采用以太网组网方式的安全性与可靠性分析.docx
- 文档编号:6309200
- 上传时间:2023-05-09
- 格式:DOCX
- 页数:16
- 大小:78.04KB
采用以太网组网方式的安全性与可靠性分析.docx
《采用以太网组网方式的安全性与可靠性分析.docx》由会员分享,可在线阅读,更多相关《采用以太网组网方式的安全性与可靠性分析.docx(16页珍藏版)》请在冰点文库上搜索。
采用以太网组网方式的安全性与可靠性分析
安全监测自动化系统
采用以太网组网方式的安全性与可靠性分析
美国电气和电子工程师协会标准化委员会IEEE802.3标准协议规定了包括物理层的连线、电信号和介质访问层协议的内容。
它很大程度上取代了其他局域网标准,如令牌环、FDDI和ARCNET。
该标准定义了在局域网(LAN)互联设备之间以10~100Mbps的速率传送信息包,双绞线电缆10/100BaseT以太网由于其低成本、高可靠性以及10/100Mbps的速率而成为应用最为广泛的以太网技术。
一、快速以太网
1995年3月IEEE宣布了IEEE802.3u100BASE-T快速以太网标准(FastEthernet)。
它支持5、6类双绞线以及光纤的连接,在保持帧格式、MAC(介质存取控制)机制和MTU(最大传送单元)质量的前提下,其速率比10Base-T的以太网增加了10倍。
基于CSMA/CD技术,当网络负载较重时,可以使用交换技术来弥补效率的降低。
100Mbps快速以太网标准又分为:
100BASE-TX、100BASE-FX。
·100BASE-TX:
是一种使用5类数据级无屏蔽双绞线或屏蔽双绞线的快速以太网技术。
它使用两对双绞线,一对用于发送,一对用于接收数据。
在传输中使用4B/5B编码方式,信号频率为125MHz。
符合EIA586的5类布线标准和IBM的SPT1类布线标准。
使用同10BASE-T相同的RJ-45连接器。
它的最大网段长度为100米。
它支持全双工的数据传输。
·100BASE-FX:
是一种使用光缆的快速以太网技术,可使用单模和多模光纤(62.5和125um)。
多模光纤连接的最大距离为550米。
单模光纤连接的最大距离为3000米。
在传输中使用4B/5B编码方式,信号频率为125MHz。
它使用MIC/FDDI连接器、ST连接器或SC连接器。
它的最大网段长度为150m、412m、2000m或更长至10公里,这与所使用的光纤类型和工作模式有关,它支持全双工的数据传输。
100BASE-FX特别适合于有电气干扰的环境、较大距离连接、或高保密环境等情况下的适用。
千兆以太网:
1000base-T(铜线UTP模式)
千兆位以太网提供1Gbps的通信带宽,采用和10M/100M以太网同样的CSMA/CD协议、帧格式和帧长,可以实现在原有低速以太网基础上平滑、连续性的网络升级。
只用于点对点,连接介质以光纤为主,最大传输距离已达到70km。
千兆以太网技术适用于大中规模(几百至上千台电脑的网络)的园区网主干,从而实现千兆主干、百兆交换(或共享)到桌面的主流网络应用模式。
二、以太网拓扑结构
1.总线型
图1总线拓扑结构
所需的电缆较少、价格便宜、管理成本高,不易隔离故障点、采用共享的访问机制,易造成网络拥塞。
早期以太网多使用总线型的拓扑结构,连接简单,但由于它存在的固有缺陷,已经逐渐被以交换机为核心的星型网络所代替。
2.星型
图2星型拓扑结构
管理方便、容易扩展、需要专用的网络设备作为网络的核心节点、需要更多的网线、对核心设备的可靠性要求高。
采用专用的网络设备(如交换机)作为核心节点,通过光纤将局域网中的各台设备连接到核心节点上,这就形成了星型结构。
星型网络虽然需要的线缆比总线型多,但布线和连接器比总线型的要便宜。
此外,星型拓扑可以通过级联的方式很方便的将网络扩展到很大的规模,因此被绝大部分的以太网所采用。
三、以太网传输介质
以太网可以采用多种连接介质,包括双绞线和光纤等。
