工業以太網 簡介

工業以太網 

工業以太網是基於IEEE 802.3 (Ethernet)的強大的區域和單元網絡。繼10M波特率以太網成功運行以後，具備交換功能，全雙工和自適應的100M波特率快速以太網(Fast Ethernet，符合IEEE 802.3u 的標準)也已成功運行多年。採用何種性能的以太網取決於用戶的須要。通用的兼容性容許用戶無縫升級到新技術。

 

要從以太網通信協議、電源、通訊速率、工業環境認證考慮、安裝方式、外殼對散熱的影響、簡單通訊功能和通訊管理功能、電口或光口的考慮。這些都是最基本須要瞭解的產品選擇因素。若是對工業以太網的網絡管理有更高要求，則須要考慮所選擇產品的高級功能如：信號強弱、端口設置、出錯報警、串口使用、主幹（TrunkingTM）冗餘、環網冗餘、服務質量（QoS）、虛擬局域網(VLAN）、簡單網絡管理協議(SNMP）、端口鏡像等等其餘工業以太網管理交換機中能夠提供的功能。不一樣的控制系統對網絡的管理功能要求不一樣，天然對管理型交換機的使用也有不一樣要求。控制工程師們應該根據其系統的設計要求，挑選適合本身系統的工業以太網產品。

 

因爲工業環境對工業控制網絡可靠性能的超高要求，工業以太網的冗餘功能應運而生。從快速生成樹冗餘（RSTP）、環網冗餘（RapidRingTM）到主幹冗餘（TrunkingTM），都有各自不一樣的優點和特色，控制工程師們能夠根據本身的要求進行選擇。

-----------------------------

相關協議 

整體概述 

當以太網用於信息技術時，應用層包括HT-TP、FTP、SNMP等經常使用協議，但當它用於工業控制時，體如今應用層的是實時通訊、用於系統組態的對象以及工程模型的應用協議，至21世紀，尚未統一的應用層協議，但受到普遍支持並已經開發出相應產品的有4種主要協議：HSE、Modbus TCP/IP、ProfINet、Ethernet/IP。

 

HSE 

基金會現場總線FF於2000年發佈Ethernet規範，稱HSE(High Speed Ethernet)。HSE是以太網協議IEEE802.3，TCP/IP協議族與FFIll的結合體。FF現場總線基金會明確將HSE定位於實現控制網 絡與Internet的集成。

HSE技術的一個核心部分就是連接設備，它是HSE體系結構將Hl(31.25kb/s)設備鏈接 100Mb/s的HSE主幹網的關鍵組成部分，同時也具備網橋和網關的功能。網橋功能可以用於鏈接多個H1總線網段，使同H1網段上的H1設備之間可以進 行對等通訊而無需主機系統的干涉;

網關功能容許將HSE網絡鏈接到其餘的工廠控制網絡和信息網絡，HSE連接設備不須要爲H1子系統做報文解釋，而是未來自H1總線網段的報文數據集合起來而且將Hl地址轉化爲IP地址。

 

Modbus 

Modbus TCP/IP

該協議由施耐德公司推出，以一種很是簡單的方式將Modbus幀嵌入到TCP幀中，使Modbus與以太網和TCP/IP結合，成爲Modbus TCP/IP。這是一種面向鏈接的方式，每個呼叫都要求一個應答，這種呼叫/應答的機制與Modbus的主/從機制相互配合，使交換式以太網具備很高的 肯定性，利用TCP/IP協議，經過網頁的形式可使用戶界面更加友好。

利用網絡瀏覽器便查看企業網內部設備運行狀況。施耐德公司已經爲Mod-bus註冊了502端口，這樣就能夠將實時數據嵌人到網頁中，經過在設備中嵌入Web服務器，就能夠將Web瀏覽器做爲設備的操做終端。

 

ProflNet 

針對工業應用需求，德國西門子於2001年發佈了該協議，它是將原有的Profibus與互聯網技術結合，造成了ProfiNet的網絡方案，主要包括：

基於組件對象模型(COM)的分佈式自動化系統;

規定了ProfiNet現場總線和標準以太網之間的開放、透明通訊;

