工业以太网
工业以太网是基于IEEE 802.3 (Ethernet)的强大的区域和单元网络。继10M波特率以太网成功运行之后,具有交换功能,全双工和自适应的100M波特率快速以太网(Fast Ethernet,符合IEEE 802.3u 的标准)也已成功运行多年。采用何种性能的以太网取决于用户的需要。通用的兼容性允许用户无缝升级到新技术。
要从以太网通讯协议、电源、通信速率、工业环境认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功能、电口或光口的考虑。这些都是最基本需要了解的产品选择因素。如果对工业以太网的网络管理有更高要求,则需要考虑所选择产品的高级功能如:信号强弱、端口设置、出错报警、串口使用、主干(TrunkingTM)冗余、环网冗余、服务质量(QoS)、虚拟局域网(VLAN)、简单网络管理协议(SNMP)、端口镜像等等其他工业以太网管理交换机中可以提供的功能。不同的控制系统对网络的管理功能要求不同,自然对管理型交换机的使用也有不同要求。控制工程师们应该根据其系统的设计要求,挑选适合自己系统的工业以太网产品。
由于工业环境对工业控制网络可靠性能的超高要求,工业以太网的冗余功能应运而生。从快速生成树冗余(RSTP)、环网冗余(RapidRingTM)到主干冗余(TrunkingTM),都有各自不同的优势和特点,控制工程师们可以根据自己的要求进行选择。
-----------------------------
相关协议
总体概述
当以太网用于信息技术时,应用层包括HT-TP、FTP、SNMP等常用协议,但当它用于工业控制时,体现在应用层的是实时通信、用于系统组态的对象以及工程模型的应用协议,至21世纪,还没有统一的应用层协议,但受到广泛支持并已经开发出相应产品的有4种主要协议:HSE、Modbus TCP/IP、ProfINet、Ethernet/IP。
HSE
基金会现场总线FF于2000年发布Ethernet规范,称HSE(High Speed Ethernet)。HSE是以太网协议IEEE802.3,TCP/IP协议族与FFIll的结合体。FF现场总线基金会明确将HSE定位于实现控制网 络与Internet的集成。
HSE技术的一个核心部分就是链接设备,它是HSE体系结构将Hl(31.25kb/s)设备连接 100Mb/s的HSE主干网的关键组成部分,同时也具有网桥和网关的功能。网桥功能能够用于连接多个H1总线网段,使同H1网段上的H1设备之间能够进 行对等通信而无需主机系统的干涉;
网关功能允许将HSE网络连接到其他的工厂控制网络和信息网络,HSE链接设备不需要为H1子系统作报文解释,而是将来自H1总线网段的报文数据集合起来并且将Hl地址转化为IP地址。
Modbus
Modbus TCP/IP
该协议由施耐德公司推出,以一种非常简单的方式将Modbus帧嵌入到TCP帧中,使Modbus与以太网和TCP/IP结合,成为Modbus TCP/IP。这是一种面向连接的方式,每一个呼叫都要求一个应答,这种呼叫/应答的机制与Modbus的主/从机制相互配合,使交换式以太网具有很高的 确定性,利用TCP/IP协议,通过网页的形式可以使用户界面更加友好。
利用网络浏览器便查看企业网内部设备运行情况。施耐德公司已经为Mod-bus注册了502端口,这样就可以将实时数据嵌人到网页中,通过在设备中嵌入Web服务器,就可以将Web浏览器作为设备的操作终端。
ProflNet
针对工业应用需求,德国西门子于2001年发布了该协议,它是将原有的Profibus与互联网技术结合,形成了ProfiNet的网络方案,主要包括:
基于组件对象模型(COM)的分布式自动化系统;
规定了ProfiNet现场总线和标准以太网之间的开放、透明通信;
提供了一个独立于制造商,包括设备层和系统层的系统模型。
ProfiNet采用标准TCP/IP十以太网作为连接介质,采用标准TCP/IP协议加上应用层的RPC/DCOM来完成节点间的通信和网络寻址。它可以同时挂接传统Profibus系统和新型的智能现场设备。
现有的Profibus网段可以通过一个代理设备(proxy)连接到ProfiNet网络当中,使整Profibus设备和协议能够原封不动地在 Pet中使用。传统的Profibus设备可通过代理proxy与ProFiNET上面的COM对象进行通信,并通过OLE自动化接口实现COM对象间的 调用。
