电力系统信息安全验证平台中广域网仿真方法

2018-06-29 02:51周纯杰李梦涛
自动化与仪表 2018年6期
关键词:广域网子网路由器

杨 军 ,周纯杰 ,应 欢 ,李梦涛 ,杨 军

(1.国家电网公司,北京 100031;2.华中科技大学 自动化学院,武汉 430074;3.中国电力科学研究院,北京 100192)

实际电力系统站点众多、分布地域广,广域网规模大、拓扑结构复杂[1],而且一旦实际网络搭建完毕,其架构很难更改、可扩展性差;相关参数配置、调试等方面也面临极大的工程难度,不合理的配置可能导致系统的不稳定。另外,随着广域网承载的应用业务量和复杂度不断增加,面临的安全威胁也日益凸显,例如:拦截、未经授权访问、篡改、伪造、拒绝服务等[2-3]。因此,在进行电力系统网络实际搭建之前,需要利用仿真模拟对电力系统广域网进行调试,降低系统的开发成本、时间成本,快速、直观地评价网络性能,查看不同威胁对系统的影响,进而对电力系统的信息安全防护提供指导。

目前,对电力系统大规模、复杂结构网络的研究还停留在对某一站点的网络仿真,难以把握电力系统全局状况。文中,提出一种在电力系统信息安全验证平台上基于OPNET的广域网仿真方法,在对OPNET仿真机制、建模方法以及仿真中的关键技术进行阐述基础上,通过OPNET搭建电力系统广域网仿真场景,并从网络性能、常用协议的兼容性、攻防对抗模拟方面进行测试验证。

1 基于OPNET的广域网仿真技术

OPNET是一种采用离散事件驱动和混合建模机制的网络仿真工具,提供了数据统计与分析功能,和比较齐全的基本模型库[4],能够准确地分析复杂网络的性能和行为,满足大型复杂网络的仿真需要。

1.1 OPNET仿真机制

在仿真方面,OPNET采用基于离散事件驱动的仿真机制。当网络状态发生变化时,模拟机进行仿真,仿真中的各个模块之间通过事件中断方式传递事件信息,提高了模拟机的计算效率。

在包传输方面,OPNET采用基于包的建摸机制来模拟实际物理网络中包的流动,以及网络协议中的组包和拆包过程,生成、编辑任何标准的或自定义的包格式[5]。

1.2 OPNET广域网仿真模型

图1 OPNET广域网仿真网络模型Fig.1 OPNET WAN simulation network model

OPNET广域网仿真网络模型如图1所示,主要包括节点模型和链路模型2个部分。节点模型使用系统在环SITL的方法实现虚拟网络和真实网络的对接,同时实现真实网络IP包和虚拟网络仿真包的相互转换。链路模型主要模拟广域网的网络结构、流量及特性参数等,实现连接该网络的各个节点间的信息交互。

1.3 OPNET仿真建模方法

OPNET采用3层建模机制实现网络的建模与仿真。最底层为进程模型,由状态(C/C++语句构成)转移构成,用于描述节点内部行为规范,包括决策进程和算法;中间层为节点模型,由协议栈组成,用于描述网络中节点的工作流程,从应用、进程、队列和通信接口对节点的功能进行规范;最上层为网络模型,由大量的节点以及节点之间的链路组成,用于描述网络中节点间的通信行为,并通过配置网络中节点、链路的属性实现基本通信功能[6]。OPNET三层建模原理如图2所示。

图2 OPNET三层建模原理Fig.2 OPNET three-layer modeling principle

其中,网络模型是结合实际网络场景需求搭建的网络拓扑结构,而网络拓扑中节点设备的添加既可以使用OPNET自带的设备库,也可以通过自定义的方式。OPNET三层建模基本原理,是先通过C/C++等编程语言描述节点的基本功能和状态逻辑,建立基于状态转移图的进程模型。然后,根据拟建节点所需功能,将各进程模型按照数据包转移流程进行连接[7]。

