智能变电站网络报文分析原理与应用-窦中山

技术中心中低压系统研发部-系列培训教程许继电气智能变电站网络报文分析原理与应用主要内容1、以太网基础知识2、网络监听原理3、报文分析基础4、智能变电站网络分析功能概述5、网络报文记录与分析装置的实现6、在智能变电站中的应用(一)以太网基础知识IEEE802.3带碰撞检测的载波监听多路访问(CSMA/CD)访问方法和物理层规范多路访问/冲突检测的原理：先听后讲的策略。检测到传输信道空闲才发送，发送过程中继续监听。如果此时检测到发送冲突，则立即停止发送，并等待一个随机时间后重新开始检测传输信道状态。以太网的MAC地址每块网卡在出厂时都有一个全世界唯一的硬件地址，即MAC地址。长度为6字节（48位）其中，前3字节为IEEE分配给厂商的厂商代码，后3字节为网卡编号。IEEE802.3规定：以太网的第48bit用于表示这个地址是组播地址还是单播地址。为“0”时，表示是单播地址；为“1”时，表示是组播地址。如果所有位全为“1”时，表示是广播地址（FF:FF:FF:FF:FF:FF）。组播地址示例：01-80-C2-00-00-0001-80-C2-00-00-01(一)以太网基础知识关于以太网传输顺序以太网线路上按“BigEndian”字节序传送报文（也就是最高字节先传送），而比特序是”LittleEndian”（也就是最低位先传送)。(一)以太网基础知识以太网最小帧64字节的由来在10Mbps网络时代，IEEE802.3标准中规定采用中继器时对于两个站点的最远距离为2500米，由4个中继器连接而成，其碰撞检测的冲突窗口时间为2倍电缆传输延迟加上4个中继器的双向延迟之和，合计为51.2us。对10Mbps网络而言，这个时间段内等于发送512bit，即64字节的时间。这就是IEEE802.3标准中最小帧长度为64字节的来由。网络设备A网络设备B数据冲突考虑如下极限的情况，主机发送的帧很小，而两台冲突主机相距很远。在主机A发送的帧传输到B之前，B开始发送帧。这样，当A的帧到达B时，B检测到冲突，于是发送冲突信号。假如在B的冲突信号传输到A之前，A的帧已经发送完毕，那么A将检测不到冲突而误认为已发送成功。这也是为什么必须有个最小帧长的限制。(一)以太网基础知识目的MAC源MAC类型数据FCS6字节6字节2字节46-1500字节4字节以太网的帧格式有两种主要的以太网帧类型：由RFC894定义的传统以太网封装格式（EthernetII）和RFC1042定义的802.3以太网封装格式；最常使用的封装格式是RFC894定义的格式。EthernetII（RFC894）帧结构如下：802.3以太网帧（RFC1042）的结构与EthernetII的非常类似，如下图所示：目的MAC源MAC类型LLC数据FCS6字节6字节2字节46-1500字节4字节注：1、LLC--逻辑链路控制。在IEEE802.2中规定。2、前导码—由7个字节前同步码(0xAA)，1个字节帧起始标志符(0xAB)。(一)以太网基础知识注：由于都采用了碰撞检测技术，意味着网络速度越快，传输距离越短。以太网的类型标准以太网-最开始以太网只有10Mbps的吞吐量，它所使用的是CSMA/CD（带有冲突检测的载波侦听多路访问）的访问控制方法，通常把这种最早期的10Mbps以太网称之为标准以太网。快速以太网--也就是我们现在大量使用的100Mbps以太网。快速以太网由IEEE802.3u标准定义，基本与标准以太网相同，但速度比标准以太网快十倍。千兆以太网--向前兼容的速度更快的以太网。由IEEE802.3z标准定义。(一)以太网基础知识常见以太网物理拓扑结构(一)以太网基础知识组播注册协议（GMRP）是基于GARP的一个组播注册协议，用于维护交换机中的组播注册信息。组播：主机之间一对一组的通讯模式，也就是加入了同一个组的主机可以接受到此组内的所有数据，网络中的交换机和路由器只向有需求者复制并转发其所需数据。