Ethernet
Ethernet/IP
Ethernet/IP是适合工业环境应用的协议体系。它是由ODVA(Open Devicenet Vendors Asso-cation)和Control Net International两大工业组织推出的最新成员与Device Net和Control Net一样,它们都是基于CIP(Controland Information Proto-Col)协议的网络。它是一种是面向对象的协议,能够保证网络上隐式(控制)的实时I/O信息和显式信息(包括用于组态、参数设置、诊断等) 的有效传输。
Ethernet/IP采用和Devicenet以及ControlNet相同的应用层协议CIP。因此,它们使用相同的 对象库和一致的行业规范,具有较好的一致性。Ethernet/IP采用标准的Ethernet和TCP/IP技术传送CIP通信包,这样通用且开放的应 用层协议CIP加上已经被广泛使用的Ethernet和TCP/IP协议,就构成Ethernet/IP协议的体系结构
-----------------------------
网络优势
工业以太网是应用于工业控制领域的以太网技术,在技术上与商用以太网(即IEEE 802.3标准)兼容,但是实际产品和应用却又完全不同。这主要表现普通商用以太网的产品设计时,在材质的选用、产品的强度、适用性以及实时性、可互操作性、可靠性、抗干扰性、本质安全性等方面不能满足工业现场的需要。故在工业现场控制应用的是与商用以太网不同的工业以太网。然而工业以太网的优势在哪里呢?
一、应用广泛
以太网是应用最广泛的计算机网络技术,几乎所有的编程语言如Visual C++、Java、VisualBasic等都支持以太网的应用开发。
二、通信速率高
10、100 Mb/s的快速以太网已开始广泛应用,1Gb/s以太网技术也逐渐成熟,而传统的现场总线最高速率只有12Mb/s(如西门子Profibus-DP)。显然,以太网的速率要比传统现场总线要快的多,完全可以满足工业控制网络不断增长的带宽要求。
三、资源共享能力强
随着Internet/ Intranet的发展,以太网已渗透到各个角落,网络上的用户已解除了资源地理位置上的束缚,在联入互联网的任何一台计算机上就能浏览工业控制现场的数据,实现“控管一体化”,这是其他任何一种现场总线都无法比拟的。
四、可持续发展潜力大
以太网的引入将为控制系统的后续发展提供可能性,用户在技术升级方面无需独自的研究投入,对于这一点,任何现有的现场总线技术都是无法比拟的。同时,机器人技术、智能技术的发展都要求通信网络具有更高的带宽和性能,通信协议有更高的灵活性,这些要求以太网都能很好地满足。
-----------------------------
技术特点
工业以太网技术具有价格低廉、稳定可靠、通信速率高、软硬件产品丰富、应用广泛以及支持技术成熟等优点,已成为最受欢迎的通信网络之一。近些年来,随着网络技术的发展,以太网进入了控制领域,形成了新型的以太网控制网络技术。这主要是由于工业自动化系统向分布化、智能化控制方面发展,开放的、透明的通讯协议是必然的要求。以太网技术引入工业控制领域,其技术优势非常明显:[1]
(一)Ethernet是全开放、全数字化的网络,遵照网络协议不同厂商的设备可以很容易实现互联。
(二)以太网能实现工业控制网络与企业信息网络的无缝连接,形成企业级管控一体化的全开放网络。
(三)软硬件成本低廉,由于以太网技术已经非常成熟,支持以太网的软硬件受到厂商的高度重视和广泛支持,有多种软件开发环境和硬件设备供用户选择。
(四)通信速率高,随着企业信息系统规模的扩大和复杂程度的提高,对信息量的需求也越来越大,有时甚至需要音频、视频数据的传输,当前以太网的通信速率为10M、100M的快速以太网开始广泛应用,千兆以太网技术也逐渐成熟,10G以太网也正在研究,其速率比现场总线快很多。
(五)可持续发展潜力大,在这信息瞬息万变的时代,企业的生存与发展将很大程度上依赖于一个快速而有效的通信管理网络,信息技术与通信技术的发展将更加迅速,也更加成熟,由此保证了以太网技术不断地持续向前发展。
-----------------------------
PROFInet通讯
