工業以太網

-一個典型的工業以太網絡環境，有以下三類網絡器件：

FC 快速連接插座

ELS（工業以太網電氣交換機）

ESM（工業以太網電氣交換機）

SM（工業以太網光纖交換機）

MC TP11（工業以太網光纖電氣轉換模塊）

普通雙絞線，工業屏蔽雙絞線和光纖

PLC控制器上的工業以太網通訊處理器。用於將PLC連接到工業以太網。

PG/PC 上的工業以太網通訊處理器。用於將PG/PC連接到工業以太網 ^[1]  。

當以太網用於信息技術時，應用層包括HT-TP、FTP、SNMP等常用協議，但當它用於工業控制時，體現在應用層的是實時通信、用於系統組態的對象以及工程模型的應用協議，至21世紀，還沒有統一的應用層協議，但受到廣泛支持並已經開發出相應產品的有4種主要協議：HSE、Modbus TCP/IP、ProfINet、Ethernet/IP。

基金會現場總線FF於2000年發佈Ethernet規範，稱HSE(High Speed Ethernet)。HSE是以太網協議IEEE802.3，TCP/IP協議族與FFIll的結合體。FF現場總線基金會明確將HSE定位於實現控制網 絡與Internet的集成。

HSE技術的一個核心部分就是鏈接設備，它是HSE體系結構將Hl(31.25kb/s)設備連接 100Mb/s的HSE主幹網的關鍵組成部分，同時也具有網橋和網關的功能。網橋功能能夠用於連接多個H1總線網段，使同H1網段上的H1設備之間能夠進 行對等通信而無需主機系統的干涉;

網關功能允許將HSE網絡連接到其他的工廠控制網絡和信息網絡，HSE鏈接設備不需要為H1子系統作報文解釋，而是將來自H1總線網段的報文數據集合起來並且將Hl地址轉化為IP地址 ^[2]  。

該協議由施耐德公司推出，以一種非常簡單的方式將Modbus幀嵌入到TCP幀中，使Modbus與以太網和TCP/IP結合，成為Modbus TCP/IP。這是一種面向連接的方式，每一個呼叫都要求一個應答，這種呼叫/應答的機制與Modbus的主/從機制相互配合，使交換式以太網具有很高的 確定性，利用TCP/IP協議，通過網頁的形式可以使用户界面更加友好。

利用網絡瀏覽器便查看企業網內部設備運行情況。施耐德公司已經為Mod-bus註冊了502端口，這樣就可以將實時數據嵌人到網頁中，通過在設備中嵌入Web服務器，就可以將Web瀏覽器作為設備的操作終端。

針對工業應用需求，德國西門子於2001年發佈了該協議，它是將原有的Profibus與互聯網技術結合，形成了ProfiNet的網絡方案，主要包括：

基於組件對象模型(COM)的分佈式自動化系統;

規定了ProfiNet現場總線和標準以太網之間的開放、透明通信;

提供了一個獨立於製造商，包括設備層和系統層的系統模型。

ProfiNet採用標準TCP/IP十以太網作為連接介質，採用標準TCP/IP協議加上應用層的RPC/DCOM來完成節點間的通信和網絡尋址。它可以同時掛接傳統Profibus系統和新型的智能現場設備。

現有的Profibus網段可以通過一個代理設備(proxy)連接到ProfiNet網絡當中，使整Profibus設備和協議能夠原封不動地在 Pet中使用。傳統的Profibus設備可通過代理proxy與ProFiNET上面的COM對象進行通信，並通過OLE自動化接口實現COM對象間的 調用。

Ethernet/IP是適合工業環境應用的協議體系。它是由ODVA(Open Devicenet Vendors Asso-cation)和Control Net International兩大工業組織推出的最新成員與Device Net和Control Net一樣，它們都是基於CIP(Controland Information Proto-Col)協議的網絡。它是一種是面向對象的協議，能夠保證網絡上隱式(控制)的實時I/O信息和顯式信息(包括用於組態、參數設置、診斷等) 的有效傳輸。

