《XXXX-06-01 HR A-3000网络通信记录分析系统技术白皮书V12.docx》由会员分享,可在线阅读,更多相关《XXXX-06-01 HR A-3000网络通信记录分析系统技术白皮书V12.docx(26页珍藏版)》请在三一文库上搜索。
1、HR A-3000网络通信记录分析系统HR A-3000网络通信记录分析系统(适用于智能变电站)产品介绍珠海市鸿瑞软件技术有限公司ADD:珠海市唐家大学路101号清华科技园创业大楼A座606TEL: (0756) 3612098 3612901 FAX: (0756)3612902目 录1.概述42.设计标准43.系统介绍63.1、高性能、高可靠的硬件设计63.2、千兆小包线速带精确时间戳63.3、基于网络通信数据特征的无损压缩63.4、对网络通信数据进行实时监视63.5、对网络通信数据进行离线分析63.6、基于实时linux操作系统74.技术性能74.1、网络记录仪74.1.1、电源及环境条
2、件74.1.2、外形尺寸74.1.3、技术指标84.1.4、技术特点84.2、网络分析仪104.2.1、电源及环境条件104.2.2、外形尺寸104.2.3、技术指标114.2.4、技术特点114.3、网络分析万用表134.3.1、电源及环境条件134.3.2、技术指标134.3.3、技术特点145、系统组成145.1、网络通信记录仪155.2、网络通信分析仪155.3、网络分析万用表155.4、安装方式155.4.1、变电站集中式安装165.3.2、变电站分布式安装166、系统功能176.1、软件配置176.2、报文记录176.2.1、报文采集176.2.2、报文存储186.2.3、报文输出
3、196.3、在线监视196.3.1、网络流量分析和统计196.3.2、GOOSE在线分析206.3.3、SMV在线分析206.3.4、实时二次回路图216.4、离线分析216.4.1、打开历史报文216.4.2、通用报文解析功能226.4.3、链路分析和流分析226.4.4、合并数据包236.4.5、MMS解析236.4.6、GOOSE解析236.4.7、SMV解析246.4.8、其它常用协议246.4.9、过滤和检索256.4.10、报文统计266.4.11、报文导出261.概述HR A-3000网络通信记录分析系统通过对智能化变电站网络通信数据进行在线监测,对网络通讯故障及异常进行在线告警
4、,并对接入网络数据流进行无损压缩保存及重现网络通信数据流与离线分析,是智能化变电站的故障记录分析的可靠手段。HR A-3000网络通信记录分析系统由网络数据记录仪和后台网络通信分析工具组成,根据现场实际情况,可以采用集中或分布安装,以便满足不同网络结构的需求。2.设计标准HR A-3000网络通信记录分析系统的设计参照标准如下: 标 准 号标 准 名 称GB/T 191包装储运图示标志GB/T 2423电工电子产品环境试验GB/T 7261继电保护和安全自动装置基本试验方法GB/T 11287电气继电器 第21部分:量度继电器和保护装置的振动、冲击、碰撞和地震试验GB/T 14285继电保护和
5、安全自动装置技术规程GB/T 14537量度继电器和保护装置的冲击和碰撞试验GB 14598.3量度继电器和保护装置的绝缘配合要求和试验GB/T 14598. 9电气继电器 第22-3部分:量度继电器和保护装置的电气骚扰试验辐射电磁场骚扰试验GB/T 14598.10电气继电器 第22-4部分:量度继电器和保护装置的电气骚扰试验电快速瞬变/脉冲群抗扰度试验GB/T 14598.13电气继电器 第22-1部分:量度继电器和保护装置的电气骚扰试验1MHz脉冲群抗扰度试验GB/T 14598.14量度继电器和保护装置的电气干扰试验 第2部分:静电放电试验GB/T 14598.17电气继电器 第22-
