1、 数据集路径名datasetReference唯一确定一个数据集:IED名+LD名+LN名+数据集名 2、 根据每个数据成员实例可找到数据的描述,即可知道数据与IED内部数据的对应关系
3.5 报告控制块ReportControl:
1、报告控制块用于设定IED上送数据的内容及方式等,包括告警、事件、开入、模拟量等所有IED需上送的内容。61850中除总召由client发起外,其余全部为IED主动上送数据。
2、IED与client连接过程中,client一般会根据各自需要设定每个报告实例的属性,此处的例子是icd中设定的默认值,如果client不重新设定,IED以此方式上送。 3、datSet属性:本报告控制块对应的数据集。
4、TrgOps:报告触发选项,数据集中的数据在何种条件下通过报告上送 dchg:数据变化上送
qchg:品质变化上送
dupd:数据更新上送,目前一般不用
period:周期上送
5、 OptFeilds:报告报文中包含的数据域,除了信号状态模拟量值以外的信息,如以下数据等
seqNum:报告的序号,递增
timestamp:报告生成的时标,不是信号变化时间 dataset:报告中包含数据集名
6、 RptEnabled: max属性是IED可以支持的报告实例个数。IED初始化时为每个报告生成max个实例,分
别以报告控制块名+实例号(01,02…)进行区分,如brcbAlarm01、 brabAlarm02。每个client在连接时,
以不同的报告实例号占用一个报告实例。每个报告实例按照client指定的属性上送报告。
7、 如果数据集成员到DO级别,其包含的任意一个数据满足报告触发条件都应触发报告
8、 报告分为缓存和非缓存两种类型,由IED建模时,通过ReportControl段的”buffered”属性设置,
buffered=true设置缓冲型报告,对应fc=BR; buffered=false设置非缓冲型报告,对应fc=RP。缓存型报告要求IED在内存中缓存报告,如通信中断期间发生了事件,党通信恢复后,此事件报文应能上送不丢
失,通常告警、事件、SOE等报告建模为缓存类型。非缓存型报告不要求IED缓存,通信中断期间的数据可丢失,通常遥测类型的数据建模为非缓存报告。抓包及MMS报文。
第二部分:MMS报文分析基础
4 如何抓包
4.1 抓包工具
常用的抓包工具有Windows下的mms-ethereal,WireShark和Solaris下的snoop命令。
mms-ethereal可以自动解释mms报文,适合进行应用层报文的分析。WireShark是ethereal的替代版本,界面更加友好,但标准版本中没有对mms报文分析的支持;snoop主要是用来抓包,没有图形化的分析界面,snoop抓取的文件可以用WireShark打开辅助分析;
4.2 抓包方法
对于广播和组播报文如装置的UDP心跳报文,可以用笔记本连接到交换机上任意端口抓取。
对于后台与装置之间的TCP通讯,有以下几种方法。
1)后台机上可安装软件来抓包,非window系统的也可以在笔记本电脑上用相同配置模拟后台截取报文。 2)利用HUB连接后台与装置,将笔记本接到HUB上抓包。注意一定要使用HUB,不能使用交换机。 WireShark和mms-ethereal均是图形化的界面,使用起来比较简单,注意选择正确的网卡即可。
snoop的使用方法可以用man snoop取得,最基本的命令为snoop -d bge0 -o xx.snoop
3)如果是远动、和子站装置,可在交换机上设定镜像端口,把要截取报文的端口镜像到镜像端口,则笔记本电脑只要连接到镜像端口即可截取其它端口的报文。交换机一般都支持端口镜像功能,需要参照说明书进行设定。
4.3 分析举例
均以WireShark为例,mms-ethereal与之类似。 1.3.1 设置抓包过滤条件
在后台上抓包时,数据量比较大,文件一大之后,解析起来速度很慢,如果单纯为了分析应用层报文,可在抓包的时候设置过滤条件。如果为了分析网络通断问题,一般不设置过滤条件,便于全面了解网络状况。 抓包过滤条件在Capture->Options->Capture Filter里设置,点Capture Filter会有很多现成的例子,下面列举几个最常用的。 tcp udp host 198.120.0.100 ether host 00:08:15:00:08:15 只抓取tcp报文 只抓取udp报文 只抓取198.120.0.100的报文 只抓取指定MAC地址的报文 1.3.2 设置显示过滤条件
打开一个抓包文件后,可以在工具栏上的filter栏设置显示过滤条件,这里的语法与Capture Filter有点差别,举例如下。 tcp udp ip.addr==198.120.0.100 eth.addr==00:08:15:00:08:15 只抓取tcp报文 只抓取udp报文 只抓取198.120.0.100的报文 只抓取指定MAC地址的报文
还可以在报文上点击右键选择apply as filter等创建一个过滤条件,比较方便。 1.3.3 判别网络状况
输入显示过滤条件tcp.analysis.flags,可以显示丢失、重发等异常情况相关的TCP报文,此类报文的出现频率可以作为评估网络状况的一个标尺。 常见的异常类型有以下几个 [TCP Retransmission] [TCP Dup ACK xxx] [TCP Previous segment lost] [TCP Out-Of-Order] 由于没有及时收到ACK报文而产生的重传报文 重复的ACK报文 前一帧报文丢失 TCP的帧顺序错误 偶尔出现属于正常现象,完全不出现说明网络状态上佳。
监视TCP连接建立与中断
输入显示过滤条件,tcp.flags.syn==1||tcp.flags.fin==1|| tcp.flags.reset==1
SYN是TCP建立的第一步,FIN是TCP连接正常关断的标志,RST是TCP连接强制关断的标志 (2) 统计心跳报文有无丢失
在statistics->conversations里选择UDP,可以看到所有装置的UDP报文统计。一般情况下,相同型号装置的UDP报文的数量应该相等,最多相差1到2个,如果个别装置数量异常,则可能是有心跳报文丢失,可以以该装置的地址为过滤条件进行进一步查找。
调试61850的站,最好要家里带上一个HUB(库房一般是8口10M的TP-LINK)---不是交换机。主要用于抓数据包,便于查问题。没有HUB根本没有办法查看远动与装置的mms报文以及goose数据包。抓报工具是归档里面的61850的报文监视工具。如下:
实时更新数据 滚屏显示
打开抓报工具,点击左侧第二个按钮开始设置:
选择本计算机网卡,地址就是本地连接里面设置的IP地址:
设置要监视的装置的IP地址:格式为host 198.120.0.72。
点击browse按钮设置存储文件名及路径:
设置长期抓包存储,选中
,按抓包大小存贮(m代表MB,可以是KB或者GB);按时间存储如下图:
把这个选项勾上就可以实时显示数据,便于查找问题。
点击“start”按钮开始抓包。