Ethernet/IP採用和Devicenet以及ControlNet相同的應用層協議CIP。因此，它們使用相同的 對象庫和一致的行業規範，具有較好的一致性。Ethernet/IP採用標準的Ethernet和TCP/IP技術傳送CIP通信包，這樣通用且開放的應 用層協議CIP加上已經被廣泛使用的Ethernet和TCP/IP協議，就構成Ethernet/IP協議的體系結構。

工業以太網是應用於工業控制領域的以太網技術，在技術上與商用以太網（即IEEE 802.3標準）兼容，但是實際產品和應用卻又完全不同。這主要表現普通商用以太網的產品設計時，在材質的選用、產品的強度、適用性以及實時性、可互操作性、可靠性、抗干擾性、本質安全性等方面不能滿足工業現場的需要。故在工業現場控制應用的是與商用以太網不同的工業以太網。然而工業以太網的優勢在哪裏呢？

以太網是應用最廣泛的計算機網絡技術，幾乎所有的編程語言如Visual C++、Java、VisualBasic等都支持以太網的應用開發。

10、100 Mb/s的快速以太網已開始廣泛應用，1Gb/s以太網技術也逐漸成熟，而傳統的現場總線最高速率只有12Mb/s（如西門子Profibus-DP）。顯然，以太網的速率要比傳統現場總線要快的多，完全可以滿足工業控制網絡不斷增長的帶寬要求。

隨着Internet/ Intranet的發展，以太網已滲透到各個角落，網絡上的用户已解除了資源地理位置上的束縛，在聯入互聯網的任何一台計算機上就能瀏覽工業控制現場的數據，實現“控管一體化”，這是其他任何一種現場總線都無法比擬的。

以太網的引入將為控制系統的後續發展提供可能性，用户在技術升級方面無需獨自的研究投入，對於這一點，任何現有的現場總線技術都是無法比擬的。同時，機器人技術、智能技術的發展都要求通信網絡具有更高的帶寬和性能，通信協議有更高的靈活性，這些要求以太網都能很好地滿足 ^[3]  。

為了應用於嚴酷的工業環境，確保工業應用的安全可靠，SIMATIC NET 為以太網技術補充了不少重要的性能：

工業以太網技術上與IEEE802.3/802.3u兼容，使用ISO和TCP/IP 通訊協議

10/100M 自適應傳輸速率

冗餘24VDC 供電

簡單的機櫃導軌安裝

方便的構成星型、線型和環型拓撲結構

高速冗餘的安全網絡，最大網絡重構時間為0.3 秒

用於嚴酷環境的網絡元件，通過EMC 測試

通過帶有RJ45 技術、工業級的Sub-D 連接技術和安裝專用屏蔽電纜的Fast Connect連接技術，確保現場電纜安裝工作的快速進行

簡單高效的信號裝置不斷地監視網絡元件

符合SNMP（簡單的網絡管理協議）

可使用基於web 的網絡管理

使用VB/VC 或組態軟件即可監控管理網絡 ^[4] 

工業以太網技術具有價格低廉、穩定可靠、通信速率高、軟硬件產品豐富、應用廣泛以及支持技術成熟等優點，已成為最受歡迎的通信網絡之一。近些年來，隨着網絡技術的發展,以太網進入了控制領域，形成了新型的以太網控制網絡技術。這主要是由於工業自動化系統向分佈化、智能化控制方面發展，開放的、透明的通訊協議是必然的要求。以太網技術引入工業控制領域，其技術優勢非常明顯： ^[5] 

（一）Ethernet是全開放、全數字化的網絡，遵照網絡協議不同廠商的設備可以很容易實現互聯。

（二）以太網能實現工業控制網絡與企業信息網絡的無縫連接，形成企業級管控一體化的全開放網絡。

（三）軟硬件成本低廉，由於以太網技術已經非常成熟，支持以太網的軟硬件受到廠商的高度重視和廣泛支持，有多種軟件開發環境和硬件設備供用户選擇。

（四）通信速率高，隨着企業信息系統規模的擴大和複雜程度的提高，對信息量的需求也越來越大，有時甚至需要音頻、視頻數據的傳輸，當前以太網的通信速率為10M、100M的快速以太網開始廣泛應用，千兆以太網技術也逐漸成熟，10G以太網也正在研究，其速率比現場總線快很多。