6、6部分:量度继电器和保护装置的电气骚扰试验射频场感应的传导骚扰抗扰度GB/T 14598.18电气继电器 第22-5部分:量度继电器和保护装置的电气骚扰试验浪涌抗扰度试验GB/T 14598.19电气继电器 第22-7部分:量度继电器和保护装置的电气骚扰试验工频抗扰度试验GB/T 15145输电线路保护装置通用技术条件GB 20840.7互感器 第7部分 电子式电压互感器GB 20840.8互感器 第8部分 电子式电流互感器GB/T 22386电力系统暂态数据交换(COMTRADE)的通用格式DL/T 478静态继电保护及安全自动装置通用技术条件DL/T 524继电保护专用电力线载波收发信机技
7、术条件DL/T 553220kV500kV电力系统故障动态记录技术准则DL/T 663220kV500kV电力系统故障动态记录装置检测要求DL/T 667远动设备及系统 第5部分:传输规约 第103篇:继电保护设备信息接口配套标准DL/T 720电力系统继电保护柜、屏通用技术条件DL/T 769电力系统微机继电保护技术导则DL/T 860 变电站通信网络和系统DL/T 871电力系统继电保护产品动模试验DL/T 873微机型发电机变压器组动态记录装置技术条件DL/T 5218220kV500kV变电所设计技术规程Q/GDW 383智能变电站技术导则Q/GDW 393110(66)kV220kV
8、智能变电站设计规范Q/GDW 394330kV750kV智能变电站设计规范Q/GDW 396IEC 61850工程继电保护应用模型Q/GDW Z 414变电站智能化改造技术规范Q/GDW441智能变电站继电保护技术规范IEC 61588网络测量和控制系统的精密时钟同步协议调继2005222号国家电网公司十八项电网重大反事故措施(试行)及继电保护专业重点实施要求3.系统介绍3.1、高性能、高可靠的硬件设计网络数据记录仪采用高性能大容量工业级FPGA芯片、高集成收发器件及千兆以太网技术,装置采用8层印制板、SMT表面贴装和涂敷工艺,加上完善的软件抗干扰措施,使得记录仪具备高速、可靠及强大的抗干扰能
9、力。3.2、千兆小包线速带精确时间戳每台网络数据记录仪具备采用PCI-E总线技术的千兆网络小包线速数据捕获能力(四个千兆SFP光口或电口),具备接收IRIG-B码对时能力,对时精度达到1µs。3.3、基于网络通信数据特征的无损压缩根据网络通信数据的特征,结合工业无损压缩算法,可以将网络通信数据压缩为1/3-1/4,提高了数据写入速度,降低了硬盘使用容量,增强了系统可靠性。3.4、对网络通信数据进行实时监视网络数据记录仪支持对91及92采样值信息进行在线分析并对丢帧、序号错误、频率异常等进行告警,对GOOSE 信息进行在线分析并对丢帧、序号变化错误、时序错误、非法报文等进行告警。3.5
10、、对网络通信数据进行离线分析通过网络通信数据分析系统可以对网络数据记录仪的在线记录可以按照数据时间段、网络端口等进行下载分析,以查找分析系统故障或隐患并分析原因。 3.6、基于实时linux操作系统网络数据记录仪基于实时linux操作系统,具备更高的响应速度。4.技术性能4.1、网络记录仪4.1.1、电源及环境条件1) 电源: 220V 交直流电源2) 额定频率:50Hz3) 装置功耗:正常工作时50W,启动时不大于75W4) 设备储存温度:-25+705) 设备工作温度:-20+456) 大气压力: 86106kPa7) 相对湿度:5%95%8) 抗震能力:地面水平加速度0.3g,垂直加速度