提供了一個獨立於製造商，包括設備層和系統層的系統模型。

ProfiNet採用標準TCP/IP十以太網做爲鏈接介質，採用標準TCP/IP協議加上應用層的RPC/DCOM來完成節點間的通訊和網絡尋址。它能夠同時掛接傳統Profibus系統和新型的智能現場設備。

現有的Profibus網段能夠經過一個代理設備(proxy)鏈接到ProfiNet網絡當中，使整Profibus設備和協議可以原封不動地在 Pet中使用。傳統的Profibus設備可經過代理proxy與ProFiNET上面的COM對象進行通訊，並經過OLE自動化接口實現COM對象間的 調用。

 

Ethernet 

Ethernet/IP

Ethernet/IP是適合工業環境應用的協議體系。它是由ODVA(Open Devicenet Vendors Asso-cation)和Control Net International兩大工業組織推出的最新成員與Device Net和Control Net同樣，它們都是基於CIP(Controland Information Proto-Col)協議的網絡。它是一種是面向對象的協議，可以保證網絡上隱式(控制)的實時I/O信息和顯式信息(包括用於組態、參數設置、診斷等) 的有效傳輸。

Ethernet/IP採用和Devicenet以及ControlNet相同的應用層協議CIP。所以，它們使用相同的 對象庫和一致的行業規範，具備較好的一致性。Ethernet/IP採用標準的Ethernet和TCP/IP技術傳送CIP通訊包，這樣通用且開放的應 用層協議CIP加上已經被普遍使用的Ethernet和TCP/IP協議，就構成Ethernet/IP協議的體系結構

 

-----------------------------

網絡優點 

工業以太網是應用於工業控制領域的以太網技術，在技術上與商用以太網（即IEEE 802.3標準）兼容，可是實際產品和應用卻又徹底不一樣。這主要表現普通商用以太網的產品設計時，在材質的選用、產品的強度、適用性以及實時性、可互操做性、可靠性、抗干擾性、本質安全性等方面不能知足工業現場的須要。故在工業現場控制應用的是與商用以太網不一樣的工業以太網。然而工業以太網的優點在哪裏呢？

1、應用普遍

以太網是應用最普遍的計算機網絡技術，幾乎全部的編程語言如Visual C++、Java、VisualBasic等都支持以太網的應用開發。

2、通訊速率高

十、100 Mb/s的快速以太網已開始普遍應用，1Gb/s以太網技術也逐漸成熟，而傳統的現場總線最高速率只有12Mb/s（如西門子Profibus-DP）。顯然，以太網的速率要比傳統現場總線要快的多，徹底能夠知足工業控制網絡不斷增加的帶寬要求。

3、資源共享能力強

隨着Internet/ Intranet的發展，以太網已滲透到各個角落，網絡上的用戶已解除了資源地理位置上的束縛，在聯入互聯網的任何一臺計算機上就能瀏覽工業控制現場的數據，實現「控管一體化」，這是其餘任何一種現場總線都沒法比擬的。

4、可持續發展潛力大

以太網的引入將爲控制系統的後續發展提供可能性，用戶在技術升級方面無需獨自的研究投入，對於這一點，任何現有的現場總線技術都是沒法比擬的。同時，機器人技術、智能技術的發展都要求通訊網絡具備更高的帶寬和性能，通訊協議有更高的靈活性，這些要求以太網都能很好地知足。

 

-----------------------------

技術特色 

工業以太網技術具備價格低廉、穩定可靠、通訊速率高、軟硬件產品豐富、應用普遍以及支持技術成熟等優勢，已成爲最受歡迎的通訊網絡之一。近些年來,隨着網絡技術的發展,以太網進入了控制領域,造成了新型的以太網控制網絡技術。這主要是因爲工業自動化系統向分佈化、智能化控制方面發展,開放的、透明的通信協議是必然的要求。以太網技術引入工業控制領域，其技術優點很是明顯：[1]

