工業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)_第1頁(yè)
工業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)_第2頁(yè)
工業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)_第3頁(yè)
工業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)_第4頁(yè)
工業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

工業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)虛擬人生自恒信息科技作者備注包含任何撥款/融資信息和完整的通信地址。摘要回想工業(yè)網(wǎng)絡(luò)的發(fā)展,市政工程、企事業(yè)單位、工業(yè)互聯(lián)網(wǎng)等等,從無(wú)到有,似乎被廣泛接受,盡管其市場(chǎng)容量很大。但其核心設(shè)計(jì)理念、安全技術(shù)及應(yīng)用并不為全部人知曉。甚至人們記住了其抗干擾工業(yè)指標(biāo)、環(huán)網(wǎng)指標(biāo)。從工業(yè)的角度來(lái)看待工業(yè)網(wǎng)絡(luò),如其它的工業(yè)系統(tǒng)同樣(工業(yè)設(shè)計(jì)、功效設(shè)計(jì)、可用性設(shè)計(jì)、完整性設(shè)計(jì))。其本身涉及了工業(yè)網(wǎng)絡(luò)物理拓?fù)湓O(shè)計(jì)、網(wǎng)絡(luò)邏輯拓?fù)湓O(shè)計(jì)、網(wǎng)絡(luò)可用性設(shè)計(jì)、網(wǎng)絡(luò)完整性設(shè)計(jì)。顯然缺少了邏輯網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)一環(huán),工業(yè)網(wǎng)絡(luò)在功效上似乎與其它民用網(wǎng)絡(luò)沒(méi)有區(qū)別。真正設(shè)計(jì)好一種工業(yè)網(wǎng)絡(luò)同樣需考慮這四個(gè)方面的要素。核心字:工業(yè)網(wǎng)絡(luò)方案、網(wǎng)絡(luò)方案、邏輯網(wǎng)絡(luò)工業(yè)網(wǎng)絡(luò)物理拓?fù)湓O(shè)計(jì)工業(yè)網(wǎng)絡(luò)布網(wǎng)和網(wǎng)絡(luò)鏈路冗余特點(diǎn):工業(yè)網(wǎng)絡(luò)不能如辦公大樓同樣布網(wǎng),其設(shè)備分布比較分散。交換機(jī)端口比較少。當(dāng)添加設(shè)備或更改接入端口時(shí)需要就近接入,而不能重復(fù)再拉光纜或電纜,工業(yè)控制系統(tǒng)往往是分層分級(jí)控制。如電廠的輔控系統(tǒng),從中心到分系統(tǒng)(水、灰、煤),再到子系統(tǒng)(廢水、凝結(jié)水、。。。),同時(shí)尚有橫向的能源管理系統(tǒng)、生產(chǎn)管理系統(tǒng)需要接入。因此,其布網(wǎng)特點(diǎn)是網(wǎng)格化構(gòu)造,或管線狀物理拓?fù)錁?gòu)造。事實(shí)上樓宇的以太網(wǎng)物理拓?fù)湟餐捎媒萋?lián)聯(lián)方式形成環(huán)網(wǎng)拓?fù)錁?gòu)造,以滿足弱電系統(tǒng)布線規(guī)定,非信息中心機(jī)房的布線采用環(huán)網(wǎng)或網(wǎng)格化拓?fù)洳季€較為合理。交換機(jī)捷聯(lián)環(huán)網(wǎng)冗余時(shí),生成樹(shù)的鏈路冗余切換時(shí)間過(guò)長(zhǎng),時(shí)還沒(méi)有快速生成樹(shù)算法,并且其切換時(shí)間受網(wǎng)絡(luò)規(guī)模和拓?fù)錁?gòu)造的影響。