----市场占有率高达80%,以太网毫无疑问是当今LAN(局域网)领域中首屈一指的网络。以太网优越的性能,为您的应用带来巨大的利益:
通过简单的连接方式快速装配。
通过不断的开发提供了持续的兼容性,因而保证了投资的安全。
通过交换技术提供实际上没有限制的通讯性能。
各种各样联网应用,例如办公室环境和生产应用环境的联网。
通过接入WAN(广域网)可实现公司之间的通讯,例如,ISDN 或Internet 的接入。
----SIMATIC NET基于经过现场应用验证的技术,SIMATIC NET已供应多于400,000个节点,遍布世界各地,用于严酷的工业环境,包括有高强度电磁干扰的区域。
编辑本段工业以太网络的构成
----一个典型的工业以太网络环境,有以下三类网络器件:
网络部件
连接部件:
FC 快速连接插座
ELS(工业以太网电气交换机)
ESM(工业以太网电气交换机)
SM(工业以太网光纤交换机)
MC TP11(工业以太网光纤电气转换模块)
通信介质:
普通双绞线,工业屏蔽双绞线和光纤
SIMATIC PLC控制器上的工业以太网通讯处理器。用于将SIMATIC PLC连接到工业以太网。
PG/PC 上的工业以太网通讯处理器。用于将PG/PC连接到工业以太网。
编辑本段工业以太网重要性能
----为了应用于严酷的工业环境,确保工业应用的安全可靠,SIMATIC NET 为
以太网技术补充了不少重要的性能:
工业以太网技术上与IEEE802.3/
802.3u兼容,使用ISO和TCP/IP 通讯协议
10/100M 自适应传输速率
冗余24VDC 供电
简单的机柜导轨安装
方便的构成星型、线型和环型
拓扑结构
高速冗余的
安全网络,最大网络重构时间为0.3 秒
用于严酷环境的网络元件,通过EMC 测试
通过带有RJ45 技术、工业级的Sub-D 连接技术和安装专用屏蔽
电缆的Fast Connect连接技术,确保现场电缆安装工作的快速进行
简单高效的信号装置不断地监视网络元件
符合SNMP(简单的
网络管理协议)
可使用基于web 的网络管理
使用VB/VC 或
组态软件即可监控管理网络
编辑本段工业以太网的技术特点
工业以太网技术具有价格低廉、稳定可靠、通信速率高、软硬件产品丰富、应用广泛以及支持技术成熟等优点,已成为最受欢迎的通信网络之一。近些年来,随着网络技术的发展,以太网进入了控制领域,形成了新型的以太网控制网络技术。这主要是由于工业自动化系统向分布化、智能化控制方面发展,开放的、透明的通讯协议是必然的要求。以太网技术引入工业控制领域,其技术优势非常明显:
(一)Ethernet是全开放、全数字化的网络,遵照网络协议不同厂商的设备可以很容易实现互联。
(二)以太网能实现工业控制网络与企业信息网络的无缝连接,形成企业级管控一体化的全开放网络。
(三)软硬件成本低廉,由于以太网技术已经非常成熟,支持以太网的软硬件受到厂商的高度重视和广泛支持,有多种软件开发环境和硬件设备供用户选择。
(四)通信速率高,随着企业信息系统规模的扩大和复杂程度的提高,对信息量的需求也越来越大,有时甚至需要音频、视频数据的传输,目前以太网的通信速率为10M、100M的快速以太网开始广泛应用,千兆以太网技术也逐渐成熟,10G以太网也正在研究,其速率比目前的现场总线快很多。
(五)可持续发展潜力大,在这信息瞬息万变的时代,企业的生存与发展将很大程度上依赖于一个快速而有效的通信管理网络,信息技术与通信技术的发展将更加迅速,也更加成熟,由此保证了以太网技术不断地持续向前发展。
[1]
编辑本段工业以太网联网设备基本知识
今天的控制系统和工厂自动化系统,以太网的应用几乎已经和PLC一样普及。但现场工程师们对以太网的了解,大多来自他们对传统商业以太网的认识。很多控制系统工程的实施甚至是直接让IT部门的技术人员来实施。但是,IT工程师们对于以太网的了解,往往局限于