（五）可持續發展潛力大，在這信息瞬息萬變的時代，企業的生存與發展將很大程度上依賴於一個快速而有效的通信管理網絡，信息技術與通信技術的發展將更加迅速，也更加成熟，由此保證了以太網技術不斷地持續向前發展。

PROFInet可以提供辦公室和自動化領域開放的、一致的連接。PROFInet方案覆蓋了分散自動化系統的所有運行階段，它主要包含以下方面：⑴高度分散自動化系統的開放對象模型（結構模型）；⑵基於Ethernet的開放的、面向對象的運行期通信方案（功能單元間的通信關係）；⑶獨立於製造商的工程設計方案（應用開發）。PROFInet方案可以用一條等式簡單而明瞭地描述：PROFInet=Profibus+具有PROFIBUS和IT標準Ethernet的開放的、一致的通信。

1.1 PROFInet設備的軟件結構

PROFInet設備的軟件覆蓋了現場設備的整個運行期通信,基於模塊化設計的軟件包含若干通信層，每層都與系統環境一致。PROFInet軟件主要包括一個RPC（Remote Procedure Call）層，一個DCOM（Distributed Component Object Model）層和一個專門為PROFInet對象定義的層。PROFInet對象可以是ACCO（Active Connection Control Object）設備、RT auto（Runtime Automation）設備、物理設備或邏輯設備。軟件中定義的實時數據通道提供PROFInet對象與以太網間的實時通信服務。PROFInet通過系統接口連接到操作系統（如WinCE），通過應用接口連接到控制器（如PLC）。

PROFInet的運行期軟件位於一個目錄固定的結構中，可以分為核心目錄和系統應用目錄。若通信開始而核心目錄中的文件未改變，則系統應用目錄中的部分文件必須重建。所有的系統應用都是指向系統接口和應用接口，實現PROFInet設備的各項功能。PROFInet設備的軟件結構可以用圖1描述如下：

PROFInet設備的軟件結構決定了PROFInet設備可以從企業管理層到現場層直接、透明地訪問，並且提供對TCP/IP協議的絕對支持。PROFInet技術使企業用户能夠方便地對現有的系統進行擴展和集成，是一種優化的工業以太網通信標準。

1.2 PROFInet在現場設備上的移植

作為一種開放的資源，PROFInet軟件通過移植到設備上的TCP/IP協議棧來完成在其他設備製造商的產品中快速而簡單地實現。具體過程為：首先將開放資源的RPC接口連接到TCP/IP協議棧和設備操作系統中的系統集成；然後再將PROFInet協議棧的DCOM（Discrete Component Object Module）機制集成到設備的操作系統中；最後實現物理設備和邏輯設備對象、運行期對象和活動控制連接對象的設備專用的DCOM應用。為單個部件組裝PROFInet設備時還必須用XML創建相應的描述。

一個PROFInet設備的XML文件中應包括下列數據：

⑴PROFInet設備的名稱和ID號；

⑵PROFInet設備的IP地址，診斷數據的訪問方式和設備連接方式；

⑶PROFInet設備的硬件分配，設備接口以及為各接口定義的變量、數據類型與格式；

⑷PROFInet設備在整個工程中的保存地址。PROFInet設備將它的所有功能封裝到其軟件中，並提供變量接口與其它的PROFInet設備相連。變量接口的每個變量都代表一個確定的子功能，包括運行、輸入/輸出使能、復位、結束、停機、啓動和錯誤。一個PROFInet設備中封裝的可以是一個控制器、一個執行器甚至是一個控制網絡。圖2所示的PROFInet設備中封裝了一個Profibus-DP控制網絡。

PROFInet設備之間通過DCOM模塊進行通信。在PROFInet設備連接編輯器的圖形界面中可以方便地實現各PROFInet設備間的連接。一個具有沖洗、灌裝、封口和包裝4個環節的飲料生產廠家的生產流程可以用4個PROFInet設備串連連接實現（見圖3）。

所有設備的接口都在PROFInet中做了一致的定義，因此都能夠靈活地組合和重新使用，用户不必考慮各設備的內部運行機制。此外，PROFInet還集成了故障安全通信標準行規PROFIsafe，滿足對人員、設備和環境的全面安全的需求，可用於故障安全應用。

