智能變電站網(wǎng)絡報文分析原理與應用竇中山

1、許繼電氣許繼電氣智能變電站網(wǎng)絡報文分析原理智能變電站網(wǎng)絡報文分析原理與應用與應用1、以太網(wǎng)基礎知識、以太網(wǎng)基礎知識2、網(wǎng)絡監(jiān)聽原理、網(wǎng)絡監(jiān)聽原理3、報文分析基礎、報文分析基礎4、智能變電站網(wǎng)絡分析功能概述、智能變電站網(wǎng)絡分析功能概述5、網(wǎng)絡報文記錄與分析裝置的實現(xiàn)、網(wǎng)絡報文記錄與分析裝置的實現(xiàn)6、在智能變電站中的應用、在智能變電站中的應用nIEEE802.3 帶碰撞檢測的載波監(jiān)聽多路訪問帶碰撞檢測的載波監(jiān)聽多路訪問(CSMA/CD)訪問方法訪問方法和物理層規(guī)范和物理層規(guī)范多路訪問多路訪問/ /沖突檢測的原理：先聽后講的策略。檢測到傳輸信道空閑才發(fā)送，發(fā)送沖突檢測的原理：先聽后講的策略。檢測到傳

2、輸信道空閑才發(fā)送，發(fā)送過程中繼續(xù)監(jiān)聽。如果此時檢測到發(fā)送沖突，則立即停止發(fā)送，并等待一個隨機過程中繼續(xù)監(jiān)聽。如果此時檢測到發(fā)送沖突，則立即停止發(fā)送，并等待一個隨機時間后重新開始檢測傳輸信道狀態(tài)。時間后重新開始檢測傳輸信道狀態(tài)。n以太網(wǎng)的以太網(wǎng)的MAC地址地址每塊網(wǎng)卡在出廠時都有一個全世界唯一的硬件地址，即每塊網(wǎng)卡在出廠時都有一個全世界唯一的硬件地址，即MACMAC地址。長度為地址。長度為6 6字節(jié)字節(jié)（4848位）其中，前位）其中，前3 3字節(jié)為字節(jié)為IEEEIEEE分配給廠商的廠商代碼，后分配給廠商的廠商代碼，后3 3字節(jié)為網(wǎng)卡編號。字節(jié)為網(wǎng)卡編號。IEEE 802.3IEEE 802.3規(guī)

3、定：以太網(wǎng)的第規(guī)定：以太網(wǎng)的第48bit48bit用于表示這個地址是組播地址還是單播地址。用于表示這個地址是組播地址還是單播地址。為為“0”0”時，表示是單播地址；為時，表示是單播地址；為“1”1”時，表示是組播地址。如果所有位全為時，表示是組播地址。如果所有位全為“1”1”時，表示是廣播地址（時，表示是廣播地址（FF:FF:FF:FF:FF:FFFF:FF:FF:FF:FF:FF）。）。組播地址示例：01-80-C2-00-00-0001-80-C2-00-00-01/develop/regauth/grpmac/public.html n關于

4、以太網(wǎng)傳輸順序關于以太網(wǎng)傳輸順序以太網(wǎng)線路上按以太網(wǎng)線路上按“Big EndianBig Endian”字節(jié)序傳送報文（也就是最高字節(jié)先傳字節(jié)序傳送報文（也就是最高字節(jié)先傳送），而比特序是送），而比特序是”Little EndianLittle Endian”（也就是最低位先傳送（也就是最低位先傳送 ) )。n以太網(wǎng)最小幀以太網(wǎng)最小幀64字節(jié)的由來字節(jié)的由來在在10Mbps網(wǎng)絡時代，網(wǎng)絡時代，IEEE802.3標準中規(guī)定采用中繼器時對于兩個站點的標準中規(guī)定采用中繼器時對于兩個站點的最遠距離為最遠距離為2500米，由米，由4個中繼器連接而成，其碰撞檢測的沖突窗口時間為個中繼器連接而成，其碰撞檢測

