工業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)虛擬人生自恒信息科技作者備注包含任何撥款/融資信息和完整的通信地址。摘要回顧工業(yè)網(wǎng)絡(luò)的發(fā)展，市政工程、企事業(yè)單位、工業(yè)互聯(lián)網(wǎng)等等，從無到有，似乎被廣泛接受，盡管其市場容量很大。但其核心設(shè)計(jì)理念、安全技術(shù)及應(yīng)用并不為所有人知曉。甚至人們記住了其抗干擾工業(yè)指標(biāo)、環(huán)網(wǎng)指標(biāo)。從工業(yè)的角度來看待工業(yè)網(wǎng)絡(luò)，如其它的工業(yè)系統(tǒng)一樣（工業(yè)設(shè)計(jì)、功能設(shè)計(jì)、可用性設(shè)計(jì)、完整性設(shè)計(jì)）。其本身包括了工業(yè)網(wǎng)絡(luò)物理拓?fù)湓O(shè)計(jì)、網(wǎng)絡(luò)邏輯拓?fù)湓O(shè)計(jì)、網(wǎng)絡(luò)可用性設(shè)計(jì)、網(wǎng)絡(luò)完整性設(shè)計(jì)。顯然缺乏了邏輯網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)一環(huán)，工業(yè)網(wǎng)絡(luò)在功能上似乎與其它民用網(wǎng)絡(luò)沒有區(qū)別。真正設(shè)計(jì)好一個工業(yè)網(wǎng)絡(luò)同樣需考慮這四個方面的要素。關(guān)鍵字：工業(yè)網(wǎng)絡(luò)方案、網(wǎng)絡(luò)方案、邏輯網(wǎng)絡(luò)工業(yè)網(wǎng)絡(luò)物理拓?fù)湓O(shè)計(jì)工業(yè)網(wǎng)絡(luò)布網(wǎng)和網(wǎng)絡(luò)鏈路冗余特點(diǎn)：工業(yè)網(wǎng)絡(luò)不能如辦公大樓一樣布網(wǎng)，其設(shè)備分布比較分散。交換機(jī)端口比較少。當(dāng)添加設(shè)備或更改接入端口時需要就近接入，而不能重復(fù)再拉光纜或電纜，工業(yè)控制系統(tǒng)往往是分層分級控制。如電廠的輔控系統(tǒng)，從中心到分系統(tǒng)（水、灰、煤），再到子系統(tǒng)（廢水、凝結(jié)水、。。。），同時還有橫向的能源管理系統(tǒng)、生產(chǎn)管理系統(tǒng)需要接入。因此，其布網(wǎng)特點(diǎn)是網(wǎng)格化結(jié)構(gòu)，或管線狀物理拓?fù)浣Y(jié)構(gòu)。1） 事實(shí)上樓宇的以太網(wǎng)物理拓?fù)湟餐捎媒萋?lián)聯(lián)方式形成環(huán)網(wǎng)拓?fù)浣Y(jié)構(gòu)，以滿足弱電系統(tǒng)布線要求，非信息中心機(jī)房的布線采用環(huán)網(wǎng)或網(wǎng)格化拓?fù)洳季€較為合理。2） 交換機(jī)捷聯(lián)環(huán)網(wǎng)冗余時，生成樹的鏈路冗余切換時間過長，2008年時還沒有快速生成樹算法，而且其切換時間受網(wǎng)絡(luò)規(guī)模和拓?fù)浣Y(jié)構(gòu)的影響。所以工業(yè)網(wǎng)絡(luò)物理拓?fù)浍@得成功。如圖1所示：星網(wǎng)結(jié)構(gòu)和環(huán)網(wǎng)結(jié)構(gòu)，交換機(jī)供電電路和星網(wǎng)拓?fù)洳季€難以一致，若網(wǎng)絡(luò)線路不能與弱電系統(tǒng)一起布線，則需要獨(dú)立布線的成本，樓宇布線相對成本低一些。