智能变电站过程层网络报文过滤方法

1.智能变电站过程层网络报文过滤方法，智能变电站的过程层网络上连接有各类装置，各类装置包括合并单元、智能终端、交换机、保护装置和测控装置，所述各类装置发送和接收SV和GOOSE报文，其特征是：在所述的各类装置的网络接口和物理层之间增加报文过滤模块，以报文过滤的方式对接收到的报文进行额外的过滤；过滤的策略是：对各类装置指定MAC地址的报文进行流量限制；对各类装置指定MAC地址的报文的关键字段进行识别，过滤重复报文；对各类装置未指定MAC地址报文的进行丢弃处理或转发处理；对于广播报文进行丢弃处理或转发处理；
报文过滤的具体策略或者步骤是：
1)对指定的MAC地址进行流量分别限制，即针对每个MAC地址的实际物理流量情况来决定分配给该MAC地址的最大流量值，当该MAC地址产生的流量超过该最大值时将被丢弃，保证其他MAC地址的流量不受影响；
2)对于指定MAC地址报文的关键字段，关键字段是SV报文序号、源MAC地址或目标MAC地址进行识别；过滤重复报文，即只允许第一包报文通过，其他报文丢弃；
报文过滤模块中对接收和发送报文的关键字段进行字段匹配的方式达到对网络报文流量进行精确限制；
3)对未指定的MAC地址报文根据需要选择丢弃处理或转发处理；对于广播报文根据需要选择丢弃处理或转发处理。
2.根据权利要求1所述的智能变电站过程层网络报文过滤方法，其特征是：智能变电站的合并单元的一个端口发送SV报文并接收GOOSE报文，其他端口未使用；该合并单元只发送一种地址的SV报文不接收任何SV报文，发送SV的报文流量在6Mbps；同时接收智能终端发送的GOOSE报文，GOOSE报文流量为每秒几包；对所述的合并单元该端口进行如下设置：
1)设置装置管理流量的方向为同时管理输入和输出报文流量；
2)设置发送SV报文最大流量为10Mbps，设置接收GOOSE报文流量为1Mbps；
3)设置其他MAC地址的处理方式为丢弃；
4)设置重复报文的丢弃策略为50ms内出现相同MAC地址报文中序号相同的报文；
5)只允许第一包报文通过，其他报文丢弃；
6)设置装置该端口最大管理的MAC地址数量为5个。

智能变电站过程层网络报文过滤方法\n技术领域\n[0001] 本发涉及数字化变电站的合并单元、智能终端、交换机、保护装置和测控装置等各类装置的通信，具体是装置发送和接收SV(采样值)、GOOSE报文（面向通用对象的变电站事件是IEC 61850标准中用于满足变电站自动化系统快速报文）的过滤的方法和采用该方法的装置。\n背景技术\n[0002] 智能变电站过程层网络由L2以太网交换机（L2交换机:就是二层交换机,只根据MAC（Media Access Control，介质访问控制)地址等进行报文处理,没有IP等三层交换机功能及路由功能）构成，用于连接保护装置、测控装置、智能终端、合并单元等，实现GOOSE(Generic Object Oriented Substation Events，面向通用对象的变电站事件)、SV（Sample Value采样值）信号的组网传输，该信息的传输可靠性、实时性直接影响到保护的动作可靠性。因此，网络上的各种装置应能够提供足够的安全防护措施实现对无用报文的过滤，保证有效的GOOSE、SV报文能够正常传输而不会受到网络上无用的报文或异常报文的影响。\n[0003] 现有的GOOSE、SV网络上的各种装置在报文过滤上主要依赖交换机提供的网络风暴抑制方式，该方式可以实现对广播报文、组播报文和未知单播报文的按报文分类抑制流量，无法对指定MAC地址的组播和单播报文流量、重复报文进行抑制，导致在过程层的应用场合无法有效的对网络上的报文流量进行精确的管理，网络安全具有很大的隐患。\n发明内容\n[0004] 本发明的目的是：提供一种智能变电站过程层网络报文过滤方法，解决目前网络风暴抑制方式无法针对指定的MAC地址进行流量限制的问题。\n[0005] 本发明技术方案是：智能变电站过程层网络报文过滤方法，智能变电站的过程层网络上连接有各类装置，包括合并单元，智能终端、交换机、保护装置和测控装置，所述各类装置发送和接收SV和GOOSE报文，在所述的各类装置的网络接口和PHY（Physical Layer，物理层)之间增加报文过滤模块，以报文过滤的方式对接收到的报文进行额外的过滤，过滤的策略是：对各类装置指定MAC地址的报文进行流量限制；对各类装置指定MAC地址的报文的关键字段进行识别，过滤重复报文；对各类装置未指定MAC地址报文的进行丢弃处理或转发处理；对于广播报文进行丢弃处理或转发处理。