办公自动化商业以太网的实施经验,可能导致工业以太网在
工业控制系统中实施的简单化和商业化,不能真正理解工业以太网在工业现场的意义,也无法真正利用工业以太网内在的特殊功能,常常造成工业以太网现场实施的不彻底,给整个控制系统留下不稳定因素。
那么选择正确的工业以太网要考虑哪些因素?简单的来说,要从以太网通讯协议、电源、通信速率、工业环境认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功能、电口或光口的考虑。这些都是最基本需要了解的产品选择因素。如果对工业以太网的网络管理有更高要求,则需要考虑所选择产品的高级功能如:信号强弱、端口设置、出错报警、串口使用、主干(TrunkingTM)冗余、
环网冗余、服务质量(QoS)、
虚拟局域网(VLAN)、
简单网络管理协议(SNMP)、
端口镜像等等其他工业以太网管理交换机中可以提供的功能。不同的
控制系统对网络的管理功能要求不同,自然对管理型
交换机的使用也有不同要求。控制工程师们应该根据其系统的设计要求,挑选适合自己系统的工业以太网产品。
由于工业环境对工业控制网络可靠性能的超高要求,工业以太网的冗余功能应运而生。从快速生成树冗余(RSTP)、环网冗余(RapidRingTM)到主干冗余(TrunkingTM),都有各自不同的优势和特点,控制工程师们可以根据自己的要求进行选择。为了更好地帮助大家了解和学习工业以太网
冗余技术的特点,让我们首先回顾以下以太网设备的发展过程。
在工业以太网的应用广泛普及的今天,今天的控制系统和工厂自动化系统常常采用
工业以太网技术完成工业控制任务,但是,IT工程师们对于工业以太网的了解往往局限于
办公自动化商业工业以太网,这就可能导致工业以太网在控制系统系统中实施的简单化和商业化,不能真正理解工业以太网在工业现场的意义,也无法真正利用工业以太网内在的特殊功能,常常造成工业以太网现场实施的不彻底,给整个控制系统留下不稳定因素。
选择正确的工业以太网要考虑哪些因素?简单的来说,要从工业以太网通讯协议、电源、通信速率、工业环境认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功能、电口或光口的考虑。这些都是最基本需要了解的产品选择因素。如果对工业以太网的网络管理有更高要求,则需要考虑所选择产品的高级功能如:信号强弱、端口设置、出错报警、串口使用、主干(TrunkingTM)冗余、环网冗余、服务质量(QoS)、
虚拟局域网(VLAN)、
简单网络管理协议(SNMP)、
端口镜像等等其他工业以太网管理
交换机中可以提供的功能。不同的控制系统对网络的管理功能要求不同,自然对管理型交换机的使用也有不同要求。控制工程师们应该根据其系统的设计要求,挑选适合自己系统的工业以太网产品。
由于工业环境对工业控制网络可靠性能的超高要求,工业以太网的冗余功能应运而生。从快速生成树冗余(RSTP)、环网冗余(RapidRingTM)到主干冗(TrunkingTM),都有各自不同的优势和特点,控制工程师们可以根据自己的要求进行选择。
工业以太网设备包括以下几个重要部分。
工业以太网集线器
相信绝大多数人都熟悉
集线器。很多人使用这种简易设备去连接各种基于以太网的设备,如个人计算机,
可编程控制器等。集线器接收到来自某一端口的消息,再将消息广播到其它所有的端口。对来自任一端口的每一条消息,集线器都会把它传递到其它的各个端口。在消息传递方面,集线器是低速低效的,可能会出现消息冲突。然而,集线器的使用非常简单-实际上可以即插即用。集线器没有任何华而不实的功能,也没有
冗余功能。
工业以太网非管理型交换机
集线器的发展产生了一种叫非管理型交换机的设备。它能实现消息从一个端口到另一个端口的路由功能,相对集线器更加智能化。非管理型交换机能自动探测每台
