版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
工业网络方案设计虚拟人生自恒信息科技作者备注包含任何拨款/融资信息和完整的通信地址。摘要回顾工业网络的发展,市政工程、企事业单位、工业互联网等等,从无到有,似乎被广泛接受,尽管其市场容量很大。但其核心设计理念、安全技术及应用并不为所有人知晓。甚至人们记住了其抗干扰工业指标、环网指标。从工业的角度来看待工业网络,如其它的工业系统一样(工业设计、功能设计、可用性设计、完整性设计)。其本身包括了工业网络物理拓扑设计、网络逻辑拓扑设计、网络可用性设计、网络完整性设计。显然缺乏了逻辑网络拓扑设计一环,工业网络在功能上似乎与其它民用网络没有区别。真正设计好一个工业网络同样需考虑这四个方面的要素。关键字:工业网络方案、网络方案、逻辑网络工业网络物理拓扑设计工业网络布网和网络链路冗余特点:工业网络不能如办公大楼一样布网,其设备分布比较分散。交换机端口比较少。当添加设备或更改接入端口时需要就近接入,而不能重复再拉光缆或电缆,工业控制系统往往是分层分级控制。如电厂的辅控系统,从中心到分系统(水、灰、煤),再到子系统(废水、凝结水、。。。),同时还有横向的能源管理系统、生产管理系统需要接入。因此,其布网特点是网格化结构,或管线状物理拓扑结构。1) 事实上楼宇的以太网物理拓扑也往往采用捷联联方式形成环网拓扑结构,以满足弱电系统布线要求,非信息中心机房的布线采用环网或网格化拓扑布线较为合理。2) 交换机捷联环网冗余时,生成树的链路冗余切换时间过长,2008年时还没有快速生成树算法,而且其切换时间受网络规模和拓扑结构的影响。所以工业网络物理拓扑获得成功。如图1所示:星网结构和环网结构,交换机供电电路和星网拓扑布线难以一致,若网络线路不能与弱电系统一起布线,则需要独立布线的成本,楼宇布线相对成本低一些。而企业布独立网线需重新设计走线架等。成本很高。交换机| |交换机| |交换机 交换机网络逻辑拓扑设计标准的计算机系统网络是以太网架构,当采用TCP-UDP/IP作为三层互联传输协议时,才分为局域网和广域网。局域网也是建立在以太网基础上的,实质上是采用IP协议的以太网。工业以太网基础上的工业协议,如:几乎所有的知名自动化公司都推出了以太网架构上的网络传输和应用协议。直到2000年后又进化成TCP-UDP/IP形式的互联网工业协议。网络逻辑拓扑设计主要的目标是把实际的各类信息系统架构在其专用虚拟局域网内,实现信息业务系统间无扰运行、维护、建设。工业环网和网格化架构,导致一个原本采用工业总线时不存在的问题。由于以太网的带宽远高于现场总线。即如何共享网络资源,让不同系统或分系统都能共享网络带宽资源。考虑到各类应用业务系统有不同的运行、维护、拓展要求。需要把不同的业务系统或子系统置于各自专用的VLAN架构中。使得各系统的运行不受其它信息业务系统的影响。如图2所示,通过对业务系统通讯端口的设置,3个系统及他们间的通讯都可以在VLAN架构内运行。所有这些VLAN的设置和计算都是网管软件处理的。用户仅需要按导引做就可以设计自己各类信息业务的业务虚拟局域网。如图3所示图3,由于国内的网管软件,大多不支持VLAN逻辑规划设计,借用自恒信息科技公司的网络及网络安全一体化设计平台(网管软件)导引示意说明具体VLAN拓扑设计过程。完成了逻辑拓扑设计后各系统运行在自己的专用虚拟局域网内,安全得到了极大的提高。真正的安全隔离,分布式交换,不受限于物理网的拓扑结构。目前很多系统间的隔离一般采用ACL(访问控制列表),防火墙(五元组)、路由器和交换机无不如此。即用路由网关打通VLAN,再采用ACL一般进出规则限定访问。1) 进出规则是单向防护,例如:进规则,允许系统1的计算机入进入系统2访问计算机B。其它通讯不允许。由于是进规则,系统1内的计算机实际上都能出去访问系统2.的计算机,但是由于系统2计算机的回送包受阻于进规则,故不能ping通,但是实际上系统1的计算机可以通过误设重复的IP攻击系统2的计算机。通过了PING测试,用户以为隔离了业务系统,实际上被IP穿透攻击了。2) 采用ACL(访问控制列表),必然受限于物理检测端口的影响,中间网络链路冗余切换需要考虑,而且容易引起数据绕行,加重核心层的交换负担和通讯延迟。无法实现分布式网络交换容量的优势3)部分情况下无法实现访问控制,例如:在单臂路由的情况下,难以采用ACL,来实现汇聚层和接入层的访问控制。