PROFInet可以提供办公室和自动化领域开放的、一致的连接。PROFInet方案覆盖了分散自动化系统的所有运行阶段,它主要包含以下方面:⑴高度分散自动化系统的开放对象模型(结构模型);⑵基于Ethernet的开放的、面向对象的运行期通信方案(功能单元间的通信关系);⑶独立于制造商的工程设计方案(应用开发)。PROFInet方案可以用一条等式简单而明了地描述:PROFInet=Profibus+具有PROFIBUS和IT标准Ethernet的开放的、一致的通信。
1.1 PROFInet设备的软件结构
PROFInet设备的软件覆盖了现场设备的整个运行期通信,基于模块化设计的软件包含若干通信层,每层都与系统环境一致。PROFInet软件主要包括一个RPC(Remote Procedure Call)层,一个DCOM(Distributed Component Object Model)层和一个专门为PROFInet对象定义的层。PROFInet对象可以是ACCO(Active Connection Control Object)设备、RT auto(Runtime Automation)设备、物理设备或逻辑设备。软件中定义的实时数据通道提供PROFInet对象与以太网间的实时通信服务。PROFInet通过系统接口连接到操作系统(如WinCE),通过应用接口连接到控制器(如PLC)。
PROFInet的运行期软件位于一个目录固定的结构中,可以分为核心目录和系统应用目录。若通信开始而核心目录中的文件未改变,则系统应用目录中的部分文件必须重建。所有的系统应用都是指向系统接口和应用接口,实现PROFInet设备的各项功能。PROFInet设备的软件结构可以用图1描述如下:
PROFInet设备的软件结构决定了PROFInet设备可以从企业管理层到现场层直接、透明地访问,并且提供对TCP/IP协议的绝对支持。PROFInet技术使企业用户能够方便地对现有的系统进行扩展和集成,是一种优化的工业以太网通信标准。
1.2 PROFInet在现场设备上的移植
作为一种开放的资源,PROFInet软件通过移植到设备上的TCP/IP协议栈来完成在其他设备制造商的产品中快速而简单地实现。具体过程为:首先将开放资源的RPC接口连接到TCP/IP协议栈和设备操作系统中的系统集成;然后再将PROFInet协议栈的DCOM(Discrete Component Object Module)机制集成到设备的操作系统中;最后实现物理设备和逻辑设备对象、运行期对象和活动控制连接对象的设备专用的DCOM应用。为单个部件组装PROFInet设备时还必须用XML创建相应的描述。
一个PROFInet设备的XML文件中应包括下列数据:
⑴PROFInet设备的名称和ID号;
⑵PROFInet设备的IP地址,诊断数据的访问方式和设备连接方式;
⑶PROFInet设备的硬件分配,设备接口以及为各接口定义的变量、数据类型与格式;
⑷PROFInet设备在整个工程中的保存地址。
PROFInet设备将它的所有功能封装到其软件中,并提供变量接口与其它的PROFInet设备相连。变量接口的每个变量都代表一个确定的子功能,包括运行、输入/输出使能、复位、结束、停机、启动和错误。一个PROFInet设备中封装的可以是一个控制器、一个执行器甚至是一个控制网络。图2所示的PROFInet设备中封装了一个Profibus-DP控制网络。
PROFInet设备之间通过DCOM模块进行通信。在PROFInet设备连接编辑器的图形界面中可以方便地实现各PROFInet设备间的连接。一个具有冲洗、灌装、封口和包装4个环节的饮料生产厂家的生产流程可以用4个PROFInet设备串连连接实现(见图3)。
所有设备的接口都在PROFInet中做了一致的定义,因此都能够灵活地组合和重新使用,用户不必考虑各设备的内部运行机制。此外,PROFInet还集成了故障安全通信标准行规PROFIsafe,满足对人员、设备和环境的全面安全的需求,可用于故障安全应用。
-----------------------------
PROFInet通信功能