网络设备的
网络速度。另外,它具有一种称为“MAC地址表”的功能,能识别和记忆网络中的设备。换言之,如果端口2收到一条带有特定识别码的消息,此后交换机就会将所有具有那种特定识别码的消息发送到端口2。这种智能避免了消息冲突,提高了传输性能,相对集线器是一次巨大的改进。然而,非管理型交换机不能实现任何形式的通信检测和冗余配置功能。
工业以太网管理型交换机
工业以太网连接设备发展的下一代产品是管理型交换机。相对集线器和非管理型交换机,管理型交换机拥有更多更复杂的功能,价格也高出许多-通常是一台非管理型交换机的3~4倍。管理型交换机提供了更多的功能,通常可以通过基于网络的接口实现完全配置。它可以自动与网络设备交互,用户也可以手动配置每个端口的
网速和
流量控制。一些老设备可能无法使用自动交互功能,因此手动配置功能是必不可缺的。
绝大多数管理型交换机通常也提供一些高级功能,如用于远程监视和配置的SNMP(简单网络管理协议),用于诊断的端口映射,用于网络设备成组的VLAN(虚拟局域网),用于确保优先级消息通过的优先级排列功能等。利用管理型交换机,可以组建冗余网络。使用环形
拓扑结构,管理型交换机可以组成
环形网络。每台管理型交换机能自动判断最优传输路径和备用路径,当优先路径中断时自动阻断(block)备用路径。
工业以太网管理型冗余交换机
高级的管理型冗余交换机提供了一些特殊的功能,特别是针对有稳定性、安全性方面严格要求的
冗余系统进行了设计上的优化。构建冗余网络的主要方式主要有以下几种,STP、RSTP;
环网冗余RapidRingTM以及Trunking。
1工业以太网 STP及RSTP
STP(Spanning Tree Protocol,生成树算法,IEEE 802.1D),是一个链路层协议,提供路径冗余和阻止网络循环发生。它强令备用数据路径为阻塞(blocked)状态。如果一条路径有
故障,该拓扑结构能借助激活备用路径重新配置及链路重构。网络中断恢复时间为30-60s之间。RSTP(快速生成树算法,IEEE 802.1w)作为STP的升级,将网络中断恢复时间,缩短到1-2s。
生成树算法网络结构灵活,但也存在恢复速度慢的缺点。
2 工业以太网环网冗余
为了能满足工控网络实时性强的特点,RapidRing孕育而生。这是在工业以太网网络中使用环网提供高速冗余的一种技术。这个技术可以使网络在中断后300ms之内自行恢复。并可以通过
工业以太网交换机的出错继电连接、状态显示灯和SNMP设置等方法来提醒用户出现的断网现象。这些都可以帮助诊断环网什么地方出现断开。
RapidRingTM也支持两个连接在一起的环网,使网络拓朴更为灵活多样。两个环通过
双通道连接,这些连接可以是冗余的,避免单个线缆出错带来的问题。
3 工业以太网主干冗余
将不同交换机的多个端口设置为Trunking主干端口,并建立连接,则这些工业以太网交换机之间可以形成一个高速的骨干链接。不但成倍的提高了骨干链接的网络带宽,增强了
网络吞吐量,而且还还提供了另外一个功能,即冗余功能。如果网络中的骨干链接产生断线等问题,那么网络中的数据会通过剩下的链接进行传递,保证网络的通讯正常。Trunking主干网络采用
总线型和星型网络结构,理论通讯距离可以无限延长。该技术由于采用了硬件侦测及数据平衡的方法,所以使网络中断恢复时间达到了新的高度,一般恢复时间在10ms以下。
工业以太网是应用于工业控制领域的
以太网技术,在技术上与商用以太网(即IEEE 802.3标准)兼容,但是实际产品和应用却又完全不同。这主要表现普通商用以太网的产品设计时,在材质的选用、产品的强度、适用性以及实时性、可
互操作性、可靠性、抗干扰性、本质安全性等方面不能满足工业现场的需要。故在工业现场控制应用的是与商用以太网不同的工业以太网。然而工业以太网的优势在哪里呢?