5、的沖突窗口時間為2倍倍電纜傳輸延遲加上電纜傳輸延遲加上4個中繼器的雙向延遲之和，合計為個中繼器的雙向延遲之和，合計為51.2us。對。對10Mbps網(wǎng)絡網(wǎng)絡而言，這個時間段內(nèi)等于發(fā)送而言，這個時間段內(nèi)等于發(fā)送512bit，即，即64字節(jié)的時間。這就是字節(jié)的時間。這就是IEEE802.3標準標準中最小幀長度為中最小幀長度為64字節(jié)的來由。字節(jié)的來由。考慮如下極限的情況，主機發(fā)送的幀很小，而兩臺沖突主機相距很遠。在考慮如下極限的情況，主機發(fā)送的幀很小，而兩臺沖突主機相距很遠。在主機主機A發(fā)送的幀傳輸?shù)桨l(fā)送的幀傳輸?shù)紹之前，之前，B開始發(fā)送幀。這樣，當開始發(fā)送幀。這樣，當A的幀到達的幀到達B時，時，

6、B檢測到檢測到?jīng)_突，于是發(fā)送沖突信號。假如在沖突，于是發(fā)送沖突信號。假如在B的沖突信號傳輸?shù)降臎_突信號傳輸?shù)紸之前，之前，A的幀已經(jīng)發(fā)送完的幀已經(jīng)發(fā)送完畢，那么畢，那么A將檢測不到?jīng)_突而誤認為已發(fā)送成功。這也是為什么必須有個最小幀長將檢測不到?jīng)_突而誤認為已發(fā)送成功。這也是為什么必須有個最小幀長的限制。的限制。目的MAC源MAC類型數(shù)據(jù)FCS6字節(jié)6字節(jié)2字節(jié)46-1500字節(jié)4字節(jié)n以太網(wǎng)的幀格式以太網(wǎng)的幀格式有兩種主要的以太網(wǎng)幀類型：由有兩種主要的以太網(wǎng)幀類型：由RFC894定義的傳統(tǒng)以太網(wǎng)封裝格式定義的傳統(tǒng)以太網(wǎng)封裝格式（EthernetII）和）和RFC1042定義的定義的802.3以太

7、網(wǎng)封裝格式；以太網(wǎng)封裝格式； 最常使用的封裝格最常使用的封裝格式是式是RFC 894定義的格式。定義的格式。EthernetII（RFC894）幀結構如下： 802.3 以太網(wǎng)幀（ RFC1042 ）的結構與Ethernet II 的非常類似，如下圖所示：目的MAC源MAC類型LLC數(shù)據(jù)FCS6字節(jié)6字節(jié)2字節(jié)46-1500字節(jié)4字節(jié)注：注：1、LLC-邏輯鏈路控制。在邏輯鏈路控制。在IEEE802.2中規(guī)定中規(guī)定。 2 2、前導碼、前導碼由由7個字節(jié)前同步碼個字節(jié)前同步碼(0 xAA)，1個字節(jié)幀起始標志符個字節(jié)幀起始標志符(0 xAB)。注：由于都采用了碰撞檢測技術，意味著網(wǎng)絡速度越快，傳

8、輸距離越短。n以太網(wǎng)的類型以太網(wǎng)的類型標準以太網(wǎng)-最開始以太網(wǎng)只有10Mbps的吞吐量，它所使用的是CSMA/CD（帶有沖突檢測的載波偵聽多路訪問）的訪問控制方法，通常把這種最早期的10Mbps以太網(wǎng)稱之為標準以太網(wǎng)。快速以太網(wǎng)-也就是我們現(xiàn)在大量使用的100Mbps以太網(wǎng)?？焖僖蕴W(wǎng)由 IEEE 802.3u 標準定義，基本與標準以太網(wǎng)相同，但速度比標準以太網(wǎng)快十倍。 千兆以太網(wǎng)-向前兼容的速度更快的以太網(wǎng)。由IEEE 802.3z標準定義。n常見以太網(wǎng)物理拓撲結構常見以太網(wǎng)物理拓撲結構組播注冊協(xié)議（GMRP）是基于GARP的一個組播注冊協(xié)議，用于維護交換機中的組播注冊信息 。組播：主機之間