PROFInet设备通信功能的实现是基于传统的Ethernet通信机制(如TCP或UDP),同时又采用RPC和DCOM机制进行加强。DCOM可视为用于基于RPC分布式应用的COM技术的扩展,可以采用优化的实时通信机制应用于对实时性要求苛刻的应用领域。在运行期间,PROFInet设备以DCOM对象的形式映像,通过对象协议机制确保了DCOM对象的通信。COM对象作为PDU以DCOM协议定义的形式出现在通信总线上。通过DCOM布线协议DCOM定义了对象的标识和具有有关接口和参数的方法,这样就可以在通信总线上进行标准化的DCOM信息包的传输。对于更高层次上的通信,PROFInet可以采用集成OPC(OLE for Process Control)接口技术的方式。
2.1 PROFInet的基本通信方式
PROFInet根据不同的应用场合定义了三种不同的通信方式:使用TCP/IP的标准通信;实时RT(Real-time)通信和同步实时IRT通信。PROFInet设备能够根据通信要求选择合适的通信方式。
PROFInet使用以太网和TCP/IP协议作为通信基础,在任何场合下都提供对TCP/IP通信的绝对支持。由于绝大多数工厂自动化应用场合对实时响应时间要求较高,为了能够满足自动化中的实时要求,PROFInet中规定了基于以太网层2的优化实时通信通道,该方案极大地减少了通信栈上占用的时间,提高了自动化数据刷新方面的性能。PROFInet不仅最小化了可编程控制器中的通信栈,而且对网络中传输数据也进行了优化。采用PROFInet通信标准,系统对实时应用的响应时间可以缩短到5~10ms。PROFInet同时还支持高性能同步运动控制应用,在该应用场合PROFInet提供对100个节点响应时间低于1ms的同步实时(IRT)通信,该功能是由层2上内嵌的同步实时交换芯片ERTEC提供的。PROFInet的通信循环如图4所示。
在PROFInet设备的一个通信循环周期内,既包括IRT实时通信,又包括TCP/IP标准通信。PROFInet通信技术在很多应用场合都能体现出其极大的优越性。工程实践表明,在同步运动控制场合采用PROFInet提供的IRT通信,系统性能将比采用现场总线方案提升近100倍。
2.2 PROFInet与OPC的集成
由于PROFInet与OPC均采用了DCOM通讯机制,因此PROFInet通讯技术可以很容易地与OPC接口技术集成,以实现数据在更高通信层次上的交换。OPC接口设备在工控领域的应用十分广泛,OPC接口技术定义了OPC DA(Data Access)与OPC DX(Data Exchange)两个通信标准,分别应用于传输实时数据和实现异类控制网络间数据的交换。在PROFInet中集成OPC DX接口可以实现一个开放的连接至其他系统,集成机制如下:
⑵ 基于PROFInet的实时通信机制,每个PROFInet节点可以作为一个OPC服务器被寻址;
⑵ 每个OPC服务器可以通过标准接口而作为一个PROFInet节点被操作。PROFInet的功能性远比OPC优越,PROFInet技术与OPC接口技术的集成不仅可以实现自动化领域对实时通信的要求,还可以实现系统之间在更高层次上的交互。
PROFInet是一种优越的通信技术,并已成功地应用于分布式智能控制。PROFInet为分布式自动化系统结构的实现开辟了新的前景,可以实现全厂工程彻底模块化,包括机械部件、电气/电子部件和应用软件。PROFInet支持各种形式的网络结构,使接线费用最小化,并保证高度的可用性。此外,特别设计的工业电缆和耐用的连接器满足EMC和温度要求并形成标准,保证了不同制造设备之间的兼容性。
PROFInet不仅可以应用于分布式智能控制,而且还逐渐进入到过程自动化领域。在过程自动化领域,PROFInet针对工业以太网总线供电以及以太网本质在安全领域应用的问题正在形成标准或解决方案,采用PROFInet集成的Profibus现场总线可以为过程自动化工业提供优越的解决方案(如图5所示):
采用PROFInet通讯技术,不仅可以集成Profibus现场设备,还可以通过代理服务器(Proxy)实现其它种类的现场总线网络的集成。采用这种统一的面对未来的设计概念,工厂内各部件都可以作为独立模块预先组装测试,然后在整个系统中轻松组装或在其他项目中重复使用。譬如对于一个汽车生产企业而言,PROFInet支持的实时解决方案完全可以满足车体车间、喷漆车间和组装部门等对响应时间的要求,在机械工程及发动机和变速箱生产环节中的车床同步等方面则可使用PROFInet的同步实时功能。
