1 引言
现代钢厂各生产工艺点都有独立的自动化一级系统(L1)完成其基础自动化的各项控制功能,在一级系统之上构建一个完整的管控一体化网络平台是先进生产制造企业的基本需求,该平台包括:自动化二级网络系统(L2)、综合二级网络系统(L2.5)、ERP网络系统(L3)以及自动化办公网络系统(OA)。主要完成的功能有:自动化二级系统完成各工艺点的模型计算、生产过程控制和生产数据搜集;综合二级系统完成生产计划分解、生产状态监视以及实现对二级系统数据的汇总、分析、查询、报表等应用;ERP系统完成综合二级系统和公司ERP系统的安全对接通讯;自动化办公局域网络要完成综合二级系统地应用服务在全厂办公网络的发布以及与公司办公网络系统的安全对接。因此对整个网络体系结构、逻辑网络组成进行合理规划,通过防火墙和核心交换机对不同级别网络通讯访问权限及访问策略进行不同的规划,从而搭建一个优化高效的网络平台,既可以加速网络通讯又可以保证系统安全。
2 总体网络规划
整体思路是各级网络自成独立系统,通过一定机制逐级访问。
一级网络负责各自动化控制系统(基础自动化)内部通讯,不同的控制系统的一级网络物理上是隔离的,不能直接通讯。同时,其他网络直接访问到一级网络会给控制系统设备的操控留下安全隐患,一个有效的解决方法是在基础自动化网络中设置网关控制系统(PLC系统),负责与二级网络通讯,这样二级网络是不能直接访问到设备层的。
各二级系统网络互通是数据共享所必需的,但必须受严格的访问权限制约。综合二级网络可以访问所有二级网络并为三级网络提供通讯接口。针对炼钢厂多级网络的如上特点,我们使用千兆智能网管交换机(如:WS-C3750G-12S)作为核心交换机,综合二级系统网络通过防火墙与内部办公网隔离。内部办公网与公司外网通过防火墙隔离,ERP系统通过网闸与总公司网络隔离。整体网络规划如图1所示。
3 技术方案
3.1 三层交换技术和VLAN的概念及原理
第三层交换技术就是可以处理网络第三层数据转发的交换技术。从硬件上看,与路由器有关的第三层路由硬件模块,也插接在高速背板总线上。这种方式使得路由模块可以与需要路由的其它模块间高速交换数据,从而突破了传统的外接路由器接口速率的限制。三层交换机是为IP设计的,接口类型简单,拥有很强的三层包处理能力,非常适用于大规模局域网络[1]。
Vlan(Virtual Local Area Network)即虚拟局域网,是一种建立在交换技术上,通过将一个局域网内的设备逻辑的而不是物理的划分为若干网段,从而实现虚拟工作组的新兴技术。VLAN对连接到第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中[2]。
图1 整体网络规划
3.2 二级网络与一级网络通讯
二级系统服务器既要连接一级PLC网络实现数据收集,又要与综合二级服务器进行通讯进行数据发送,最终由综合二级将数据信息上传到三级网络。考虑与一级网络通讯时必须保证控制系统的安全,要求各二级系统的服务器配备三块网卡设置成不同的网段,同时实现与其二级终端、一级PLC以及综合二级服务器的通讯,在二级服务器上形成对三个网络的隔离,二级终端只能访问各自的二级服务器;各二级服务器之间通过管理交换机VLAN设置达到逻辑隔离,同时通过设置交换机的访问控制列表实现各二级服务器之间授权访问。
3.3 综合二级与二级网络通讯
综合二级数据服务器是整个生产数据系统的核心,数据服务器采用双机热备方式提高数据安全性,综合二级数据服务器与二级、三级系统进行数据通讯,除对实时性要求较高的检化验和物流数据外,所有二级之间的数据交换都需要通过综合二级进行转发。这需要设计不同的访问策略。
