中文字幕观看-国产免费一区二区三区最新不卡-国产第三页-亚洲天堂第一页-先锋影音资源av-亚洲激情第一页-91日本视频-久久99久久久久久久久久久-91淫黄大片-久久精品爱-夜夜撸影院-国产爽爽爽-美女一区二区视频-鸥美一级片-国产综合在线观看

ADNET智能工廠網絡建設方案

新華三技術有限公司

網絡改造技術篇/成熟技術/工廠內網改造

1 概述

本方案旨在為制造業(yè)企業(yè)提供一套可靠的智能工廠網絡建設方案。方案利用工業(yè)物聯(lián)網、SDN、IPv6等新興技術，實現(xiàn)工業(yè)場景下人員、設備、物料、產品的海量互聯(lián)，為工廠實現(xiàn)智能生產、協(xié)同制造和柔性制造提供網絡支撐。

1.1 背景

近年來，制造業(yè)企業(yè)正面臨著供給側改革的時代命題，轉型升級的需求十分迫切。而傳統(tǒng)工廠IT系統(tǒng)與工控系統(tǒng)間的通信往往存在較多障礙，具體表現(xiàn)在：

1) 工業(yè)控制協(xié)議標準各異，各廠家設備難以互通；

2) 工業(yè)現(xiàn)場存在很多信息孤島，網絡性能亟待提高。

這些問題導致現(xiàn)有工廠網絡無法支撐數(shù)字經濟下的制造業(yè)生產運營模式。隨著物聯(lián)網、SDN、IPv6技術的日漸成熟， ADNET智能工廠網絡建設方案（ADNET即應用驅動網絡）的提出，幫助制造業(yè)企業(yè)完成工廠網絡的升級改造。

1.2 實施目標

1) 實現(xiàn)工廠有線無線網絡全覆蓋，解決信息孤島的問題。有線網絡的時延、穩(wěn)定性達到工業(yè)現(xiàn)場要求，同時兼容IPv4/IPv6雙棧。無線網絡根據(jù)工廠實際需求支持Wi-Fi、RFID、4G/5G、NB-IoT、LoRa、ZigBee、藍牙等信號中的一種或幾種，同時無線信號質量高，滿足場景要求。

2) 對主流工業(yè)現(xiàn)場總線協(xié)議進行適配，實現(xiàn)生產網和信息網的雙網融合互通。

3) 基于SDN技術部署工廠網絡，向上對接工廠云平臺，實現(xiàn)網絡設備自動配置和業(yè)務快速部署，提升產線效率，減少人力投入。

4) 建立工廠網絡安全保障系統(tǒng)，實現(xiàn)人、機、物、系統(tǒng)的可控接入和行為審計，保證工廠的設備安全、網絡安全、控制安全、應用安全和數(shù)據(jù)安全。

1.3 適用范圍

該解決方案適用于制造業(yè)工廠內網絡的建設和升級改造，建設完成后的網絡能夠滿足工廠柔性制造、協(xié)同生產、個性化定制的業(yè)務需求。

1.4 在工業(yè)互聯(lián)網網絡體系架構中的位置

該解決方案屬于工廠內網絡建設方案，在下圖中所處位置包含1、2、3、4、5、6六部分的內容。

圖1 工業(yè)互聯(lián)網互聯(lián)示意圖

2 需求分析

傳統(tǒng)的工業(yè)網絡存在以下問題：

1) 工業(yè)現(xiàn)場總線協(xié)議標準各異，不同廠家設備無法互通，存在數(shù)據(jù)孤島；

2) 數(shù)據(jù)孤島的存在使設備狀態(tài)無法得到有效監(jiān)控，進而導致企業(yè)需要在計劃排產、物料配送、生產協(xié)同、質量控制、設備檢測等環(huán)節(jié)投入大量的人力物力；

3) 傳統(tǒng)IP網絡采用盡力而為的傳輸機制，時延不穩(wěn)定且存在丟包，因此在一些時間敏感型場景無法使用；

4) 網絡安全問題層出不窮，工控設備普遍不打補丁，一旦設備聯(lián)外網就容易遭到入侵攻擊，導致工廠大面積癱瘓；

5) 生產區(qū)域的任意設備都可以隨意接入網絡，缺乏接入管控；

智能工廠網絡的建設目的是構建連接人、機、物、系統(tǒng)的高性能泛在互聯(lián)網絡，實現(xiàn)工業(yè)數(shù)據(jù)的充分流動和處理。為此，需要解決如下問題：