PROFInet可以保证对现有系统投资的高度保护,并使工厂拥有创新标准的优越性。鉴于PROFInet通讯技术的优越性,已经有部分生产厂家(如西门子,施奈德)。
-----------------------------
工业以太网的选择
选择正确的工业以太网要考虑哪些因素?简单的来说,要从工业以太网通讯协议、电源、通信速率、工业环境认证考虑、安装方式、外壳对散热的影响、简单通信功能和通信管理功能、电口或光口的考虑。信号强弱、端口设置、出错报警、串口使用、主干(TrunkingTM)冗余、环网冗余、服务质量(QoS)、虚拟局域网(VLAN)、简单网络管理协议(SNMP)、端口镜像等等其他工业以太网管理交换机中可以提供的功能。
从快速生成树冗余(RSTP)、环网冗余(RapidRingTM)到主干冗(TrunkingTM),
工业以太网设备包括以下几个重要部分。
工业以太网集线器
工业以太网非管理型交换机
工业以太网管理型交换机
工业以太网管理型冗余交换机
高级的管理型冗余交换机提供了一些特殊的功能,特别是针对有稳定性、安全性方面严格要求的冗余系统进行了设计上的优化。构建冗余网络的主要方式主要有以下几种,STP、RSTP;环网冗余RapidRingTM以及Trunking。
1工业以太网 STP及RSTP
STP(Spanning Tree Protocol,生成树算法,IEEE 802.1D),是一个链路层协议,提供路径冗余和阻止网络循环发生。它强令备用数据路径为阻塞(blocked)状态。如果一条路径有故障,该拓扑结构能借助激活备用路径重新配置及链路重构。网络中断恢复时间为30-60s之间。RSTP(快速生成树算法,IEEE 802.1w)作为STP的升级,将网络中断恢复时间,缩短到1-2s。生成树算法网络结构灵活,但也存在恢复速度慢的缺点。
2 工业以太网环网冗余
为了能满足工控网络实时性强的特点,RapidRing孕育而生。这是在工业以太网网络中使用环网提供高速冗余的一种技术。这个技术可以使网络在中断后300ms之内自行恢复。并可以通过工业以太网交换机的出错继电连接、状态显示灯和SNMP设置等方法来提醒用户出现的断网现象。这些都可以帮助诊断环网什么地方出现断开。
RapidRingTM也支持两个连接在一起的环网,使网络拓朴更为灵活多样。两个环通过双通道连接,这些连接可以是冗余的,避免单个线缆出错带来的问题。
3 工业以太网主干冗余
将不同交换机的多个端口设置为Trunking主干端口,并建立连接,则这些工业以太网交换机之间可以形成一个高速的骨干链接。不但成倍的提高了骨干链接的网络带宽,增强了网络吞吐量,而且还还提供了另外一个功能,即冗余功能。如果网络中的骨干链接产生断线等问题,那么网络中的数据会通过剩下的链接进行传递,保证网络的通讯正常。Trunking主干网络采用总线型和星型网络结构,理论通讯距离可以无限延长。该技术由于采用了硬件侦测及数据平衡的方法,所以使网络中断恢复时间达到了新的高度,一般恢复时间在10ms以下。
-----------------------------
具体设备
集线器
相信绝大多数人都熟悉集线器。很多人使用这种简易设备去连接各种基于以太网的设备,如个人计算机,可编程控制器等。集线器接收到来自某一端口的消息,再将消息广播到其它所有的端口。对来自任一端口的每一条消息,集线器都会把它传递到其它的各个端口。在消息传递方面,集线器是低速低效的,可能会出现消息冲突。然而,集线器的使用非常简单-实际上可以即插即用。集线器没有任何华而不实的功能,也没有冗余功能。
集线器采用半双工工作模式
交换机
1 管理型
以太网连接设备发展的下一代产品是管理型交换机。相对集线器和非管理型交换机,管理型交换机拥有更多更复杂的功能,价格也高出许多-通常是一台非管理型交换机的3~4倍。管理型交换机提供了更多的功能,通常可以通过基于网络的接口实现完全配置。它可以自动与网络设备交互,用户也可以手动配置每个端口的网速和流量控制。一些老设备可能无法使用自动交互功能,因此手动配置功能是必不可缺的。
绝大多数管理型交换机通常也提供一些高级功能,如用于远程监视和配置的SNMP(简单网络管理协议),用于诊断的端口映射,用于网络设备成组的VLAN(虚拟局域网),用于确保优先级消息通过的优先级排列功能等。利用管理型交换机,可以组建冗余网络。使用环形拓扑结构,管理型交换机可以组成环形网络。每台管理型交换机能自动判断最优传输路径和备用路径,当优先路径中断时自动阻断(block)备用路径。