OPNET仿真建模大体分为6个步骤:配置网络拓扑→配置业务→收集统计量→运行仿真→调试模块再次仿真→发布结果和拓扑报告。其中,步骤1和步骤2属于创建模型部分即根据研究的问题和目标,建立网络、节点、进程及其协议模型并配置相关业务,其目的是通过对模型的动态仿真来测试网络的行为和性能,获取网络特性参数等。OPNET提供反映网络动态特性的矢量统计量和捕捉网络非动态行为特征的标量统计量。收集统计量即将统计量写入统计量输出文件中。在运行仿真前需要设置运行参数;仿真过程中可以利用OPNET交互式调试工具,随时中断正在运行的仿真程序;仿真结束后使用OPNET集成的分析工具,以参数曲线的形式直观地显示仿真结果并加以分析[8]。

1.4 OPNET广域网仿真关键技术

1.4.1 路由冗余技术

(1)热备份路由协议

主动路由器负责转发数据包,一旦出现故障,热备份路由协议HSRP将激活备份路由器取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并制定一个虚拟的IP地址作为网络系统的默认网关地址。如果主动路由器出现故障,备份路由器继承主动路由器的所有任务,并且不会导致主机连通中断现象[9]。

(2)虚拟路由冗余协议

采用虚拟路由冗余协议VRRP可以很好地避免静态指定网关的缺陷。VRRP将局域网的一组路由器组织成一个虚拟路由器,对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。VRRP协议选出一台作为主控,负责ARP响应和转发IP数据包,其他路由器作备份处于待命状态。当主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器,切换迅速且无需改变IP地址和MAC地址[10]。

1.4.2 半实物仿真技术

半实物仿真技术即在仿真系统中接入实物,以取代相应部分的数学模型,使其更接近实际情况,从而得到更确切的信息。半实物仿真系统一般由仿真计算机系统与接口、环境模拟设备、被测实物三部分组成。

OPNET中提供了SITL模块,模块的工作原理如图3所示。通过运行SITL,网络接口接收数据包,然后再通过防火墙过滤掉一些不需要的数据包转发到操作系统中。同时,SITL组件从网卡捕获发送给SITL模块的数据包,然后将其转发至仿真环境中,OPNET仿真内核对整个数据包进行解析,这样SITL网关节点就可以看到完整的以太网帧,并将它们传递给仿真环境的其他部分[11]。

图3 SITL工作原理Fig.3 SITL working principle

1.4.3 统计量导出方法

OPNET统计量导出的方法包括基于外部模型访问和基于统计线2种方法。基于外部模型访问的导出方法是通过第三方软件如Visual Studio调用OPNET库函数实现,其适应性强并且可以导出全部统计量。而基于统计线的导出方法,通过在OPNET节点域中添加统计模块实现,主要有以下步骤:

步骤1 在节点域中添加模块与统计线,并对统计线属性中统计量源、统计量目的、中断模式、中断触发方式进行配置。

步骤2 在进程域中参考 《关键函数参考手册》,采用C语言实现统计量的文件磁盘存储。

1.4.4 防火墙和VPN技术

OPNET路由器支持标准包过滤和扩展包过滤,一般配置扩展ACL,选择IP→IP Routing Parameters→Extended ACL Configuration进行 ACL的配置,然后通过Interface Information查找对应接口的Packet Filter,部署包过滤。

VPN技术通过在一个复杂的网络中建立一个安全、专用的网络来实现对业务信息的传输和保护。它无需单独建立专用的网络,而是在公共网络上建立虚拟的网络来实现专网的传输。在OPNET中,选择VPN对象模型“IP VPN Config”,鼠标右键选择属性,添加VPN隧道,设置源路由器以及目的路由器,并添加客户端以实现VPN的配置。

2 仿真应用案例

2.1 电力系统广域网仿真场景搭建

电力系统广域网规模大,覆盖了全国各省市,一般采取3层结构设计,如图4所示,即一级网络、二级网络和三级网络。其中,三级网络是城市范围的网络,二级网络是省内范围的网络,一级网络则覆盖全国各网局和直属省局。

