基于电力系统网络 IPv6系统设计

1前言

随着 Internet 技术的不断发展，以数字微波为主，光纤、卫星、电力线载波、电缆、集群移动通信等多种通信方式并存的电力专用网络已经建成并投入运行，电力专用网络的发展，实现了电力系统实时运行状态有效而准确的采集，保证了远距离控制信息快速和准确的传送，为电网数据共享奠定了基础，为电力系统安全、经济、优质运行创造了条件，也为解决传统电力系统管理存在的问题提供了新的思路。

2电力系统网络 IPv6

目前，互联网是运行在 IPv4 协议的基础上的。IPv6 是下一版本的互联网协议，也可以说是下一代互联网的协议，它的提出最初是因为随着互联网的迅速发展，IPv4 定义的有限地址空间将被耗尽，地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，拟通过 IPv6 重新定义地址空间。IPv4 采用32 位地址长度，只有大约43 亿个地址，估计在2005-2010 年间将被分配完毕，而 IPv6 采用 128 位地址长度，几乎可以不受限制地提供地址。按保守方法估算，整个地球上 IPv6 实际可分配的地址为 1000/m2以上。在 IPv6 的设计过程中除了一劳永逸地解决了地址短缺问题以外，还考虑了在 IPv4 中解决不好的其他问题，诸如端到端 IP 连接、服务质量( QoS) 、安全性、多播、移动性、即插即用等问题。

2.1电力系统网络 IPv6 的特点。

1)扩展的地址空间和结构化的路由层次。地址长度由IPv4 的 32 位扩展到 128 位;

2) 简化了包头格式。IPv6 的基本包头只是 IPv4 包头长度的两倍。取消了对包头中可选项长度的严格限制，增加了灵活性;

3) 简单的管理。通过实现一系列自动发现和自动配置功能，简化网络节点的管理与维护。已实现的典型技术包括最大传输单元发现( MTU Discovery) 、邻接节点发现( Neighbor

Discovery) 、路由器通告( Router Advertisement) 、路由器请求( Router Solicitation) 、节点自动配置( Auto － configuration) 等;

4)定义了一种新的群通信地址方式 Anycast。在点到多点的通信中，将包文传递到一组节点中的一个( 通常是最近的一个) ，从而在源点路由中允许节点控制传递路径;

5) 安全性与 QoS 能力。在制定 IPv6 技术规范的同时，产生了 IPSec 用于提供 IP 层的安全性;

6) 改进的多点寻址方案与可移动性。通过在组播地址中增加了“范围”字段，允许将组播的路由限定在正确的范围之内。

2.2 IPv6 网络下数据包捕获的拓展思考。IPv6 网络中，不仅仅是 IP 数据包头结构的更改，它还添加了很多安全的特性，比如 IPSec 的特性。IPSec 是一系列基于 IP 网络的，由 IETF 正式定制的开放性 IP 安全标准，可用它保护 IP 及上层协议( 如 TCP 和 UDP) 的安全。IPSec 采取的具体保护形式包括: 数据起源地验证，无连接数据的完整性验证，数据内容的机密性，抗重播保护和有限的数据流机密性保证等。IPSec 对 IP 数据包的安全保护机制是通过引入 IPv6 的两个扩展包头 AH( Authentication) 和 ESP( Encapsulationg Security Payload) 来实现的。虽然 IPSec 提供的安全性机制既可用于 IPv4 也可用于 IPv6 但它在 IPv6中是必须强制实施的，而在 IPv4 中则是可选的。鉴于IPv6 在设计时就已经考虑到了安全因素，把 IPSec 的安全头作为自身的扩展头，因此比 IPv4 具有更高的安全特性。另一方面，IPv6 网络取消了广播，仅把它作为一种特殊的形式，同时一些网络机制也发生了变化，诸如此类问题就给抓包带来了一些问题，正常情况下，简单的抓包，获得的信息量是很少的，而且往往要涉及到解密的问题。因此，IPv6 网络中数据包监听可以分为 2 个角度去设计: 一是基于端的数据包监听; 二是基于传输线路中的网络层设备的数据包监听。其中，第二类的数据包监听最为复杂也是最有用，因为可以截取网络中几乎所有的信息，然后分析过滤，在后台形成一个入侵监测系统，从而可以屏蔽掉大量的危险数据，但有一个问题就是，因为 IPSec 对 IP 数据包的安全保护机制，所以数据包从一端出来之后，就已经进行了加密，在网络层的传输设备中，可以截获全部的数据，但需要先进行解密，才可以得到有意义的信息。

3 IPv6 下的数据包监听的技术方案

依照我们的前期分析和全面探讨，根据 IPv6 的特点，我们尝试提出一个可行的解决方案，这套方案更多的是站在基于端的数据包监听的角度。根据以上的介绍，提出的设计思

路是:

3.1 基于WinPcap 捕获 MAC 数据帧，相对 WinPcap 的实现机制来讲，如果用 WinSocket 编程，使用套接字“RawSocket”实现监听比较简单，但有个缺点就是只能截获 IP 层以上的包，数据包头不含帧信息，对一些特殊的要求就不能满足了，尤其是在 IPv6 网络中。

3.2 采用动态链表存放捕获的数据( 为每一个捕获到的数据包分配一个链表节点，将数据包中的关键信息存放在节点中) 。采用动态链表能使应用程序根据网络流量随时间的

变化而动态的分配内存，从而合理地利用了内存，避免了不必要的内存浪费或内存溢出等一些问题，使应用程序达到最佳性能。

3.3 使用多线程处理数据包，可以在程序实现的设计中使用三类线程进行操作: 一类线程只进行捕获 MAC 数据帧，并把获得的数据包添加到链表的尾部; 另一类线程进行过滤操作，它检查新到的链表尾的数据包，检查其是否满足过滤条件，如果不满足则将其删除出链表; 最后一类线程进行数据包处理操作，比如流量分析、数据包分析等。

4结语

随着 Internet 技术的不断发展，网络中出现的不安全因素越来越多，从病毒的出现到人为的恶意攻击，网络中的合法用户受到的危害越来越大，网络管理及安全越来越为人们所重视，网络技术人员开始对网络的安全管理进行研究，在抵御网络上的病毒和恶意攻击中，网络监听成为网管人员必须掌握的技术。监听( sniffer) ，指利用计算机网络接口截获目的地为其他计算机的数据报文的技术，它为网络管理员提供一类管理工具，使用这类工具可以监视网络的状态、数据流动情况以及网络上传输的信息并利用这些信息来排除网络故障、发现病毒、检测恶意攻击等等。而电力系统网络 IPv6 的出现和发展提供了一个重要的机遇，现已成为不可阻挡的发展趋势 IPv6 代表着未来一代的互联网协议，是电力系统网络的核心技术，其发展前景巨大，但随之而来的网络安全和网络维护的问题也将越来越重要，基于新型数据包监听的网络防护和网络维护是我们必须要重视的。

参考文献：

[1]谭思亮． 监听与隐藏［M］． 北京: 人民邮电出版社，2002

[2] 胡道元． 计算机网络工程指南［M］． 北京: 电子工业出版社，2005

[3] 何永明，陈的虎． OSI 协议和计算机网［M］． 北京: 电子工业出版社，2003