4)随着虚机技术发展,源IP伪造技术防范的提高,木马病毒可以伪造任意的源IP,造成安全域、系统边界防护失效。而程序无法伪造VLANTAG标签。网络的可用性设计除了某些行业规定外,网络系统的设计应该遵循可用性原则:即系统失效分析。其设计目的在于规划网络系统和信息业务系统整体的可靠性。1)通过系统失效分析,很容易得出一些违反直觉的设计结论,例如:如果网络节点或子系统失效会导致系统整体失效,则这些子系统网络应合并成一个网络以减少通讯设备数量。增加系统可靠性或进行冗余设计。2)当设备或子系统失效不会引起系统失效,则反而可以设计成独立网络,减少对关键子系统运行的影响。显而易见的是虚拟局域网能够大幅降低设备数量,线性正比地提高系统可靠性,需要各类关键子系统并网运行来减少故障概率。网络系统的完整性分析.完整性设计是工业系统设计的重要环节,也是规范化设计的要求,在计算机系统、网络系统和软件系统都有很多项目。其主要目的是考虑网络和信息系统的意外风险的评估、检测和处理。例如:计算机网络通讯的内存数据和程序指令传送,都需要奇偶校验°TCP、UDP、应用通讯协议都有CRC校验。VLAN应用本身就是隔离应用业务系统,减少不必要的交叉误操作影响,等等不再重复。在此重点采用完整性的评估方法,对网络病毒的作完整性评估处理。1) 未激活的网络病毒和计算机病毒,以程序代码方式传播,为了不破坏程序代码结构。只能以文件方式传播。故防范重点在于计算机的程序运行监控软件,杀毒软件。可采用虚机沙箱技术(邮件检测)、运行监控的白名单技术、杀毒软件的病毒代码检测等。2) 已激活的木马病毒、其原理和功能主要是窃取用户数据,操控用户计算机。其操控指令和用户数据没有病毒代码特征。同时为了打通出网连通黑客计算机,其具有通过IP欺骗手段和伪造源IP的能力。能够自主寻找出网途径。IP欺骗会造成网关劫持、DHCP劫持等危害甚至瘫痪网络的严重结果。后门程序同样如此。3) 已激活的蠕虫病毒必须通过IP扫描寻找存活主机本攻击计算机,并同时有传递病毒代码并重组代码的能力,渗透攻击程序同样如此。目前网络防范措施的缺陷:旁路检测:防火墙和反入侵设备的能力主要依赖于代码检测,单个数据包需匹配比较数以万计的病毒特征代码显然无法实现。不仅仅单个数据包难以呈现病毒特征,即使是数个数据包也难以呈现病毒特征。而且检查速度无法匹配网络数据速率。直连检测:防火墙技术普遍采用ACL访问控制列表,同交换机和路由器的ACL一样,没有区别,网络安全检测都和实际网络攻击原理不相符。显然任何完整性设计必须也应该针对每一项风险做出合理的措施。其它完整性风险分析:1) 网络端口空置是否会导致非法侵入发生:系统包裹在其VLAN中,不会发生,同时网管软件能自动检测。2) 网络交换机物理上联口网管软件有拓扑实时检测。不会发生断网时,无法定位故障点。3) 在设计网络冗余时,有冗余拓扑链路检测,避免设计错误引入实际施工,也可避免拓扑测试调整时发生设置错误4) 网络本身所有信息系统都运行在自己专用的虚拟局域网中,单系统测试、维护、拓展不会影响到其他系统正常运行总结.如何网络设计是一门技
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度技术开发合作合同标的为人工智能应用研发
- 2024年度农产品购销合同及其质量标准
- 空调压缩机市场需求与消费特点分析
- 真空电子管无线电市场发展预测和趋势分析
- 2024年度技术转让合同:新能源专利技术转让协议
- 2024年度保险合同标的保险范围与保险金额确定
- 运载工具用座椅市场发展现状调查及供需格局分析预测报告
- 羽毛球球拍线市场需求与消费特点分析
- 2024年度大蒜进出口贸易合同
- 2024年度技术开发合同研发项目与期限
- 2024水样采集与保存方法
- 2025届高考语文一轮复习:二元思辨类作文思辨关系高阶思维
- 《中国慢性阻塞性肺疾病基层诊疗与管理指南(2024年)》解读
- HSK标准教程5下-课件-L7
- 设备故障报修维修记录单
- 卫生院基本公共卫生服务项目工作进度表
- 技术咨询方案
- 集会游行示威申请登记表
- 中国矿业大学矿山测量学课程设计
- 2021年学校内部审计工作总结范文
- 大型火力发电厂创优工程达标创优规划
评论
0/150
提交评论