主机可以向路由器请求加入或退出某个组，网络中的路由器和交换机有选择的复制并传输数据，即只将组内数据传输给那些加入组的主机。这样既能一次将数据传输给多个有需要（加入组）的主机，又能保证不影响其他不需要（未加入组）的主机的其他通讯。SVABCGlobalGMRP=offGlobalGMRP=onIEDIEDPortGMRPDisableGMRPEnableforAllPortsSVSVSVIEDMUJoin-in注：上面部分内容来自文章《110kV大侣智能变电站自动化系统的设计与应用》。组播与GMRP(一)以太网基础知识广播风暴：是指网络上不正确的数据流包，或者广播消息的过度传送。在一个局域网中，任何一台主机发出的广播报文都会被同一广播域中的所有其他主机接收到。随着网络规模的扩大，网络中的广播报文越来越多，广播报文占用的网络资源越来越多，严重影响网络性能，这就是所谓的广播风暴的问题。解决广播泛滥问题的主导思想：将没有互访需求的主机隔离开。虚拟局域网(VLAN)：是把一个物理网络划分为多个逻辑工作组的逻辑网段。标准是IEEE802.1Q。注：VLAN无法解决广播风暴，你只能通过较小的VLAN划分来减少广播风暴的发生率。TPID=0x8100PVLANID广播风暴与VLAN(二)网络监听的原理网络监听技术主要基于以下三个条件:一块网卡正常情况下网卡只接收与自身硬件地址相同的数据报文，以及广播和组播报文。混杂模式（PromiscuousMode）混杂模式就是不管目的地址，接收所有经过本网卡的数据报文的工作模式。支持报文转发的网络集线器（HUB）支持网管的交换机（SWITCH）端口镜像VLAN以太网监听设备网络设备AA:AA:AA:AA:AA:01网络设备AA:AA:AA:AA:AA:02网络设备AA:AA:AA:AA:AA:03网络设备AA:AA:AA:AA:AA:04网络监听--利用计算机的网络接口截获目的地为其它计算机的数据报文。注：在普通交换式网络中通过ARP欺骗的方式也可以进行网络监听。(二)网络监听的原理Window--winpcapwireshark/ethereal，Comview，SnifferLinux/Unix--libpcaptcpdump，wireshark9-19-2GOOSEARPRARPTCPUDPIGMPICMPSNTP1588GMRP(三)报文分析基础如何识别不同的以太网帧格式长度：=1500(0x05DC)类型：=1536(0x0600)如果帧头跟随源地址的2字节的值大于1536,则此帧为EthernetII格式的;接着比较紧接着的2字节如果为0xFFFF则为NovellEther类型的帧;如果为0xAAAA则为EthernetSNAP格式的帧;如果都不是则为Ethernet802.3/802.2格式的帧.如何识别不同的通信协议（EthernetII）几种常见通信协议的类型值：IP0800ARP0806SV88BAGOOSE88B8158888F7(三)报文分析基础IEC61850功能与协议集(三)报文分析基础MMS应用协议集MMS是一个国际信息通讯标准，提供适用于多种智能设备(IED)和控制设备范围广泛的服务。MMS由两部分组成：服务定义（Servicedefinition）和协议规范（Protocolspecification）。MMS使用了抽象语法标记(ASN.1)来描述它们所传输的PDU。