9、一對一組的通訊模式，也就是加入了同一個組的主機可以接受到此組內(nèi)的所有數(shù)據(jù)，網(wǎng)絡中的交換機和路由器只向有需求者復制并轉發(fā)其所需數(shù)據(jù)。主機可以向路由器請求加入或退出某個組，網(wǎng)絡中的路由器和交換機有選擇的復制并傳輸數(shù)據(jù)，即只將組內(nèi)數(shù)據(jù)傳輸給那些加入組的主機。這樣既能一次將數(shù)據(jù)傳輸給多個有需要（加入組）的主機，又能保證不影響其他不需要（未加入組）的主機的其他通訊。注：上面部分內(nèi)容來自文章110kV大侶智能變電站自動化系統(tǒng)的設計與應用。n組播與組播與GMRP廣播風暴：是指網(wǎng)絡上不正確的數(shù)據(jù)流包，或者廣播消息的過度傳送。在一個局域網(wǎng)中，任何一臺主機發(fā)出的廣播報文都會被同一廣播域中的所有其他主機接收到。隨著

10、網(wǎng)絡規(guī)模的擴大，網(wǎng)絡中的廣播報文越來越多，廣播報文占用的網(wǎng)絡資源越來越多，嚴重影響網(wǎng)絡性能，這就是所謂的廣播風暴的問題。解決廣播泛濫問題的主導思想：將沒有互訪需求的主機隔離開。虛擬局域網(wǎng)(VLAN)：是把一個物理網(wǎng)絡劃分為多個邏輯工作組的邏輯網(wǎng)段。標準是IEEE802.1Q。注： VLAN無法解決廣播風暴，你只能通過較小的VLAN劃分來減少廣播風暴的發(fā)生率。TPI D = 0 x8100PVLAN I Dn廣播風暴與廣播風暴與VLAN網(wǎng)絡監(jiān)聽技術主要基于以下三個條件:n一塊網(wǎng)卡一塊網(wǎng)卡正常情況下網(wǎng)卡只接收與自身硬件地址相同正常情況下網(wǎng)卡只接收與自身硬件地址相同的數(shù)據(jù)報文，以及廣播和組播報文。的

11、數(shù)據(jù)報文，以及廣播和組播報文。n混雜模式混雜模式（Promiscuous Mode）混雜模式就是不管目的地址，接收所有經(jīng)過混雜模式就是不管目的地址，接收所有經(jīng)過本網(wǎng)卡的數(shù)據(jù)報文的工作模式。本網(wǎng)卡的數(shù)據(jù)報文的工作模式。 n支持報文轉發(fā)的網(wǎng)絡支持報文轉發(fā)的網(wǎng)絡集線器（集線器（HUBHUB）支持網(wǎng)管的交換機（支持網(wǎng)管的交換機（SWITCHSWITCH）o端口鏡像端口鏡像oVLANVLAN網(wǎng)絡監(jiān)聽-利用計算機的網(wǎng)絡接口截獲目的地為其它計算機的數(shù)據(jù)報文。注：在普通交換式網(wǎng)絡中通過ARP欺騙的方式也可以進行網(wǎng)絡監(jiān)聽。nWindow-winpcapwiresharkwireshark/ethereal/et

12、hereal，ComviewComview，SnifferSniffernLinux/Unix-libpcaptcpdumptcpdump，wiresharkwireshark 9-19-2GOOSEARPRARPTCPUDPIGMPICMPSNTP1588GMRPn如何識別不同的以太網(wǎng)幀格式如何識別不同的以太網(wǎng)幀格式長度： = 1536(0 x0600)如果幀頭跟隨源地址的2 字節(jié)的值大于1536,則此幀為Ethernet II格式的;接著 比較緊接著的2 字節(jié)如果為0 xFFFF則為Novell Ether類型的幀;如果為0 xAAAA則為 Ethernet SNAP格式的幀;如果都不是則