11、0.15g同时作用4.1.2、外形尺寸200mm(W)X88mm(H)X270mm(D) 2U标准机箱4.1.3、技术指标l 对时方式1: IRIG-B(DC)(光电接口可选) 对时精度:1usl 对时方式2: SNTP网络对时 对时精度:1msl 记录容量:500G * 2 电接口版本:l 网络采集口数量:8个1000M电接口l 串口采集口数量:24个光接口版本:l 网络采集口数量:4个1000M光接口(SFP 模块)4.1.4、技术特点1) 装置具有对时功能,能接受全站统一时钟信号,时钟信号类型满足IRIG-B(DC),SNTP,IEEE1588。2) 装置具有通讯记录功能,可以对智能变电
12、站的通讯信息进行完整记录,记录站控层网络通讯信息、间隔层GOOSE信号信息以及过程层采样值信号信息的全过程,所记录的每一帧数据必须带独立的时标,时标精度不大于1us。3) 装置具原始报文存储功能,记录原始报文宜采用装置内就地存储,SV至少可以连续记录24小时; GOOSE 、MMS至少可以连续记录15天。 4) 装置能实现在线告警功能, 当报文或网络异常时, 给出预警信号并启动异常报文记录;包括采样值频率合法性和稳定性、采样值之间的同步性、采样值采样点完整性、采样值、GOOSE与SCD配置一致性、采样值报文合法性、采样值报文结构、采样值连续性、通信中断、网络风暴进行报警及记录。5) 装置可以实
13、时对GOOSE通信进行在线分析,并实时反映回路实施运行状态,对异常情况进行实时报警并启动故障报文记录。6) 装置具有在线分析功能,包括报文合法性、GOOSE报文结构及内容、GOOSE StNum与GOOSE SqNum变化规律、SMV报文结构、SMV连续性、SMV频率、SMV同步性、通信中断、网络风暴等。7) 装置记录的数据应可靠,不失真,记录的故障数据有足够安全性,当装置电压消失时,装置不应丢失网络报文记录。8) 装置支持变电站和主站通信的带时标的完整通讯报文记录功能,包涵网络及串行通信的方式;9) 装置能连续监视电力系统,任一启动元件动作,即开始记录,完成线路和主变压器各侧断路器、隔离开关
14、及继电保护的GOOSE开关量和SV采样值的采集和记录、故障启动判别、信号转换等功能。10) 装置对于采样值报文能将故障前2s(或设定时间)及故障后10s(或设定时间)的记录信息转换成COMTRADE格式文件,并进行波形和故障分析。4.2、网络分析仪4.2.1、电源及环境条件1) 电源: 220V 交直流电源2) 额定频率:50Hz3) 装置功耗:不大于130W4) 设备储存温度:-25+705) 设备工作温度:-20+456) 大气压力: 86106kPa7) 相对湿度:5%95%8) 抗震能力:地面水平加速度0.3g,垂直加速度0.15g同时作用4.2.2、外形尺寸200mm(W)X88mm
15、(H)X270mm(D) 2U标准机箱4.2.3、技术指标1) 装置平均无故障时间MTBF30000小时2) 对时方式: SNTP网络对时 对时精度:1ms3) 网络接口:3 个 10/100/1000M电接口4) 记录容量:500G 4.2.4、技术特点1) 为保证装置安全接入到电力数据网,装置采用安全加固的linux操作系统。2) 装置具有对时功能,能接受全站统一时钟信号,时钟信号类型满足SNTP对时的需求。3) 装置具备原始报文检索和分析功能,系统能够按记录仪、通道、时间段的分级次序读取网络报文记录存储的文件,能够按逻辑通道对应用报文进行查询、分析功能,能够根据逻辑通道、时间、报文类型、
