看确切的应答和通话过程中的时间，我们可以在 VoIP 面板中查看 SIP 流详情评估。在右侧窗格中，SIP 流程图显示了呼叫流程。在这种情况下，我们可以看到使用了身份验证，但收到的回复是 407，在这种情况下，4xx 回复是正常的，而不是错误。 图9 带有详细呼叫信令流程的 SIP 流程详情 如果在建立呼叫时出现性能问题，建议从上述 VoIP 会话表中下载 VoIP 呼叫的 PCAPNG。这样，对 SIP 请求的响应延迟过大就可能是性能问题的原因。 IOTA 的优势 VoIP 故障排除过程往往像大海捞针。IOTA 通过易于使用的过滤选项（如选择单个呼叫），简化了对根本原因的搜索。 可以根据 SIP 流程图检测信令错误，并下载为 PCAPNG 进行更深入的分析，例如查看单个报头。 RTP 抖动和损耗图形可以很好地概括语音质量。在 RTP 流中，IOTA 还提供下载带有 RTP 数据的 PCAPNG 的选项，以便在 Wireshark 的 RTP 播放器中收听语音数据。

艾体宝干货 | 用于故障排除的最佳 Wireshark 过滤器 引导语： 在网络故障排除过程中，Wireshark是一款非常强大的工具，它可以用来分析网络数据包并解决各种问题。本文将介绍一些好用的Wireshark过滤器，以便更有效地进行故障排除。 简介： Wireshark是一种流行的网络协议分析工具，可用于捕获和分析网络数据包。在网络故障排除中，Wireshark是一款不可或缺的工具，它可以帮助您识别和解决各种网络问题。本文将介绍一些最佳的Wireshark过滤器，帮助您提取和分析特定的数据包，加快故障排除的速度，提高工作效率。 关键词： Wireshark, 过滤器, 故障排除, 网络问题, 数据包 分析网络行为和排除网络故障就像用漏斗过滤渣滓。因此，网络协议分析仪 Wireshark 通过帮助网络工程师过滤特定的数据段，如特定的 IP 地址、值或协议，使故障排除过程更易于管理。 从网络流量的捕获或跟踪文件开始，可以应用过滤器将搜索范围缩小到特定的数据段，如特定的 IP 地址、值或协议，从而使故障排除过程更易于管理。 Wireshark 过滤器： 网络分析必备工具 一、Wireshark过滤器 我们列出了一系列有用的过滤器，以提高数据分析效率。这些过滤器适用于实时捕获和导入的文件，可精确检查协议字段和数据流的 HEX 值，满足各种故障排除方案的独特需求。以下是他们的最佳选择： 1、ip.addr == x.x.x.x 过滤以特定 IP 地址作为源地址或目标地址的数据包。是分析进出特定 IP 流量的理想工具。 2、ip.addr == x.x.x.x && ip.addr == y.y.y.y “对话 ”对话框，即可获得当前打开的跟踪中的对话列表。 3、http or dns 侧重于 HTTP 和 DNS 协议，便于调查网络流量和域名解析。 4、tcp.port == xxx 通过特定端口号隔离 TCP 数据包，简化通过指定端口的流量检查。如果需要过滤多个端口，也可以提供一个过滤值列表：tcp.port in {80, 443}。这将过滤 80 或 443 端口上的所有流量。 5、tcp.seq == x 按 TCP 序列号过滤数据包，用于分析数据包顺序。 6、tcp.flags.reset==1 显示所有 TCP 重置，这对识别突然终止的连接至关重要。 7、tcp.flags.push==1 识别 TCP 推送事件，对排除数据流问题至关重要。 8、tcp 包含 "关键字 显示包含指定术语的 TCP 数据包，帮助进行特定内容搜索。请注意，引号内的字符串将被转义。因此，搜索文件补丁可能会产生意想不到的结果。为避免这种情况，也可以强制搜索避免内容转义，例如： tcp contains r “C:\foo” 9、tcp.stream eq X Conversations 对话框。 10、http.request 捕获 HTTP GET 和 POST 请求，突出显示网页访问模式。具体来说，它会捕获存在 http.request 字段的所有数据包。如果只需过滤特定请求，可相应指定：http.request.method in {POST,PUSH} 11、!(arp 或 icmp 或 dns) 排除指定协议，集中分析相关流量。 12、udp 包含 “xx:xx:xx” ! 