（一）Ethernet是全開放、全數字化的網絡，遵守網絡協議不一樣廠商的設備能夠很容易實現互聯。

（二）以太網能實現工業控制網絡與企業信息網絡的無縫鏈接，造成企業級管控一體化的全開放網絡。

（三）軟硬件成本低廉，因爲以太網技術已經很是成熟，支持以太網的軟硬件受到廠商的高度重視和普遍支持，有多種軟件開發環境和硬件設備供用戶選擇。

（四）通訊速率高，隨着企業信息系統規模的擴大和複雜程度的提升，對信息量的需求也愈來愈大，有時甚至須要音頻、視頻數據的傳輸，當前以太網的通訊速率爲10M、100M的快速以太網開始普遍應用，千兆以太網技術也逐漸成熟，10G以太網也正在研究，其速率比現場總線快不少。

（五）可持續發展潛力大，在這信息瞬息萬變的時代，企業的生存與發展將很大程度上依賴於一個快速而有效的通訊管理網絡，信息技術與通訊技術的發展將更加迅速，也更加成熟，由此保證了以太網技術不斷地持續向前發展。

 

-----------------------------

PROFInet通信 

PROFInet能夠提供辦公室和自動化領域開放的、一致的鏈接。PROFInet方案覆蓋了分散自動化系統的全部運行階段，它主要包含如下方面：⑴高度分散自動化系統的開放對象模型（結構模型）；⑵基於Ethernet的開放的、面向對象的運行期通訊方案（功能單元間的通訊關係）；⑶獨立於製造商的工程設計方案（應用開發）。PROFInet方案能夠用一條等式簡單而明瞭地描述：PROFInet=Profibus+具備PROFIBUS和IT標準Ethernet的開放的、一致的通訊。

1.1 PROFInet設備的軟件結構

PROFInet設備的軟件覆蓋了現場設備的整個運行期通訊,基於模塊化設計的軟件包含若干通訊層，每層都與系統環境一致。PROFInet軟件主要包括一個RPC（Remote Procedure Call）層，一個DCOM（Distributed Component Object Model）層和一個專門爲PROFInet對象定義的層。PROFInet對象能夠是ACCO（Active Connection Control Object）設備、RT auto（Runtime Automation）設備、物理設備或邏輯設備。軟件中定義的實時數據通道提供PROFInet對象與以太網間的實時通訊服務。PROFInet經過系統接口鏈接到操做系統（如WinCE），經過應用接口鏈接到控制器（如PLC）。

 

PROFInet的運行期軟件位於一個目錄固定的結構中，能夠分爲核心目錄和系統應用目錄。若通訊開始而核心目錄中的文件未改變，則系統應用目錄中的部分文件必須重建。全部的系統應用都是指向系統接口和應用接口，實現PROFInet設備的各項功能。PROFInet設備的軟件結構能夠用圖1描述以下：

 

PROFInet設備的軟件結構決定了PROFInet設備能夠從企業管理層到現場層直接、透明地訪問，而且提供對TCP/IP協議的絕對支持。PROFInet技術使企業用戶可以方便地對現有的系統進行擴展和集成，是一種優化的工業以太網通訊標準。

 

1.2 PROFInet在現場設備上的移植

做爲一種開放的資源，PROFInet軟件經過移植到設備上的TCP/IP協議棧來完成在其餘設備製造商的產品中快速而簡單地實現。具體過程爲：首先將開放資源的RPC接口鏈接到TCP/IP協議棧和設備操做系統中的系統集成；而後再將PROFInet協議棧的DCOM（Discrete Component Object Module）機制集成到設備的操做系統中；最後實現物理設備和邏輯設備對象、運行期對象和活動控制鏈接對象的設備專用的DCOM應用。爲單個部件組裝PROFInet設備時還必須用XML建立相應的描述。

 

一個PROFInet設備的XML文件中應包括下列數據：

⑴PROFInet設備的名稱和ID號；

⑵PROFInet設備的IP地址，診斷數據的訪問方式和設備鏈接方式；

⑶PROFInet設備的硬件分配，設備接口以及爲各接口定義的變量、數據類型與格式；

⑷PROFInet設備在整個工程中的保存地址。

 