2 非管理型
集线器的发展产生了一种叫非管理型交换机的设备。它能实现消息从一个端口到另一个端口的路由功能,相对集线器更加智能化。非管理型交换机能自动探测每台网络设备的网络速度。另外,它具有一种称为“MAC地址表”的功能,能识别和记忆网络中的设备。换言之,如果端口2收到一条带有特定识别码的消息,此后交换机就会将所有具有那种特定识别码的消息发送到端口2。这种智能避免了消息冲突,提高了传输性能,相对集线器是一次巨大的改进。然而,非管理型交换机不能实现任何形式的通信检测和冗余配置功能。
-----------------------------
工业以太网的应用安全
概述
工业以太网是当前工业控制领域的研究热点。工业以太网重点在于利用交换式以太网技术为控制器和操作站,各种工作站之间的相互协调合作提供一种交互机制并和上层信息网络无缝集成。工业以太网开始在监控层网络上逐渐占据主流位置,正在向现场设备层网络渗透。工业以太网相对于以往自动化技术有很多优势,然而事物是相对的,在我们享受开放互联技术进步的成果同时应该对它们存在的隐患和可能带来的严重后果要有深刻认识。
特点
虽然脱胎于Intranet、Internet等类型的信息网络,但是工业以太网是面向生产过程,对实时性、可靠性、安全性和数据完整性有很高的要求。既有与信息网络相同的特点和安全要求,也有自己不同于信息网络的显著特点和安全要求:
⑴工业以太网是一个网络控制系统,实时性要求高,网络传输要有确定性。
⑵整个企业网络按功能可分为处于管理层的通用以太网和处于监控层的工业以太网以及现场设备层(如现场总线)。管理层通用以太网可以与控制层的工业以太网交换数据,上下网段采用相同协议*通信。
⑶工业以太网中周期与非周期信息同时存在,各自有不同的要求。周期信息的传输通常具有顺序性要求,而非周期信息有优先级要求,如报警信息是需要立即响应的。
⑷工业以太网要为紧要任务提供最低限度的性能保证服务,同时也要为非紧要任务提供尽力服务,所以工业以太网同时具有实时协议也具有非实时协议。
要求
⑴工业以太网应该保证实时性不会被破坏,在商业应用中,对实时性的要求基本不涉及安全,而过程控制对实时性的要求是硬性的,常常涉及生产设备和人员安全。
⑵当今世界舞台,各种竞争异常激烈。对于很多企业尤其是掌握领先技术的企业,作为其技术实际体现的生产工艺往往是企业的根本利益。一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标。所以在工业以太网的数据传输中要防止数据被窃取。
⑶开放互联是工业以太网的优势,远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性,打破了时空的限制,但是对于这些应用必须保证经过授权的合法性和可审查性。
-----------------------------
工业以太网其他问题说明
⑴在传统工业工业以太网中上下网段使用不同的协议无法互操作,所以使用一层防火墙防止来自外部的非法访问,但工业以太网将控制层和管理层连接起来,上下网段使用相同的协议,具有互操作性,所以使用两级防火墙,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限合法用户的不同授权。另外还可用根据日志记录调整过滤和登录策略。
要采取严格的权限管理措施,可以根据部门分配权限,也可以根据操作分配权限。由于工厂应用专业性很强,进行权限管理能有效避免非授权操作。同时要对关键性工作站的操作系统的访问加以限制,采用内置的设备管理系统必须拥有记录审查功能,数据库自动记录设备参数修改事件:谁修改,修改的理由,修改之前和之后的参数,从而可以有据可查。
⑵在工业以太网的应用中可以采用加密的方式来防止关键信息窃取。主要存在两种密码*:对称密码*和非对称密码*。对称密码*中加密解密双方使用相同的密钥且密钥保密,由于在通信之前必须完成密钥的分发,该*中这一环节是不安全的。所以采用非对称密码*,由于工业以太网发送的多为周期性的短信息,所以采用这种加密方式还是比较迅速的。对于工业以太网来说是可行的。还要对外部节点的接入加以防范。