PROFInet設備通信功能的實現是基於傳統的Ethernet通信機制（如TCP或UDP），同時又採用RPC和DCOM機制進行加強。DCOM可視為用於基於RPC分佈式應用的COM技術的擴展，可以採用優化的實時通信機制應用於對實時性要求苛刻的應用領域。在運行期間，PROFInet設備以DCOM對象的形式映像，通過對象協議機制確保了DCOM對象的通信。COM對象作為PDU以DCOM協議定義的形式出現在通信總線上。通過DCOM佈線協議DCOM定義了對象的標識和具有有關接口和參數的方法，這樣就可以在通信總線上進行標準化的DCOM信息包的傳輸。對於更高層次上的通信，PROFInet可以採用集成OPC（OLE for Process Control）接口技術的方式。

2.1 PROFInet的基本通信方式

PROFInet根據不同的應用場合定義了三種不同的通信方式：使用TCP/IP的標準通信；實時RT（Real-time）通信和同步實時IRT通信。PROFInet設備能夠根據通信要求選擇合適的通信方式。

PROFInet使用以太網和TCP/IP協議作為通信基礎，在任何場合下都提供對TCP/IP通信的絕對支持。由於絕大多數工廠自動化應用場合對實時響應時間要求較高，為了能夠滿足自動化中的實時要求，PROFInet中規定了基於以太網層2的優化實時通信通道，該方案極大地減少了通信棧上佔用的時間，提高了自動化數據刷新方面的性能。PROFInet不僅最小化了可編程控制器中的通信棧，而且對網絡中傳輸數據也進行了優化。採用PROFInet通信標準，系統對實時應用的響應時間可以縮短到5～10ms。PROFInet同時還支持高性能同步運動控制應用,在該應用場合PROFInet提供對100個節點響應時間低於1ms的同步實時（IRT）通信，該功能是由層2上內嵌的同步實時交換芯片ERTEC提供的。PROFInet的通信循環如圖4所示。

在PROFInet設備的一個通信循環週期內，既包括IRT實時通信，又包括TCP/IP標準通信。PROFInet通信技術在很多應用場合都能體現出其極大的優越性。工程實踐表明，在同步運動控制場合採用PROFInet提供的IRT通信，系統性能將比採用現場總線方案提升近100倍。

2.2 PROFInet與OPC的集成

由於PROFInet與OPC均採用了DCOM通訊機制，因此PROFInet通訊技術可以很容易地與OPC接口技術集成，以實現數據在更高通信層次上的交換。OPC接口設備在工控領域的應用十分廣泛，OPC接口技術定義了OPC DA（Data Access）與OPC DX（Data Exchange）兩個通信標準，分別應用於傳輸實時數據和實現異類控制網絡間數據的交換。在PROFInet中集成OPC DX接口可以實現一個開放的連接至其他系統，集成機制如下：

⑴ 基於PROFInet的實時通信機制，每個PROFInet節點可以作為一個OPC服務器被尋址；

⑵ 每個OPC服務器可以通過標準接口而作為一個PROFInet節點被操作。PROFInet的功能性遠比OPC優越，PROFInet技術與OPC接口技術的集成不僅可以實現自動化領域對實時通信的要求，還可以實現系統之間在更高層次上的交互。

PROFInet是一種優越的通信技術，並已成功地應用於分佈式智能控制。PROFInet為分佈式自動化系統結構的實現開闢了新的前景，可以實現全廠工程徹底模塊化，包括機械部件、電氣/電子部件和應用軟件。PROFInet支持各種形式的網絡結構，使接線費用最小化，並保證高度的可用性。此外，特別設計的工業電纜和耐用的連接器滿足EMC和温度要求並形成標準，保證了不同製造設備之間的兼容性。

PROFInet不僅可以應用於分佈式智能控制，而且還逐漸進入到過程自動化領域。在過程自動化領域，PROFInet針對工業以太網總線供電以及以太網本質在安全領域應用的問題正在形成標準或解決方案，採用PROFInet集成的Profibus現場總線可以為過程自動化工業提供優越的解決方案（如圖5所示）：