PROFInet設備將它的全部功能封裝到其軟件中，並提供變量接口與其它的PROFInet設備相連。變量接口的每一個變量都表明一個肯定的子功能，包括運行、輸入/輸出使能、復位、結束、停機、啓動和錯誤。一個PROFInet設備中封裝的能夠是一個控制器、一個執行器甚至是一個控制網絡。圖2所示的PROFInet設備中封裝了一個Profibus-DP控制網絡。

 

PROFInet設備之間經過DCOM模塊進行通訊。在PROFInet設備鏈接編輯器的圖形界面中能夠方便地實現各PROFInet設備間的鏈接。一個具備沖洗、灌裝、封口和包裝4個環節的飲料生產廠家的生產流程能夠用4個PROFInet設備串連鏈接實現（見圖3）。

 

全部設備的接口都在PROFInet中作了一致的定義，所以都可以靈活地組合和從新使用，用戶沒必要考慮各設備的內部運行機制。此外，PROFInet還集成了故障安全通訊標準行規PROFIsafe，知足對人員、設備和環境的全面安全的需求，可用於故障安全應用。

 

-----------------------------

PROFInet通訊功能 

PROFInet設備通訊功能的實現是基於傳統的Ethernet通訊機制（如TCP或UDP），同時又採用RPC和DCOM機制進行增強。DCOM可視爲用於基於RPC分佈式應用的COM技術的擴展，能夠採用優化的實時通訊機制應用於對實時性要求苛刻的應用領域。在運行期間，PROFInet設備以DCOM對象的形式映像，經過對象協議機制確保了DCOM對象的通訊。COM對象做爲PDU以DCOM協議定義的形式出如今通訊總線上。經過DCOM佈線協議DCOM定義了對象的標識和具備有關接口和參數的方法，這樣就能夠在通訊總線上進行標準化的DCOM信息包的傳輸。對於更高層次上的通訊，PROFInet能夠採用集成OPC（OLE for Process Control）接口技術的方式。

 

2.1 PROFInet的基本通訊方式

PROFInet根據不一樣的應用場合定義了三種不一樣的通訊方式：使用TCP/IP的標準通訊；實時RT（Real-time）通訊和同步實時IRT通訊。PROFInet設備可以根據通訊要求選擇合適的通訊方式。

PROFInet使用以太網和TCP/IP協議做爲通訊基礎，在任何場合下都提供對TCP/IP通訊的絕對支持。因爲絕大多數工廠自動化應用場合對實時響應時間要求較高，爲了可以知足自動化中的實時要求，PROFInet中規定了基於以太網層2的優化實時通訊通道，該方案極大地減小了通訊棧上佔用的時間，提升了自動化數據刷新方面的性能。PROFInet不只最小化了可編程控制器中的通訊棧，並且對網絡中傳輸數據也進行了優化。採用PROFInet通訊標準，系統對實時應用的響應時間能夠縮短到5～10ms。PROFInet同時還支持高性能同步運動控制應用,在該應用場合PROFInet提供對100個節點響應時間低於1ms的同步實時（IRT）通訊，該功能是由層2上內嵌的同步實時交換芯片ERTEC提供的。PROFInet的通訊循環如圖4所示。

 

在PROFInet設備的一個通訊循環週期內，既包括IRT實時通訊，又包括TCP/IP標準通訊。PROFInet通訊技術在不少應用場合都能體現出其極大的優越性。工程實踐代表，在同步運動控制場合採用PROFInet提供的IRT通訊，系統性能將比採用現場總線方案提高近100倍。

 

2.2 PROFInet與OPC的集成

因爲PROFInet與OPC均採用了DCOM通信機制，所以PROFInet通信技術能夠很容易地與OPC接口技術集成，以實現數據在更高通訊層次上的交換。OPC接口設備在工控領域的應用十分普遍，OPC接口技術定義了OPC DA（Data Access）與OPC DX（Data Exchange）兩個通訊標準，分別應用於傳輸實時數據和實現異類控制網絡間數據的交換。在PROFInet中集成OPC DX接口能夠實現一個開放的鏈接至其餘系統，集成機制以下：