1) 傳統(tǒng)工控協(xié)議的適配問題

2) 設備物料的泛在接入問題

3) 數(shù)據(jù)穩(wěn)定低時延傳輸問題

4) 網絡智能化運維管理

5) 網絡安全可控、終端準入

3 解決方案

3.1 系統(tǒng)架構

圖2 工廠內網絡邏輯架構圖

ADNET智能工廠網絡的建設內容位于上圖紅框中，含邊緣接入層、核心匯聚層和安全保障三部分，其中：

? 邊緣接入層：主要負責邊緣設備接入、數(shù)據(jù)采集與邊緣計算。邊緣接入設備應支持海量物聯(lián)網傳感器和智能硬件的快速接入和數(shù)據(jù)服務，滿足物聯(lián)網領域的設備連接、協(xié)議適配、數(shù)據(jù)存儲、數(shù)據(jù)安全、數(shù)據(jù)分析等服務需求。

? 核心匯聚層：本次方案采用SDN VxLAN技術設計工廠內核心匯聚層網絡，網絡可以抽象為物理承載網絡和面向應用的Overlay網絡。這種網絡設計方式的兩大特征是柔性網絡和軟件定義。柔性一方面指網絡架構靈活，業(yè)務部署（應用/終端）與位置無關；另一方面指以人和業(yè)務應用為核心，所有網絡資源根據(jù)人和業(yè)務需要移動。軟件定義指基于SDN思想將網絡控制平面集中，實現(xiàn)網絡設備的自動部署、業(yè)務按需交付，將運維人員從重復勞動中解放出來。

圖3 核心匯聚層網絡的物理/邏輯架構

? 安全保障：網絡安全是工廠業(yè)務平穩(wěn)運行的基礎，ADNET智能工廠網絡方案具備完整的安全防護體系，包括安全態(tài)勢感知、網絡安全保護、數(shù)據(jù)節(jié)點接入控制，保證工廠IT基礎設施安全、業(yè)務系統(tǒng)安全、資產安全。

3.2 網絡拓撲設計

根據(jù)上述系統(tǒng)架構，工廠實際部署的網絡拓撲如圖4所示，根據(jù)地理位置可分為生產車間網絡、辦公接入網、核心匯聚網三部分：

圖4 ADNET智能工廠網絡實際拓撲圖

1）生產車間網絡

? 邊緣接入

在工業(yè)現(xiàn)場，數(shù)據(jù)接入方式有：傳感器類型的離散點(IO信號，模擬信號)采集接入、設備工業(yè)現(xiàn)場總線協(xié)議或專有協(xié)議類型接入和網絡TCP/IP直接數(shù)字接入。目前，ADNET智能工廠網絡方案涉及的工業(yè)物聯(lián)網設備已具備GB/T 33474-2016感知控制域中所列舉的數(shù)據(jù)接入能力。

圖5 數(shù)據(jù)采集接入示意圖

針對工業(yè)協(xié)議的適配，方案采用工業(yè)網關完成不同現(xiàn)場總線的接入轉換，實現(xiàn)Modbus、PROFIBUS、EtherNet/IP、SIEMENS S7Comm等協(xié)議的接入適配。

另一方面，方案也支持采用OPC UA的采集接入方式。OPC UA技術為工業(yè)生產各系統(tǒng)提供了統(tǒng)一接口標準。其中，OPC UA服務器和客戶端是系統(tǒng)實現(xiàn)數(shù)據(jù)采集的核心環(huán)節(jié)。OPC UA服務器負責對底層設備數(shù)據(jù)進行采集封裝，并將歷史數(shù)據(jù)存放于外加的數(shù)據(jù)庫內，使多個客戶端以統(tǒng)一的方式獲取不同底層設備的數(shù)據(jù)。OPC UA客戶端的主要功能是搜索并連接OPC UA服務器，瀏覽服務器的地址空間并讀取其中存放的實時數(shù)據(jù)和歷史數(shù)據(jù)，并通過客戶端顯示界面將數(shù)據(jù)以圖表的形式展示給工作人員。