13、為Ethernet 802.3/802.2格式的幀.n如何識別不同的通信協(xié)議（如何識別不同的通信協(xié)議（Ethernet II） 幾種常見通信協(xié)議的類型值：IP 0800ARP0806SV88BAGOOSE88B8158888F7n IEC61850功能與協(xié)議集功能與協(xié)議集n MMS應用協(xié)議集應用協(xié)議集MMS 是一個國際信息通訊標準，提供適用于多種智能設備(IED)和控制設備范圍廣泛的服務。MMS由兩部分組成：服務定義（Servicedefinition）和協(xié)議規(guī)范（Protocol specification）。MMS 使用了抽象語法標記(ASN.1) 來描述它們所傳輸?shù)腜DU。n TCP/I

14、P傳輸協(xié)議集傳輸協(xié)議集n OSI傳輸協(xié)議集傳輸協(xié)議集n 9-2報文解析實例報文解析實例百兆以太網(wǎng)每秒最大傳輸幀數(shù)的計算公式（傳輸能力）spbytebitpbytesbit/148809/8/)4601712(/1000000100下面以以太網(wǎng)最小幀長64字節(jié)的報文為例計算網(wǎng)絡流量：有效數(shù)據(jù)流量計算：60byte x 148809幀/秒 x 8bit/byte = 71428320bit/秒 = 71.428Mbps網(wǎng)絡傳輸負載計算：(12+8+60+4)byte x 148809幀/秒 x 8bit/byte = 99999648bit/秒 = 99.999Mbps注：同理我們來推算百兆以太網(wǎng)

15、最多能傳輸多少臺采樣率為4000Hz的MU報文，假設MU的SVID為11個字符，22個通道，每幀1個點，帶4字節(jié)VLAN信息。通過捕獲報文可以知道每幀有效數(shù)據(jù)長度為242字節(jié)。通過以上公式可以得到46992幀/秒。46992/400011臺。n網(wǎng)絡傳輸能力（網(wǎng)絡流量計算）網(wǎng)絡傳輸能力（網(wǎng)絡流量計算）缺少針對網(wǎng)絡模型的監(jiān)視手段缺少針對網(wǎng)絡模型的監(jiān)視手段 智能設備和通信網(wǎng)絡的健康狀況將直接影響整智能設備和通信網(wǎng)絡的健康狀況將直接影響整個智能變電站的通信，網(wǎng)絡報文的發(fā)送端、接個智能變電站的通信，網(wǎng)絡報文的發(fā)送端、接收端及通信網(wǎng)絡異?；蚬收暇赡軐е码娏ο凳斩思巴ㄐ啪W(wǎng)絡異常或故障均可能導致電力系統(tǒng)重大

16、事故，因此需要對網(wǎng)絡報文進行有效的統(tǒng)重大事故，因此需要對網(wǎng)絡報文進行有效的監(jiān)視、記錄和診斷，提前發(fā)現(xiàn)通信網(wǎng)絡的薄弱監(jiān)視、記錄和診斷，提前發(fā)現(xiàn)通信網(wǎng)絡的薄弱環(huán)節(jié)和故障設備，預防電力系統(tǒng)事故的發(fā)生。環(huán)節(jié)和故障設備，預防電力系統(tǒng)事故的發(fā)生。 原始數(shù)據(jù)的記錄與追溯原始數(shù)據(jù)的記錄與追溯 當電力系統(tǒng)故障發(fā)生時，不僅能對記錄的網(wǎng)絡當電力系統(tǒng)故障發(fā)生時，不僅能對記錄的網(wǎng)絡原始報文進行分析，還能還原電力系統(tǒng)一次設原始報文進行分析，還能還原電力系統(tǒng)一次設備故障波形以及二次設備動作行為，便于事故備故障波形以及二次設備動作行為，便于事故發(fā)生后進行分析和快速查找故障原因。發(fā)生后進行分析和快速查找故障原因。n為什么需要網(wǎng)

