积分商城

最新搜索: 串口助手 ARINC429 Souce Insight 3.5 Vivo手机原理图 C语言 UltraEdit
您现在的位置是:首页 > 技术资料 > 基于VRRP的远程工业控制链路的设计
推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

基于VRRP的远程工业控制链路的设计

更新时间:2019-12-30 19:46:11 大小:2M 上传用户:xiaohei1810查看TA发布的资源 标签:vrrp远程工业控制 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

针对远程工业控制单线互联链路中出现的安全性差、易中断的问题,结合IPSec隧道提供的高安全性和VRRP协议提供的简洁、有效的冗余性,设计了一种基于VRRP的远程工业控制网络链路.链路首先使用VRRP协议实现双线路冗余,然后使用IPSec隧道提高线路的安全性,最后使用防火墙进一步提高此链路的防攻击能力.实验表明,本链路可以有效克服传统的单线传输网络易中断的问题,且配置简单,安全性高.

部分文件列表

文件名 大小
基于VRRP的远程工业控制链路的设计.pdf 2M

【关注B站账户领20积分】

部分页面预览

(完整内容请下载后查看)
2017 年第 33 期  
Digitization user  
数字化用户  
工程技术  
基于VRRP的远程工业控制链路的设计  
宋小静ꢀ杜才亮  
(300300ꢀ中国民航大学电子信息与自动化学院ꢀ天津)  
针对远程工业控制单线互联链路中出现的安全性差、易中断的问题,结合IPSec隧道提供的高安全性和VRRP协  
【摘ꢀ要】  
议提供的简洁、有效的冗余性,设计了一种基于VRRP的远程工业控制网络链路。链路首先使用VRRP协议实现双线路冗余,  
然后使用IPSec隧道提高线路的安全性,最后使用防火墙进一步提高此链路的防攻击能力。实验表明,本链路可以有效克服传  
统的单线传输网络易中断的问题,且配置简单,安全性高。  
远程;工业控制;VRRP;IPSec  
【关键词】  
引言:工业控制系统指的是在自动化生产过程中所使用的  
各种设备的集合[1]。工业控制系统广泛应用在各种工业控制  
领域。随着技术的发展,工业以太网以其快速、高可靠等特点  
越来越多的被工业控制系统采用。网络化技术为工业控制拓展  
了空间和机遇,同时也带来了诸如信息安全等问题[2]。随着  
定义的安全标准,用来提供公网和专用私网的加密和认证服  
务。IPSec可以封装包数据,实现异地内网互通,且支持加  
密。IPSec应用场景可分三类:网关对网关、终端对终端、终  
端对网关。其有两种工作模式:传输模式和隧道模式。隧道  
模式比传输模式增加了一层IP头数据,可以实现内网穿透。  
两个工业以太网内部进行互联需要进行多终端对多终端  
的访问,且要求不改变既有网络架构。因此应选择网关对网  
工厂规模的扩大,各分厂之间的数据通信有着急迫的需求  
本文从工业控制系统远程总体架构、IPSec(Internet  
Protocol Security)和VRRP(Virtual Router Redundancy 关和隧道模式。  
Protocol)网络设计等三个方面论述高可靠远程工业系统互联  
的设计。  
(2)VRRP虚拟路由器冗余  
VRRP是一种路由冗余协议,它可以把一组路由器组合为  
一个虚拟路由器。设置有虚拟路由器IPVRRP路由器成为主  
1.远程工业控制系统架构  
远程工业控制系统面临的问题主要包括三个方面。第 路由,此路由器维护数据包的转发。当主路由器不可达时,  
一,自然因素如供电、温湿度、台风等影响造成的链路中 VRRP协议提供了转移机制,使网络中的计算机仍可以使用虚  
断。第二,内部因素如软件、硬件故障,操作失误等影响造 拟路由器IP作为其下一跳,保证网络的畅通。  
成的链路不通畅或中断。第三,黑客入侵造成的安全隐患。  
工控网络具有脆弱性,主要包括协议、软件漏洞、网络边界  
不明确[3]。因此远程工业控制系统应具有全面的防御系统用  
2.实验与结果  
为了验证远程工业控制系统的有效性和可用性,本文设  
计了一个实验。实验环境为同校区两个不同实验室,防火墙  