⑵      基於PROFInet的實時通訊機制，每一個PROFInet節點能夠做爲一個OPC服務器被尋址；

⑵ 每一個OPC服務器能夠經過標準接口而做爲一個PROFInet節點被操做。PROFInet的功能性遠比OPC優越，PROFInet技術與OPC接口技術的集成不只能夠實現自動化領域對實時通訊的要求，還能夠實現系統之間在更高層次上的交互。

 

PROFInet是一種優越的通訊技術，並已成功地應用於分佈式智能控制。PROFInet爲分佈式自動化系統結構的實現開闢了新的前景，能夠實現全廠工程完全模塊化，包括機械部件、電氣/電子部件和應用軟件。PROFInet支持各類形式的網絡結構，使接線費用最小化，並保證高度的可用性。此外，特別設計的工業電纜和耐用的鏈接器知足EMC和溫度要求並造成標準，保證了不一樣製造設備之間的兼容性。

PROFInet不只能夠應用於分佈式智能控制，並且還逐漸進入到過程自動化領域。在過程自動化領域，PROFInet針對工業以太網總線供電以及以太網本質在安全領域應用的問題正在造成標準或解決方案，採用PROFInet集成的Profibus現場總線能夠爲過程自動化工業提供優越的解決方案（如圖5所示）：

 

採用PROFInet通信技術，不只能夠集成Profibus現場設備，還能夠經過代理服務器（Proxy）實現其它種類的現場總線網絡的集成。採用這種統一的面對將來的設計概念，工廠內各部件均可以做爲獨立模塊預先組裝測試，而後在整個系統中輕鬆組裝或在其餘項目中重複使用。譬如對於一個汽車生產企業而言，PROFInet支持的實時解決方案徹底能夠知足車體車間、噴漆車間和組裝部門等對響應時間的要求，在機械工程及發動機和變速箱生產環節中的車牀同步等方面則可以使用PROFInet的同步實時功能。

 

PROFInet能夠保證對現有系統投資的高度保護，並使工廠擁有創新標準的優越性。鑑於PROFInet通信技術的優越性，已經有部分生產廠家（如西門子,施奈德）。

 

-----------------------------

工業以太網的選擇 

選擇正確的工業以太網要考慮哪些因素？簡單的來講，要從工業以太網通信協議、電源、通訊速率、工業環境認證考慮、安裝方式、外殼對散熱的影響、簡單通訊功能和通訊管理功能、電口或光口的考慮。信號強弱、端口設置、出錯報警、串口使用、主幹（TrunkingTM)冗餘、環網冗餘、服務質量（QoS）、虛擬局域網（VLAN）、簡單網絡管理協議（SNMP）、端口鏡像等等其餘工業以太網管理交換機中能夠提供的功能。

從快速生成樹冗餘（RSTP）、環網冗餘（RapidRingTM）到主幹冗（TrunkingTM），

工業以太網設備包括如下幾個重要部分。

工業以太網集線器

工業以太網非管理型交換機

工業以太網管理型交換機

工業以太網管理型冗餘交換機

高級的管理型冗餘交換機提供了一些特殊的功能，特別是針對有穩定性、安全性方面嚴格要求的冗餘系統進行了設計上的優化。構建冗餘網絡的主要方式主要有如下幾種，STP、RSTP；環網冗餘RapidRingTM以及Trunking。

 

1工業以太網 STP及RSTP

STP(Spanning Tree Protocol，生成樹算法，IEEE 802.1D），是一個鏈路層協議，提供路徑冗餘和阻止網絡循環發生。它強令備用數據路徑爲阻塞（blocked）狀態。若是一條路徑有故障，該拓撲結構能借助激活備用路徑從新配置及鏈路重構。網絡中斷恢復時間爲30-60s之間。RSTP（快速生成樹算法，IEEE 802.1w）做爲STP的升級，將網絡中斷恢復時間，縮短到1-2s。生成樹算法網絡結構靈活，但也存在恢復速度慢的缺點。

 

2 工業以太網環網冗餘

爲了能知足工控網絡實時性強的特色，RapidRing孕育而生。這是在工業以太網網絡中使用環網提供高速冗餘的一種技術。這個技術可使網絡在中斷後300ms以內自行恢復。並能夠經過工業以太網交換機的出錯繼電鏈接、狀態顯示燈和SNMP設置等方法來提醒用戶出現的斷網現象。這些均可以幫助診斷環網什麼地方出現斷開。