16、服务类型、报文头部参数等关键字对存储的报文内容等单个或组合条件进行查询,可显示原始 SV 报文的波形曲线。4) 装置具有记录文件的管理列表,系统能够按时间段读取采集存储报文,具备对报文各层次进行分析的能力,能够按逻辑通道对常用应用报文和故障报文进行分析,跟随报文实时给出明确的报文分析结果。实现GOOSE应用的在线分析,包括异常告警、事件和错误分析;实现采样值完整性、频率正确性、同步性分析,并对异常采样点信息进行告警;以及MMS、GOOSE、IEC61850协议映射网络报文与SCD全站配置文件不一致等关联分析。5) 装置具有回路监视功能l 二次回路异常告警 对错误信号、信号丢失以及信号
17、异常等进行告警,并能同时显示异常点等相关信息;l 监视采样值回路运行状态 对各采样值信号的完整性、频率、数据有效性以及幅值同步信息等进行分析,对异常情况进行实时告警。6) 装置人机界面l 对站内设备的操作:应提供装置级操作界面,可对该套装置进行配置、文件、信息查询和调用;l 对数据信息的查询:以固定菜单形式实现,提供可由用户组合的查询条件模块;l 操作记录:对装置的操作命令(如数据操作、用户管理等等)以固定菜单形式实现并形成工况记录;l 分析管理:具有通讯离线分析和故障分析的离线软件及操作菜单与界面;l 报告的生成和修改;l 实时、历史数据的存储与管理;l SMV、MMS、GOOSE
18、网络通信状态实时监视和异常告警。7) 与主站的通信规约分析装置支持对变电站和主站通信的IEC60870-5-101、103、104规约的分析,装置支持应用报文分析包括初始化、遥信、遥测、控制等查询解析定位功能。装置能够直观显示通信规约整个过程,具备显示分析报文的类型、报文内容,跟随报文给出明确的报文分析结果等功能;8) 装置文件采用DL/T 860标准规定的文件服务进行传送。 4.3、网络分析万用表4.3.1、电源及环境条件1) 内置主电池:可充电锂电池,电池容量:3600mAh2) 电源:5.3-10.6V直流电源,可直接供电及对主电池充电3) 设备储存温度:-25+804) 设备工作温度:
19、-20+505) 大气压力: 86106kPa6) 相对湿度:10%98%4.3.2、技术指标1) 屏幕:4”大尺寸高清晰彩色LCD,320X240点阵,触摸屏2) 读卡接口:一个SD卡接口3) usb接口:一个主usb,一个从usb接口4) 键盘:56键根据人体工程学设计的键盘,含英文、数字及功能键5) 网络接口:10/100M以太网接口一个4.3.3、技术特点1) 网络流量统计。可实时统计网络中传输的GOOSE、SMV、IEEE1588、IP、TCP、ARP、ICMP、SNMP报文的实时流量信息。2) 信号探测。可探测过程层网络中传输的GOOSE、SMV、IEEE1588信号格式和频率等特
20、征。3) 采样值信号分析。l 支持9-1和9-2两种类型的采样值信号格式l 分别显示9-1/9-2采样值信号个数及当前状态l 显示探测到的采样值信号列表,包括组播地址、频率等信息l 显示采样值实时数据信息,如保护Ia、Ib、Ic,测试Ia、Ib、Ic的值。l 显示数据包中的以太网和采样值帧信息l 绘制采样值信号波形图、矢量图4) GOOSE信号分析l 显示GOOSE信号个数及当前状态l 显示GOOSE的设备名称或组播地址以及GOOSE控制块信息l 显示GOOSE信息中的以太网和GOOSE帧信息l 显示GOOSE帧中携带的数据集信息5、系统组成HR A-3000网络通信记录分析系统主要由三个功能
21、模块组成,即HR A-3000网络通信记录仪、HR A-3000网络通信分析仪及网络分析万用表,分析仪可自动或手动从网络记录仪下载记录文件,并进行报文详细分析,并直观的给出分析结果,并可提供查询手段和统计功能,帮助用户查找故障和对网络运行安全进行评估。5.1、网络通信记录仪HR A-3000网络通信记录仪主要是完成网络数据记录、在线告警等功能,可根据数字化变电站的现场网络情况安装一到多台,可以与网络通信分析仪之间建立安全数据交换通道。在记录数据时,对数据进行压缩后再存储到硬盘,压缩率可达1/3-1/4,可大大提高网络数据记录和存储速度。5.2、网络通信分析仪HR A-3000网络通信分析仪是运