(一)应用广泛
以太网是应用最广泛的
计算机网络技术,几乎所有的
编程语言如Visual C++、Java、VisualBasic等都支持以太网的应用开发。
(二)通信速率高
目前,10、100 Mb/s的快速以太网已开始广泛应用,1Gb/s以太网技术也逐渐成熟,而传统的
现场总线最高速率只有12Mb/s(如西门子Profibus-DP)。显然,以太网的速率要比传统现场总线要快的多,完全可以满足工业控制网络不断增长的
带宽要求。
(三)资源共享能力强
随着Internet/ Intranet的发展,以太网已渗透到各个角落,网络上的用户已解除了资源地理位置上的束缚,在联入互联网的任何一台计算机上就能浏览工业控制现场的数据,实现“控管一体化”,这是其他任何一种现场总线都无法比拟的。
(四)可持续发展潜力大
以太网的引入将为控制系统的后续发展提供可能性,用户在技术升级方面无需独自的研究投入,对于这一点,任何现有的现场总线技术都是无法比拟的。同时,机器人技术、智能技术的发展都要求通信网络具有更高的带宽和性能,通信协议有更高的灵活性,这些要求以太网都能很好地满足。
编辑本段工业以太网通信标准PROFInet及其应用
1 PROFInet通讯标准
PROFInet可以提供办公室和自动化领域开放的、一致的连接。PROFInet方案覆盖了分散自动化系统的所有运行阶段,它主要包含以下方面:⑴高度分散自动化系统的开放对象模型(结构模型);⑵基于Ethernet的开放的、面向对象的运行期通信方案(功能单元间的通信关系);⑶独立于制造商的工程设计方案(应用开发)。PROFInet方案可以用一条等式简单而明了地描述:PROFInet=Profibus+具有PROFIBUS和IT标准Ethernet的开放的、一致的通信。
1.1 PROFInet设备的软件结构
PROFInet设备的软件覆盖了现场设备的整个运行期通信,基于模块化设计的软件包含若干通信层,每层都与系统环境一致。PROFInet软件主要包括一个RPC(Remote Procedure Call)层,一个DCOM(Distributed Component Object Model)层和一个专门为PROFInet对象定义的层。PROFInet对象可以是ACCO(Active Connection Control Object)设备、RT auto(Runtime Automation)设备、物理设备或逻辑设备。软件中定义的实时数据通道提供PROFInet对象与以太网间的实时通信服务。PROFInet通过系统接口连接到
操作系统(如WinCE),通过应用接口连接到控制器(如PLC)。
PROFInet的运行期软件位于一个目录固定的结构中,可以分为核心目录和系统应用目录。若通信开始而核心目录中的文件未改变,则系统应用目录中的部分文件必须重建。所有的系统应用都是指向系统接口和应用接口,实现PROFInet设备的各项功能。PROFInet设备的软件结构可以用图1描述如下:
PROFInet设备的软件结构决定了PROFInet设备可以从企业管理层到现场层直接、透明地访问,并且提供对TCP/IP协议的绝对支持。PROFInet技术使企业用户能够方便地对现有的系统进行扩展和集成,是一种优化的工业以太网通信标准。
1.2 PROFInet在现场设备上的移植
作为一种开放的资源,PROFInet软件通过移植到设备上的TCP/IP协议栈来完成在其他设备制造商的产品中快速而简单地实现。具体过程为:首先将开放资源的RPC接口连接到TCP/IP协议栈和设备操作系统中的系统集成;然后再将PROFInet协议栈的DCOM(Discrete Component Object Module)机制集成到设备的操作系统中;最后实现物理设备和逻辑设备对象、运行期对象和活动控制连接对象的设备专用的DCOM应用。为单个部件组装PROFInet设备时还必须用XML创建相应的描述。
一个PROFInet设备的XML文件中应包括下列数据:
⑴PROFInet设备的名称和ID号;
⑵PROFInet设备的IP地址,诊断数据的访问方式和设备连接方式;