其中双绞线多用于从主机到集线器和交换机的连接,而光纤则主要用于交换机间的级联、交换机到路由器、长距离终端到交换机等设备间的点到点链路上。
同轴缆作为早期的主要连接介质已经逐渐趋于淘汰。
LAN设备间双绞线连线方法有两种:
直连线与交叉线。
直连线用于连接LAN中的交换机到路由器以太网端口、计算机到交换机、计算机到集线器等设备间通讯。
交叉线用于连接LAN中的交换机到交换机、交换机到集线器、集线器到集线器、路由器到路由器的以太网端口、计算机到计算机、计算机到路由器的以太网端口等设备间通讯。
四、CSMA/CD共享介质以太网(总线拓扑结构)
1.工作原理
以太网采用带冲突检测的载波帧听多路访问(CSMA/CD)机制,带冲突检测的载波侦听多路访问(CSMA/CD)技术规定了多台电脑共享一个通道的方法。
因此可以说以太网是一种广播网络。
这项技术最早出现在1960年代由夏威夷大学开发的ALOHAnet,它使用无线电波为载体。
这个方法要比令牌环网或者主控制网要简单。
当某台电脑要发送信息时,必须遵守以下规则:
A.监听信道上是否有信号在传输。
如果有的话,表明信道处于忙状态,就继续监听,直到信道空闲为止。
B.若没有监听到任何信号,就传输数据
C.传输的时候继续监听,如发现冲突则执行退避算法(truncatedbinaryexponentialbackoff),随机等待一段时间(退避的时间通过截断二进制指数退避算法来实现)后,重新执行步骤1(当冲突发生时,涉及冲突的计算机会发送会返回到监听信道状态。
注意:
每台计算机一次只允许发送一个包,一个拥塞序列,以警告所有的节点)。
D.若未发现冲突则发送成功,所有计算机在试图再一次发送数据之前,必须在最近一次发送后等待9.6微秒(以10Mbps运行)。
因为所有的通信信号都在共用线路上传输,即使信息只是发给其中的一个终端(destination),某台电脑发送的消息都将被所有其他电脑接收。
在正常情况下,网络接口卡会滤掉不是发送给自己的信息,接收目标地址是自己的信息时才会向CPU发出中断请求,除非网卡处于混杂模式(Promiscuousmode)。
这种“一个说,大家听”的特质是共享介质以太网在安全上的弱点,因为以太网上的一个节点可以选择是否监听线路上传输的所有信息。
共享电缆也意味着共享带宽,所以在某些情况下以太网的速度可能会非常慢,比如电源故障之后,当所有的网络终端都重新启动时。
2.接口的工作模式
半双工传输模式实现以太网载波监听多路访问冲突检测。
传统的共享LAN是在半双工下工作的,在同一时间只能传输单一方向的数据。
当两个方向的数据同时传输时,就会产生冲突,这会降低以太网的效率。
五、交换式以太网(星型拓扑结构)
在交换式以太网中,交换机根据收到的数据帧中的MAC地址决定数据帧应发向交换机的哪个端口。
因为端口间的帧传输彼此屏蔽,因此节点就不担心自己发送的帧在通过交换机时是否会与其他节点发送的帧产生冲突。
交换式网络替代共享式网络的原因:
减少冲突:
交换机将冲突隔绝在每一个端口(每个端口都是一个冲突域),避免了冲突的扩散。
提升带宽:
接入交换机的任何节点都可以使用全部的带宽,而不是共享带宽。
1.以太网交换机
A.交换机的工作原理:
交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。
交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。
如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。
这一过程称之为泛洪(flood)。
广播帧和组播帧向所有的端口转发。
B.交换机的主要功能:
学习:
以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
转发/过滤:
当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。
消除回路:
当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
C.交换机的工作特性:
交换机的每一个端口所连接的网段都是一个独立的冲突域。
交换机所连接的设备仍然在同一个广播域内,即交换机不隔绝广播(唯一的例外是在配有VLAN的环境中)。
交换机依据帧头的信息进行转发,因此它是工作在数据链路层的网络设备。
2.交换机的操作模式
交换机处理帧采用的操作模式:
存储转发。
交换机在转发之前必须接收整个帧,并进行检错,如无错误再将这一帧发向目的地址。
帧通过交换机的转发时延随帧长度的不同而变化。
3.接口工作模式
全双工:
全双工传输是采用点对点连接,这种安排没有冲突,因为它们使用双绞线中两个独立的线路,这等于没有安装新的介质就提高了带宽。
例如在上例的车站间又加了一条并行的铁轨,同时可有两列火车双向通行。
在全双工模式下,冲突检测电路不可用,因此每个全双工连接只用一个端口,用于点对点连接。
标准以太网的传输效率可达到50%~60%的带宽,双全工在两个方向上都提供100%的效率。
六、以太网相关技术
1.帧结构
以太网帧的概述:
以太网的帧是数据链路层的封装,网络层的数据包被加上帧头和帧尾成为可以被数据链路层识别的数据帧(成帧)。
虽然帧头和帧尾所用的字节数是固定不变的,但依被封装的数据包大小的不同,以太网的长度也在变化,其范围是64~1518字节(不算8字节的前导字)。
2.冲突/冲突域
冲突(Collision):
在以太网中,当两个数据帧同时被发到物理传输介质上,并完全或部分重叠时,就发生了数据冲突。
当冲突发生时,物理网段上的数据都不再有效。
冲突域:
在同一个冲突域中的每一个节点都能收到所有被发送的帧。
影响冲突产生的因素:
冲突是影响以太网性能的重要因素,由于冲突的存在使得传统的以太网在负载超过40%时,效率将明显下降。
产生冲突的原因有很多,如同一冲突域中节点的数量越多,产生冲突的可能性就越大。
此外,诸如数据分组的长度(以太网的最大帧长度为1518字节)、网络的直径等因素也会影响冲突的产生。
因此,当以太网的规模增大时,就必须采取措施来控制冲突的扩散。
通常的办法是使用网桥和交换机将网络分段,将一个大的冲突域划分为若干小冲突域。
3.广播/广播域
广播:
在网络传输中,向所有连通的节点发送消息称为广播。
广播域:
网络中能接收任何一设备发出的广播帧的所有设备的集合。
广播和广播域的区别:
广播网络指网络中所有的节点都可以收到传输的数据帧,不管该帧是否是发给这些节点。
非目的节点的主机虽然收到该数据帧但不做处理。
广播是指由广播帧构成的数据流量,这些广播帧以广播地址(地址的每一位都为“1”)为目的地址,告之网络中所有的计算机接收此帧并处理它。
4.生成树协议
消除回路:
在由交换机构成的交换网络中通常设计有冗余链路和设备。
这种设计的目的是防止一个点的失败导致整个网络功能的丢失。
虽然冗余设计可能消除的单点失败问题,但也导致了交换回路的产生,它会导致以下问题。
·广播风暴
·同一帧的多份拷贝
·不稳定的MAC地址表
因此,在交换网络中必须有一个机制来阻止回路,而生成树协议(SpanningTreeProtocol)的作用正在于此。
5.生成树的工作原理:
生成树协议的国际标准是IEEE802.1b。
运行生成树算法的网桥/交换机在规定的间隔(默认2秒)内通过网桥协议数据单元(BPDU)的组播帧与其他交换机交换配置信息,其工作的过程如下:
·通过比较网桥优先级选取根网桥(给定广播域内只有一个根网桥)。
·其余的非根网桥只有一个通向根交换机的端口称为根端口。
·每个网段只有一个转发端口。
·根交换机所有的连接端口均为转发端口。
注意:
生成树协议在交换机上一般是默认开启的,不经人工干预即可正常工作。
但这种自动生成的方案可能导致数据传输的路径并非最优化。
