基于混杂模式电力系统全通道在线双向监听分析方法.docVIP

基于混杂模式电力系统全通道在线双向监听分析方法 　　摘要：文章首先说明了全通道监听分析的必要性和重要性，分析了当前电力系统全通道监视分析方法的现状，然后介绍了本方法的关键技术，并详细说明了混杂模式在电力系统全通道在线双向监听中的应用以及此方案的系统构成和实施步骤，最后总结了该方法的实用价值和意义。 　　关键词：专线通道网络通道混杂模式在线双向监听镜像端口数采交换机 　　 　　随着电力系统的快速发展，基础数据的正确性、规约处理的完整性变得越发重要，目前也有很多工具软件对双方通讯规约进行分析处理，但他们通常都是离线测试，对已经投运的系统体检、对实时运行的情况进行在线分析，对实际通讯过程中的故障定位其实更重要，这样的需求也更强烈，因此迫切需要不影响实际双方通讯的透明式在线监听分析软件。 　　根据检索结果，发现国内尚无完整的对于全通道(包括网络通道和专线通道)的在线分析监听软件。且国内现有类似软件面临着三个方面的问题：1、只能通过链路上的上、下行并接对专线通道进行在线监听分析；2、对于专线通道监听同时只能监听一个方向，上行或下行，无法同时监听上下行双向；3、依赖通道的上、下行并接，在通道本身电平就较低的情况下，并接会增大衰减，有可能影响实际通道的通讯；4、当对大量通道同时监听时，需要多串口卡或终端服务器等串口扩展设备的支持，对硬件有较高要求；5、无法在线监听网络通道，对于网络通道的分析只有断开原来的通讯，取代某一方的角色。进行离线通讯分析，也无法获得实际通讯双方的通讯过程。本文研究揭示了以下三个方面内容：1)真正实现透明式的网络通道在线监听分析，不影响实际通讯双方，既可以分析主站端发送、也能同时分析厂站端发送；2)能同时在线监听分析所有的专线通道，并同时监听分析上下行双向的报文，不需要硬件设备的扩展，也完全不会影响实际通讯的双方；3)真正做到了电力自动化前置系统的全通道在线双向分析监听。 　　 　　1　关键技术 　　 　　默认情况下网卡只把发给本机的包(包括广播包)传递给上层程序，其它的包一律丢弃。混杂模式就是接收所有经过网卡的数据包，包括不是发给本机的包。简单的讲，混杂模式就是指网卡能接受所有通过它的数据流，不管是什么格式，什么地址的。 　　 　　对于广播式集比器(hub)来说，假如PCI、PC2、PC3接在同一个Hub上，当PCI给PC3发送包时，Hub将广播这个包。所以PC2实际上也可以看到这个包，但一般情况下它会将这个发给PC3的包丢弃，但如果处于混杂模式，PC2的网卡驱动程序就不会丢弃这个包，而是把这个包送给上层的驱动程序、应用程序。 　　我们可以把数据采集交换机上所有连接通道和主机的端口都镜像到某一端口，然后将通道监听分析计算机网卡设成混杂模式，并连接在数采交换机的镜像端口上，即可侦听到所有通道上下行报文。 　　 　　2　系统配置及实施步骤 　　 　　本系统包含一套安装有报文监听、通道故障定位分析、规约分析的软件的便携机和通道接入的交换机。 　　具体实施步骤如下： 　　 　　1)在数采交换机上一空端口设成端口镜像(port Mirroring)即目的端口，如果交换机划分VLAN。将数据通讯VLAN内所有端口设成源端口。如果没有VLAN，则将交换机除镜像端口外其他端口均设成源端口。并将源端口双向数据流设成监控。实现源端口接收发送数据均复制一份至镜像端口。 　　 　　2)采用本方法的软件产品部署的硬件介质网卡直接连接于数采交换机的镜像端口。若同时需监视的通道属于不同的网段，则硬件介质需要多网卡，并分别接在不同网段数采交换机的镜像端口上。 　　 　　3)调用int sockRaw=socket(AF_INET，SOCK_RAW，IPPROTo-RAW)；创建原始套间字，可以用它来发送和接收IP层以上的原始数据包。如ICMP，TCP。UDP…；在正常的情况下，一个网络接口应该只响应两种数据帧：一种是与自己硬件地址相匹配的数据帧。一种是发向所有机器的广播数据帧，如果要网卡接收所有通过它的数据，而不管是不是发给它的，那么必须把网卡置于混杂模式。flag=true,调用setsockopt(sockRaw，IPPROTO_IP，IP_HDRINCL,(ohar*)flag，sizeof(flag)；／*设置IP头操作选项，flag标志是用来设置IP头操作的，flag=ture表示要亲自处理IP头*/，调用bind(sockRaw,(PSOCKADDR)addrLocal,sizeof(addrLocal)；*/让sockRaw接受所有的数据，dwVMue为输入输出参数，为1时执行，0时取消*/，完成步骤2和步骤3后，网络接口就能接收到所有数采交换机上的数据报文。 　　 　　4)分析出报