利用AIR-GATE 3G路由器和VPN
實現(xiàn)安全的工業(yè)遠程訪問
在工業(yè)和其他相關(guān)領(lǐng)域遠程訪問世界各地的電子設(shè)備和機器設(shè)備正在迅速獲得重視�����。專家們指出遠程控制和監(jiān)控是提高生產(chǎn)率和降低成本�����,并在執(zhí)行過程中實現(xiàn)企業(yè)獲利的重要機制�����。工業(yè)機器對這方面信息的需求是重要的�����,公司管理者能夠了解工廠的當前運行情況并可迅速采取行動�����。通過網(wǎng)絡(luò)遠程訪問已安裝的設(shè)備將大大降低了維護成本�����,優(yōu)化了監(jiān)測過程并消除需要遠距離現(xiàn)場問題確認�����,從而對工業(yè)工廠不受地域限制的遠程控制。
過程變量-網(wǎng)關(guān)-VPN和PC之間的集成構(gòu)成了智能環(huán)境概念的技術(shù)基礎(chǔ)�����,其中生成的信息可以在多個平臺和應用程序之間共享�����,從而允許對某些設(shè)備實現(xiàn)安全控制和遠程監(jiān)控�����。智能環(huán)境的概念包括不同的技術(shù)�����,例如傳感器網(wǎng)絡(luò)和嵌入式系統(tǒng)�����,它們一起工作以跟蹤設(shè)備狀態(tài)�����,例如位置�����、溫度和運動�����。
關(guān)于這種類型遠程連接的一個重要因素是信息和連接的安全性�����。任何遠程訪問都意味著數(shù)據(jù)通過公共網(wǎng)絡(luò)傳輸�����,確?����,F(xiàn)場收集的信息的完整性和機密性對于可靠的遠程操作至關(guān)重要�����。在主要安全工具中�����,我們有防火墻,它是公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間進入的重要屏障�����,通過限制網(wǎng)絡(luò)上的可用端口�����、可以通過網(wǎng)絡(luò)設(shè)置分組類型�����、允許的協(xié)議等�����。關(guān)于信息安全的另一個要點是加密�����,其目的是創(chuàng)建不屬于VPN(虛擬網(wǎng))的那些人不能理解的數(shù)據(jù)序列�����,也就是說只有真正的接收者才能理解原始數(shù)據(jù)�����。有一些協(xié)議負責為VPN連接提供安全性和加密�����,其中常用的是IPSec(IP安全協(xié)議)�����,它是IP擴展旨在為網(wǎng)絡(luò)中攜帶的分組提供更大的安全性和隱私�����,能夠以兩種模式使用�����,傳輸模式和隧道模式�����。在傳輸模式中�����,只有消息被加密,IP報頭沒有被修改�����。在隧道模式中�����,IP分組被*加密�����,因此有必要封裝一個新的IP分組來分發(fā)它�����。
工業(yè)機器集成大量的嵌入式系統(tǒng)�����,有的連接到通信網(wǎng)絡(luò)或有的沒有�����。這些機器可以具有傳感器和執(zhí)行器,以實現(xiàn)監(jiān)測和控制操作�����。在本文中�����,我們將介紹AirGate-3G路由器作為網(wǎng)關(guān)�����,通過Modbus TCP�����,使用移動數(shù)據(jù)連接�����,在網(wǎng)絡(luò)架構(gòu)中充當VPN客戶端來讀取FieldLogger的應用和配置�����。在這種類型的解決方案中我們有以下拓撲結(jié)構(gòu):
所提出的體系結(jié)構(gòu)規(guī)定FieldLogger將通過其以太網(wǎng)端口物理地連接到AirGate3G�����,并使用移動數(shù)據(jù)連接�����,調(diào)制解調(diào)器作為客戶機連接到公司的VPN服務(wù)器�����,執(zhí)行認證過程并接收內(nèi)部網(wǎng)絡(luò)IP�����,使它可以通過監(jiān)控軟件看到PC端�����,下面將詳細說明這個連接的細節(jié)�����。