RapidRingTM也支持兩個鏈接在一塊兒的環網，使網絡拓樸更爲靈活多樣。兩個環經過雙通道鏈接，這些鏈接能夠是冗餘的，避免單個線纜出錯帶來的問題。

 

3 工業以太網主幹冗餘

將不一樣交換機的多個端口設置爲Trunking主幹端口，並創建鏈接，則這些工業以太網交換機之間能夠造成一個高速的骨幹連接。不但成倍的提升了骨幹連接的網絡帶寬，加強了網絡吞吐量，並且還還提供了另一個功能，即冗餘功能。若是網絡中的骨幹連接產生斷線等問題，那麼網絡中的數據會經過剩下的連接進行傳遞，保證網絡的通信正常。Trunking主幹網絡採用總線型和星型網絡結構，理論通信距離能夠無限延長。該技術因爲採用了硬件偵測及數據平衡的方法，因此使網絡中斷恢復時間達到了新的高度，通常恢復時間在10ms如下。

 

-----------------------------

具體設備

 

集線器

相信絕大多數人都熟悉集線器。不少人使用這種簡易設備去鏈接各類基於以太網的設備，如我的計算機，可編程控制器等。集線器接收到來自某一端口的消息，再將消息廣播到其它全部的端口。對來自任一端口的每一條消息，集線器都會把它傳遞到其它的各個端口。在消息傳遞方面，集線器是低速低效的，可能會出現消息衝突。然而，集線器的使用很是簡單－實際上能夠即插即用。集線器沒有任何華而不實的功能，也沒有冗餘功能。

集線器採用半雙工工做模式

 

交換機

1 管理型

以太網鏈接設備發展的下一代產品是管理型交換機。相對集線器和非管理型交換機，管理型交換機擁有更多更復雜的功能，價格也高出許多－一般是一臺非管理型交換機的3～4倍。管理型交換機提供了更多的功能，一般能夠經過基於網絡的接口實現徹底配置。它能夠自動與網絡設備交互，用戶也能夠手動配置每一個端口的網速和流量控制。一些老設備可能沒法使用自動交互功能，所以手動配置功能是必不可缺的。

絕大多數管理型交換機一般也提供一些高級功能，如用於遠程監視和配置的SNMP（簡單網絡管理協議），用於診斷的端口映射，用於網絡設備成組的VLAN（虛擬局域網），用於確保優先級消息經過的優先級排列功能等。利用管理型交換機，能夠組建冗餘網絡。使用環形拓撲結構，管理型交換機能夠組成環形網絡。每臺管理型交換機能自動判斷最優傳輸路徑和備用路徑，當優先路徑中斷時自動阻斷（block）備用路徑。

2 非管理型

集線器的發展產生了一種叫非管理型交換機的設備。它能實現消息從一個端口到另外一個端口的路由功能，相對集線器更加智能化。非管理型交換機能自動探測每臺網絡設備的網絡速度。另外，它具備一種稱爲「MAC地址表」的功能，能識別和記憶網絡中的設備。換言之，若是端口2收到一條帶有特定識別碼的消息，此後交換機就會將全部具備那種特定識別碼的消息發送到端口2。這種智能避免了消息衝突，提升了傳輸性能，相對集線器是一次巨大的改進。然而，非管理型交換機不能實現任何形式的通訊檢測和冗餘配置功能。

 

----------------------------- 

工業以太網的應用安全

 

概述

工業以太網是當前工業控制領域的研究熱點。工業以太網重點在於利用交換式以太網技術爲控制器和操做站，各類工做站之間的相互協調合做提供一種交互機制並和上層信息網絡無縫集成。工業以太網開始在監控層網絡上逐漸佔據主流位置，正在向現場設備層網絡滲透。工業以太網相對於以往自動化技術有不少優點，然而事物是相對的，在咱們享受開放互聯技術進步的成果同時應該對它們存在的隱患和可能帶來的嚴重後果要有深入認識。

 