而企業(yè)布獨(dú)立網(wǎng)線需重新設(shè)計(jì)走線架等。成本很高。交換機(jī)| |交換機(jī)| |交換機(jī) 交換機(jī)網(wǎng)絡(luò)邏輯拓?fù)湓O(shè)計(jì)標(biāo)準(zhǔn)的計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)是以太網(wǎng)架構(gòu)，當(dāng)采用TCP-UDP/IP作為三層互聯(lián)傳輸協(xié)議時，才分為局域網(wǎng)和廣域網(wǎng)。局域網(wǎng)也是建立在以太網(wǎng)基礎(chǔ)上的，實(shí)質(zhì)上是采用IP協(xié)議的以太網(wǎng)。工業(yè)以太網(wǎng)基礎(chǔ)上的工業(yè)協(xié)議，如：幾乎所有的知名自動化公司都推出了以太網(wǎng)架構(gòu)上的網(wǎng)絡(luò)傳輸和應(yīng)用協(xié)議。直到2000年后又進(jìn)化成TCP-UDP/IP形式的互聯(lián)網(wǎng)工業(yè)協(xié)議。網(wǎng)絡(luò)邏輯拓?fù)湓O(shè)計(jì)主要的目標(biāo)是把實(shí)際的各類信息系統(tǒng)架構(gòu)在其專用虛擬局域網(wǎng)內(nèi)，實(shí)現(xiàn)信息業(yè)務(wù)系統(tǒng)間無擾運(yùn)行、維護(hù)、建設(shè)。工業(yè)環(huán)網(wǎng)和網(wǎng)格化架構(gòu)，導(dǎo)致一個原本采用工業(yè)總線時不存在的問題。由于以太網(wǎng)的帶寬遠(yuǎn)高于現(xiàn)場總線。即如何共享網(wǎng)絡(luò)資源，讓不同系統(tǒng)或分系統(tǒng)都能共享網(wǎng)絡(luò)帶寬資源。考慮到各類應(yīng)用業(yè)務(wù)系統(tǒng)有不同的運(yùn)行、維護(hù)、拓展要求。需要把不同的業(yè)務(wù)系統(tǒng)或子系統(tǒng)置于各自專用的VLAN架構(gòu)中。使得各系統(tǒng)的運(yùn)行不受其它信息業(yè)務(wù)系統(tǒng)的影響。如圖2所示，通過對業(yè)務(wù)系統(tǒng)通訊端口的設(shè)置，3個系統(tǒng)及他們間的通訊都可以在VLAN架構(gòu)內(nèi)運(yùn)行。所有這些VLAN的設(shè)置和計(jì)算都是網(wǎng)管軟件處理的。用戶僅需要按導(dǎo)引做就可以設(shè)計(jì)自己各類信息業(yè)務(wù)的業(yè)務(wù)虛擬局域網(wǎng)。如圖3所示圖3,由于國內(nèi)的網(wǎng)管軟件，大多不支持VLAN邏輯規(guī)劃設(shè)計(jì)，借用自恒信息科技公司的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一體化設(shè)計(jì)平臺（網(wǎng)管軟件）導(dǎo)引示意說明具體VLAN拓?fù)湓O(shè)計(jì)過程。完成了邏輯拓?fù)湓O(shè)計(jì)后各系統(tǒng)運(yùn)行在自己的專用虛擬局域網(wǎng)內(nèi)，安全得到了極大的提高。真正的安全隔離，分布式交換，不受限于物理網(wǎng)的拓?fù)浣Y(jié)構(gòu)。目前很多系統(tǒng)間的隔離一般采用ACL（訪問控制列表），防火墻（五元組）、路由器和交換機(jī)無不如此。