有效的自动化网络

设计有效的自动化网络是一项困难的任务，不是因为物理网络难以设计，而是因为必须在其中运行的应用程序和服务的数量。物理网络由路由器、交换机和防火墙组成，通常以冗余树结构配置。树的根部有高性能的冗余核心交换机，站点或建筑物有冗余配电交换机，每层或每个区域都有接入交换机。

NIST(美国国家标准与技术研究院)的《监控和数据采集(SCADA)以及工业控制系统安全指南》为自动化物理网络中的防火墙和路由器提供了模型。然而，设计一个有效的自动化网络还需要了解使用物理网络并影响物理网络结构的应用程序和服务器的所有软网络(softnets)。

软件定义了认证、数据共享、防病毒、O/S(操作系统)补丁、应用程序补丁、DNS(域名服务)、安全认证、电子邮件、打印机服务器、路由器/交换机管理和Microsoft Vista激活等服务。许多软网结构并不反映物理网络的树形结构。

通过防火墙访问

最重要的软件之一提供身份验证服务。这些服务使用LDAP(轻量级目录访问协议)服务或Microsoft Active Directory (AD)服务器来处理用户身份验证和安全权限分配。身份验证软件是复制的AD数据库的层次结构，或者是自动化防火墙两侧都有复制服务器的“可信”LDAP服务器网络。除非仔细规划，否则复制身份验证数据库所需的网络流量可能会影响自动化通信。

数据共享软件定义了用于交换数据的应用程序和服务器。这可以通过简单的文件交换、事务消息或数据库操作来实现。跨不同车间区域的数据共享，例如从生产线MES到另一建筑物的实验室LIMS(实验室信息管理系统)，通常需要通过保护防火墙的端口。直接影响物理网络的一个软网络服务是数据历史复制网络。数据历史数据库通常从受保护的区域收集数据，并将其复制到更开放的区域，以限制通过防火墙的实时访问。复制会降低网络流量，需要在物理网络设计中考虑到这一点。

软件的影响

防病毒服务器网络和补丁服务器网络是另外两个软网络，通常存在于自动化防火墙的两侧。幸运的是，这些软件对网络流量的影响很小，但它们确实需要通过自动化防火墙的自己的路径。如果您计划使用OPC-UA(统一体系结构)或任何使用X509或任何公钥证书的安全通信协议，那么您可能需要一个安全认证服务器的软网络，这些服务器具有通过防火墙的自己的路径。大多数自动化网络还将包含一个本地DNS服务器，该服务器连接到公司DNS软网络，以便在与公司网络的通信丢失时允许本地操作。DNS软网络需要通过防火墙访问。如果您计划使用Microsoft Vista，请不要忘记本地Vista激活服务器及其与公司Vista激活服务器的连接。

最后，为了完善自动化软件，不要忘记任何必须跨越防火墙的打印服务器网络以允许在受保护区域之外远程打印的电子邮件服务器，以及IT维护人员管理防火墙两侧的各种路由器和交换机的方法。在设计基于TCP/ ip的以太网自动化网络时，必须考虑物理网络之上的所有软网络。在完成物理网络设计之前设计自动化软件，可以加快启动速度，降低安全风险。

作者信息

丹尼斯·Brandldbrandl@brconsulting.com他是位于北卡罗来纳州卡里的BR&L咨询公司的总裁。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。