採用PROFInet通訊技術，不僅可以集成Profibus現場設備，還可以通過代理服務器（Proxy）實現其它種類的現場總線網絡的集成。採用這種統一的面對未來的設計概念，工廠內各部件都可以作為獨立模塊預先組裝測試，然後在整個系統中輕鬆組裝或在其他項目中重複使用。譬如對於一個汽車生產企業而言，PROFInet支持的實時解決方案完全可以滿足車體車間、噴漆車間和組裝部門等對響應時間的要求，在機械工程及發動機和變速箱生產環節中的車牀同步等方面則可使用PROFInet的同步實時功能。 ^[5] 

PROFInet可以保證對現有系統投資的高度保護，並使工廠擁有創新標準的優越性。鑑於PROFInet通訊技術的優越性，已經有部分生產廠家（如西門子,施奈德）。

選擇正確的工業以太網要考慮哪些因素？簡單的來説，要從工業以太網通訊協議、電源、通信速率、工業環境認證考慮、安裝方式、外殼對散熱的影響、簡單通信功能和通信管理功能、電口或光口的考慮。信號強弱、端口設置、出錯報警、串口使用、主幹（TrunkingTM)冗餘、環網冗餘、服務質量（QoS）、虛擬局域網（VLAN）、簡單網絡管理協議（SNMP）、端口鏡像等等其他工業以太網管理交換機中可以提供的功能。

從快速生成樹冗餘（RSTP）、環網冗餘（RapidRingTM）到主幹冗餘（TrunkingTM），

工業以太網設備包括以下幾個重要部分。

工業以太網集線器

工業以太網非管理型交換機

工業以太網管理型交換機

工業以太網管理型冗餘交換機

高級的管理型冗餘交換機提供了一些特殊的功能，特別是針對有穩定性、安全性方面嚴格要求的冗餘系統進行了設計上的優化。構建冗餘網絡的主要方式主要有以下幾種，STP、RSTP；環網冗餘RapidRingTM以及Trunking。

1工業以太網 STP及RSTP

STP(Spanning Tree Protocol，生成樹算法，IEEE 802.1D），是一個鏈路層協議，提供路徑冗餘和阻止網絡循環發生。它強令備用數據路徑為阻塞（blocked）狀態。如果一條路徑有故障，該拓撲結構能借助激活備用路徑重新配置及鏈路重構。網絡中斷恢復時間為30-60s之間。RSTP（快速生成樹算法，IEEE 802.1w）作為STP的升級，將網絡中斷恢復時間，縮短到1-2s。生成樹算法網絡結構靈活，但也存在恢復速度慢的缺點。

2 工業以太網環網冗餘

為了能滿足工控網絡實時性強的特點，RapidRing孕育而生。這是在工業以太網網絡中使用環網提供高速冗餘的一種技術。這個技術可以使網絡在中斷後300ms之內自行恢復。並可以通過工業以太網交換機的出錯繼電連接、狀態顯示燈和SNMP設置等方法來提醒用户出現的斷網現象。這些都可以幫助診斷環網什麼地方出現斷開。

RapidRingTM也支持兩個連接在一起的環網，使網絡拓樸更為靈活多樣。兩個環通過雙通道連接，這些連接可以是冗餘的，避免單個線纜出錯帶來的問題。

3 工業以太網主幹冗餘

將不同交換機的多個端口設置為Trunking主幹端口，並建立連接，則這些工業以太網交換機之間可以形成一個高速的骨幹鏈接。不但成倍的提高了骨幹鏈接的網絡帶寬，增強了網絡吞吐量，而且還還提供了另外一個功能，即冗餘功能。如果網絡中的骨幹鏈接產生斷線等問題，那麼網絡中的數據會通過剩下的鏈接進行傳遞，保證網絡的通訊正常。Trunking主幹網絡採用總線型和星型網絡結構，理論通訊距離可以無限延長。該技術由於採用了硬件偵測及數據平衡的方法，所以使網絡中斷恢復時間達到了新的高度，一般恢復時間在10ms以下。

相信絕大多數人都熟悉集線器。很多人使用這種簡易設備去連接各種基於以太網的設備，如個人計算機，可編程控制器等。集線器接收到來自某一端口的消息，再將消息廣播到其它所有的端口。對來自任一端口的每一條消息，集線器都會把它傳遞到其它的各個端口。在消息傳遞方面，集線器是低速低效的，可能會出現消息衝突。然而，集線器的使用非常簡單－實際上可以即插即用。集線器沒有任何華而不實的功能，也沒有冗餘功能。