即用路由網(wǎng)關(guān)打通VLAN，再采用ACL一般進(jìn)出規(guī)則限定訪問。1） 進(jìn)出規(guī)則是單向防護(hù)，例如：進(jìn)規(guī)則，允許系統(tǒng)1的計(jì)算機(jī)入進(jìn)入系統(tǒng)2訪問計(jì)算機(jī)B。其它通訊不允許。由于是進(jìn)規(guī)則，系統(tǒng)1內(nèi)的計(jì)算機(jī)實(shí)際上都能出去訪問系統(tǒng)2.的計(jì)算機(jī)，但是由于系統(tǒng)2計(jì)算機(jī)的回送包受阻于進(jìn)規(guī)則，故不能ping通，但是實(shí)際上系統(tǒng)1的計(jì)算機(jī)可以通過誤設(shè)重復(fù)的IP攻擊系統(tǒng)2的計(jì)算機(jī)。通過了PING測試，用戶以為隔離了業(yè)務(wù)系統(tǒng)，實(shí)際上被IP穿透攻擊了。2） 采用ACL（訪問控制列表），必然受限于物理檢測端口的影響，中間網(wǎng)絡(luò)鏈路冗余切換需要考慮，而且容易引起數(shù)據(jù)繞行，加重核心層的交換負(fù)擔(dān)和通訊延遲。無法實(shí)現(xiàn)分布式網(wǎng)絡(luò)交換容量的優(yōu)勢3）部分情況下無法實(shí)現(xiàn)訪問控制，例如：在單臂路由的情況下，難以采用ACL，來實(shí)現(xiàn)匯聚層和接入層的訪問控制。4）隨著虛機(jī)技術(shù)發(fā)展，源IP偽造技術(shù)防范的提高，木馬病毒可以偽造任意的源IP，造成安全域、系統(tǒng)邊界防護(hù)失效。而程序無法偽造VLANTAG標(biāo)簽。網(wǎng)絡(luò)的可用性設(shè)計(jì)除了某些行業(yè)規(guī)定外，網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)應(yīng)該遵循可用性原則：即系統(tǒng)失效分析。其設(shè)計(jì)目的在于規(guī)劃網(wǎng)絡(luò)系統(tǒng)和信息業(yè)務(wù)系統(tǒng)整體的可靠性。1）通過系統(tǒng)失效分析，很容易得出一些違反直覺的設(shè)計(jì)結(jié)論，例如：如果網(wǎng)絡(luò)節(jié)點(diǎn)或子系統(tǒng)失效會導(dǎo)致系統(tǒng)整體失效，則這些子系統(tǒng)網(wǎng)絡(luò)應(yīng)合并成一個網(wǎng)絡(luò)以減少通訊設(shè)備數(shù)量。增加系統(tǒng)可靠性或進(jìn)行冗余設(shè)計(jì)。2）當(dāng)設(shè)備或子系統(tǒng)失效不會引起系統(tǒng)失效，則反而可以設(shè)計(jì)成獨(dú)立網(wǎng)絡(luò)，減少對關(guān)鍵子系統(tǒng)運(yùn)行的影響。顯而易見的是虛擬局域網(wǎng)能夠大幅降低設(shè)備數(shù)量，線性正比地提高系統(tǒng)可靠性，需要各類關(guān)鍵子系統(tǒng)并網(wǎng)運(yùn)行來減少故障概率。網(wǎng)絡(luò)系統(tǒng)的完整性分析.完整性設(shè)計(jì)是工業(yè)系統(tǒng)設(shè)計(jì)的重要環(huán)節(jié)，也是規(guī)范化設(shè)計(jì)的要求，在計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和軟件系統(tǒng)都有很多項(xiàng)目。