? 工業(yè)以太網

工廠生產線上溫濕度、電磁干擾等環(huán)境相對復雜，方案擬在接入密度較高的區(qū)域采用機架式工業(yè)交換機，交換機支持Modbus TCP/IP、ProfINet、Ethernet/IP等工業(yè)以太網協(xié)議。另外，在一些特定場景將卡軌式工業(yè)交換機直接安裝在電器柜，交換機從電器柜內取電。工業(yè)交換機按照產線做RRPP環(huán)路部署。按照這種部署方式，關閉生產線上的任一臺工業(yè)交換機，除直連到該交換機的設備網絡不通，其他網絡不受影響。

? 工業(yè)無線網

WLAN網絡：針對工業(yè)無線網的需求，方案基于802.11ac技術，采用無線控制器AC+瘦AP的部署方式構建無線網絡。其中，Wi-Fi信號質量和漫游問題是部署過程中的兩個難點。為保證WLAN網絡的信號覆蓋質量，需要依據(jù)實際環(huán)境設計交付方案并進行測試，最終完成部署?？諘鐓^(qū)域部署室外AP，用POE供電盒供電。對信號要求無死角的區(qū)域，部署放裝AP。針對漫游問題，可提供二層漫游、三層漫游、跨AC漫游三種方案，其中跨AC漫游的最大延遲時間為50ms。

LPWAN網絡：在NB-IoT領域，方案擬提供NB-IoT/eMTC/E-GPRS基站實現(xiàn)物聯(lián)終端接入，通過內置LPWAN通信模組將終端聯(lián)網。管道方面，基站部署方式靈活，有三種模式可供選擇（獨立部署、保護帶部署、帶內部署）。

在LoRa領域，方案提供LoRa基站、終端、模組，其中基站的有效覆蓋范圍為2~3KM，支持10萬終端并發(fā)，用于工廠電力抄表，水力抄表及溫濕度環(huán)境監(jiān)控等遠距傳輸控制。方案支持超高頻無源RFID，用于倉儲物流定位場景。

2）辦公接入網

? 辦公有線

由于辦公樓宇規(guī)模不一，配線間數(shù)量不定，所以每個配線間接入設備數(shù)量在2-X臺不等。為了節(jié)省光纖，簡化管理，接入層設備采用IRF2多虛一技術，將每個配線間的設備虛擬化一臺設備后通過10G帶寬上行至匯聚層設備。

? 辦公無線

在建筑物內,每層建筑樓根據(jù)使用功能部署AP數(shù)量，方案擬部署的無線AP支持最新無線傳輸802.11n協(xié)議，提供理論上300M傳輸帶寬。為建設高可靠、高性能的無線網絡系統(tǒng)，室內無線AP采用POE供電。通過在每層樓部署千兆POE交換機，為無線AP提供千兆接入的同時，還能通過以太網線對無線AP供電。無線系統(tǒng)采用瘦AP（FIT）+無線控制器部署方案。無線控制器部署采用在核心交換機上部署1塊無線控制器功能板卡，實現(xiàn)無線網絡系統(tǒng)的高可靠性。

3）核心匯聚網絡

整個工廠網絡由核心、匯聚、接入三層設備組成，再搭配園區(qū)SDN控制器。其中接入層設備部署在生產線附近，而匯聚、核心設備之間則構建overlay網絡，同時采用分布式L3網關并通過可靠機制來抑制廣播風暴。接入層設備采用不同的VLAN進行接入位置的標識，通過TRUNK的方式上行到匯聚層，匯聚層完成VLAN到VxLAN的映射。

圖6 工廠核心匯聚層VxLAN網絡示意圖

該網絡方案的核心是SDN控制器。所有網絡自動化上線，接入管理，用戶組/策略管理，業(yè)務配置管理，網絡運維管理全部在控制器上通過直觀的圖形化界面完成。同時通過開放控制器接口，允許第三方進行業(yè)務定制開發(fā)，滿足用戶個性化、定制化、可編程的需求。

該網絡方案的另一大特性是實現(xiàn)有線無線一體化管理。傳統(tǒng)有線/無線網絡存在管理不統(tǒng)一、轉發(fā)不統(tǒng)一、策略控制不統(tǒng)一的問題(比如跨L3網段漫游要么支持不了，要么需要在AC之間打隧道,增加成本),而方案通過SDN控制器極大解放了AC和AP，真正實現(xiàn)有線無線的統(tǒng)一管理、統(tǒng)一轉發(fā)、統(tǒng)一認證和統(tǒng)一拓撲展示。