以太網連接設備發展的下一代產品是管理型交換機。相對集線器和非管理型交換機，管理型交換機擁有更多更復雜的功能，價格也高出許多－通常是一台非管理型交換機的3～4倍。管理型交換機提供了更多的功能，通常可以通過基於網絡的接口實現完全配置。它可以自動與網絡設備交互，用户也可以手動配置每個端口的網速和流量控制。一些老設備可能無法使用自動交互功能，因此手動配置功能是必不可缺的。

絕大多數管理型交換機通常也提供一些高級功能，如用於遠程監視和配置的SNMP（簡單網絡管理協議），用於診斷的端口映射，用於網絡設備成組的VLAN（虛擬局域網），用於確保優先級消息通過的優先級排列功能等。利用管理型交換機，可以組建冗餘網絡。使用環形拓撲結構，管理型交換機可以組成環形網絡。每台管理型交換機能自動判斷最優傳輸路徑和備用路徑，當優先路徑中斷時自動阻斷（block）備用路徑。

集線器的發展產生了一種叫非管理型交換機的設備。它能實現消息從一個端口到另一個端口的路由功能，相對集線器更加智能化。非管理型交換機能自動探測每台網絡設備的網絡速度。另外，它具有一種稱為“MAC地址表”的功能，能識別和記憶網絡中的設備。換言之，如果端口2收到一條帶有特定識別碼的消息，此後交換機就會將所有具有那種特定識別碼的消息發送到端口2。這種智能避免了消息衝突，提高了傳輸性能，相對集線器是一次巨大的改進。然而，非管理型交換機不能實現任何形式的通信檢測和冗餘配置功能。

工業以太網是當前工業控制領域的研究熱點。工業以太網重點在於利用交換式以太網技術為控制器和操作站，各種工作站之間的相互協調合作提供一種交互機制並和上層信息網絡無縫集成。工業以太網開始在監控層網絡上逐漸佔據主流位置，正在向現場設備層網絡滲透。工業以太網相對於以往自動化技術有很多優勢，然而事物是相對的，在我們享受開放互聯技術進步的成果同時應該對它們存在的隱患和可能帶來的嚴重後果要有深刻認識。

雖然脱胎於Intranet、Internet等類型的信息網絡，但是工業以太網是面向生產過程，對實時性、可靠性、安全性和數據完整性有很高的要求。既有與信息網絡相同的特點和安全要求，也有自己不同於信息網絡的顯著特點和安全要求：

⑴工業以太網是一個網絡控制系統，實時性要求高，網絡傳輸要有確定性。

⑵整個企業網絡按功能可分為處於管理層的通用以太網和處於監控層的工業以太網以及現場設備層（如現場總線）。管理層通用以太網可以與控制層的工業以太網交換數據，上下網段採用相同協議自由通信。

⑶工業以太網中週期與非週期信息同時存在，各自有不同的要求。週期信息的傳輸通常具有順序性要求，而非週期信息有優先級要求，如報警信息是需要立即響應的。

⑷工業以太網要為緊要任務提供最低限度的性能保證服務，同時也要為非緊要任務提供盡力服務，所以工業以太網同時具有實時協議也具有非實時協議。

⑴工業以太網應該保證實時性不會被破壞，在商業應用中，對實時性的要求基本不涉及安全，而過程控制對實時性的要求是硬性的，常常涉及生產設備和人員安全。

⑵當今世界舞台，各種競爭異常激烈。對於很多企業尤其是掌握領先技術的企業，作為其技術實際體現的生產工藝往往是企業的根本利益。一些關鍵生產過程的流程工藝乃至運行參數都有可能成為對手竊取的目標。所以在工業以太網的數據傳輸中要防止數據被竊取。

⑶開放互聯是工業以太網的優勢，遠程的監視、控制、調試、診斷等極大的增強了控制的分佈性、靈活性，打破了時空的限制，但是對於這些應用必須保證經過授權的合法性和可審查性 ^[6]  。