因此,可以通过人工设置网桥优先级的方法影响生成树的生成结果。
A.生成树的状态:
运行生成树协议的交换机上的端口,总是处于下面四个状态中的一个。
在正常操作期间,端口处于转发或阻塞状态。
当设备识别网络拓扑结构变化时,交换机自动进行状态转换,在这期间端口暂时处于监听和学习状态。
阻塞:
所有端口以阻塞状态启动以防止回路。
由生成树确定哪个端口转换到转发状态,处于阻塞状态的端口不转发数据但可接受BPDU。
监听:
不转发,检测BPDU,(临时状态)。
学习:
不转发,学习MAC地址表(临时状态)。
转发:
端口能转送和接受数据。
实际上,在真正使用交换机时还可能出现一种特殊的端口状态-Disable状态。
这是由于端口故障或由于错误的交换机配置而导致数据冲突造成的死锁状态。
如果并非是端口故障的原因,我们可以通过交换机重启来解决这一问题。
B.生成树的重计算:
当网络的拓扑结构发生改变时,生成树协议重新计算,以生成新的生成树结构。
当所有交换机的端口状态变为转发或阻塞时,意味着重新计算完毕。
这种状态称为会聚(Convergence)。
注意:
在网络拓扑结构改变期间,设备直到生成树会聚才能进行通信,这可能会对某些应用产生影响,因此一般认为可以使生成树运行良好的交换网络,不应该超过七层。
此外可以通过一些特殊的交换机技术加快会聚的时间。
6.网桥
依据帧地址进行转发的二层网络设备,可将数个局域网网段连接在一起。
网桥可连接相同介质的网段也可访问不同介质的网段。
网桥的主要作用是分割和减少冲突。
它的工作原理同交换机类似,也是通过MAC地址表进行转发。
网桥主要完成三个功能:
转发、过滤数据帧;帧格式转换;传输速率转换。
透明网桥:
无需改动设备的软硬件配置,即可完成LAN互连的网桥。
交换机可看做多端口透明网桥。
7.虚拟局域网VLAN
网桥/交换机的本质和功能是通过将网络分割成多个冲突域提供增强的网络服务,然而网桥/交换机仍是一个广播域,一个广播数据包可被网桥/交换机转发至全网。
虽然OSI模型的第三层的路由器提供了广播域分段,但交换机也提供了一种称为VLAN的广播域分段方法。
一个VLAN是跨越多个物理LAN网段的逻辑广播域,人们设计VLAN来为工作站提供独立的广播域,这些工作站是依据其功能、项目组或应用而不顾其用户的物理位置而逻辑分段的。
一个VLAN=一个广播域=逻辑网段
A.VLAN的优点:
·安全性。
一个VLAN里的广播帧不会扩散到其他VLAN中。
·网络分段。
将物理网段按需要划分成几个逻辑网段
·灵活性。
可将交换端口和连接用户逻辑的分成利益团体,例如以同一部门的工作人员,项目小组等多种用户组来分段。
B.典型VLAN的安装特性:
·每一个逻辑网段像一个独立物理网段
·VLAN能跨越多个交换机
·由主干(Trunk)为多个VLAN运载通信量
C.VLAN的操作:
·配置在交换机上的每一个VLAN都能执行地址学习、转发/过滤和消除回路机制,就像一个独立的物理网桥一样。
VLAN可能包括几个端口
·交换机通过将数据转发到与发起端口同一VLAN的目的端口实现VLAN。
·通常一个端口只运载它所属VLAN的通信量。
D.VLAN的成员模式:
静态:
分配给VLAN的端口由管理员静态(人工)配置。
动态:
动态VLAN可基于MAC地址、IP地址等识别其成员资格。
当使用MAC地址时,通常的方式是用VLAN成员资格策略服务器(VMPS)支持动态VLAN。
VMPS包括一个映射MAC地址到VLAN分配的数据库。
当一个帧到达动态端口时,交换机根据帧的源地址查询VMPS,获取相应的VLAN分配。
注意:
虽然VLAN是在交换机上划分的,但交换机是二层网络设备,单一的有交换机构成的网络无法进行VLAN间通信的,解决这一问题的方法是使用三层的网络设备-路由器。
路由器可以转发不同VLAN间的数据包,就像它连接了几个真实的物理网段一样。
这时我们称之为VLAN间路由。
七、RS485总线特点