图4 电力系统广域网三层结构Fig.4 Power system WAN three-tier structure

根据如图所示结构搭建的包含有一级网络、二级网络和三级网络的电力系统广域网仿真场景,如图5所示。

图5 OPNET广域网网络拓扑结构Fig.5 OPNET WAN network topology

其搭建步骤如下:

步骤 1 新建工程“File”→“New”→“Project”,选择空场景Create empty scenario,网络规模Network Scale,地域 World,模型库选择 MPLS,SITL 模型库Model Family。

步骤2 依据地理位置搭建网络。

选择地势平坦的梯田作为试验地点。地膜带幅为1.2 m,宽窄行距离分别为0.6 m和0.4 m,每垄种植2行作物,株距保持在为35~40 cm,保苗在60 000株/hm2左右,用种量30 kg/hm2。

步骤3 在网络节点间添加链路。不同的网络节点,其内部设置的局域网络不同。有的包含虚拟客户端/服务器,用于仿真电网中SCADA业务;有的包含SITL组件,用于仿真实际数据通信[12]。

2.2 试验环境配置

仿真使用4台计算机:2台作通信主机,1台作攻击注入主机,1台作OPNET仿真主机。试验环境整体配置如图6所示。

图6 试验环境整体配置Fig.6 Overall configuration of experimental environment

3 网络性能测试及攻防试验

3.1 网络性能评估

广域网传输信息信道对实时性要求很高,实时性取决于网络拥塞程度、网络传输链路时延,可以用网络端到端的吞吐量、网络时延和时延差来衡量,而可靠性取决于网络设备、传输链路故障恢复时间可以用固定包频下的丢包率来衡量[13]。

主机PC_A和PC_B通过仿真网络进行通信,利用ATTKPING和TamoSoft Throughput Test对网络丢包以及吞吐率进行测试。首先在PC_B中运行ATTKPING软件,用ping PC_A来测试网络延时和丢包率。通过测试发现当最大数据量为1472时,丢包率为0%,延时在32 ms左右。

在PC_A和PC_B上分别运行TamoSoft Throughput Test Client和TamoSoft Throughput Test Server进行吞吐率测试。测试结果如图7所示,在Qos traffic type为Voice的情况下,TCP上传时平均吞吐量为 11.37 Mb/s,下载时平均吞吐量为 12.03 Mb/s。

图7 网络voice吞吐率测试结果Fig.7 Network voice throughput test results

3.2 网络协议兼容性验证

在电力系统中,常用的协议有ModBus协议、IEC60870-5-104规约、IEC61850规约、S7协议、OPC协议等。通过测试,电力系统常用协议与OPNET的兼容性见表1。

表1 电力系统常用协议与OPNET的兼容性Tab.1 Compatibility of power system common protocol with OPNET

3.3 网络攻防试验

3.3.1 OPNET 仿真场景下的攻击试验

采用76号工具进行TCP SYN Flood攻击,试验结果如图8所示。当网络遭受到攻击时,链路请求包速率迅速增大,链路响应包速率随之增加,但两者差值较大即通信出现不同步现象,随后包速率下降说明攻击一段时间后客户端与服务器之间的通信断连。

3.3.2 防火墙与VPN仿真试验

全仿情况下,服务器通过防火墙与外界网络隔离,2台仿真主机同时访问服务器,计算机2采用VPN技术,计算机1不采用VPN技术,观察其结果。具体实现如下:

图8 攻击下网络包请求/响应速率的对比Fig.8 Comparison of network packet request/response rate under attack

(1)指定用户概要和部署应用

电力系统的业务主要有语音业务、数据业务、多媒体业务、E-mail等。在OPNET中,添加应用对象模型以及概要对象模型。由于OPNET中,没有多媒体应用,使用FTP应用替代多媒体应用。指定用户概要和部署应用包含3步:配置应用、配置概要、部署应用。