因此工業(yè)網(wǎng)絡(luò)物理拓?fù)浍@得成功。如圖1所示:星網(wǎng)構(gòu)造和環(huán)網(wǎng)構(gòu)造,交換機(jī)供電電路和星網(wǎng)拓?fù)洳季€難以一致,若網(wǎng)絡(luò)線路不能與弱電系統(tǒng)一起布線,則需要獨(dú)立布線的成本,樓宇布線相對(duì)成本低某些。而公司布獨(dú)立網(wǎng)線需重新設(shè)計(jì)走線架等。成本很高。網(wǎng)絡(luò)邏輯拓?fù)湓O(shè)計(jì)原則的計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)是以太網(wǎng)架構(gòu),當(dāng)采用TCP-UDP/IP作為三層互聯(lián)傳輸合同時(shí),才分為局域網(wǎng)和廣域網(wǎng)。局域網(wǎng)也是建立在以太網(wǎng)基礎(chǔ)上的,實(shí)質(zhì)上是采用IP合同的以太網(wǎng)。工業(yè)以太網(wǎng)基礎(chǔ)上的工業(yè)合同,如:幾乎全部的出名自動(dòng)化公司都推出了以太網(wǎng)架構(gòu)上的網(wǎng)絡(luò)傳輸和應(yīng)用合同。直到后又進(jìn)化成TCP-UDP/IP形式的互聯(lián)網(wǎng)工業(yè)合同。網(wǎng)絡(luò)邏輯拓?fù)湓O(shè)計(jì)重要的目的是把實(shí)際的各類(lèi)信息系統(tǒng)架構(gòu)在其專(zhuān)用虛擬局域網(wǎng)內(nèi),實(shí)現(xiàn)信息業(yè)務(wù)系統(tǒng)間無(wú)擾運(yùn)行、維護(hù)、建設(shè)。工業(yè)環(huán)網(wǎng)和網(wǎng)格化架構(gòu),造成一種原本采用工業(yè)總線時(shí)不存在的問(wèn)題。由于以太網(wǎng)的帶寬遠(yuǎn)高于現(xiàn)場(chǎng)總線。即如何共享網(wǎng)絡(luò)資源,讓不同系統(tǒng)或分系統(tǒng)都能共享網(wǎng)絡(luò)帶寬資源??紤]到各類(lèi)應(yīng)用業(yè)務(wù)系統(tǒng)有不同的運(yùn)行、維護(hù)、拓展規(guī)定。需要把不同的業(yè)務(wù)系統(tǒng)或子系統(tǒng)置于各自專(zhuān)用的VLAN架構(gòu)中。使得各系統(tǒng)的運(yùn)行不受其它信息業(yè)務(wù)系統(tǒng)的影響。如圖2所示,通過(guò)對(duì)業(yè)務(wù)系統(tǒng)通訊端口的設(shè)立,3個(gè)系統(tǒng)及他們間的通訊都能夠在VLAN架構(gòu)內(nèi)運(yùn)行。全部這些VLAN的設(shè)立和計(jì)算都是網(wǎng)管軟件解決的。顧客僅需要按導(dǎo)引做就能夠設(shè)計(jì)自己各類(lèi)信息業(yè)務(wù)的業(yè)務(wù)虛擬局域網(wǎng)。如圖3所示圖3,由于國(guó)內(nèi)的網(wǎng)管軟件,大多不支持VLAN邏輯規(guī)劃設(shè)計(jì),借用自恒信息科技公司的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全一體化設(shè)計(jì)平臺(tái)(網(wǎng)管軟件)導(dǎo)引示意闡明具體VLAN拓?fù)湓O(shè)計(jì)過(guò)程。完畢了邏輯拓?fù)湓O(shè)計(jì)后各系統(tǒng)運(yùn)行在自己的專(zhuān)用虛擬局域網(wǎng)內(nèi),安全得到了極大的提高。真正的安全隔離,分布式交換,不受限于物理網(wǎng)的拓?fù)錁?gòu)造。現(xiàn)在諸多系統(tǒng)間的隔離普通采用ACL(訪問(wèn)控制列表),防火墻(五元組)、路由器和交換機(jī)無(wú)不如此。