工業網絡方案設計虛擬人生自恒信息科技作者備注包含任何撥款/融資信息和完整的通信地址。摘要回顧工業網絡的發展，市政工程、企事業單位、工業互聯網等等，從無到有，似乎被廣泛接受，盡管其市場容量很大。但其核心設計理念、安全技術及應用并不為所有人知曉。甚至人們記住了其抗干擾工業指標、環網指標。從工業的角度來看待工業網絡，如其它的工業系統一樣（工業設計、功能設計、可用性設計、完整性設計）。其本身包括了工業網絡物理拓撲設計、網絡邏輯拓撲設計、網絡可用性設計、網絡完整性設計。顯然缺乏了邏輯網絡拓撲設計一環，工業網絡在功能上似乎與其它民用網絡沒有區別。真正設計好一個工業網絡同樣需考慮這四個方面的要素。關鍵字：工業網絡方案、網絡方案、邏輯網絡工業網絡物理拓撲設計工業網絡布網和網絡鏈路冗余特點：工業網絡不能如辦公大樓一樣布網，其設備分布比較分散。交換機端口比較少。當添加設備或更改接入端口時需要就近接入，而不能重復再拉光纜或電纜，工業控制系統往往是分層分級控制。如電廠的輔控系統，從中心到分系統（水、灰、煤），再到子系統（廢水、凝結水、。。。），同時還有橫向的能源管理系統、生產管理系統需要接入。因此，其布網特點是網格化結構，或管線狀物理拓撲結構。1） 事實上樓宇的以太網物理拓撲也往往采用捷聯聯方式形成環網拓撲結構，以滿足弱電系統布線要求，非信息中心機房的布線采用環網或網格化拓撲布線較為合理。2） 交換機捷聯環網冗余時，生成樹的鏈路冗余切換時間過長，2008年時還沒有快速生成樹算法，而且其切換時間受網絡規模和拓撲結構的影響。所以工業網絡物理拓撲獲得成功。如圖1所示：星網結構和環網結構，交換機供電電路和星網拓撲布線難以一致，若網絡線路不能與弱電系統一起布線，則需要獨立布線的成本，樓宇布線相對成本低一些。而企業布獨立網線需重新設計走線架等。成本很高。交換機| |交換機| |交換機 交換機網絡邏輯拓撲設計標準的計算機系統網絡是以太網架構，當采用TCP-UDP/IP作為三層互聯傳輸協議時，才分為局域網和廣域網。局域網也是建立在以太網基礎上的，實質上是采用IP協議的以太網。工業以太網基礎上的工業協議，如：幾乎所有的知名自動化公司都推出了以太網架構上的網絡傳輸和應用協議。直到2000年后又進化成TCP-UDP/IP形式的互聯網工業協議。網絡邏輯拓撲設計主要的目標是把實際的各類信息系統架構在其專用虛擬局域網內，實現信息業務系統間無擾運行、維護、建設。工業環網和網格化架構，導致一個原本采用工業總線時不存在的問題。由于以太網的帶寬遠高于現場總線。即如何共享網絡資源，讓不同系統或分系統都能共享網絡帶寬資源。考慮到各類應用業務系統有不同的運行、維護、拓展要求。需要把不同的業務系統或子系統置于各自專用的VLAN架構中。使得各系統的運行不受其它信息業務系統的影響。如圖2所示，通過對業務系統通訊端口的設置，3個系統及他們間的通訊都可以在VLAN架構內運行。所有這些VLAN的設置和計算都是網管軟件處理的。用戶僅需要按導引做就可以設計自己各類信息業務的業務虛擬局域網。如圖3所示圖3,由于國內的網管軟件，大多不支持VLAN邏輯規劃設計，借用自恒信息科技公司的網絡及網絡安全一體化設計平臺（網管軟件）導引示意說明具體VLAN拓撲設計過程。完成了邏輯拓撲設計后各系統運行在自己的專用虛擬局域網內，安全得到了極大的提高。真正的安全隔離，分布式交換，不受限于物理網的拓撲結構。目前很多系統間的隔離一般采用ACL（訪問控制列表），防火墻（五元組）、路由器和交換機無不如此。即用路由網關打通VLAN，再采用ACL一般進出規則限定訪問。1） 進出規則是單向防護，例如：進規則，允許系統1的計算機入進入系統2訪問計算機B。其它通訊不允許。