来阻挡外部入侵,另外需要设计冗余链路保证远程工业控制 为深信服安全网关MIG-1100, 路由器为Mikrotik RB951G。  
系统的可靠性。 分别设计两个链路,1、内网有线链路,2、教育网公网链  
为了解决这些问题,本文设计远程工业控制系统使用虚 路。如图2所示实验网络架构。  
拟专用网(VPN)和IPSec解决链路层数据安全问题。利用VRRP  
解决单链路失效后网络中断问题,实现链路级冗余。采用将  
路由设备放在防火墙后可减少被攻击的概率。远程工控系统  
如图1所示  
图2 实验网架构  
图3.a R-A VRRP设置  
图1 系统架构  
图中,系统分两个链路,记为链路A和链路B,两链路分  
图3.b R-B VRRP设置 图4 IPSec连接  
图2中,路由器a、c之间使用内网连接,路由器b、d之间  
别接入不同ISP来实现冗余。当单链路失效后不影响系统通 使用教育网连接。使用Router OS内建测试工具测试内网和教  
育网质量,其结果如表1所示  
Packets Loss (%) Min (ms) Avg (ms) Max (ms)  
信。两厂路由器前方有一防火墙,滤除除对方工厂IP外所有  
的连接,并防御其他外部入侵。  
(1)IPSec连接  
内网链路测试 317  
教育网链路测试 329  
0.0  
0.3  
1
78  
1
97  
6
1071  
IPSec是由Internet Engineering Task Force (IETF)  
139  
万方数据  
2017 年第 33 期  
Digitization user  
数字化用户  
工程技术  
由表1可知,内网链路质量良好,教育网链路质量不佳。  
因此设置内网链路为VRRP主路,教育网链路为VRRP辅路。在  
R-A路由器上wan口上添加VRRP端口,命名为vrrp1,设置vrid  
IPSec隧道,路由器F设置如图4所示。至此基于VRRP的实验网  
络搭建完成。测试结果如图5所示。  
由图5可知,内网、教育网两条线路畅通条件下,内网线  
为1,优先级为110。如图3.a所示。同时在R-B路由器上wan 切断后短时间内数据包自动切换到教育网线路。  
口上添加VRRP端口,命名为vrrp1,设置vrid为1,优先级为  
100。记为A组。同时在R-C、R-D相应的wan口添加VRRP端口。  
3.结论  
针对远程工业控制系统面临的问题,本文利用VRRP和  
记为B组。最后设置A组vrrp的IP为192.168.3.2/24,B组IP为 IPSec协议设计了一个安全可靠地远程连接方案。VRRP容错协  
192.168.3.3/24  
议配置简单、快速,可以适应多种网络拓扑;IPSec具有安全  
性高和内网穿透能力;两者结合可以综合两者优点,使远程  
链路安全可靠。实验结果表明,本链路可以有效克服传统的  
单线传输网络易中断的问题,且配置简单,安全性高。  
参考文献:  
[1]Wilhiot K.Who’s really attacking your ICS equipmeent[R].  
Silicon Valley:Trend Micro Incorporated,2013  
[2]戴汝为.工业控制系统信息安全联盟致辞[R].北京:工业  
控制信息安全联盟,2014  
[3]陶耀东, 李宁, 曾广圣. 工业控制系统安全综述[J]. 计算  
机工程与应用, 2016, 52(13):8-18  
[4]Kaneko H, Suzuki A. B-6-71 Router load leveling with  
changing the VRRP priority in cooperation with DHCP[C]// Society  
Conference of IEICE. The Institute of Electronics, Information and  
Communication Engineers, 2015:1060-1075  
宋小静(1992年8月),女,河北保定人,硕  
作者简介:  
士(在读一年级),中国民航大学,主要研究方向为控制科  
学与工程。  
图5 测试结果  