特色

雖然脫胎於Intranet、Internet等類型的信息網絡，可是工業以太網是面向生產過程，對實時性、可靠性、安全性和數據完整性有很高的要求。既有與信息網絡相同的特色和安全要求，也有本身不一樣於信息網絡的顯著特色和安全要求：

⑴工業以太網是一個網絡控制系統，實時性要求高，網絡傳輸要有肯定性。

⑵整個企業網絡按功能可分爲處於管理層的通用以太網和處於監控層的工業以太網以及現場設備層（如現場總線）。管理層通用以太網能夠與控制層的工業以太網交換數據，上下網段採用相同協議自由通訊。

⑶工業以太網中週期與非週期信息同時存在，各自有不一樣的要求。週期信息的傳輸一般具備順序性要求，而非週期信息有優先級要求，如報警信息是須要當即響應的。

⑷工業以太網要爲緊要任務提供最低限度的性能保證服務，同時也要爲非緊要任務提供盡力服務，因此工業以太網同時具備實時協議也具備非實時協議。

 

要求

⑴工業以太網應該保證明時性不會被破壞，在商業應用中，對實時性的要求基本不涉及安全，而過程控制對實時性的要求是硬性的，經常涉及生產設備和人員安全。

⑵當今世界舞臺，各類競爭異常激烈。對於不少企業尤爲是掌握領先技術的企業，做爲其技術實際體現的生產工藝每每是企業的根本利益。一些關鍵生產過程的流程工藝乃至運行參數都有可能成爲對手竊取的目標。因此在工業以太網的數據傳輸中要防止數據被竊取。

⑶開放互聯是工業以太網的優點，遠程的監視、控制、調試、診斷等極大的加強了控制的分佈性、靈活性，打破了時空的限制，可是對於這些應用必須保證通過受權的合法性和可審查性。

 

-----------------------------

工業以太網其餘問題說明

 

⑴在傳統工業工業以太網中上下網段使用不一樣的協議沒法互操做，因此使用一層防火牆防止來自外部的非法訪問，但工業以太網將控制層和管理層鏈接起來，上下網段使用相同的協議，具備互操做性，因此使用兩級防火牆，第二級的防火牆用於屏蔽內部網絡的非法訪問和分配不一樣權限合法用戶的不一樣受權。另外還可用根據日誌記錄調整過濾和登陸策略。

要採起嚴格的權限管理措施，能夠根據部門分配權限，也能夠根據操做分配權限。因爲工廠應用專業性很強，進行權限管理能有效避免非受權操做。同時要對關鍵性工做站的操做系統的訪問加以限制，採用內置的設備管理系統必須擁有記錄審查功能，數據庫自動記錄設備參數修改事件：誰修改，修改的理由，修改以前和以後的參數，從而能夠有據可查。

⑵在工業以太網的應用中能夠採用加密的方式來防止關鍵信息竊取。主要存在兩種密碼體制：對稱密碼體制和非對稱密碼體制。對稱密碼體制中加密解密雙方使用相同的密鑰且密鑰保密，因爲在通訊以前必須完成密鑰的分發，該體制中這一環節是不安全的。因此採用非對稱密碼體制，因爲工業以太網發送的多爲週期性的短信息，因此採用這種加密方式仍是比較迅速的。對於工業以太網來講是可行的。還要對外部節點的接入加以防範。

⑶工業以太網的實時性主要是由如下幾點保證：限制工業以太網的通訊負荷，採用100M的快速以太網技術提升帶寬，採用交換式以太網技術和全雙工通訊方式屏蔽固有的CSMA/CD機制。隨着網絡的開放互連和自動化系統大量IT技術的引入，加上TCP/IP協議自己的開放性和層出不窮的網絡病毒和攻擊手段，網絡安全能夠成爲影響工業以太網實時性的一個突出問題。

