虚拟人生
自恒信息科技
作者备注
包含任何拨款/融资信息和完整的通信地址。
摘要
回顾工业网络的发展,市政工程、企事业单位、工业互联网等等,从无到有,似乎被广泛接受,尽管其市场容量很大。但其核心设计理念、安全技术及应用并不为所有人知晓。甚至人们记住了其抗干扰工业指标、环网指标。从工业的角度来看待工业网络,如其它的工业系统一样(工业设计、功能设计、可用性设计、完整性设计)。其本身包括了工业网络物理拓扑设计、网络逻辑拓扑设计、网络可用性设计、网络完整性设计。显然缺乏了逻辑网络拓扑设计一环,工业网络在功能上似乎与其它民用网络没有区别。真正设计好一个工业网络同样需考虑这四个方面的要素。
叶诗雯关键字:工业网络方案、网络方案、逻辑网络
工业网络物理拓扑设计
工业网络布网和网络链路冗余特点:工业网络不能如办公大楼一样布网,其设备分布比较分散。交换机端口比较少。当添加设备或更改接入端口时需要就近接入,而不能重复再拉光缆或电缆,工业控制系统往往是分层分级控制。如电厂的辅控系统,从中心到分系统(水、灰、煤),再到子系统(废水、凝结水、。。。),同时还有横向的能源管理系统、生产管理系统需要接入。因此,其布网特点是网格化结构,或管线状物理拓扑结构。
1)事实上楼宇的以太网物理拓扑也往往采用捷联联方式形成环网拓扑结构,以满足弱电系统布线要求,非信息中心机房的布线采用环网或网格化拓扑布线较为合理。
2)交换机捷联环网冗余时,生成树的链路冗余切换时间过长,2008年时还没有快速生成树算法,而且其切换时间受网络规模和拓扑结构的影响。所以工业网络物理拓扑获得成功。
如图1所示:星网结构和环网结构,交换机供电电路和星网拓扑布线难以一致,若网络线路
不能与弱电系统一起布线,则需要独立布线的成本,楼宇布线相对成本低一些。而企业布独立网线需重新设计走线架等。成本很高。
网络逻辑拓扑设计
永远的林青霞标准的计算机系统网络是以太网架构,当采用TCP-UDP/IP作为三层互联传输协议时,才分为局域网和广域网。局域网也是建立在以太网基础上的,实质上是采用IP协议的以太网。工业以太网基础上的工业协议,如:几乎所有的知名自动化公司都推出了以太网架构上的网络传输和应用协议。直到2000年后又进化成TCP-UDP/IP形式的互联网工业协议。网络逻辑拓扑设计主要的目标是把实际的各类信息系统架构在其专用虚拟局域网内,实现
信息业务系统间无扰运行、维护、建设。
工业环网和网格化架构,导致一个原本采用工业总线时不存在的问题。由于以太网的带宽远高于现场总线。即如何共享网络资源,让不同系统或分系统都能共享网络带宽资源。考虑到各类应用业务系统有不同的运行、维护、拓展要求。需要把不同的业务系统或子系统置于各自专用的VLAN架构中。使得各系统的运行不受其它信息业务系统的影响。
如图2所示,通过对业务系统通讯端口的设置,3个系统及他们间的通讯都可以在VLAN架构内运行。
所有这些VLAN的设置和计算都是网管软件处理的。用户仅需要按导引做就可以设计自己各类信息业务的业务虚拟局域网。如图3所示
人与生物圈
图3,由于国内的网管软件,大多不支持VLAN逻辑规划设计,借用自恒信息科技公司的网络及网络安全一体化设计平台(网管软件)导引示意说明具体VLAN拓扑设计过程。
完成了逻辑拓扑设计后各系统运行在自己的专用虚拟局域网内,安全得到了极大的提高。真正的安全隔离,分布式交换,不受限于物理网的拓扑结构。gct考试
目前很多系统间的隔离一般采用ACL(访问控制列表),防火墙(五元组)、路由器和交换机无不如此。即用路由网关打通VLAN,再采用ACL一般进出规则限定访问。
1)进出规则是单向防护,例如:进规则,允许系统1的计算机A进入系统2访问计算机B。其它通讯不允许。由于是进规则,系统1内的计算机实际上都能出去访问系统2.的计算机,但是由于系统2计算机的回送包受阻于进规则,故不能ping通,但是实际上系统1的计算机可以通过误设重复的IP攻击系统2的计算机。通过了PING测试,用户以为隔离了业务系统,实际上被IP穿透攻击了。
2)采用ACL(访问控制列表),必然受限于物理检测端口的影响,中间网络链路冗余切换需要考虑,而且容易引起数据绕行,加重核心层的交换负担和通讯延迟。无法实现分布式网络交换容量的优势
数学机械化
曹仁伟3)部分情况下无法实现访问控制,例如:在单臂路由的情况下,难以采用ACL,来实现汇聚层和接入层的访问控制。
4)随着虚机技术发展,源IP伪造技术防范的提高,木马病毒可以伪造任意的源IP,造成安全域、系统边界防护失效。而程序无法伪造VLANTAG标签。