在核心交换机上做访问控制列表,综合二级数据库服务器、检化验服务器、天车二级数采服务器之间可以互访,各二级服务器可以访问以上三台服务器,其他二级服务器之间不可以互访。综合二级的应用程序最终通过综合二级应用服务器发布,在综合二级应用服务器上建立Web服务,用来调用数据库服务器上的数据,各综合二级终端通过访问综合二级应用服务器将程序呈现在各工艺点及管理层,整个炉区的天车运行图通过综合二级终端链接天车Web服务器嵌入到综合二级应用服务器程序中,那么通过编写访问控制列表达到各综合二级终端只访问综合二级应用服务器及天车Web服务器的80端口,保证整个系统的安全性。各综合二级终端根据不同工艺划分不同VLAN,并通过核心交换机的DHCP自动获取IP地址。综合二级与二级网络设计
图2 综合二级与二级系统网络图
图2所示。
3.4 内部自动化办公网络(OA网)与综合二级网络通讯
3.4.1 综合二级与OA网通过防火墙隔离。
厂内管理层最终是通过OA网访问综合二级应用服务器得到全厂数据信息,在二级网络的最外层安装防火墙(ASA5510),在防火墙上做映射设置,将服务器地址映射到厂内办公局域网地址上且只开放80端口(Web浏览),如此便可实现Web应用在OA网上的发布。同时通过在防火墙上的策略设计使内部服务器对OA网的访问权限受到严格限制,保证内部网络设备及数据的安全。
3.4.2 内部办公局域网络(OA网)规划
在OA网厂内入口处设置一台防火墙,阻止外部非法访问,实现厂内外办公网络的安全隔离。同时考虑到系统内部需要对外与总公司ERP系统相通,在防火墙上做地址映射,将内部网络服务器映射到外部网络的指定IP地址,使外部网络可以通过该IP地址访问内部服务器。
为提高整个网络的安全性,避免广播风暴引起网络阻塞,整个网络计算机不能放在一个子网中,比较合理的方法是增加一台核心交换机,核心交换机与各二级交换机以及二级交换机之间在互联时采用Trunk技术,这样既增加了带宽,又提供了链路的冗余,还提高了整体网络高速、稳定和安全的运行性能。网络配置见图3。
部门间的无序访问也是影响网络安全和效率的一个重要因素。将各部门划分为不同的VLAN,VLAN之间不允许直接互访,同时又划分一个公共VLAN可以访问任意一个VLAN内的节点,既保证了各个VLAN间的逻辑隔离,又可以实现VLAN间的信息共享。如此,一个VLAN内部的广播和单播流量被限制在本VLAN之内,不会转发到其他VLAN中,如果网络中的一台计算机感染病毒也只能影响到本VLAN内部的一些机器,将病毒传播的范围大大降低,大大提高了网络的安全性。
图3 OA网络交换机配置图
图4 ERP与综合二级交换机配置图
另外,可以在核心交换机上直接设置好每台计算机的IP地址,将Mac地址与IP地址进行绑定,同时通过设置DHCP服务,使用户开机自动获取IP地址,杜绝地址冲突,便于用户使用。
3.5 ERP系统与综合二级网络通讯的规划设计
厂内的ERP网络设计为运行总公司ERP系统的一个专有网络,通过网闸接入总公司ERP网络,在内部ERP网络上根据工艺点划分不同VLAN,使各工位ERP终端之间不能互相访问,保证ERP终端的安全性。
综合二级数据库服务器与外部ERP系统有数据接口,为保证内网的安全性将厂内ERP交换机连接到内网二级网络防火墙的outside1接口上,将内网的综合二级数据库的1521端口(oracle数据库访问)映射到厂内ERP网络上,使得厂内ERP网络和公司ERP服务器可以通过访问厂内ERP网络的映射IP地址来访问二级网络中的数据服务器,然后通过编写策略将其他网段的数据阻止掉。网络拓扑图如图4。
4 结束语
对于炼钢厂这样的大型制造企业,建立一个安全高效的综合网络平台是企业信息化建设的必要基础。合理应用防火墙、WLAN、访问策略、DHCP等网络技术,既能保证自动化三级网络(L1、L2、L3)以及综合二级网络各系统数据在完全可控情况下的有序共享,也可实现与其它管理网络的互联互通,能够较好地解决网络整体效率和安全两个主要问题。
参考文献:
[1] 刘登立.应用VLAN和三层交换的企业网络安全[J].中国高新技术企业,2008,(15):107-111.
[2] 陈晓红.使用三层交换技术实现VLAN间路由[J].电脑知识与技术,2010,30(6):8454-8455.