即用路由網(wǎng)關(guān)打通VLAN,再采用ACL普通進(jìn)出規(guī)則限定訪問(wèn)。進(jìn)出規(guī)則是單向防護(hù),例如:進(jìn)規(guī)則,允許系統(tǒng)1的計(jì)算機(jī)A進(jìn)入系統(tǒng)2訪問(wèn)計(jì)算機(jī)B。其它通訊不允許。由于是進(jìn)規(guī)則,系統(tǒng)1內(nèi)的計(jì)算機(jī)事實(shí)上都能出去訪問(wèn)系統(tǒng)2.的計(jì)算機(jī),但是由于系統(tǒng)2計(jì)算機(jī)的回送包受阻于進(jìn)規(guī)則,故不能ping通,但是事實(shí)上系統(tǒng)1的計(jì)算機(jī)能夠通過(guò)誤設(shè)重復(fù)的IP攻擊系統(tǒng)2的計(jì)算機(jī)。通過(guò)了PING測(cè)試,顧客覺(jué)得隔離了業(yè)務(wù)系統(tǒng),事實(shí)上被IP穿透攻擊了。采用ACL(訪問(wèn)控制列表),必然受限于物理檢測(cè)端口的影響,中間網(wǎng)絡(luò)鏈路冗余切換需要考慮,并且容易引發(fā)數(shù)據(jù)繞行,加重核心層的交換負(fù)擔(dān)和通訊延遲。無(wú)法實(shí)現(xiàn)分布式網(wǎng)絡(luò)交換容量的優(yōu)勢(shì)部分狀況下無(wú)法實(shí)現(xiàn)訪問(wèn)控制,例如:在單臂路由的狀況下,難以采用ACL,來(lái)實(shí)現(xiàn)匯聚層和接入層的訪問(wèn)控制。隨著虛機(jī)技術(shù)發(fā)展,源IP偽造技術(shù)防備的提高,木馬病毒能夠偽造任意的源IP,造成安全域、系統(tǒng)邊界防護(hù)失效。而程序無(wú)法偽造VLANTAG標(biāo)簽。網(wǎng)絡(luò)的可用性設(shè)計(jì)除了某些行業(yè)規(guī)定外,網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)應(yīng)當(dāng)遵照可用性原則:即系統(tǒng)失效分析。其設(shè)計(jì)目的在于規(guī)劃網(wǎng)絡(luò)系統(tǒng)和信息業(yè)務(wù)系統(tǒng)整體的可靠性。1)通過(guò)系統(tǒng)失效分析,很容易得出某些違反直覺(jué)的設(shè)計(jì)結(jié)論,例如:如果網(wǎng)絡(luò)節(jié)點(diǎn)或子系統(tǒng)失效會(huì)造成系統(tǒng)整體失效,則這些子系統(tǒng)網(wǎng)絡(luò)應(yīng)合并成一種網(wǎng)絡(luò)以減少通訊設(shè)備數(shù)量。增加系統(tǒng)可靠性或進(jìn)行冗余設(shè)計(jì)。2)當(dāng)設(shè)備或子系統(tǒng)失效不會(huì)引發(fā)系統(tǒng)失效,則反而能夠設(shè)計(jì)成獨(dú)立網(wǎng)絡(luò),減少對(duì)核心子系統(tǒng)運(yùn)行的影響。顯而易見(jiàn)的是虛擬局域網(wǎng)能夠大幅減少設(shè)備數(shù)量,線性正比地提高系統(tǒng)可靠性,需要各類(lèi)核心子系統(tǒng)并網(wǎng)運(yùn)行來(lái)減少故障概率。網(wǎng)絡(luò)系統(tǒng)的完整性分析.完整性設(shè)計(jì)是工業(yè)系統(tǒng)設(shè)計(jì)的重要環(huán)節(jié),也是規(guī)范化設(shè)計(jì)的規(guī)定,在計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和軟件系統(tǒng)都有諸多項(xiàng)目。其重要目的是考慮網(wǎng)絡(luò)和信息系統(tǒng)的意外風(fēng)險(xiǎn)的評(píng)定、檢測(cè)和解決。例如:計(jì)算機(jī)網(wǎng)絡(luò)通訊的內(nèi)存數(shù)據(jù)和程序指令傳送,都需要奇偶校驗(yàn)。