22、行于Linux上的分析软件。可对HR A-3000网络通信记录仪上的报文进行解压并解析,也可对多种常用报文分析软件的格式(如PCAP、)进行解析。详细解析报文的各层网络协议组成、通信链路、ACSI映射、GOOSE状态变化、SMV波形曲线与统计,可按通道、时间、协议各层内容等多种指定条件过滤、统计、对比报文,可将报文导出为PCAP、COMTRADE、SCV等多种格式。5.3、网络分析万用表HR A-3000网络分析万用表工作原理是通过对数字化变电站过程层IEC61850 通讯协议在线解析来监视过程层信号。信号探测功能可以探测过程层网络中传输的信号的类型、格式和频率等特征,并用可视化的方式体现“数
23、字式二次回路”的状态;数值分析功能对过程层的采样值信息、GOOSE 信息进行数值分析,以直观的方式体现过程层信号的变化情况。5.4、安装方式根据变电站现场网络情况,可选择集中式安装或者分布式安装。5.4.1、变电站集中式安装基于单台网络数据记录仪的集中式安装采集网络最大可达到32路,性能价格比高,其缺点是千兆交换机镜像存在时延(<8s)。系统由1台网络分析主机、1台网络数据记录仪及14台千兆光交换机组成,数字化变电站的网络交换机(100M)的镜像端口连接到千兆光交换机的百兆端口,48个百兆光口再镜像到1个千兆光口,然后再接到采用FPGA带B码对时的网络数据记录仪(最多可接入16路百兆),
24、完成数据采集,具体结构见下图:5.3.2、变电站分布式安装基于多台网络数据记录仪的分布式安装采集网络路数不限,系统造价比较高,网络数据包可以达到1s的时延精度。系统由1台网络分析主机、多台网络数据记录仪及1台工业交换机组成,数字化变电站的网络交换机(100M)的镜像端口连接到采用FPGA带B码对时的网络数据记录仪(最多可接入4路,采用100M模块),完成数据采集,具体结构见下图:6、系统功能6.1、软件配置配置时,只需导入变电站的SCD文件即可,HR A-3000会从SCD文件中读取变电站的IED列表、各IED的61850模型结构、IP地址设置、GOOSE和SMV通信配置信息等,并将此信息作为
25、各种分析和显示的基础。6.2、报文记录6.2.1、报文采集HR A-3000可对全站各种网络报文进行实时监视、捕捉、存储、分析和统计。使用单向光的采集方式、不会向变电站网络发送任何报文,不会对原网络造成任何影响。各个智能变电站的网络数据和结构有一定的差异性,从协议上看主要由TCP/IP、MMS、GOOSE、SV、对时、远动等组成;传输介质可能为双绞线以太网或光纤;一般使用交换机组成星型网络,但使用环形网或点对点的方式也大量存在;网络冗余情况各站也不尽相同。HR A-3000网络记录仪使用多种采集方式以满足各变电站不同的网络结构,对于广播性质的GOOSE、SV等报文,可通过交换机直接采集;对于非
26、广播性质MMS报文,通过在MMS交换机上设置镜像端口来实现;使用交换机组网的报文可从交换机上直接采集,使用点对点方式的数据,若每点使用一个采集口将造成很大的浪费,HR A-3000的8转1和16转2转换器可很好的解决此问题;使用光电转换模块解决光纤和双绞线的混合情况。6.2.2、报文存储一个网络记录仪内带有多块硬盘,报文按采集通道存储在不同的硬盘下。采集通道和存储硬盘之间的对应关系可配置,用户可根据需要将多个小流量采集口的数据集中到一块硬盘,也可将一个大流量的采集口采集的数据,分在多块硬盘上存储。使采集通道和存储硬盘之间的对应关系可配置的另一个好处是,当某块硬盘出现故障时,可将本来要写入本硬盘