⑶PROFInet设备的硬件分配,设备接口以及为各接口定义的变量、数据类型与格式;
⑷PROFInet设备在整个工程中的保存地址。
PROFInet设备将它的所有功能封装到其软件中,并提供变量接口与其它的PROFInet设备相连。变量接口的每个变量都代表一个确定的子功能,包括运行、输入/输出使能、复位、结束、停机、启动和错误。一个PROFInet设备中
封装的可以是一个控制器、一个执行器甚至是一个控制网络。图2所示的PROFInet设备中封装了一个Profibus-DP控制网络。
PROFInet设备之间通过DCOM模块进行通信。在PROFInet设备连接编辑器的图形界面中可以方便地实现各PROFInet设备间的连接。一个具有冲洗、灌装、封口和包装4个环节的饮料生产厂家的生产流程可以用4个PROFInet设备串连连接实现(见图3)。
所有设备的接口都在PROFInet中做了一致的定义,因此都能够灵活地组合和重新使用,用户不必考虑各设备的内部运行机制。此外,PROFInet还集成了故障安全通信标准行规PROFIsafe,满足对人员、设备和环境的全面安全的需求,可用于故障安全应用。
2 PROFInet通信功能的实现
PROFInet设备通信功能的实现是基于传统的Ethernet通信机制(如TCP或UDP),同时又采用RPC和DCOM机制进行加强。DCOM可视为用于基于RPC分布式应用的COM技术的扩展,可以采用优化的实时通信机制应用于对实时性要求苛刻的应用领域。在运行期间,PROFInet设备以DCOM对象的形式映像,通过对象协议机制确保了DCOM对象的通信。COM对象作为PDU以DCOM协议定义的形式出现在通信总线上。通过DCOM布线协议DCOM定义了对象的标识和具有有关接口和参数的方法,这样就可以在通信总线上进行标准化的DCOM信息包的传输。对于更高层次上的通信,PROFInet可以采用集成OPC(OLE for Process Control)接口技术的方式。
2.1 PROFInet的基本通信方式
PROFInet根据不同的应用场合定义了三种不同的通信方式:使用TCP/IP的标准通信;实时RT(Real-time)通信和同步实时IRT通信。PROFInet设备能够根据通信要求选择合适的通信方式。
PROFInet使用以太网和TCP/IP协议作为通信基础,在任何场合下都提供对TCP/IP通信的绝对支持。由于绝大多数工厂自动化应用场合对实时响应时间要求较高,为了能够满足自动化中的实时要求,PROFInet中规定了基于以太网层2的优化实时通信通道,该方案极大地减少了通信栈上占用的时间,提高了自动化数据刷新方面的性能。PROFInet不仅最小化了
可编程控制器中的通信栈,而且对网络中传输数据也进行了优化。采用PROFInet通信标准,系统对实时应用的响应时间可以缩短到5~10ms。PROFInet同时还支持高性能同步运动控制应用,在该应用场合PROFInet提供对100个节点响应时间低于1ms的同步实时(IRT)通信,该功能是由层2上内嵌的同步实时交换芯片ERTEC提供的。PROFInet的通信循环如图4所示。
在PROFInet设备的一个通信循环周期内,既包括IRT实时通信,又包括TCP/IP标准通信。PROFInet通信技术在很多应用场合都能体现出其极大的优越性。工程实践表明,在同步运动控制场合采用PROFInet提供的IRT通信,系统性能将比采用
现场总线方案提升近100倍。
2.2 PROFInet与OPC的集成
由于PROFInet与OPC均采用了DCOM通讯机制,因此PROFInet通讯技术可以很容易地与OPC接口技术集成,以实现数据在更高通信层次上的交换。OPC接口设备在工控领域的应用十分广泛,OPC接口技术定义了OPC DA(Data Access)与OPC DX(Data Ex改变)两个通信标准,分别应用于传输实时数据和实现异类控制网络间数据的交换。在PROFInet中集成OPC DX接口可以实现一个开放的连接至其他系统,集成机制如下:
⑴ 基于PROFInet的实时通信机制,每个PROFInet节点可以作为一个OPC服务器被寻址;
⑵ 每个OPC服务器可以通过标准接口而作为一个PROFInet节点被操作。PROFInet的功能性远比OPC优越,PROFInet技术与OPC接口技术的集成不仅可以实现自动化领域对实时通信的要求,还可以实现系统之间在更高层次上的交互。
3 PROFInet在自动化领域的应用
PROFInet是一种优越的通信技术,并已成功地应用于分布式智能控制。PROFInet为分布式自动化系统结构的实现开辟了新的前景,可以实现全厂工程彻底模块化,包括机械部件、电气/电子部件和应用软件。PROFInet支持各种形式的网络结构,使接线费用最小化,并保证高度的可用性。此外,特别设计的工业电缆和耐用的连接器满足EMC和温度要求并形成标准,保证了不同制造设备之间的兼容性。
PROFInet不仅可以应用于分布式智能控制,而且还逐渐进入到过程自动化领域。在过程自动化领域,PROFInet针对工业以太网总线供电以及以太网本质在安全领域应用的问题正在形成标准或解决方案,采用PROFInet集成的Profibus
现场总线可以为过程自动化工业提供优越的解决方案(如图5所示):
采用PROFInet通讯技术,不仅可以集成Profibus现场设备,还可以通过代理服务器(Proxy)实现其它种类的现场总线网络的集成。采用这种统一的面对未来的设计概念,工厂内各部件都可以作为独立模块预先组装测试,然后在整个系统中轻松组装或在其他项目中重复使用。譬如对于一个汽车生产企业而言,PROFInet支持的实时解决方案完全可以满足车体车间、喷漆车间和组装部门等对响应时间的要求,在机械工程及发动机和变速箱生产环节中的车床同步等方面则可使用PROFInet的同步实时功能。
[2]
4 结束语
PROFInet可以保证对现有系统投资的高度保护,并使工厂拥有创新标准的优越性。鉴于PROFInet通讯技术的优越性,目前已经有部分生产厂家(如西门子,施奈德)。
编辑本段集线器 (Hub)
相信绝大多数人都熟悉集线器。很多人使用这种简易设备去连接各种基于以太网的设备,如个人计算机,
可编程控制器等。集线器接收到来自某一端口的消息,再将消息广播到其它所有的端口。对来自任一端口的每一条消息,集线器都会把它传递到其它的各个端口。在消息传递方面,集线器是低速低效的,可能会出现消息冲突。然而,集线器的使用非常简单-实际上可以即插即用。集线器没有任何华而不实的功能,也没有冗余功能。
编辑本段非管理型交换机 (Unmanaged Switch)
集线器的发展产生了一种叫非管理型交换机的设备。它能实现消息从一个端口到另一个端口的路由功能,相对集线器更加智能化。非管理型交换机能自动探测每台网络设备的
网络速度。另外,它具有一种称为“
MAC地址表”的功能,能识别和记忆网络中的设备。换言之,如果端口2收到一条带有特定识别码的消息,此后交换机就会将所有具有那种特定识别码的消息发送到端口2。这种智能避免了消息冲突,提高了传输性能,相对集线器是一次巨大的改进。然而,非管理型交换机不能实现任何形式的通信检测和冗余配置功能。
编辑本段管理型交换机 (Managed Switch)
以太网连接设备发展的下一代产品是管理型交换机。相对集线器和非管理型交换机,管理型交换机拥有更多更复杂的功能,价格也高出许多-通常是一台非管理型交换机的3~4倍。管理型交换机提供了更多的功能,通常可以通过基于网络的接口实现完全配置。它可以自动与网络设备交互,用户也可以手动配置每个端口的网速和
流量控制。一些老设备可能无法使用自动交互功能,因此手动配置功能是必不可缺的。
绝大多数管理型交换机通常也提供一些高级功能,如用于远程监视和配置的SNMP(简单网络管理协议),用于诊断的端口映射,用于网络设备成组的VLAN(虚拟局域网),用于确保优先级消息通过的优先级排列功能等。利用管理型交换机,可以组建冗余网络。使用环形拓扑结构,管理型交换机可以组成
环形网络。每台管理型交换机能自动判断最优传输路径和备用路径,当优先路径中断时自动阻断(block)备用路径。
编辑本段工业以太网应用安全的研究