TCP、UDP、應(yīng)用通訊合同都有CRC校驗(yàn)。VLAN應(yīng)用本身就是隔離應(yīng)用業(yè)務(wù)系統(tǒng),減少不必要的交叉誤操作影響,等等不再重復(fù)。在此重點(diǎn)采用完整性的評(píng)定辦法,對(duì)網(wǎng)絡(luò)病毒的作完整性評(píng)定解決。未激活的網(wǎng)絡(luò)病毒和計(jì)算機(jī)病毒,以程序代碼方式傳輸,為了不破壞程序代碼構(gòu)造。只能以文獻(xiàn)方式傳輸。故防備重點(diǎn)在于計(jì)算機(jī)的程序運(yùn)行監(jiān)控軟件,殺毒軟件??刹捎锰摍C(jī)沙箱技術(shù)(郵件檢測(cè))、運(yùn)行監(jiān)控的白名單技術(shù)、殺毒軟件的病毒代碼檢測(cè)等。已激活的木馬病毒、其原理和功效重要是竊取顧客數(shù)據(jù),操控顧客計(jì)算機(jī)。其操控指令和顧客數(shù)據(jù)沒(méi)有病毒代碼特性。同時(shí)為了打通出網(wǎng)連通黑客計(jì)算機(jī),其含有通過(guò)IP欺騙手段和偽造源IP的能力。能夠自主尋找出網(wǎng)途徑。IP欺騙會(huì)造成網(wǎng)關(guān)劫持、DHCP劫持等危害甚至癱瘓網(wǎng)絡(luò)的嚴(yán)重成果。后門(mén)程序同樣如此。已激活的蠕蟲(chóng)病毒必須通過(guò)IP掃描尋找存活主機(jī)本攻擊計(jì)算機(jī),并同時(shí)有傳遞病毒代碼并重組代碼的能力,滲入攻擊程序同樣如此?,F(xiàn)在網(wǎng)絡(luò)防備方法的缺點(diǎn):旁路檢測(cè):防火墻和反入侵設(shè)備的能力重要依賴(lài)于代碼檢測(cè),單個(gè)數(shù)據(jù)包需匹配比較數(shù)以萬(wàn)計(jì)的病毒特性代碼顯然無(wú)法實(shí)現(xiàn)。不僅僅單個(gè)數(shù)據(jù)包難以呈現(xiàn)病毒特性,即使是數(shù)個(gè)數(shù)據(jù)包也難以呈現(xiàn)病毒特性。并且檢查速度無(wú)法匹配網(wǎng)絡(luò)數(shù)據(jù)速率。直連檢測(cè):防火墻技術(shù)普遍采用ACL訪問(wèn)控制列表,同交換機(jī)和路由器的ACL同樣,沒(méi)有區(qū)別,網(wǎng)絡(luò)安全檢測(cè)都和實(shí)際網(wǎng)絡(luò)攻擊原理不相符。顯然任何完整性設(shè)計(jì)必須也應(yīng)當(dāng)針對(duì)每一項(xiàng)風(fēng)險(xiǎn)做出合理的方法。其它完整性風(fēng)險(xiǎn)分析:1)網(wǎng)絡(luò)端口空置與否會(huì)造成非法侵入發(fā)生:系統(tǒng)包裹在其VLAN中,不會(huì)發(fā)生,同時(shí)網(wǎng)管軟件能自動(dòng)檢測(cè)。2)網(wǎng)絡(luò)交換機(jī)物理上聯(lián)口網(wǎng)管軟件有拓?fù)鋵?shí)時(shí)檢測(cè)。不會(huì)發(fā)生斷網(wǎng)時(shí),無(wú)法定位故障點(diǎn)。3)在設(shè)計(jì)網(wǎng)絡(luò)冗余時(shí),有冗余拓?fù)滏溌窓z測(cè),避免設(shè)計(jì)錯(cuò)誤引入實(shí)際施工,也可避免拓?fù)錅y(cè)試調(diào)節(jié)時(shí)發(fā)生設(shè)立錯(cuò)誤4)網(wǎng)絡(luò)本身全部信息系統(tǒng)都運(yùn)行在自己專(zhuān)用的虛擬局域網(wǎng)中,單系統(tǒng)測(cè)試、維護(hù)、拓展不會(huì)影響到其它系統(tǒng)正常運(yùn)行等等。。??偨Y(jié).如何網(wǎng)絡(luò)設(shè)計(jì)是一門(mén)技術(shù),不

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論