27、的数据存向另一块好的硬盘,不会因为一块硬盘而使整个系统不可用。对采集到的报文先进行压缩,然后再存储到硬盘,可加快存储速度,并加大硬盘的连接记录时长。记录仪的硬盘容量有限,太小记录时长太短,太大其访问速度往往过慢;以当前记录仪的主流硬盘容量500G(单块硬盘)为例,若使用此硬盘记录数据,要求记录时长在一天以上的话,则每秒可容忍的平均网络流量为:500G*1000*1000*1000 /24/60/60 /1024/1024*8 46 Mbps,当使用压缩算法后,报文一般可压缩为原数据的1/4大小左右,此时,同样500G的硬盘每秒可容忍的平均网络流量可达46*4 184 Mbps。一般系统中,网络
28、数据到达网卡后,由操作系统调用网卡驱动捕获报文,再将此数据报告用户程序,用户程序再将此数据通过操作系统写入硬盘,这个过程中网络数据从网卡到操作系统,再到用户,再转给操作系统,然后才写入硬盘,数据在系统内多次拷贝,浪费大量的CPU和内存,HR A-3000的记录模块直接嵌入操作系统内核中,可将网卡过来的数据,直接写入到硬盘,节约CPU和内存消耗,增强系统稳定性。当硬盘中记录的数据快满时,新的报文会自动覆盖时间最早的报文。6.2.3、报文输出HR A-3000网络记录仪支持61850的文件传输服务,任意支持61850的设备都可通过网络获取其记录的历史报文。HR A-3000网络记录仪还带有一些厂家
29、自定义的命令,通过这些命令,除了下载报文之外,还可详细查看记录文件列表,以及时间、大小、报文数、采集口等信息。6.3、在线监视变电站中各设备都是一个独立的系统,每个设备与外界设备的交互都将通过网络。正常状态下,变电站的网络报文通信会遵守协议和应用的设定,比如MMS的应答性、GOOSE和SMV的连续性、变电站SCL文件中的通信设定等。通过实时将捕获到的报文与这些标准相比对,发现网络中的异常报文,从而发现配置或运行不正常的设备。6.3.1、网络流量分析和统计从应用类型上看,变电站的网络,站控层主要由MMS及TCP/IP协议簇组成,过程层主要由GOOSE和SV广播报文组成,其它还有少量的对时和远动报
30、文等。每种协议通信过程中,遵循协议会产生一定的规律性,通过监测各种协议的流量变化,可直观显示变电站网络的运行情况。HR A-3000按采集口实时统计网络的总流量,以及MMS、GOOSE、SV等主要协议的流量。统计后的流量存放于历史数据库中,通过数据库,不仅可显示实时网络流量,还可绘制历史的网络流量图。6.3.2、GOOSE在线分析GOOSE报文用于传输变电站事件信息。在变电站SCL文件中会定义各GOOSE链路的目的地址、传输内容、传输时间间隔等信息,通过将实际报文与这些内容相对比,可发现实标网络与配置不相符的部分。监测报文编码正确性:检查每个GOOSE报文的编码结构,对不满足61850中规定的
31、GOOSE报文结构的报文告警。监测与SCL文件配置一致性:将网络上捕获的GOOSE报文归类成GOOSE链路进行分析,对每条GOOSE链路,比对其目的MAC地址、VLAN、GOOSE ID、GOOSE引用、数据集等内容与SCL文件中的配置是否相符。监测网络传输稳定性:对每条GOOSE链路,分析报文中的stNum和sqNum变化规律,如果变化不正常,一般意味着出现丢包、重复包或者乱序包。根据GOOSE报文的发送频率,发现中断的GOOSE通信。6.3.3、SMV在线分析SMV报文用于传输采样值,也是61850中常用的一种报文,在线分析模块同样对其进行了详细分析。HR A-3000可分析61850采样