⑶工业以太网的实时性主要是由以下几点保证:限制工业以太网的通信负荷,采用100M的快速以太网技术提高带宽,采用交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。随着网络的开放互连和自动化系统大量IT技术的引入,加上TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段,网络安全可以成为影响工业以太网实时性的一个突出问题。
1)病毒攻击
在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网络病毒的袭击。以蠕虫病毒为例,这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,交换机、路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。蠕虫病毒攻击能够导致整个网络的路由震荡,这样可能使上层的信息层网络部分流量流入工业以太网,加大了它的通信负荷,影响其实时性。在控制层也存在不少计算机终端连接在工业以太网交换机,一旦终端感染病毒,病毒发作即使不能造成网络瘫痪,也可能会消耗带宽和交换机资源。
2) MAC攻击
工业以太网交换机通常是二层交换机,而MAC地址是二层交换机工作的基础,网络依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后(AGE TIME)会发生更新。如果某端口一直没有收到源地址为某一MAC地址的数据包,那么该MAC地址和该端口的映射关系就会失效。这时,交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理,对交换机的整体性能造成影响,能导致交换机的查表速度下降。而且,假如攻击者生成大量数据包,数据包的源MAC地址都不相同,就会充满交换机的MAC地址表空间,导致真正的数据流到达交换机时被泛洪出去。这种通过复杂攻击和欺骗交换机入侵网络方式,已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏,迫使交换机转储自己的MAC地址表,开始失效恢复,交换机就会停止网络传输过滤,它的作用就类似共享介质设备或集线器,CSMA/CD机制将重新作用从而影响工业以太网的实时性。
交换机安全技术
信息层网络采用的交换机安全技术主要包括以下几种。
流量控制技术 ,把流经端口的异常流量限制在一定的范围内。访问控制列表(ACL)技术 ,ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。安全套接层(SSL) 为所有 HTTP流量加密,允许访问交换机上基于浏览器的管理 GUI。802.1x和RADIUS 网络登录 控制基于端口的访问,以进行验证和责任明晰。源端口过滤只允许指定端口进行相互通信。Secure Shell (SSHv1/SSHv2) 加密传输所有的数据,确保IP网络上安全的CLI远程访问。安全FTP 实现与交换机之间安全的文件传输,避免不需要的文件下载或未授权的交换机配置文件复制。不过,应用这些安全功能仍然存在很多实际问题,例如交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。一些交换机具有ACL,但如果ASIC支持的ACL少仍旧没有用。一般交换机还不能对非法的ARP(源目的MAC为广播地址)进行特殊处理。网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等,都是交换机面临的潜在威胁。
在控制层,工业以太网交换机,一方面可以借鉴这些安全技术,但是也必须意识到工业以太网交换机主要用于数据包的快速转发,强调转发性能以提高实时性。应用这些安全技术时将面临实时性和成本的很大困难,以太网的应用和设计主要是基于工程实践和经验,网络上主要是控制系统与操作站、优化系统工作站、先进控制工作站、数据库服务器等设备之间的数据传输,网络负荷平稳,具有一定的周期性。但是,随着系统集成和扩展的需要、IT技术在自动化系统组件的大力应用、B/S监控方式的普及等等,对网络安全因素下的可用性研究已经十分必要,例如猝发流量下的工业以太网交换机的缓冲区容量问题以及从全双工交换方式转变成共享方式对已有网络性能的影响。所以,另一方面,工业以太网必须从自身体系结构入手,加以应对。