⑴在傳統工業工業以太網中上下網段使用不同的協議無法互操作，所以使用一層防火牆防止來自外部的非法訪問，但工業以太網將控制層和管理層連接起來，上下網段使用相同的協議，具有互操作性，所以使用兩級防火牆，第二級的防火牆用於屏蔽內部網絡的非法訪問和分配不同權限合法用户的不同授權。另外還可用根據日誌記錄調整過濾和登錄策略。

要採取嚴格的權限管理措施，可以根據部門分配權限，也可以根據操作分配權限。由於工廠應用專業性很強，進行權限管理能有效避免非授權操作。同時要對關鍵性工作站的操作系統的訪問加以限制，採用內置的設備管理系統必須擁有記錄審查功能，數據庫自動記錄設備參數修改事件：誰修改，修改的理由，修改之前和之後的參數，從而可以有據可查。

⑵在工業以太網的應用中可以採用加密的方式來防止關鍵信息竊取。主要存在兩種密碼體制：對稱密碼體制和非對稱密碼體制。對稱密碼體制中加密解密雙方使用相同的密鑰且密鑰保密，由於在通信之前必須完成密鑰的分發，該體制中這一環節是不安全的。所以採用非對稱密碼體制，由於工業以太網發送的多為週期性的短信息，所以採用這種加密方式還是比較迅速的。對於工業以太網來説是可行的。還要對外部節點的接入加以防範。

⑶工業以太網的實時性主要是由以下幾點保證：限制工業以太網的通信負荷，採用100M的快速以太網技術提高帶寬，採用交換式以太網技術和全雙工通信方式屏蔽固有的CSMA/CD機制。隨着網絡的開放互連和自動化系統大量IT技術的引入，加上TCP/IP協議本身的開放性和層出不窮的網絡病毒和攻擊手段，網絡安全可以成為影響工業以太網實時性的一個突出問題。

在互聯網上充斥着類似Slammer、“衝擊波”等蠕蟲病毒和其它網絡病毒的襲擊。以蠕蟲病毒為例，這些蠕蟲病毒攻擊的直接目標雖然通常是信息層網絡的PC機和服務器，但是攻擊是通過網絡進行的，因此當這些蠕蟲病毒大規模爆發時，交換機、路由器會首先受到牽連。用户只有通過重啓交換路由設備、重新配置訪問控制列表才能消除蠕蟲病毒對網絡設備造成的影響。蠕蟲病毒攻擊能夠導致整個網絡的路由震盪，這樣可能使上層的信息層網絡部分流量流入工業以太網，加大了它的通信負荷，影響其實時性。在控制層也存在不少計算機終端連接在工業以太網交換機，一旦終端感染病毒，病毒發作即使不能造成網絡癱瘓，也可能會消耗帶寬和交換機資源。

工業以太網交換機通常是二層交換機，而MAC地址是二層交換機工作的基礎，網絡依賴MAC地址保證數據的正常轉發。動態的二層地址表在一定時間以後（AGE TIME）會發生更新。如果某端口一直沒有收到源地址為某一MAC地址的數據包，那麼該MAC地址和該端口的映射關係就會失效。這時，交換機收到目的地址為該MAC地址的數據包就會進行泛洪處理，對交換機的整體性能造成影響，能導致交換機的查錶速度下降。而且，假如攻擊者生成大量數據包，數據包的源MAC地址都不相同，就會充滿交換機的MAC地址表空間，導致真正的數據流到達交換機時被泛洪出去。這種通過複雜攻擊和欺騙交換機入侵網絡方式，已有不少實例。一旦表中MAC地址與網絡段之間的映射信息被破壞，迫使交換機轉儲自己的MAC地址表，開始失效恢復，交換機就會停止網絡傳輸過濾，它的作用就類似共享介質設備或集線器，CSMA/CD機制將重新作用從而影響工業以太網的實時性。