32、值传输使用的9-1、9-2报文,针对每种格式报文分别进行解析。监测报文编码正确性:检查每个SMV报文的编码结构,对不满足61850中规定的SMV报文结构的报文告警。监测与SCL文件配置一致性:将网络上捕获的SMV报文归类成SMV链路进行分析,对每条SMV链路,比对其目的MAC地址、VLAN、SMV ID、引用、采样频率、数据集等内容与SCL文件中的配置是否相符。监测报文中传输的采样值的完整性。监测网络传输稳定性:对每条SMV链路,分析报文中的sampleCount变化规律,如果变化不正常,一般意味着出现丢包、重复包或者乱序包。根据SMV报文的发送频率,发现中断的SMV通信。6.3.4、实时二次
33、回路图变电站中各设备之间的通信状态是不可见的,通过图形使抽象变为可见。HR A-3000可根据捕获到的报文,分析得出当前网络上各IED之前正在通信和已断开的MMS、GOOSE、SMV链路,并以不同的颜色标记各协议的通信链路的连接和断开。6.4、离线分析HR A-3000离线分析程序是一个专业的网络数据包分析器,可运行在Windows、UNIX、各种类Linux平台上,包含多种过滤方式,帮助用户定位历史报文,并对用户指定的网络数据包进行非常详细的分析、诊断、统计和显示。6.4.1、打开历史报文一台网络分析仪可与多台网络记录仪相连,通过IP地址分辨各记录仪。变电站的历史数据报文存放在网络记录仪内,
34、根据用户指定的时间段,离线分析程序自动从网络记录仪上获取该时间段的所有数据报文,这是离线分析程序获得数据包的主要方式。HR A-3000支持多种格式的报文。除了可解析HR A-3000网络记录仪的hrcap报文格式外,也可直接打开第三方保存的数据包文件进行分析,比如可以打开tepdump、snoop、LANalyzer、Microsoft Network Monitor captures、Cinc Netwroks NetXray captures等等数十种常见抓包程序保存的网络数据包文件,文件格式在打开文件时自动识别,无需指定。6.4.2、通用报文解析功能做为一款专业的网络数据包分析器,HR
35、 A-3000可解析几乎所有的以太网报文协议。离线分析程序将逐个分析获取到的数据包,分析其每层协议。使用分层显示的方法,使界面显示简捷明了。显示内容包括数据包被捕获的时间、源MAC、目的MAC、协议、简短说明、每层协议名、协议参数名和值、传输的数据值、原始数据报文、原始数据报文和解析对应关系、异常报文异常类型和修正提示等。6.4.3、链路分析和流分析网络上的数据包量比较大,显示得比较混杂。离线分析程序可将数据包按实际的通信链路进行分类,使繁杂的数据包流变得有序,同时对链路内容进行分析,对可疑报文进行提示,更容易发现故障点和故障原因。流分析非常有用,可将同条链路上传输的数据综合在一起,比如TCP
36、的“查看TCP数据流”,可将多个TCP数据包连接起来。HR A-3000支持TCP、MMS、GOOSE、SMV协议的链路和流分析。6.4.4、合并数据包网络协议经常要传输较大的数据块,在传输时,底层协议可能不支持这样大的数据块,在这种情况下,网络协议必须确定数据块分段的边界,并将数据块分割为多个包。离线分析程序会尝试查找数据块对应的包,并在最后一个包的位置合并起来。6.4.5、MMS解析从网络上抓获的一个个报文之间是毫无关联的,HR A-3000可将零碎的报文重组成MMS通信链路,对每条链路进行分析。解析MMS层的协议信息,包括MMS PDU、服务类型、数据传输方向、请求/应答参数名和值、参数