4）整體安全保障系統(tǒng)設計

? 終端接入管控

在工廠內部署一套終端準入控制系統(tǒng)，與防病毒軟件、WSUS補丁管理相配合。防毒軟件、WSUS負責專業(yè)殺毒、補丁下載，終端準入控制系統(tǒng)采用接入層802.1x部署方案，與交換機配合實現(xiàn)網絡接入控制、桌面管理、用戶行為審計和終端安全管理。

? 網絡安全設計

工廠網絡安全涉及到南北向安全防護和東西向安全防護。網絡部署中的安全資源可以是軟/硬件安全資源，也可以是虛擬化的安全資源。

南北向安全防護：負責處理南北向的業(yè)務流量，涉及DDoS、IPS、防火墻等安全設備，以及負載均衡設備做流量分配。每個安全服務模塊中涉及硬件安全設備和軟件形態(tài)NFV設備。對于不同等級的用戶分配不同的安全資源，高等級用戶分配硬件安全資源，低等級用戶分配軟件形態(tài)NFV安全資源。

一個開啟全功能安全服務的互聯(lián)網租戶與半安全域交互的流量會依次經過DDos、IPS、LLB、防火墻、WAF等安全設備，最終來到安全域。

東西向安全防護：東西向服務鏈負責工廠內部不同安全域安全流量處理。

? 安全態(tài)勢感知

為了做到對工廠網絡風險的主動發(fā)現(xiàn)和提前防御，工廠需要采集安全日志、網絡流量、用戶行為、終端日志、業(yè)務數(shù)據(jù)、資產狀態(tài)等數(shù)據(jù)。結合外部情報，通過安全態(tài)勢感知系統(tǒng)對攻擊趨勢分析、異常流量判斷和終端行為檢測，實現(xiàn)“安全趨勢可預測”；通過對未知威脅的智能檢測識別、流量/行為/資產的狀態(tài)監(jiān)控和多維度風險分析，實現(xiàn)“安全風險可感應”；通過對攻擊溯源取證、云網端協(xié)同聯(lián)動、工單流程閉環(huán)處理和設備策略自適應調整，實現(xiàn)“風險行為可管控”。

5）工廠網絡整體IPv6升級思路

目前大量工廠網絡都是IPv4網絡，隨著IPv6逐漸部署，很長一段時間是IPv4與IPv6共存的過渡階段。過渡階段所采用的過渡技術主要包括：

? 雙棧技術：雙棧節(jié)點與IPv4節(jié)點通訊時使用IPv4協(xié)議棧，與IPv6節(jié)點通訊時使用IPv6協(xié)議棧。

? 隧道技術：提供了兩個IPv6站點之間通過IPv4網絡實現(xiàn)通訊連接，以及兩個IPv4站點之間通過IPv6網絡實現(xiàn)通訊連接的技術。

? IPv4/IPv6協(xié)議轉換技術：提供了IPv4網絡與IPv6網絡之間的互訪技術。

對于小型工廠，方案推薦通過IPv4/IPv6雙協(xié)議棧部署IPv6網絡。這種方式可以同時提供IPv4應用和IPv6應用，但缺點是需要所有網絡節(jié)點支持IPv4和IPv6路由協(xié)議。因此對于大型舊工廠，升級工作量大。

如果企業(yè)需要跨越IPv4網絡連接不同的IPv6域，則需要通過隧道技術部署IPv6。這種場景需要設備提供IPv6 DNS查詢功能，同時邊界路由器需要支持6 Over 4隧道。這種方式投資和風險很小。缺點是使用隧道使網絡拓撲復雜，不易管理，出現(xiàn)問題難以定位。另外，由于使用隧道封裝，對轉發(fā)效率有一定影響。

3.3 功能設計

1) 設備物料的泛在接入能力

智能工廠網絡提供多種OT終端接入能力，包括以太網有線接入、無線接入（Wi-Fi/IEEE 802.15.4/ ISA100.11a/ WIA-FA/IoT/LTE/5G/藍牙等）、PON接入；支持Modbus、PROFIBUS、EtherNet/IP等主流工業(yè)以太網協(xié)議，提供海量終端的接入能力。