工业以太网是当前工业控制领域的研究热点。工业以太网重点在于利用
交换式以太网技术为控制器和
操作站,各种
工作站之间的相互协调合作提供一种交互机制并和上层信息网络无缝集成。目前工业以太网开始在监控层网络上逐渐占据主流位置,正在向现场设备层网络渗透。工业以太网相对于以往自动化技术有很多优势,然而事物是相对的,在我们享受开放互联技术进步的成果同时应该对它们存在的隐患和可能带来的严重后果要有深刻认识。
1 工业以太网的特点及安全要求
虽然脱胎于Intranet、Internet等类型的信息网络,但是工业以太网是面向生产过程,对实时性、可靠性、安全性和数据完整性有很高的要求。既有与信息网络相同的特点和安全要求,也有自己不同于信息网络的显著特点和安全要求:
⑴工业以太网是一个
网络控制系统,实时性要求高,
网络传输要有确定性。
⑵整个企业网络按功能可分为处于管理层的通用以太网和处于监控层的工业以太网以及现场设备层(如
现场总线)。管理层通用以太网可以与控制层的工业以太网交换数据,上下
网段采用相同协议自由通信。
⑶工业以太网中周期与非周期信息同时存在,各自有不同的要求。周期信息的传输通常具有顺序性要求,而非周期信息有优先级要求,如报警信息是需要立即响应的。
⑷工业以太网要为紧要任务提供最低限度的性能保证服务,同时也要为非紧要任务提供尽力服务,所以工业以太网同时具有实时协议也具有非实时协议。
基于以上特点,有如下安全应用要求
⑴工业以太网应该保证实时性不会被破坏,在商业应用中,对实时性的要求基本不涉及安全,而过程控制对实时性的要求是硬性的,常常涉及生产设备和人员安全。
⑵当今世界舞台,各种竞争异常激烈。对于很多企业尤其是掌握领先技术的企业,作为其技术实际体现的生产工艺往往是企业的根本利益。一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标。所以在工业以太网的数据传输中要防止数据被窃取。
⑶开放互联是工业以太网的优势,远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性,打破了时空的限制,但是对于这些应用必须保证经过授权的合法性和可审查性。
2 工业以太网的应用安全问题分析
⑴在传统工业工业以太网中上下网段使用不同的协议无法互操作,所以使用一层
防火墙防止来自外部的非法访问,但工业以太网将控制层和管理层连接起来,上下网段使用相同的协议,具有互操作性,所以使用两级防火墙,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限合法用户的不同授权。另外还可用根据日志记录调整过滤和登录策略。
要采取严格的权限管理措施,可以根据部门分配权限,也可以根据操作分配权限。由于工厂应用专业性很强,进行权限管理能有效避免非授权操作。同时要对关键性工作站的
操作系统的访问加以限制,采用内置的
设备管理系统必须拥有记录审查功能,数据库自动记录设备参数修改事件:谁修改,修改的理由,修改之前和之后的参数,从而可以有据可查。
⑵在工业以太网的应用中可以采用加密的方式来防止关键信息窃取。目前主要存在两种
密码体制:对称密码体制和非对称密码体制。对称密码体制中加密解密双方使用相同的
密钥且密钥保密,由于在通信之前必须完成密钥的分发,该体制中这一环节是不安全的。所以采用非对称密码体制,由于工业以太网发送的多为周期性的短信息,所以采用这种加密方式还是比较迅速的。对于工业以太网来说是可行的。还要对外部
节点的接入加以防范。
⑶工业以太网的实时性目前主要是由以下几点保证:限制工业以太网的通信负荷,采用100M的快速以太网技术提高带宽,采用
交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。随着网络的开放互连和自动化系统大量IT技术的引入,加上
TCP/IP协议本身的开放性和层出不穷的
网络病毒和攻击手段,
网络安全可以成为影响工业以太网实时性的一个突出问题。
1)病毒攻击。
在互联网上充斥着类似Slammer、“冲击波”等
蠕虫病毒和其它