37、分层结构等,并给出错误提示和修正建议。对MMS通信进行ACSI映射分析。IEC61850的变电站抽象通信服务接口(ACSI)是个抽象的概念,无法直接在网络数据报文中体现,按照IEC61850-8-1的映射,ACSI被映射到MMS数据报文中,离线分析时,HR A-3000根据各种映射的特点,做出了从数据报文到ACSI的反映射,可通过MMS报文,解析出ACSI内容,内容包括ACSI服务类型、服务方向、请求/应答参数、源/目的IED、错误告警和修正提示等。6.4.6、GOOSE解析HR A-3000可重组GOOSE链路。针对各GOOSE链路进行分析。解析GOOSE协议的信息,包括源/目的MAC地址、
38、VLAN信息(优先级、CFI、ID)、应用ID(appID)、PDU长度、GOOSE ID、GOOSE控制块名(GoCB Ref)、数据集名(DataSet Ref)、跳变时间、状态号/顺序号(stNum,sqNum)、数据名和值等。根据GOOSE传输的状态变化,绘制状态变化图。6.4.7、SMV解析可完整解析IEC68150 9-1和9-2两种格式的报文,对9-1的报文,可解析状态字和采样值两种类型的ASDU;对9-2报文,按照IEC61850-9-2的定义,可解析出报文的包头信息、APDU头信息和采样值数据。并可根据SCD文件中的配置信息判断数据的合法性,并解析出采样值数据的含义。解析内容
39、包括源/目的MAC地址、VLAN信息(优先级、CFI、ID)、应用ID(appID)、PDU长度、SMV ID、LD编号(9-1)、SMV控制块名SMVCBRef(9-2)、数据集名DataSetRef(9-2)、跳变时间标志、采样频率、采样序列号、采样值和采样品质等。绘制各SMV链路的采样值波形图。在波形图中同时显示采样实际时间和报文捕获时间。对每条采样值链路做出一张数据包统计表,先按照SCD配置计算出理论采样间隔值,然后统计一段时间内,实际的数据包传输时的最大间隔、最小间隔、平均间隔值、最大周期、最小周期、平均周期,并给出传输间隔时间分布统计表。6.4.8、其它常用协议HR A-3000支
40、持对变电站常用对时协议的解析,包括IEEE1588和SNTP等协议。支持对远动104规约的解析。支持对ICMP和IGMP组播协议的解析。6.4.9、过滤和检索过滤隐藏一些不感兴趣的包,让操作人员可以集中注意力在感兴趣的那些包上面,离线分析程序提供了非常丰富的过滤方法。6.4.9.1、常用过滤方法此方法供一般操作员使用,提供快捷常用的过滤功能,可根据时间、IED、各种通信协议对报文进行查询。操作比较简便,一个菜单或者一次鼠标点击即可完成。6.4.9.2、高级过滤方法对于懂网络技术的人员,使用此方法可更精确的定位到要查找的数据包。可根据时间、IED、各种通信协议、通信协议参数、数据包内容值对报文进
41、行查询,并可多种条件组合一起查询。要求操作人员能编写过滤条件表达式。(过滤条件表达式主要有查询对象,以及相等、不相等、与、或、非等操作符组成,在使用手册中有详细介绍)。6.4.9.3、标记和冻结数据包可以在包列表面板对包进行标记。被标记的包以特殊颜色显示,标记有助于分析大的包文件时进行查找。也可对数据包进行冻结,被冻结的数据包在翻页时始终显示,类型于excel中的冻结功能。6.4.10、报文统计HR A-3000可按多种方式对报文进行统计和分类,包括摘要信息、协议层级、IO端口、源和目的MAC、源和目的IP等。统计信息可文字显示,也可绘制成对比图。6.4.11、报文导出HR A-3000可将报文导出为多种格式,以便在其它工具中分析。支持报文导出为PCAP格式,以便在常用报文分析软件中使用。支持报文导出为COMTRADE格式,以便在波形分析工具中查看。支持报文导出为CSV格式,以便在excel中查看。26珠海市鸿瑞软件技术有限公司