2) 無阻塞、易擴展的網絡架構設計

基于SDN的（ACCESS/LEAF/SPINE）三級網絡架構，構建無阻塞工業(yè)網絡。根據(jù)企業(yè)接入能力不同選擇兩級或者三級架構部署，每層網絡可以橫向無限擴展，配合SDN實現(xiàn)擴展自動化，減少人力投入。

3) 自動化部署

通過SDN控制器對網絡設備分類，不同的設備采用和角色對應的配置文件，設備初始上線后，根據(jù)拓撲連接關系、角色從控制器下拉基礎配置文件，保證設備實現(xiàn)批量自動上線，減少管理員操作。

4) 一體化運維

通過控制器實現(xiàn)端到端業(yè)務編排，并配合工業(yè)控制系統(tǒng)實現(xiàn)網絡資源的按需調度；通過控制器對網絡設備進行監(jiān)控，建立統(tǒng)一的拓撲、統(tǒng)一的管理平臺。

圖7 ADNET智能工廠網絡能力特征

3.4 安全及可靠性

? 高可靠

工廠網絡建設對設備可靠性要求很高。一旦網絡系統(tǒng)運行不正?；蛘叱霈F(xiàn)故障中斷將直接導致工廠業(yè)務的中斷。因此需要從設備自身和網絡架構角度確保網絡系統(tǒng)的穩(wěn)定性。從設備自身角度，核心匯聚層設備采用多級交換架構設備，利用引擎、交換矩陣關鍵部件的分離提高物理可靠性；從架構方面，兩臺物理設備利用智能虛擬化或者堆疊技術提高故障的切換速度。

? 系統(tǒng)化的安全防護

工廠網絡安全保障方案不應該是孤立的設備堆砌，而是從工廠的實際情況出發(fā)構建系統(tǒng)的安全防護體系。在此體系中，使用者、生產設備、產品、個人終端、網絡設備、安全設備、態(tài)勢感知系統(tǒng)充分協(xié)同，在安全事件出現(xiàn)前極力規(guī)避、預警，出現(xiàn)時能夠及時發(fā)現(xiàn)，并具備依據(jù)事先制定好的應急方法進行自動化處理的能力，最后輸出完整的安全防護日志報表，供管理人員查看、分析并進行策略調整。

4 成功案例

本解決方案已經在中車株機軌道交通車輛轉向架智能制造車間項目中應用。轉向架作為軌道車輛最為重要的零部件之一，起著導向、支撐車體、減震運行的作用，對軌道交通產品的安全平穩(wěn)運行至關重要?；贏DNET智能工廠網絡方案，為中車株機公司轉向架車間建設互聯(lián)網絡，具體建設情況如下：

1）核心層設備采用高性能網絡交換機，做橫向虛擬化。匯聚層將生產網和辦公網的交換機配置模塊進行堆疊，將匯聚交換機虛擬化為一臺。接入層辦公網保持不變，生產網增加工業(yè)交換機。

2）生產線上，采用工業(yè)交換機按照產線做環(huán)路部署。無線生產網部署滿足工廠電磁環(huán)境的室外AP，配置定向天線。

3）安全方面，在核心匯聚與生產區(qū)域之間部署一對防火墻，保護生產區(qū)域，同時將服務器區(qū)設置為防火墻DMZ區(qū)。另外，在服務器區(qū)部署堡壘機，實現(xiàn)對所有服務器及交換機操作進行監(jiān)控、管理以及回溯。

4）軟件層面，增加管理軟件，對工廠網絡設備進行統(tǒng)一監(jiān)控管理；增加無線管理組件，實現(xiàn)整網無線統(tǒng)一管理；增加接入認證組件，對生產網終端接入進行認證；增加IP地址管理軟件，對現(xiàn)網IP地址進行規(guī)劃。

通過互聯(lián)網絡的建設，中車株機轉向架車間網絡的穩(wěn)定性大大提升，設備故障切換時間由秒級提升為毫秒級。車間無線信號的覆蓋狀況大大提升，保證AGV小車等無線需求高的工業(yè)設備平穩(wěn)運行。高可靠網絡為中車株機轉向架生產業(yè)務提供了保障，大大提高了工控系統(tǒng)的生產效率。在安全性上,工業(yè)安全軟件統(tǒng)一接入和管理信息點，并監(jiān)管工廠所有網絡設備。同時加入網絡安全設備，有效減少了工廠網絡病毒木馬造成的工業(yè)數(shù)據(jù)丟失、泄密風險。