工业以太网学习心得-

工业以太网学习心得工业以太网是基于IEEE802.3(Ethernet)的强大的区域和单元网络。利用工业以太网，SIMATICNET提供了一个无缝集成到新的多媒体世界的途径。----企业内部互联网(Intranet)，外部互联网(Extranet)，以及国际互联网(Internet)提供的广泛应用不但已经进入今天的办公室领域，而且还可以应用于生产和过程自动化。继10M波特率以太网成功运行之后，具有交换功能，全双工和自适应的100M波特率快速以太网(FastEthernet，符合IEEE802.3u的标准)也已成功运行多年。采用何种性能的以太网取决于用户的需要。通用的兼容性允许用户无缝升级到新技术。为用户带来的利益----市场占有率高达80%，以太网毫无疑问是当今LAN(局域网)领域中首屈一指的网络。以太网优越的性能，为您的应用带来巨大的利益：通过简单的连接方式快速装配。通过不断的开发提供了持续的兼容性，因而保证了投资的安全。通过交换技术提供实际上没有限制的通讯性能。各种各样联网应用，例如办公室环境和生产应用环境的联网。通过接入WAN(广域网)可实现公司之间的通讯，例如，ISDN或Internet的接入。----SIMATICNET基于经过现场应用验证的技术,SIMATICNET已供应多于400,000个节点，遍布世界各地，用于严酷的工业环境，包括有高强度电磁干扰的区域。工业以太网络的构成----一个典型的工业以太网络环境，有以下三类网络器件：网络部件连接部件：FC快速连接插座ELS(工业以太网电气交换机)ESM(工业以太网电气交换机)SM(工业以太网光纤交换机)MCTP11(工业以太网光纤电气转换模块)通信介质：普通双绞线，工业屏蔽双绞线和光纤SIMATICPLC控制器上的工业以太网通讯处理器。用于将SIMATICPLC连接到工业以太网。PG/PC上的工业以太网通讯处理器。用于将PG/PC连接到工业以太网。工业以太网重要性能----为了应用于严酷的工业环境，确保工业应用的安全可靠，SIMATICNET为以太网技术补充了不少重要的性能：工业以太网技术上与IEEE802.3/802.3u兼容，使用ISO和TCP/IP通讯协议10/100M自适应传输速率冗余24VDC供电简单的机柜导轨安装方便的构成星型、线型和环型拓扑结构高速冗余的安全网络，最大网络重构时间为0.3秒用于严酷环境的网络元件，通过EMC测试通过带有RJ45技术、工业级的Sub-D连接技术和安装专用屏蔽电缆的FastConnect连接技术，确保现场电缆安装工作的快速进行简单高效的信号装置不断地监视网络元件符合SNMP(简单的网络管理协议)工业以太网联网设备基本知识今天的控制系统和工厂自动化系统，以太网的应用几乎已经和PLC一样普及。但现场工程师们对以太网的了解，大多来自他们对传统商业以太网的认识。很多控制系统工程的实施甚至是直接让IT部门的技术人员来实施。但是，IT工程师们对于以太网的了解，往往局限于办公自动化商业以太网的实施经验，可能导致工业以太网在工业控制系统中实施的简单化和商业化，不能真正理解工业以太网在工业现场的意义，也无法真正利用工业以太网内在的特殊功能，常常造成工业以太网现场实施的不彻底，给整个控制系统留下不稳定因素。那么选择正确的工业以太网要考虑哪些因素？简单的来说，要从以太网通讯协议、电源、通信速率、工业环境认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功能、电口或光口的考虑。这些都是最基本需要了解的产品选择因素。如果对工业以太网的网络管理有更高要求，则需要考虑所选择产品的高级功能如：信号强弱、端口设置、出错报警、串口使用、主干(TrunkingTM)冗余、环网冗余、服务质量(QoS)、虚拟局域网(VLAN)、简单网络管理协议(SNMP)、端口镜像等等其他工业以太网管理交换机中可以提供的功能。不同的控制系统对网络的管理功能要求不同，自然对管理型交换机的使用也有不同要求。控制工程师们应该根据其系统的设计要求，挑选适合自己系统的工业以太网产品。由于工业环境对工业控制网络可靠性能的超高要求，工业以太网的冗余功能应运而生。