17、絡分析為什么需要網(wǎng)絡分析從物理設備上分：從物理設備上分：合并單元合并單元智能終端智能終端保護測控保護測控監(jiān)控后臺監(jiān)控后臺交換機？交換機？從協(xié)議類型和邏輯節(jié)點分：從協(xié)議類型和邏輯節(jié)點分：SV節(jié)點節(jié)點GOOSE節(jié)點節(jié)點IP節(jié)點節(jié)點1588 n監(jiān)視和分析的對象監(jiān)視和分析的對象1）記錄數(shù)據(jù)的分辨率：）記錄數(shù)據(jù)的分辨率： 1us；2）SV報文連續(xù)記錄存儲：報文連續(xù)記錄存儲： 3天；天；3）GOOSE報文連續(xù)記錄存儲：報文連續(xù)記錄存儲： 15天；天；4）MMS報文連續(xù)記錄存儲：報文連續(xù)記錄存儲： 15天；天；5）報文異常事件記錄存儲：）報文異常事件記錄存儲： 1000條；條；6）文件格式：）文件格式： p

18、cap格式格式n報文數(shù)據(jù)記錄報文數(shù)據(jù)記錄將被監(jiān)視網(wǎng)絡的所有報文打上時標后，無損記錄。將被監(jiān)視網(wǎng)絡的所有報文打上時標后，無損記錄。實時分析報文，給出預警信息并啟動報文記錄。啟動報文記錄的條件包括：實時分析報文，給出預警信息并啟動報文記錄。啟動報文記錄的條件包括：報文格式錯誤，如報文格式錯誤，如SV、GOOSE、MMS等報文格式錯誤；等報文格式錯誤；報文不連續(xù)，如丟幀、重復、超時等；報文不連續(xù)，如丟幀、重復、超時等；報文不同步，如報文不同步，如SV報文不同步等；報文不同步等；數(shù)據(jù)屬性變化數(shù)據(jù)屬性變化, 如品質因數(shù)變化、同步標志變化等；如品質因數(shù)變化、同步標志變化等；SV采樣異常，如頻率不穩(wěn)定，雙采

19、樣異常，如頻率不穩(wěn)定，雙A/D不一致等：不一致等：GOOSE StNum與與SqNum的變化規(guī)律，如變位、重啟、狀態(tài)虛變等；的變化規(guī)律，如變位、重啟、狀態(tài)虛變等；對時服務事件，如時鐘加入、時鐘退出、時鐘切換、報文超時等；對時服務事件，如時鐘加入、時鐘退出、時鐘切換、報文超時等；與與SCD配置不一致，如數(shù)據(jù)集、條目數(shù)、地址、參引等；配置不一致，如數(shù)據(jù)集、條目數(shù)、地址、參引等；ACSI服務分析，如名稱解析、數(shù)據(jù)解析、服務過程解析、捕獲時間、否定響應等。服務分析，如名稱解析、數(shù)據(jù)解析、服務過程解析、捕獲時間、否定響應等。n報文實時監(jiān)視與分析報文實時監(jiān)視與分析 裝置能夠實時監(jiān)視及分析網(wǎng)絡狀態(tài)。能夠實時