使用RB951G内的IPSec模块实现路由器E、F之间对等的  
(上接138页)  
实时监控:  
零件信息维护:零件号、零件名称的新增、保存、修  
改、删除。  
实时监控显示各工位当前加工工件的状态、网络连接状  
况、读写设备状况等各种实时状态和当前测量数据。  
标签初始化:  
车间信息维护:车间号、车间名称的新增、保存、修  
改、删除。  
报表:  
标签初始化程序自动侦测有无标签,当发现标签时对标  
签执行擦除工作,擦除完毕写入格式化信息,如果连续3次擦  
除或写入失败则提示标签损坏。  
合格率日报表:用图表显示每天的工件合格情况。  
合格率月报表:用图表显示每月的工件合格情况。  
合格率年报表:用图表显示每年的工件合格情况。  
四、结束语  
PDA用户登录:  
PDA程序的登录入口,当合法用户登录成功时才能使用PDA  
进行相应的功能操作、否则登录不成功则无法使用PDA操作。  
PDA更改工件状态:  
读取工件状态信息,记录该工件是工废、料废或者要  
去浸渗及返线,并将工件最终状态改为“合格”或“不合  
格”,并自动记录每次操作的时间和操作员;在PDA内存中记  
录修改信息,执行修改后需要与后台系统同步后才能生效。  
PDA读取工件信息:  
本文讲述了RFID 技术应用于汽车发动机缸体加工自动化  
生产中,实现了集RFID 技术、计算机管理技术和工业自动化  
生产一体的现代工业自动化生产追溯管理系统。利用先进科  
技手段为保障,为现代化工业自动化生产管理提供了便利、  
高效的服务,为各个生产工序的自动化控制进一步提供了便  
利条件,为产品的生产数据建立了数字化档案,为产品的质  
量追溯提供个可靠的数据链。  
参考文献:  
PDA读取工件信息,由于工件信息比较多,PDA的显示  
屏不像电脑那么大,采用分页显示,每个工位显示一页,当  
前工件有几个工位的数据就分几页显示。  
PDA数据同步:  
与后台数据库同步系统用户信息和PDA状态修改记录。系  
统用户信息进行过更新以后要与PDA进行数据同步,以便将新  
的用户数据同步到PDA,同样的,当PDA对电子标签数据进行  
操作,这些更改数据也应及时同步到系统数据库中。  
基础信息维护:  
基础信息维护包括生产线信息维护,工位信息维护,工  
件状态信息维护,零件信息维护,车间信息维护。  
生产线信息维护:生产线编号、生产线名称的新增、保  
存、修改、删除。  
工位信息维护:工位编号、工位名称、所属生产线的新  
增、保存、修改、删除。  
[1]程曦著.RFID应用指南-面向用户的应用模式、标准、  
编码及软硬件选择[M].北京:电子工业出版社  
[2]崔坚,赵欣.任术才主编.西门子S7可编程序控制器—  
Step7编程指南(第2版)[M].北京:机械工业出版社  
[3]崔坚主编,西门子工业网络通信指南[M].北京:机械  
工业出版社  
[4]苗再良.迎接RFID产业化的到来[J].信息技术与信息  
[5]游战清,李苏剑等.无线射频识别技术(RFID)原理与  
应用[M].北京:电子工业出版社,2004.8-18  
[6]周晓光等.射频识别(RFID)系统设计、仿真与应用  
[M].北京:人民邮电出版社,2008  
[7]饶元,陆淑敏,杨宝刚.面向价值链的RFID体系架构  
与企业应用[M].北京:科学出版社.2007  
姓名:李彦泽,出生年月:1979.11,性别:男,  
作者简介:  
工件状态信息维护:工件状态编号、工件状态名称的新  
增、保存、修改、删除。  
民族:汉,籍贯:河南南阳,学历:本科,研究方向:rfid技  
术,软件工程。  
140  
万方数据  

相关下载

全部评论(0)

暂无评论
评论赚积分>>

上传资源 上传优质资源有赏金

热门标签

更多>>

最新上传

  • 打赏
  • 30日榜单

热门下载

推荐下载

本站上的所有资源均为源于网上收集或者由用户自行上传,仅供学习和研究使用,无任何商业目的,版权归原作如有侵权,请 来信指出,本站将立即改正。

ICP许可证号:京ICP证070360号     21IC电子网 2000- 版权所有

京ICP备11013301号

京公网安备 11010802024343号