通过增加报文过滤（由过滤模块执行）的方式对接收到的报文进行额外的过滤，过滤主要采用抑制策略：合并单元、智能终端、保护、测控装置等各类装置根据实际需要给各类装置配置不同的组播MAC地址。\n[0006] 过滤的具体策略或者步骤是：\n[0007] 1）对指定的MAC地址进行流量分别限制，即针对每个MAC地址的实际物理流量情况来决定分配给该MAC地址的最大流量值，当该MAC地址产生的流量超过该最大值时将被丢弃，保证其他MAC地址的流量不受影响，目前，只有网络风暴抑制可以实现组播报文的整体流量限制，无法实现按照MAC地址进行流量限制。\n[0008] 2）对于指定MAC地址报文的关键字段（关键字段可以是SV报文序号、源MAC地址、目标MAC地址等等）进行识别（例如，对同一MAC地址的SV报文序号进行重复识别，并对重复报文进行丢弃处理使接收端只接收到一包该序号的报文），过滤重复报文，即只允许第一包报文通过，其他报文丢弃。\n[0009] 报文过滤模块中对接收和发送报文的特定字段（即关键字段）进行字段匹配的方式达到对网络报文流量进行精确限制目的。\n[0010] 3）对未指定的MAC地址报文可以根据需要选择丢弃处理或转发处理；对于广播报文可以根据需要选择丢弃处理或转发处理。\n[0011] 本发明的有益效果：本发明可以实现智能变电站中合并单元，智能终端、交换机、保护装置和测控装置等各类装置对GOOSE和SV网络报文的精确管理，解决过程层网络报文无法精确抑制的问题，解决了网络上可能形成网络风暴的隐患。有效的解决过程层网络报文被重发问题，无用报文占用有效带宽问题。最大限度的净化了网络环境，保证过程层网络上的有效GOOSE、SV报文的通畅传输。\n附图说明\n[0012] 图1为本发明实施方式的结构示意图。\n[0013] 图2为本发明另一实施方式的结构示意图。\n具体实施方式\n[0014] 以下根据实施例并结合附图对本发明作进一步说明：\n[0015] 在智能变电站过程层中的交换机、保护、测控、合并单元及智能终端等设备均需要提供2个或以上的网络接口来与其他配套装置互联，当各个端口之间相互独立时（即各网口之间没有内部联系，如装置的不同网口）可以采用图2进行管理，当各个端口之间相互具有关联时（如交换机的各个网口）可以采用图1进行管理。\n[0016] 下面首先对图2进行描述，当我们知道装置（交换机、保护、测控、合并单元、智能终端等）在智能变电站中的应用配置时，我们同时会知道装置各个网口需要发送和接收报文的MAC地址及流量，我们可以通过装置的CPU对报文过滤模块进行如下设置[0017] 1.设置装置管理流量的方向：管理输入报文流量、输出报文流量或同时管理输入和输出报文流量。\n[0018] 2.根据不同MAC地址设置发送和接收报文的进行最大流量，同时设置其他MAC地址的处理方式（转发或丢弃）。\n[0019] 3.设置重复报文的丢弃策略，例如指定10ms内出现相同MAC地址报文中序号相同的报文的处理方法：只允许第一包报文通过或全部丢弃等。\n[0020] 4.设置装置该网口最大管理的MAC地址数量。\n[0021] 假设图2为合并单元，该装置负责为保护和测控装置提供线路电压和电流的测量数据并以SV组播报文的方式通过L2交换机上送给保护测控装置，同时假设合并单元的P_1端口发送SV报文并接收GOOSE报文，其他端口未使用。合并单元的特点是只发送一种地址的SV报文不接收任何SV报文，发送SV的报文流量一般在6Mbps左右；同时接收智能终端发送的GOOSE报文，GOOSE报文流量一般为每秒几包的报文。因此，我们对合并单元P_1端口进行如下设置：\n[0022] 1.设置装置管理流量的方向为同时管理输入和输出报文流量。\n[0023] 2.设置发送SV报文最大流量为10Mbps（或大于6Mbps），设置接收GOOSE报文流量为1Mbps（也可以更小，根据实际需要设置）。或设置其他MAC地址的处理方式为丢弃。\n[0024] 3.设置重复报文的丢弃策略为50ms内出现相同MAC地址报文中序号相同的报文只允许第一包报文通过，其他报文丢弃。\n[0025] 4.设置装置P_1网口最大管理的MAC地址数量为5个（或更少，满足需要即可）。\n[0026] 图1和图2是同一报文过滤模块的不同设置方式，在图1中P_1-P_N+1端口使用相同的报文过滤模块，该实现方式适合在个装置的网口间存在关联的情况下。图2中的P_1-P_N+1对各个端口进行独立配置，即各个端口采用不同的设置规则进行工作，设置规则同上合并单元设置，在此不再赘述。