RS485总线控制系统的通信方式是以总线形式再通过232-485转换器以RS232的通信方式与电脑串口通信的。
1.系统管理只能局限于指定的一台电脑进行管理,如果指定的管理电脑出现问题,那系统管理就只能中断了。
2.总线上任何节点出现问题都会影响到整个系统的管理,而且故障不易查找,不便排除。
3.数据防冲撞能力比较差,通信时只能采用轮循(排队候叫)方式,节点越多,防冲撞能力越差,系统通信速度越慢。
4.为了保证系统数据通信的可靠性及距离等因素,只能以牺牲速率的方式来保证系统的可靠性,一般通信速率只能设置到9600bps。
5.系统实时性差,一条总线上接入设备过多时,无法保障数据的实时传输。
6.远程管理难度大,如果是单纯RS485通信要实现远程管理则必须在设备端电脑安装后台伺服程序充当远程端与设备之间的中间站,一旦中间站死机或受病毒感染或人为误操作等,将直接导致系统通信中断,再加上速度太慢,远程端根本不能实现实时监控的效果,即使是采用串口服务器(RS485-TCP/IP转换设备),也不可能从本质上将速度提升,也达不到实时监控效果。
八、以太网通信方式的显著特点
1.以太网监控系统没有地域的限制,网络延伸到哪里就可以实现到哪里管理,安全性有以下保障措施。
a端口保护
b通信数据加密
c设备加密(任何与设备通信先验证设备密码,验证验证错误,马上锁定对方IP并停止通信)
2.以太网监控系统网络一般采用星形结构,在这种网络结构中任何节点出现问题都不会给系统造成任何影响,而且故障容易查找排除。
3.可以实现多台电脑同时管理。
4.数据通信可靠稳定而且速度快。
5.系统实时性好,不管是本地局域网络还是远程internet网络,只要有网就能实时通信。
九、RS485总线通信方式存在以下蔽端:
1.传输速率慢
RS485产品大多采用MSC51或兼容的单片机作为核心处理器,其工作效率十分低,一条指令通常占用多个时钟周期,串口中断耗时较长,加之经过RS485的调制解调过程以及传输距离的关系,直接导致了通讯速率通常必须限制在较低的9600bps,在如此低的通讯速度上导致计算机提取数据或者下载大量数据时往往要花长长的一段时间,因采集时间过长还可能会发生采集失败的情况,这对于采集点过多的安全监测自动化系统来说根本无法满足要求,。
2.维修率高
RS485总线通讯由于采用转换电路来实现通讯,抗干扰能力差直接导致数据传输不够稳定,并且其对线路质量要求较高。
且经常还会因为周围环境影响,导致两条传输线路存在电势差而发生不能通讯甚至发生芯片被击穿而造成永久物理性损坏,而这种现象确实是现实中经常发生的,也是维修率最高的故障之冠
3.故障原因难以查询
由于标准的RS485采用串联方式连接而非以太网的星型连接,不能解决数据冲突而必须采用轮询方式进行通讯,也就不能像以太网般实现数据主动上报的功能。
并且所有设备要分享本身就很狭窄的传输带宽,这样就会发生当一条线路挂接设备较多时,经常导致轮询一圈已经是半分钟甚至是几分钟以后的状况,如此差的实时性跟本不能满足安全监测系统对预警响应时间的严格要求,更不能满足安全监测系统对实时监控、数据实时采集等要求较高的需求。
并且采用串联方式也会直接导致当一台设备的RS485芯片出现问题时,极有可能发生因为“数据传输总线已被故障设备占用”而造成所有设备都不能进行正常通讯的状况。
而发生此类常见问题时,不得不采用原始的逐个排除法进行故障检测,才有可能发现到底是哪一台或哪几台设备出现了问题。
4.局限性
RS485通讯芯片,驱动能力有限,一条线路不能挂接过多的设备,实际状况是通常32台已经达到满负荷。
实时性差以及驱动能力的限制,就直接导致了对于安全监测自动化系统的应用就已经不能满足要求,更不可能满足安全监测系统延伸与扩展的严格要求。
一十、以太网相对于RS485总线的优势
1.通信速率高,100Mb/s的快速以太网已普及,1Gb/s以太网技术也逐渐成熟,而现场总线最高速率只有12Mb/s。