20、監(jiān)視網(wǎng)絡中節(jié)點的增加和刪除、報裝置能夠實時監(jiān)視及分析網(wǎng)絡狀態(tài)。能夠實時監(jiān)視網(wǎng)絡中節(jié)點的增加和刪除、報文流量、幀速、通信狀態(tài)等，給出預警信息并啟動報文記錄。啟動報文記錄的條文流量、幀速、通信狀態(tài)等，給出預警信息并啟動報文記錄。啟動報文記錄的條件包括：流量異常、網(wǎng)絡風暴、節(jié)點突增、通信超時、通信中斷等。件包括：流量異常、網(wǎng)絡風暴、節(jié)點突增、通信超時、通信中斷等。n網(wǎng)絡狀態(tài)實時監(jiān)視及分析網(wǎng)絡狀態(tài)實時監(jiān)視及分析 實時監(jiān)視電力系統(tǒng)數(shù)據(jù)，如有效值、相角、頻率、有功功率、無功功率、實時監(jiān)視電力系統(tǒng)數(shù)據(jù)，如有效值、相角、頻率、有功功率、無功功率、功率因數(shù)、差流、阻抗等當前量值及開關量當前狀態(tài)的能力。功率因數(shù)、

21、差流、阻抗等當前量值及開關量當前狀態(tài)的能力。 實時分析以下異常：電壓突變、電壓（相實時分析以下異常：電壓突變、電壓（相/正序）越限、負序電壓越限、零正序）越限、負序電壓越限、零序電壓越限、二次諧波電壓越限、三次諧波電壓越限、五次諧波電壓越限、序電壓越限、二次諧波電壓越限、三次諧波電壓越限、五次諧波電壓越限、七次諧波電壓越限、電流突變、電流越限、負序電流越限、零序電流越限、七次諧波電壓越限、電流突變、電流越限、負序電流越限、零序電流越限、頻率越限、頻率變化率、開關量變位等，并給出相應的告警信息。頻率越限、頻率變化率、開關量變位等，并給出相應的告警信息。n電力系統(tǒng)數(shù)據(jù)實時監(jiān)視及分析電力系統(tǒng)數(shù)據(jù)實時

22、監(jiān)視及分析高精度時標高精度時標MU的離散度的離散度1-10us存儲存儲 性能性能400Mbps流量流量容量容量 4TB/天天管理算法管理算法點對點的多網(wǎng)卡采集點對點的多網(wǎng)卡采集光口數(shù)量光口數(shù)量散熱散熱分析分析網(wǎng)絡或報文故障診斷模型網(wǎng)絡或報文故障診斷模型MMS協(xié)議集分析協(xié)議集分析多多MU數(shù)據(jù)同步技術數(shù)據(jù)同步技術報文高速分析與顯示技術報文高速分析與顯示技術n高精度時標高精度時標n存儲存儲硬件壓縮硬件壓縮-相對提高存儲速度與增大存儲容量問題。相對提高存儲速度與增大存儲容量問題。多硬盤多分區(qū)交錯使用及數(shù)據(jù)格式化技術多硬盤多分區(qū)交錯使用及數(shù)據(jù)格式化技術多硬盤均衡使用，提高硬盤多硬盤均衡使用，提高硬盤使用壽命；寫入與刪除不在同一硬盤同時進行，提高硬盤使用效率；格使用壽命；寫入與刪除不在同一硬盤同時進行，提高硬盤使用效率；格式化刪除減少硬盤碎片。式化刪除減少硬盤碎片。數(shù)據(jù)索引技術數(shù)據(jù)索引技術-使用數(shù)據(jù)庫進行文件索引，提高文件查詢效率。使用數(shù)據(jù)庫進行文件索引，提高文件查詢效率。容量問題解決途徑：容量問題解決途徑：大容量硬盤大容量硬盤增加硬盤數(shù)量增加硬盤數(shù)量數(shù)據(jù)壓縮數(shù)據(jù)壓縮性能問題解決途徑：性能問題解決途徑：并行寫入并行寫入數(shù)據(jù)壓縮數(shù)據(jù)壓縮減少文件碎片減少文件碎片減少同時操作相同硬盤的幾率減少同時操作相同硬盤的幾率注：在完善了診斷模型后，故障式數(shù)據(jù)記注：在完善了診斷模型后，故