由于是進規則，系統1內的計算機實際上都能出去訪問系統2.的計算機，但是由于系統2計算機的回送包受阻于進規則，故不能ping通，但是實際上系統1的計算機可以通過誤設重復的IP攻擊系統2的計算機。通過了PING測試，用戶以為隔離了業務系統，實際上被IP穿透攻擊了。2） 采用ACL（訪問控制列表），必然受限于物理檢測端口的影響，中間網絡鏈路冗余切換需要考慮，而且容易引起數據繞行，加重核心層的交換負擔和通訊延遲。無法實現分布式網絡交換容量的優勢3）部分情況下無法實現訪問控制，例如：在單臂路由的情況下，難以采用ACL，來實現匯聚層和接入層的訪問控制。4）隨著虛機技術發展，源IP偽造技術防范的提高，木馬病毒可以偽造任意的源IP，造成安全域、系統邊界防護失效。而程序無法偽造VLANTAG標簽。網絡的可用性設計除了某些行業規定外，網絡系統的設計應該遵循可用性原則：即系統失效分析。其設計目的在于規劃網絡系統和信息業務系統整體的可靠性。1）通過系統失效分析，很容易得出一些違反直覺的設計結論，例如：如果網絡節點或子系統失效會導致系統整體失效，則這些子系統網絡應合并成一個網絡以減少通訊設備數量。增加系統可靠性或進行冗余設計。2）當設備或子系統失效不會引起系統失效，則反而可以設計成獨立網絡，減少對關鍵子系統運行的影響。顯而易見的是虛擬局域網能夠大幅降低設備數量，線性正比地提高系統可靠性，需要各類關鍵子系統并網運行來減少故障概率。網絡系統的完整性分析.完整性設計是工業系統設計的重要環節，也是規范化設計的要求，在計算機系統、網絡系統和軟件系統都有很多項目。其主要目的是考慮網絡和信息系統的意外風險的評估、檢測和處理。例如：計算機網絡通訊的內存數據和程序指令傳送，都需要奇偶校驗°TCP、UDP、應用通訊協議都有CRC校驗。VLAN應用本身就是隔離應用業務系統，減少不必要的交叉誤操作影響，等等不再重復。在此重點采用完整性的評估方法，對網絡病毒的作完整性評估處理。1） 未激活的網絡病毒和計算機病毒，以程序代碼方式傳播，為了不破壞程序代碼結構。只能以文件方式傳播。故防范重點在于計算機的程序運行監控軟件，殺毒軟件。可采用虛機沙箱技術（郵件檢測）、運行監控的白名單技術、殺毒軟件的病毒代碼檢測等。2） 已激活的木馬病毒、其原理和功能主要是竊取用戶數據，操控用戶計算機。其操控指令和用戶數據沒有病毒代碼特征。同時為了打通出網連通黑客計算機，其具有通過IP欺騙手段和偽造源IP的能力。能夠自主尋找出網途徑。IP欺騙會造成網關劫持、DHCP劫持等危害甚至癱瘓網絡的嚴重結果。后門程序同樣如此。3） 已激活的蠕蟲病毒必須通過IP掃描尋找存活主機本攻擊計算機，并同時有傳遞病毒代碼并重組代碼的能力，滲透攻擊程序同樣如此。目前網絡防范措施的缺陷：旁路檢測：防火墻和反入侵設備的能力主要依賴于代碼檢測，單個數據包需匹配比較數以萬計的病毒特征代碼顯然無法實現。不僅僅單個數據包難以呈現病毒特征，即使是數個數據包也難以呈現病毒特征。而且檢查速度無法匹配網絡數據速率。直連檢測：防火墻技術普遍采用ACL訪問控制列表，同交換機和路由器的ACL一樣，沒有區別，網絡安全檢測都和實際網絡攻擊原理不相符。顯然任何完整性設計必須也應該針對每一項風險做出合理的措施。其它完整性風險分析：1） 網絡端口空置是否會導致非法侵入發生：系統包裹在其VLAN中，不會發生，同時網管軟件能自動檢測。2） 網絡交換機物理上聯口網管軟件有拓撲實時檢測。不會發生斷網時，無法定位故障點。3） 在設計網絡冗余時，有冗余拓撲鏈路檢測，避免設計錯誤引入實際施工，也可避免拓撲測試調整時發生設置錯誤4） 網絡本身所有信息系統都運行在自己專用的虛擬局域網中，單系統測試、維護、拓展不會影響到其他系統正常運行總結.如何網絡設計是一門技