1）病毒攻擊

在互聯網上充斥着相似Slammer、「衝擊波」等蠕蟲病毒和其它網絡病毒的襲擊。以蠕蟲病毒爲例，這些蠕蟲病毒攻擊的直接目標雖然一般是信息層網絡的PC機和服務器，可是攻擊是經過網絡進行的，所以當這些蠕蟲病毒大規模爆發時，交換機、路由器會首先受到牽連。用戶只有經過重啓交換路由設備、從新配置訪問控制列表才能消除蠕蟲病毒對網絡設備形成的影響。蠕蟲病毒攻擊可以致使整個網絡的路由震盪，這樣可能使上層的信息層網絡部分流量流入工業以太網，加大了它的通訊負荷，影響其實時性。在控制層也存在很多計算機終端鏈接在工業以太網交換機，一旦終端感染病毒，病毒發做即便不能形成網絡癱瘓，也可能會消耗帶寬和交換機資源。

2） MAC攻擊

工業以太網交換機一般是二層交換機，而MAC地址是二層交換機工做的基礎，網絡依賴MAC地址保證數據的正常轉發。動態的二層地址表在必定時間之後（AGE TIME）會發生更新。若是某端口一直沒有收到源地址爲某一MAC地址的數據包，那麼該MAC地址和該端口的映射關係就會失效。這時，交換機收到目的地址爲該MAC地址的數據包就會進行泛洪處理，對交換機的總體性能形成影響，能致使交換機的查錶速度降低。並且，假如攻擊者生成大量數據包，數據包的源MAC地址都不相同，就會充滿交換機的MAC地址表空間，致使真正的數據流到達交換機時被泛洪出去。這種經過複雜攻擊和欺騙交換機入侵網絡方式，已有很多實例。一旦表中MAC地址與網絡段之間的映射信息被破壞，迫使交換機轉儲本身的MAC地址表，開始失效恢復，交換機就會中止網絡傳輸過濾，它的做用就相似共享介質設備或集線器，CSMA/CD機制將從新做用從而影響工業以太網的實時性。

 

交換機安全技術

信息層網絡採用的交換機安全技術主要包括如下幾種。

流量控制技術 ，把流經端口的異常流量限制在必定的範圍內。訪問控制列表（ACL）技術 ，ACL經過對網絡資源進行訪問輸入和輸出控制，確保網絡設備不被非法訪問或被用做攻擊跳板。安全套接層（SSL） 爲全部 HTTP流量加密，容許訪問交換機上基於瀏覽器的管理 GUI。802.1x和RADIUS 網絡登陸 控制基於端口的訪問，以進行驗證和責任明晰。源端口過濾只容許指定端口進行相互通訊。Secure Shell （SSHv1/SSHv2） 加密傳輸全部的數據，確保IP網絡上安全的CLI遠程訪問。安全FTP 實現與交換機之間安全的文件傳輸，避免不須要的文件下載或未受權的交換機配置文件複製。不過，應用這些安全功能仍然存在不少實際問題，例如交換機的流量控制功能只能對通過端口的各種流量進行簡單的速率限制，將廣播、組播的異常流量限制在必定的範圍內，而沒法區分哪些是正常流量，哪些是異常流量。同時，如何設定一個合適的閾值也比較困難。一些交換機具備ACL，但若是ASIC支持的ACL少仍舊沒有用。通常交換機還不能對非法的ARP（源目的MAC爲廣播地址）進行特殊處理。網絡中是否會出現路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對交換機網管系統的DoS攻擊等，都是交換機面臨的潛在威脅。

在控制層，工業以太網交換機，一方面能夠借鑑這些安全技術，可是也必須意識到工業以太網交換機主要用於數據包的快速轉發，強調轉發性能以提升實時性。應用這些安全技術時將面臨實時性和成本的很大困難，以太網的應用和設計主要是基於工程實踐和經驗，網絡上主要是控制系統與操做站、優化系統工做站、先進控制工做站、數據庫服務器等設備之間的數據傳輸，網絡負荷平穩，具備必定的週期性。可是，隨着系統集成和擴展的須要、IT技術在自動化系統組件的大力應用、B/S監控方式的普及等等，對網絡安全因素下的可用性研究已經十分必要，例如猝發流量下的工業以太網交換機的緩衝區容量問題以及從全雙工交換方式轉變成共享方式對已有網絡性能的影響。因此，另外一方面，工業以太網必須從自身體系結構入手，加以應對。