从快速生成树冗余(RSTP)、环网冗余(RapidRingTM)到主干冗余(TrunkingTM)，都有各自不同的优势和特点，控制工程师们可以根据自己的要求进行选择。为了更好地帮助大家了解和学习工业以太网冗余技术的特点，让我们首先回顾以下以太网设备的发展过程。集线器(Hub)相信绝大多数人都熟悉集线器。很多人使用这种简易设备去连接各种基于以太网的设备，如个人计算机，可编程控制器等。集线器接收到来自某一端口的消息，再将消息广播到其它所有的端口。对来自任一端口的每一条消息，集线器都会把它传递到其它的各个端口。在消息传递方面，集线器是低速低效的，可能会出现消息冲突。然而，集线器的使用非常简单－实际上可以即插即用。集线器没有任何华而不实的功能，也没有冗余功能。非管理型交换机(UnmanagedSwitch)集线器的发展产生了一种叫非管理型交换机的设备。它能实现消息从一个端口到另一个端口的路由功能，相对集线器更加智能化。非管理型交换机能自动探测每台网络设备的网络速度。另外，它具有一种称为“MAC地址表”的功能，能识别和记忆网络中的设备。换言之，如果端口2收到一条带有特定识别码的消息，此后交换机就会将所有具有那种特定识别码的消息发送到端口2。这种智能避免了消息冲突，提高了传输性能，相对集线器是一次巨大的改进。然而，非管理型交换机不能实现任何形式的通信检测和冗余配置功能。管理型交换机(ManagedSwitch)以太网连接设备发展的下一代产品是管理型交换机。相对集线器和非管理型交换机，管理型交换机拥有更多更复杂的功能，价格也高出许多－通常是一台非管理型交换机的3～4倍。管理型交换机提供了更多的功能，通常可以通过基于网络的接口实现完全配置。它可以自动与网络设备交互，用户也可以手动配置每个端口的网速和流量控制。一些老设备可能无法使用自动交互功能，因此手动配置功能是必不可缺的。绝大多数管理型交换机通常也提供一些高级功能，如用于远程监视和配置的SNMP(简单网络管理协议)，用于诊断的端口映射，用于网络设备成组的VLAN(虚拟局域网)，用于确保优先级消息通过的优先级排列功能等。利用管理型交换机，可以组建冗余网络。使用环形拓扑结构，管理型交换机可以组成环形网络。每台管理型交换机能自动判断最优传输路径和备用路径，当优先路径中断时自动阻断(block)备用路径。应工业以太网用安全的研究工业以太网是当前工业控制领域的研究热点。工业以太网重点在于利用交换式以太网技术为控制器和操作站，各种工作站之间的相互协调合作提供一种交互机制并和上层信息网络无缝集成。目前工业以太网开始在监控层网络上逐渐占据主流位置，正在向现场设备层网络渗透。工业以太网相对于以往自动化技术有很多优势，然而事物是相对的，在我们享受开放互联技术进步的成果同时应该对它们存在的隐患和可能带来的严重后果要有深刻认识。1工业以太网的特点及安全要求虽然脱胎于Intranet、Internet等类型的信息网络，但是工业以太网是面向生产过程,对实时性、可靠性、安全性和数据完整性有很高的要求。既有与信息网络相同的特点和安全要求，也有自己不同于信息网络的显著特点和安全要求：（1）工业以太网是一个网络控制系统，实时性要求高，网络传输要有确定性。（2）整个企业网络按功能可分为处于管理层的通用以太网和处于监控层的工业以太网以及现场设备层（如现场总线）。管理层通用以太网可以与控制层的工业以太网交换数据，上下网段采用相同协议自由通信。（3）工业以太网中周期与非周期信息同时存在，各自有不同的要求。周期信息的传输通常具有顺序性要求，而非周期信息有优先级要求，如报警信息是需要立即响应的。（4）工业以太网要为紧要任务提供最低限度的性能保证服务，同时也要为非紧要任务提供尽力服务，所以工业以太网同时具有实时协议也具有非实时协议。基于以上特点，有如下安全应用要求：（1）工业以太网应该保证实时性不会被破坏，在商业应用中，对实时性的要求基本不涉及安全，而过程控制对实时性的要求是硬性的，常常涉及生产设备和人员安全。（2）当今世界舞台，各种竞争异常激烈。对于很多企业尤其是掌握领先技术的企业，作为其技术实际体现的生产工艺往往是企业的根本利益。