(三)报文分析基础TCP/IP传输协议集(三)报文分析基础OSI传输协议集(三)报文分析基础9-2报文解析实例(三)报文分析基础百兆以太网每秒最大传输帧数的计算公式（传输能力）spbytebitpbytesbit/148809/8/)4601712(/1000000100下面以以太网最小帧长64字节的报文为例计算网络流量：有效数据流量计算：60bytex148809帧/秒x8bit/byte=71428320bit/秒=71.428Mbps网络传输负载计算：(12+8+60+4)bytex148809帧/秒x8bit/byte=99999648bit/秒=99.999Mbps注：同理我们来推算百兆以太网最多能传输多少台采样率为4000Hz的MU报文，假设MU的SVID为11个字符，22个通道，每帧1个点，带4字节VLAN信息。通过捕获报文可以知道每帧有效数据长度为242字节。通过以上公式可以得到46992帧/秒。46992/4000≈11台。网络传输能力（网络流量计算）(四)智能变电站网络分析功能概述缺少针对网络模型的监视手段智能设备和通信网络的健康状况将直接影响整个智能变电站的通信，网络报文的发送端、接收端及通信网络异常或故障均可能导致电力系统重大事故，因此需要对网络报文进行有效的监视、记录和诊断，提前发现通信网络的薄弱环节和故障设备，预防电力系统事故的发生。原始数据的记录与追溯当电力系统故障发生时，不仅能对记录的网络原始报文进行分析，还能还原电力系统一次设备故障波形以及二次设备动作行为，便于事故发生后进行分析和快速查找故障原因。ECVT合并单元智能终端IEC61850-9-2GOOSEGOOSE电子式互感器智能一次设备常规一次设备过程层保护单元间隔层站控后台对时系统站控层IEC61850-8-1测控单元计量单元网监单元录波单元为什么需要网络分析(四)智能变电站网络分析功能概述从物理设备上分：•合并单元•智能终端•保护测控•监控后台•交换机？？从协议类型和逻辑节点分：•SV节点•GOOSE节点•IP节点•1588ECVT合并单元智能终端IEC61850-9-2GOOSEGOOSE电子式互感器智能一次设备常规一次设备过程层保护单元间隔层站控后台对时系统站控层IEC61850-8-1测控单元计量单元网监单元录波单元监视和分析的对象(四)智能变电站网络分析功能概述1）记录数据的分辨率：≤1us；2）SV报文连续记录存储：≥3天；3）GOOSE报文连续记录存储：≥15天；4）MMS报文连续记录存储：≥15天；5）报文异常事件记录存储：≥1000条；6）文件格式：pcap格式报文数据记录将被监视网络的所有报文打上时标后，无损记录。(四)智能变电站网络分析功能概述实时分析报文，给出预警信息并启动报文记录。启动报文记录的条件包括：报文格式错误，如SV、GOOSE、MMS等报文格式错误；报文不连续，如丢帧、重复、超时等；报文不同步，如SV报文不同步等；数据属性变化,如品质因数变化、同步标志变化等；SV采样异常，如频率不稳定，双A/D不一致等：GOOSEStNum与SqNum的变化规律，如变位、重启、状态虚变等；对时服务事件，如时钟加入、时钟退出、时钟切换、报文超时等；与SCD配置不一致，如数据集、条目数、地址、参引等；ACSI服务分析，如名称解析、数据解析、服务过程解析、捕获时间、否定响应等。报文实时监视与分析(四)智能变电站网络分析功能概述装置能够实时监视及分析网络状态。能够实时监视网络中节点的增加和删除、报文流量、帧速、通信状态等，给出预警信息并启动报文记录。启动报文记录的条件包括：流量异常、网络风暴、节点突增、通信超时、通信中断等。网络状态实时监视及分析实时监视电力系统数据，如有效值、相角、频率、有功功率、无功功率、功率因数、差流、阻抗等当前量值及开关量当前状态的能力。实时分析以下异常：电压突变、电压（相/正序）越限、负序电压越限、零序电压越限、二次谐波电压越限、三次谐波电压越限、五次谐波电压越限、七次谐波电压越限、电流突变、电流越限、负序电流越限、零序电流越限、频率越限、频率变化率、开关量变位等，并给出相应的告警信息。电力系统数据实时监视及分析(五)网络报文记录与分析装置的实现高精度时标MU的离散度1-10us存储性能—400Mbps流量容量—4