(2)配置防火墙与VPN

选取xinjiang子网中的防火墙,右键选择属性,选择“Proxy Server Information”进行配置。在xinjiang子网和huadong子网之间建立VPN通道,xinjiang子网为源路由器,huadong子网为目的路由器,其中客户端为源路由器的客户端。

(3)选择相应统计量

选取xinjiang子网节点局域网内防火墙丢包、lasa子网节点局域网内吞吐量、huadong子网节点局域网内吞吐量作为统计量,用于观察防火墙和VPN的作用效果。

(4)运行仿真得到结果

运行仿真,仿真效果如图9所示。

图9 防火墙与VPN效果曲线Fig.9 Firewall and VPN effect curve

图中,计算机1代表lasa子网的Virt_Attacker,计算机2代表huadong子网的客户端。由图9可见,使用了VPN的计算机2能够收到来自服务器的数据响应包,未使用VPN的计算机1无法获取服务器数据。可以说明,防火墙可以阻止非法的远程访问;VPN能够透过防火墙对服务器进行访问。

4 结语

文中所提出基于电力系统信息安全验证平台的广域网仿真方法,介绍了OPNET仿真机制、建模方法以及仿真中的关键技术;通过广域网仿真场景对网络性能进行评估,对协议的兼容性进行验证,对TCP SYN Flood攻击对广域网性能的影响以及防火墙和VPN技术在广域网中的作用进行阐述。该方法为建设电力系统信息安全验证平台提供了技术支持,也为后续研究OPNET广域网仿真的人员提供了方法指导。

[1] 许玲玲.智能电网环境下广域网通信系统的研究[D].保定:华北电力大学,2011.

[2] 林永峰,陈亮,张国强.配电自动化终端信息安全风险测评方法研究[J].自动化与仪表,2015,30(12):11-14,58.

[3] 刘松国,韩树新,李伟忠,等.电梯运行状态监测与故障远程报警系统研究[J].自动化与仪表,2011,26(10):42-46.

[4] 沈海红,王进,郑宝玉.基于3种主流网络仿真软件的网络仿真探讨[J].江苏通信,2004,20(4):5-8.

[5] 朱辰,董银虎.基于OPNET的网络仿真技术研究及其应用[J].无线电工程,2013,43(3):12-15,61.

[6] 廖晨淞,童晓阳,王晓茹.OPNET仿真及其在电力系统通信研究中的应用[J].电气应用,2010,29(9):52-56,91.

[7] Zhao W,Xie J.OPNET-based modeling and simulation study on handoffs in Internet-based infrastructure wireless mesh networks[M].[s.l.]:Elsevier North-Holland Inc.,2011.

[8] 韦良芬.基于OPNET的网络建模与仿真设计[J].电脑知识与技术,2012,8(33):8073-8075.

[9] 陈伟.利用HSRP热备份路由技术提高网络可靠性[J].福建电脑,2015,19(4):139-140.

[10] 谷宝磊.基于VRRP协议实现路由冗余和负载均衡的应用研究[J].智能计算机与应用,2014,4(6):100-103.

[11] 李洪鑫,张传富,范超.OPNET半实物仿真机制研究[J].信息工程大学学报,2011,12(4):509-512.

[12] Bian D,Kuzlu M,Pipattanasomporn M,et al.Real-time co-simulation platform using OPAL-RT and OPNET for analyzing smart grid performance[C]//Power & Energy Society General Meeting.IEEE,2015:1-5.

[13] 林涛,郭晓,陈恩,等.基于Si4432和GPRS远程智能抄表系统的研究[J].自动化与仪表,2014,29(7):31-34. ■

猜你喜欢
广域网子网路由器
考虑荷电状态的交直流微电网多模式协调控制策略
买千兆路由器看接口参数
维持生命
路由器每天都要关
路由器每天都要关
子网划分问题研究及应用
基于低功耗广域网的海岛水产养殖环境监测系统研制
航天器多子网时间同步系统设计与验证
关于局域网安全路由器基本配置的研究
VLSM技术应用——以贺州学院行政办公楼网络为例