一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标。所以在工业以太网的数据传输中要防止数据被窃取。（3）开放互联是工业以太网的优势，远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性，打破了时空的限制，但是对于这些应用必须保证经过授权的合法性和可审查性。2工业以太网的应用安全问题分析（1）在传统工业工业以太网中上下网段使用不同的协议无法互操作，所以使用一层防火墙防止来自外部的非法访问，但工业以太网将控制层和管理层连接起来，上下网段使用相同的协议，具有互操作性，所以使用两级防火墙，第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限合法用户的不同授权。另外还可用根据日志记录调整过滤和登录策略。要采取严格的权限管理措施，可以根据部门分配权限，也可以根据操作分配权限。由于工厂应用专业性很强，进行权限管理能有效避免非授权操作。同时要对关键性工作站的操作系统的访问加以限制，采用内置的设备管理系统必须拥有记录审查功能，数据库自动记录设备参数修改事件：谁修改，修改的理由，修改之前和之后的参数，从而可以有据可查。（2）在工业以太网的应用中可以采用加密的方式来防止关键信息窃取。目前主要存在两种密码体制：对称密码体制和非对称密码体制。对称密码体制中加密解密双方使用相同的密钥且密钥保密，由于在通信之前必须完成密钥的分发，该体制中这一环节是不安全的。所以采用非对称密码体制，由于工业以太网发送的多为周期性的短信息，所以采用这种加密方式还是比较迅速的。对于工业以太网来说是可行的。还要对外部节点的接入加以防范。（3）工业以太网的实时性目前主要是由以下几点保证：限制工业以太网的通信负荷，采用100M的快速以太网技术提高带宽，采用交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。随着网络的开放互连和自动化系统大量IT技术的引入，加上TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段，网络安全可以成为影响工业以太网实时性的一个突出问题。1）病毒攻击。在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网络病毒的袭击。以蠕虫病毒为例，这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器，但是攻击是通过网络进行的，因此当这些蠕虫病毒大规模爆发时，交换机、路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。蠕虫病毒攻击能够导致整个网络的路由震荡，这样可能使上层的信息层网络部分流量流入工业以太网，加大了它的通信负荷，影响其实时性。在控制层也存在不少计算机终端连接在工业以太网交换机，一旦终端感染病毒，病毒发作即使不能造成网络瘫痪，也可能会消耗带宽和交换机资源。2）MAC攻击。工业以太网交换机通常是二层交换机，而MAC地址是二层交换机工作的基础，网络依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后（AGETIME）会发生更新。如果某端口一直没有收到源地址为某一MAC地址的数据包，那么该MAC地址和该端口的映射关系就会失效。这时，交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理，对交换机的整体性能造成影响，能导致交换机的查表速度下降。而且，假如攻击者生成大量数据包，数据包的源MAC地址都不相同，就会充满交换机的MAC地址表空间，导致真正的数据流到达交换机时被泛洪出去。这种通过复杂攻击和欺骗交换机入侵网络方式，近来已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏，迫使交换机转储自己的MAC地址表，开始失效恢复，交换机就会停止网络传输过滤，它的作用就类似共享介质设备或集线器，CSMA/CD机