由于要讀取的設(shè)備將連接到AirGate-3G的網(wǎng)絡(luò)端口�����,所以具有設(shè)備的網(wǎng)絡(luò)板的物理地址很重要,因為當我們配置DHCP服務(wù)器調(diào)制解調(diào)器端口時�����,必須具有靜態(tài)租約�����,使得AirGate-3G總是打開�����,它分配相同的IP地址到它的物理連接設(shè)備�����。這個過濾器使用連接設(shè)備的網(wǎng)絡(luò)板的MAC地址�����,因為這總是相同的�����。需要重點指出的是�����,為租約保留的地址必須超出為該端口的DHCP保留的IP的范圍�����。使用稱為網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的路由器特性讀取網(wǎng)絡(luò)末端的設(shè)備�����,NAT是一種協(xié)議�����,顧名思義�����,它將IP地址和TCP/UDP端口從本地網(wǎng)絡(luò)轉(zhuǎn)換到因特網(wǎng)�����。也就是說�����,IP關(guān)系將被闡述:請求者的端口與目的地端口IP地址的連接。
AirGate-3G的作用是執(zhí)行這個“翻譯”并重定向連接�����。
在圖2�����,以太網(wǎng)端口3G路由器的DHCP服務(wù)器被激活并且靜態(tài)租約配置區(qū)域數(shù)據(jù)記錄器MAC地址:00:26:A4:00:00:9E:IP地址:192.168.0.2�����,超出DHCP保留的IP范圍�����。這將確保在進行NAT調(diào)制解調(diào)器配置服務(wù)�����,你可以有固定的目標IP地址�����。
在該圖中�����, 配置PC-Server指的是負責此訪問的計算機�����,其IP固定為10.51.11.195�����,并且無論連接上請求的端口如何�����,它終都將訪問設(shè)備�����。第二Modbus連接指示任何試圖通過計算機VPN ModBus TCP端口(端口502)訪問3G路由器的計算機(地址0.0.0.0允許任何IP請求者包括在此規(guī)則中)也將訪問ModBus TCP端口(502)上的數(shù)據(jù)寄存器�����。第三個連接也一樣�����,從哪里請求連接到文件傳輸服務(wù)器(FTP:PATH 21)。
由于該解決方案中的互聯(lián)網(wǎng)連接提供商是移動數(shù)據(jù)載體�����,因此為SIM卡提供的IP是私有的�����,并且用于運營商的*訪問�����。為了能夠通過其IP地址訪問3G路由器�����,它必須與請求連接的機器在同一網(wǎng)絡(luò)上�����。使這種連接可行的解決方案是在調(diào)制解調(diào)器上使用VPN隧道�����,將使用其外部IP�����,再加上VPN服務(wù)器上經(jīng)過身份驗證的用戶和密碼�����,從而可以在公司的網(wǎng)絡(luò)上查看�����。路由器支持目前市場上使用的主要VPN協(xié)議�����,主要是IPvsec上的OpenVPN�����、PPTP和L2TP�����。
另外是在3G路由器中設(shè)置OpenVPN客戶端的示例。有必要輸入VPN服務(wù)器提供的信息(EX: 服務(wù)器IP地址�����、端口�����、壓縮�����、加密等)�����。若要將路由器驗證到VPN�����,可以使用以下選項:
Pre-shared 預共享
User/Password 用戶/密碼
X.509 certificate X.509證書
X.509 certificate + User / password X.509證書+用戶/密碼
X.509證書�����,它數(shù)字證書的格式�����,通常以這樣的方式使用�����,一個名稱可以安全地連接到一個公鑰�����,允許強大的身份驗證�����。本地IP地址將是SCADA軟件可以查看3G路由器的地址�����,并且在訪問該地址時�����,NAT調(diào)制解調(diào)器功能將生效�����,以便重新定向連接以讀取數(shù)據(jù)記錄器中寄存器信息。
因此使用具有移動數(shù)據(jù)連接的3G路由器和基于OpenVPN協(xié)議的VPN對設(shè)備的遠程訪問的應用基于以下支柱:
使用數(shù)據(jù)記錄器的MAC地址的靜態(tài)IP租約�����;
VPN客戶端配置(在這種情況下�����,OpenVPN客戶端)�����;
地址轉(zhuǎn)換和重定向規(guī)則(NAT)的配置�����;
在不放棄數(shù)據(jù)安全性的情況下實現(xiàn)對機器和設(shè)備的遠程訪問的技術(shù)與工業(yè)自動化市場的技術(shù)趨勢并駕齊驅(qū)�����。借助于市場上可用的解決方案�����,可以部署幾個不同大小的應用程序�����,從而降低維護成本�����,提高生產(chǎn)率�����。
手機版
制藥網(wǎng)手機版
制藥網(wǎng)小程序
官方微信
公眾號:zyzhan
直播中 
直播中 
預告 