显然,以太网的速率要比现场总线要快的多,完全可以满足安全监测自动化系统网络不断增长的带宽要求。
2.传输距离远。
3.资源共享能力强,在联入以太网的任何一台计算机上就能浏览安全监测自动化系统现场的数据,实现“控管一体化”,这是其他任何一种现场总线都无法比拟的。
4.可持续发展潜力大,以太网的组网将为安全监测自动化系统的后续发展提供可能性,任何现有的现场总线技术都是无法比拟的。
随着技术的不断发展,要求通信网络具有更高的带宽和性能,通信协议有更高的灵活性,这些要求以太网都能很好地满足。
5.实时性强,基于TCP/IP协议以太组网方式具备双工实时处理数据能力。
6.出现故障容易查询,以太网采用星型网络结构,任何节点出现故障,监控中心均能及时发现,对故障进行检测处理。
一十一、TCP/IP协议
TCP/IP协议是TransmissionControlProtocol/InternetProtocol的简写,中译名为传输控制协议/因特网互联协议,又名网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。
TCP/IP定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。
通俗而言:
TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。
而IP是给因特网的每一台电脑规定一个地址。
TCP/IP协议允许通信子网(网络接口层)采用已有的或是将来有的各种协议。
即它可以通过网络接口层连接到任何网络上,例如X.25交换网或IEEE802局域网。
1.IP机制
IP层接收由更低层(网络接口层例如以太网设备驱动程序)发来的数据包,并把该数据包发送到更高层---TCP或UDP层;相反,IP层也把从TCP或UDP层接收来的数据包传送到更低层。
IP数据包是不可靠的,因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。
IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。
高层的TCP和UDP服务在接收数据包时,通常假设包中的源地址是有效的。
也可以这样说,IP地址形成了许多服务的认证基础,这些服务相信数据包是从一个有效的主机发送来的。
IP确认包含一个选项,叫作IPsourcerouting,可以用来指定一条源地址和目的地址之间的直接路径。
2.TCP机制
TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP是面向连接的所以只能用于点对点的通讯。
TCP提供的是一种可靠的数据流服务,采用“带重传的肯定确认”技术来实现传输的可靠性。
TCP还采用一种称为“滑动窗口”的方式进行流量控制,所谓窗口实际表示接收能力,用以限制发送方的发送速度。
如果IP数据包中有已经封好的TCP数据包,那么IP将把它们向‘上’传送到TCP层。
TCP将包排序并进行错误检查,同时实现虚电路间的连接。
TCP数据包中包括序号和确认,所以未按照顺序收到的包可以被排序,而损坏的包可以被重传。
TCP将它的信息送到更高层的应用程序,应用程序轮流将信息送回TCP层,TCP层便将它们向下传送到IP层,设备驱动程序和物理介质,最后到接收方。
面向连接的服务需要高度的可靠性,所以它们使用了TCP。
一十二、以太网安全性分析
1.基于TCP/IP协议的以太网将控制层和管理层连接起来,上下网段使用相同的协议,具有互操作性,使用两级防火墙,第二级的防火墙用于屏蔽内部网络的非法访问和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 采用 以太网 组网 方式 安全性 可靠性分析
![提示](https://static.bingdoc.com/images/bang_tan.gif)