信息層網絡採用的交換機安全技術主要包括以下幾種。

流量控制技術 ，把流經端口的異常流量限制在一定的範圍內。訪問控制列表（ACL）技術 ，ACL通過對網絡資源進行訪問輸入和輸出控制，確保網絡設備不被非法訪問或被用作攻擊跳板。安全套接層（SSL） 為所有 HTTP流量加密，允許訪問交換機上基於瀏覽器的管理 GUI。802.1x和RADIUS 網絡登錄 控制基於端口的訪問，以進行驗證和責任明晰。源端口過濾只允許指定端口進行相互通信。Secure Shell （SSHv1/SSHv2） 加密傳輸所有的數據，確保IP網絡上安全的CLI遠程訪問。安全FTP 實現與交換機之間安全的文件傳輸，避免不需要的文件下載或未授權的交換機配置文件複製。不過，應用這些安全功能仍然存在很多實際問題，例如交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的範圍內，而無法區分哪些是正常流量，哪些是異常流量。同時，如何設定一個合適的閾值也比較困難。一些交換機具有ACL，但如果ASIC支持的ACL少仍舊沒有用。一般交換機還不能對非法的ARP（源目的MAC為廣播地址）進行特殊處理。網絡中是否會出現路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對交換機網管系統的DoS攻擊等，都是交換機面臨的潛在威脅。

在控制層，工業以太網交換機，一方面可以借鑑這些安全技術，但是也必須意識到工業以太網交換機主要用於數據包的快速轉發，強調轉發性能以提高實時性。應用這些安全技術時將面臨實時性和成本的很大困難，以太網的應用和設計主要是基於工程實踐和經驗，網絡上主要是控制系統與操作站、優化系統工作站、先進控制工作站、數據庫服務器等設備之間的數據傳輸，網絡負荷平穩，具有一定的週期性。但是，隨着系統集成和擴展的需要、IT技術在自動化系統組件的大力應用、B/S監控方式的普及等等，對網絡安全因素下的可用性研究已經十分必要，例如猝發流量下的工業以太網交換機的緩衝區容量問題以及從全雙工交換方式轉變成共享方式對已有網絡性能的影響。所以，另一方面，工業以太網必須從自身體系結構入手，加以應對。

市場佔有率高達80%，以太網毫無疑問是當今LAN（局域網）領域中首屈一指的網絡。以太網優越的性能，為您的應用帶來巨大的利益：

通過簡單的連接方式快速裝配。

通過不斷的開發提供了持續的兼容性，因而保證了投資的安全。

通過交換技術提供實際上沒有限制的通訊性能。

各種各樣聯網應用，例如辦公室環境和生產應用環境的聯網 ^[7]  。

今天的控制系統和工廠自動化系統，以太網的應用幾乎已經和PLC一樣普及。但現場工程師們對以太網的瞭解，大多來自他們對傳統商業以太網的認識。很多控制系統工程的實施甚至是直接讓IT部門的技術人員來實施。但是，IT工程師們對於以太網的瞭解，往往侷限於辦公自動化商業以太網的實施經驗，可能導致工業以太網在工業控制系統中實施的簡單化和商業化，不能真正理解工業以太網在工業現場的意義，也無法真正利用工業以太網內在的特殊功能，常常造成工業以太網現場實施的不徹底，給整個控制系統留下不穩定因素。

那麼選擇正確的工業以太網要考慮哪些因素？簡單的來説，要從以太網通訊協議、電源、通信速率、工業環境認證考慮、安裝方式、外殼對散熱的影響、簡單通信功能和通信管理功能、電口或光口的考慮。這些都是最基本需要了解的產品選擇因素。如果對工業以太網的網絡管理有更高要求，則需要考慮所選擇產品的高級功能如：信號強弱、端口設置、出錯報警、串口使用、主幹（TrunkingTM）冗餘、環網冗餘、服務質量（QoS）、虛擬局域網（VLAN）、簡單網絡管理協議（SNMP）、端口鏡像等等其他工業以太網管理交換機中可以提供的功能。不同的控制系統對網絡的管理功能要求不同，自然對管理型交換機的使用也有不同要求。控制工程師們應該根據其系統的設計要求，挑選適合自己系統的工業以太網產品。

由於工業環境對工業控制網絡可靠性能的超高要求，工業以太網的冗餘功能應運而生。從快速生成樹冗餘（RSTP）、環網冗餘（RapidRingTM）到主幹冗餘（TrunkingTM），都有各自不同的優勢和特點，控制工程師們可以根據自己的要求進行選擇。為了更好地幫助大家瞭解和學習工業以太網冗餘技術的特點，讓我們首先回顧以下以太網設備的發展過程 ^[8]  。

通過接入WAN（廣域網）可實現公司之間的通訊，例如，ISDN 或Internet 的接入。