IEC61850数据包分析

I E C61850

数

据

包

分

析

前言 (3)

1. 工具简介 (4)

1.1 抓包工具 (4)

1.2 抓包方法 (4)

1.3 分析举例 (4)

1.4 启动步骤 (6)

2. GOOSE报文分析 (9)

3. 9-2采样报文分析 (10)

4. MMS报文分析 (12)

4.1. 初始化 (12)

4.2. 后台读装置模型、以及装置的回答 (13)

4.3. 报告控制块使能 (14)

4.4. 监控后台或主站向装置写参数 (15)

4.5. 测试心跳连接的报文 (15)

4.6. 总召唤 (16)

4.7. 装置上送总召的遥测数据 (17)

4.8. 装置上送总召的遥信数据 (18)

4.9. 变位遥信上送： (19)

4.10. 遥测报文 (20)

4.11. 遥脉报文 (21)

4.12. 保护动作信号 (22)

4.13. 读波形文件列表 (24)

4.14. 调定值 (26)

4.15. 修改定值 (28)

4.16. 遥控压板 (35)

4.17. 遥控开关 (38)

附录1：IEC61850的GOOSE报文的帧格式： (41)

附录2：IEDsout使用注意事项 (44)

附录3：触发选项的规定 (44)

前言

随着IEC 61850变电站的增多，现场调试人员会越来越感到调试工具的匮乏，往往出现问题不能从根源上找原因，分析定位也无从下手。本文旨在采用mms ethereal抓包工具，从报文层面分析各种IEC 61850数据包，帮助大家解决一些实际问题。

有什么好的建议和想法请发邮件到******************。

段运鑫

2011年6月

1. 工具简介

1.1 抓包工具

常用的抓包工具有Windows下的mms-ethereal，WireShark和Solaris下的snoop命令。mms-ethereal可以自动解释mms报文，适合进行应用层报文的分析。WireShark是ethereal 的替代版本，界面更加友好，但标准版本中没有对mms报文分析的支持，不过可以把抓到的数据包用mms-ethereal打开；snoop主要是用来抓包，没有图形化的分析界面，snoop抓取的文件可以用WireShark打开辅助分析；

1.2 抓包方法

对于广播和组播报文如装置的UDP心跳报文，可以用笔记本连接到交换机上任意端口抓取。

对于后台与装置之间的TCP通讯，有两种方法。一是直接在后台机上安装软件来抓包，二是利用HUB连接后台与装置，将笔记本直接接到HUB上抓包。（注意一定要使用HUB，HUB是透明转发，交换机会按MAC过滤，如果现场只有交换机，则需要进交换机配置界面的端口镜像Port Mirror）

WireShark和mms-ethereal均是图形化的界面，使用起来比较简单，注意在interface选择正确的网卡（MS lookback或wireless字样的都不是）即可。

snoop的使用方法可以用man snoop取得，最基本的命令为snoop -d bge0 -o xx.snoop

1.3 分析举例

均以mms-ethereal为例，WireShark与之类似。

1.3.1 设置抓包过滤条件

在后台上抓包时，数据量比较大，文件一大之后，解析起来速度很慢，如果单纯为了分析应用层报文，可在抓包的时候设置过滤条件。如果为了分析网络通断问题，一般不设置过滤条件，便于全面了解网络状况。

抓包过滤条件在Capture->Options->Capture Filter里设置，点Capture Filter会有很多现成的例子，下面列举几个最常用的。

1.3.2 设置显示过滤条件

打开一个抓包文件后，可以在工具栏上的filter栏设置显示过滤条件，这里的语法与Capture Filter有点差别，举例如下。

ip.addr==198.120.0.100 只抓取198.120.0.100的报文

eth.addr==00:08:15:00:08:15 只抓取指定MAC地址的报文

还可以在报文上点击右键选择apply as filter等创建一个过滤条件，比较方便。

1.3.3 判别网络状况

输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。

常见的异常类型有以下几个

[TCP Retransmission] 由于没有及时收到ACK报文而产生的重传报文

[TCP Dup ACK xxx] 重复的ACK报文

[TCP Previous segment lost] 前一帧报文丢失

[TCP Out-Of-Order] TCP的帧顺序错误

偶尔出现属于正常现象，完全不出现说明网络状态上佳。

（1）监视TCP连接建立与中断

输入显示过滤条件，tcp.flags.syn==1||tcp.flags.fin==1|| tcp.flags.reset==1

SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志

（2）统计心跳报文有无丢失

在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。一般情况下，相同型号装置的UDP报文的数量应该相等，最多相差1到2个，如果个别装置数量异常，则可能是有心跳报文丢失，可以以该装置的地址为过滤条件进行进一步查找。