Dans un pcap d'un poste numérique, l'attention va au GOOSE, SV, MMS et PTP. Mais le diagnostic utile se trouve souvent plus bas — dans les adresses MAC. L'article explique ce qu'est un OUI et en quoi diffèrent MA-L, MA-M, MA-S et CID, comment deviner un fabricant à partir des premiers octets, pourquoi un Source MAC partagé entre deux IED casse les sessions MMS et provoque du MAC flapping, et ce que l'ingénieur doit vérifier lors d'une première analyse d'un pcap.
Une référence pratique sur les filtres de capture dans Wireshark pour le trafic IEC 61850. Pourquoi le filtre d'affichage ne suffit pas sur un poste numérique (surtout en architecture bus de processus), quelle est la différence entre filtre de capture et filtre d'affichage, comment est structurée la syntaxe BPF (Berkeley Packet Filter), et des recettes de filtres prêtes à l'emploi pour GOOSE et SV — depuis la sélection par EtherType et OUI jusqu'aux APPID et adresses multicast.
Un guide pratique sur trois fonctionnalités Wireshark qui accélèrent considérablement l'analyse du trafic des postes numériques — filtres d'affichage, marquage de trames et noms d'IED personnalisés.