网络病毒的袭击。以蠕虫病毒为例,这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,
交换机、
路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置
访问控制列表才能消除蠕虫病毒对
网络设备造成的影响。蠕虫病毒攻击能够导致整个网络的路由震荡,这样可能使上层的信息层网络部分流量流入工业以太网,加大了它的通信负荷,影响其实时性。在控制层也存在不少计算机
终端连接在
工业以太网交换机,一旦终端感染病毒,病毒发作即使不能造成
网络瘫痪,也可能会消耗
带宽和交换机资源。
2) MAC攻击。
工业以太网交换机通常是
二层交换机,而MAC地址是二层交换机工作的基础,网络依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后(AGE TIME)会发生更新。如果某端口一直没有收到源地址为某一MAC地址的
数据包,那么该MAC地址和该端口的映射关系就会失效。这时,
交换机收到目的地址为该MAC地址的数据包就会进行
泛洪处理,对交换机的整体性能造成影响,能导致交换机的查表速度下降。而且,假如攻击者生成大量数据包,数据包的源MAC地址都不相同,就会充满交换机的MAC地址
表空间,导致真正的数据流到达交换机时被泛洪出去。这种通过复杂攻击和欺骗交换机入侵网络方式,近来已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏,迫使交换机转储自己的MAC地址表,开始失效恢复,交换机就会停止
网络传输过滤,它的作用就类似共享介质设备或
集线器,CSMA/CD机制将重新作用从而影响工业以太网的实时性。
交换机安全技术
目前信息层网络采用的
交换机安全技术主要包括以下几种。
流量控制技术 ,把流经端口的异常
流量限制在一定的范围内。
访问控制列表(ACL)技术 ,ACL通过对
网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。
安全套接层(SSL) 为所有 HTTP流量加密,允许访问交换机上基于
浏览器的管理 GUI。
802.1x和RADIUS 网络登录 控制基于端口的访问,以进行验证和责任明晰。
源端口过滤只允许指定端口进行相互通信。Secure Shell (SSHv1/SSHv2) 加密传输所有的数据,确保IP网络上安全的CLI远程访问。安全FTP 实现与交换机之间安全的
文件传输,避免不需要的文件下载或未授权的交换机配置文件复制。不过,应用这些安全功能仍然存在很多实际问题,例如交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、
组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。一些交换机具有ACL,但如果ASIC支持的ACL少仍旧没有用。一般交换机还不能对非法的ARP(源目的MAC为
广播地址)进行特殊处理。网络中是否会出现路由欺诈、
生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等,都是交换机面临的潜在威胁。
在控制层,
工业以太网交换机,一方面可以借鉴这些安全技术,但是也必须意识到工业以太网交换机主要用于
数据包的快速转发,强调转发性能以提高实时性。应用这些安全技术时将面临实时性和成本的很大困难,目前工业以太网的应用和设计主要是基于工程实践和经验,网络上主要是控制系统与
操作站、优化系统工作站、先进控制工作站、
数据库服务器等设备之间的数据传输,网络负荷平稳,具有一定的周期性。但是,随着
系统集成和扩展的需要、IT技术在自动化
系统组件的大力应用、B/S
监控方式的普及等等,对网络安全因素下的可用性研究已经十分必要,例如猝发流量下的工业以太网交换机的
缓冲区容量问题以及从全双工交换方式转变成共享方式对已有网络性能的影响。所以,另一方面,工业以太网必须从自身体系结构入手,加以应对。