按十六进制值过滤 UDP 数据包，用于精确定位特定数据段。 13、dns.flags.rcode != 0 识别有解析错误的 DNS 请求，对诊断域名问题至关重要。 14、tcp.payload == bb:cc 过滤所有前两个字节包含 bb:cc 的报文的有效载荷字段。这可以用在很多地方，例如，eth.addr == 94:37:f7 将过滤所有来自具有华为供应商 ID 的网卡的流量。 二、专业tips： 如何将常用筛选器添加为按钮？ 地址栏右侧的小 + 允许创建所谓的 “过滤按钮”。这些按钮可用作常用显示过滤表达式的快捷方式。 添加新按钮时，可以将字段直接拖到 + 号上，也可以在应用筛选器时点击它。在后一种情况下，它会自动将当前的筛选器添加到创建对话框中，只需为按钮提供一个名称即可。在名称中添加两个斜线 // 后，按钮甚至可以组合在一起。 2. 如何拖放筛选器？ 与其复制筛选器，不如直接将筛选器拖入搜索栏。 3、捕获可操作的网络数据 网络数据包决定着故障排除过程的成败。网络数据包捕获的主要优势之一是其提供的详细程度。捕获数据包内的所有信息（包括源地址和目标地址、协议信息和有效载荷数据）的能力可对网络流量进行更全面的分析，使其成为排除网络故障的宝贵工具。 ProfiShark 或 IOTA 等数据包捕获工具具有硬件时间戳和硬件捕获过滤器等高级功能，可提供高保真捕获文件以供分析。 Profishark IOTA 用于现场故障排除和工业网络的高性能现场数据包捕获。 高保真现场流量捕获 硬件时间戳 非侵入式流量访问 与 Wireshark 或任何 PCAP 分析仪结合使用 故障安全 流量捕获与分析，只需一个盒子。中小型企业和数据中心。 部署在边缘和远程站点 集成分析仪表板 在线或带外 1 TB 或 2 TB 捕获存储 捕获性能 3.2 Gbps

一、方案背景 尽管意大利利古里亚沿海气候宁静，意大利里维埃拉使海平面增高，但WINDTRE面临着独特的挑战。他们的许多广播电台都坐落在a利古里亚山脉的高处，受到恶劣的天气条件，包括温度波动、大雨和天线结冰。最可怕的对手是无情的多向风，时速常常超过120公里/小时，给天线系统带来很大的压力。 最近，WINDTRE经历了从M. Leco到Campomorone这一段80 GHz无线电链路的路径故障，该链路用于利古里亚山区一系列无线电中心的回程连接容量。这种中断将严重影响许多站点，导致网络停机和潜在的SLA （服务级别协议，服务提供商和客户之间）处罚。他们需要立刻进行排除故障，找到问题根源并解决问题。 在这种情况下，通过链路监控系统GUI进行的标准射频环路测试对于检查调制解调器和无线电组件非常有用 。然而，GUI在识别天线系统问题方面存在不足。 在这种情况下，射频环路测试没有提供任何帮助，因此需要进行现场测试检查以确定是微波链路中哪些天线故障。 然而在如此恶劣的环境中对关键回程微波链路进行故障排除并不是开玩笑。 工作人员倾向于寻找最快的解决办法，这样就无需长时间在恶劣天气下的时间工作。 如果不使用现场便携式射频测试设备，工作人员可能会需要一个个来试这些天线。猜错了重新进行天线对准时还有可能把正确的天线位置弄错。 另一个常见问题与使用万用表作为天线是否正确对准的指示器有关：在高功率RF站点中（ 例如FM 广播、电视信号等），测试仪由于过饱和而变得不可靠。 另一方面，不建议使用基于链路监控系统的GUI的接收信号电平读数，因为它们缺乏实时准确性。 二、德思特解决方案 为了应对这些挑战，WINDTRE转向外场测试的频谱分析仪。 德思特手持式频谱分析提供了一种直接的方法来确定故障天线是位于本地还是远程站点，从而帮助技术人员爬上正确的塔 。 在E频段链路较短的情况下，从本地站点的塔基到远程终端提供清晰的视线 (LOS)，无需前往远程站点即可执行验证。 此外，将频谱分析仪直接安装在天线上可确保快速、精确的对准，消除万用表上的射频干扰风险，并最大限度地减少与GUI信号电平读数相关的耗时错误。 WINDTRE采用了 德思特E-band手持式频谱分析仪，这是一款70-87 GHz手持式频谱分析仪套件（TS-J0GSAP8001），有助于在地面分析以及微波链路直接天线对准 。 该套件配有一个小型喇叭天线，适用于地面无线电和天线系统验证。 