其主要目的是考慮網(wǎng)絡(luò)和信息系統(tǒng)的意外風(fēng)險的評估、檢測和處理。例如：計(jì)算機(jī)網(wǎng)絡(luò)通訊的內(nèi)存數(shù)據(jù)和程序指令傳送，都需要奇偶校驗(yàn)°TCP、UDP、應(yīng)用通訊協(xié)議都有CRC校驗(yàn)。VLAN應(yīng)用本身就是隔離應(yīng)用業(yè)務(wù)系統(tǒng)，減少不必要的交叉誤操作影響，等等不再重復(fù)。在此重點(diǎn)采用完整性的評估方法，對網(wǎng)絡(luò)病毒的作完整性評估處理。1） 未激活的網(wǎng)絡(luò)病毒和計(jì)算機(jī)病毒，以程序代碼方式傳播，為了不破壞程序代碼結(jié)構(gòu)。只能以文件方式傳播。故防范重點(diǎn)在于計(jì)算機(jī)的程序運(yùn)行監(jiān)控軟件，殺毒軟件?？刹捎锰摍C(jī)沙箱技術(shù)（郵件檢測）、運(yùn)行監(jiān)控的白名單技術(shù)、殺毒軟件的病毒代碼檢測等。2） 已激活的木馬病毒、其原理和功能主要是竊取用戶數(shù)據(jù)，操控用戶計(jì)算機(jī)。其操控指令和用戶數(shù)據(jù)沒有病毒代碼特征。同時為了打通出網(wǎng)連通黑客計(jì)算機(jī)，其具有通過IP欺騙手段和偽造源IP的能力。能夠自主尋找出網(wǎng)途徑。IP欺騙會造成網(wǎng)關(guān)劫持、DHCP劫持等危害甚至癱瘓網(wǎng)絡(luò)的嚴(yán)重結(jié)果。后門程序同樣如此。3） 已激活的蠕蟲病毒必須通過IP掃描尋找存活主機(jī)本攻擊計(jì)算機(jī)，并同時有傳遞病毒代碼并重組代碼的能力，滲透攻擊程序同樣如此。目前網(wǎng)絡(luò)防范措施的缺陷：旁路檢測：防火墻和反入侵設(shè)備的能力主要依賴于代碼檢測，單個數(shù)據(jù)包需匹配比較數(shù)以萬計(jì)的病毒特征代碼顯然無法實(shí)現(xiàn)。不僅僅單個數(shù)據(jù)包難以呈現(xiàn)病毒特征，即使是數(shù)個數(shù)據(jù)包也難以呈現(xiàn)病毒特征。而且檢查速度無法匹配網(wǎng)絡(luò)數(shù)據(jù)速率。直連檢測：防火墻技術(shù)普遍采用ACL訪問控制列表，同交換機(jī)和路由器的ACL一樣，沒有區(qū)別，網(wǎng)絡(luò)安全檢測都和實(shí)際網(wǎng)絡(luò)攻擊原理不相符。顯然任何完整性設(shè)計(jì)必須也應(yīng)該針對每一項(xiàng)風(fēng)險做出合理的措施。其它完整性風(fēng)險分析：1） 網(wǎng)絡(luò)端口空置是否會導(dǎo)致非法侵入發(fā)生：系統(tǒng)包裹在其VLAN中，不會發(fā)生，同時網(wǎng)管軟件能自動檢測。2） 網(wǎng)絡(luò)交換機(jī)物理上聯(lián)口網(wǎng)管軟件有拓?fù)鋵?shí)時檢測。不會發(fā)生斷網(wǎng)時，無法定位故障點(diǎn)。3） 在設(shè)計(jì)網(wǎng)絡(luò)冗余時，有冗余拓?fù)滏溌窓z測，避免設(shè)計(jì)錯誤引入實(shí)際施工，也可避免拓?fù)錅y試調(diào)整時發(fā)生設(shè)置錯誤4） 網(wǎng)絡(luò)本身所有信息系統(tǒng)都運(yùn)行在自己專用的虛擬局域網(wǎng)中，單系統(tǒng)測試、維護(hù)、拓展不會影響到其他系統(tǒng)正常運(yùn)行總結(jié).如何網(wǎng)絡(luò)設(shè)計(jì)是一門技