使用德思特E-band手持式频谱分析仪频段，WINDTRE根据M.Leco塔底座的读数，迅速确定天线问题出在M.Leco站点，而不是Campomorone。 在RF工程师以及通过将德思特E-band手持式频谱分析仪直接连接到替换天线而实现的精确对准的支持下，M.Leco塔的天线更换和对准在不到12分钟内就完成。 （一）链路故障排除过程 以下是WINDTRE用于对E频段链路进行故障排除的过程的简单描述，特别是在80 GHz链路完全中断的情况下。WINDTRE使用德思特E-band手持式频谱分析仪超便携式频谱分析仪。 该装置采用紧凑、坚固且用户友好的设计，配有触摸屏，即使戴着手套也可进行操作。 step1 要在微波链路系统之外进行地面测量，需要使用相机三脚架等坚固的支撑机构，以确保波束衍射的准确验证。 step2 配置频谱仪的中心频率、参考电平，并选择“带内功率”选项。 德思特E-band手持式频谱分析仪3小时电池续航时间为大多数现场测试提供了充足的时间（如果需要，也可以携带USB移动电源可延长使用时间）。 step3 测试本地终端和任何链接的远程终端（无论是否在视距内）的射频电平，以对预期信号电平进行基准测试并确定故障天线。 step4 爬上塔、屋顶或安装结构以接近要更换的天线。 使用导轨将德思特E-band手持式频谱分析仪安装到天线上（需要注意保护频谱仪，免受潮湿）。 step5 通过界面上“带内功率”的读数和通过3.5毫米音频输出的声音信号，将天线对准微调至精确度。 然后安装好天线。 如果难以使用已安装的频谱分析仪（由于现场天线的放置），可以使用微型USB电缆连接到加固型PC或平板电脑，以便在频谱管理器应用程序中查看实时频谱扫描 。 step6 重新安装无线电和电缆。 通电并验证无线电参数。 step7 进行频谱扫描以进行信号验证并将其保存到设备的内存中以供查看频谱管理PC软件并创建报告。 三、结论 德思特E-band手持式频谱分析仪具有紧凑的外形、直观的图形用户界面以及3小时长的电池续航时间，在故障排除时节省了大量的猜测工作 。WINDTRE能够使用手持式频谱分析仪从同一位置对E频段链路的两端进行地面测量，从而节省人力和时间，同时快速识别有问题的一端。 在极其短的时间内完成了更换损坏天线的工作。也可以通过使用频谱管理PC软件保存最佳信号电平的现场射频频谱来提供基准信号频谱。德思特E-band手持式频谱分析仪作为微波无线电安装和故障排除的基本设备，快速识别和解决了WINDTRE的链路中断问题。 来自WINDTRE的Paolo Caminata说道：“E波段频谱分析仪非常有效，在解决类似问题时可以大大节省时间，设置简单且非常直观。即使我们的初级技术人员经过最少的培训也可以使用它。该仪器在故障检测中是不可或缺的，并提供安装过程中提供非常有效的支持” 德思特手持式频谱分析仪解决方案为运营商提供了灵活性，使运营商能够选择适合其网络需求的特定频率的设备 。对于部署许可回程和E频段链路的运营商来说，6-20GHz、16-26.5GHz、24-43GHz、56-71GHz 和 70-87GHz设备特别适合其大多数射频分析要求。 关于德思特 德思特 是原虹科测试测量事业部孵化出来的独立公司，基于超过10年的业务沉淀，德思特公司专注提供电子测试/测量解决方案。主要业务范围涵盖：汽车电子仿真及测试、射频微波及无线通信测试、无线频谱监测与规划、无线通信（包括智能网联汽车无线通信、轨道交通、卫星通信、室内无线通信）、半导体测试、PNT解决方案、大物理和光电测试等。 核心成员具有9年以上的测试测量、无线通信及其他相关行业资历；技术团队获得世界五百强PNT解决方案合作伙伴Safran的GNSS技术及信号仿真和软件Skydel培训认证证书、航空航天测试和测量合作伙伴Marvin Test 的自动化测试软件ATEasy培训认证证书。 德思特研发部，核心成员获得国际项目管理师PMP认证资质，并具备LabVIEW、python等多种编程语言能力，优势能力集中于：HIL测试，半导体测试，EOL测试和质量检测等多种系统研发集成，拥有10多个实用新型和专利授权。 围绕汽车电子、射频微波、通信、航空航天等行业提供专业可靠的解决方案，现有客户包括华为、德赛西威、蔚来汽车、理想汽车、航天科工集团、清华大学、北京航空航天大学、中电科集团等。 此外，我们还是中国无线电协会、中国通信企业协会、雷达行业协会、RIS智能超表面技术协会等行业协会的会员。