利用AIR-GATE 3G路由器和VPN
實現(xiàn)安全的工業(yè)遠程訪問
在工業(yè)和其他相關(guān)領(lǐng)域遠程訪問世界各地的電子設(shè)備和機器設(shè)備正在迅速獲得重視。專家們指出遠程控制和監(jiān)控是提高生產(chǎn)率和降低成本,并在執(zhí)行過程中實現(xiàn)企業(yè)獲利的重要機制。工業(yè)機器對這方面信息的需求是重要的,公司管理者能夠了解工廠的當前運行情況并可迅速采取行動。通過網(wǎng)絡(luò)遠程訪問已安裝的設(shè)備將大大降低了維護成本,優(yōu)化了監(jiān)測過程并消除需要遠距離現(xiàn)場問題確認,從而對工業(yè)工廠不受地域限制的遠程控制。
過程變量-網(wǎng)關(guān)-VPN和PC之間的集成構(gòu)成了智能環(huán)境概念的技術(shù)基礎(chǔ),其中生成的信息可以在多個平臺和應用程序之間共享,從而允許對某些設(shè)備實現(xiàn)安全控制和遠程監(jiān)控。智能環(huán)境的概念包括不同的技術(shù),例如傳感器網(wǎng)絡(luò)和嵌入式系統(tǒng),它們一起工作以跟蹤設(shè)備狀態(tài),例如位置、溫度和運動。
關(guān)于這種類型遠程連接的一個重要因素是信息和連接的安全性。任何遠程訪問都意味著數(shù)據(jù)通過公共網(wǎng)絡(luò)傳輸,確?,F(xiàn)場收集的信息的完整性和機密性對于可靠的遠程操作至關(guān)重要。在主要安全工具中,我們有防火墻,它是公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間進入的重要屏障,通過限制網(wǎng)絡(luò)上的可用端口、可以通過網(wǎng)絡(luò)設(shè)置分組類型、允許的協(xié)議等。關(guān)于信息安全的另一個要點是加密,其目的是創(chuàng)建不屬于VPN(虛擬網(wǎng))的那些人不能理解的數(shù)據(jù)序列,也就是說只有真正的接收者才能理解原始數(shù)據(jù)。有一些協(xié)議負責為VPN連接提供安全性和加密,其中常用的是IPSec(IP安全協(xié)議),它是IP擴展旨在為網(wǎng)絡(luò)中攜帶的分組提供更大的安全性和隱私,能夠以兩種模式使用,傳輸模式和隧道模式。在傳輸模式中,只有消息被加密,IP報頭沒有被修改。在隧道模式中,IP分組被*加密,因此有必要封裝一個新的IP分組來分發(fā)它。
工業(yè)機器集成大量的嵌入式系統(tǒng),有的連接到通信網(wǎng)絡(luò)或有的沒有。這些機器可以具有傳感器和執(zhí)行器,以實現(xiàn)監(jiān)測和控制操作。在本文中,我們將介紹AirGate-3G路由器作為網(wǎng)關(guān),通過Modbus TCP,使用移動數(shù)據(jù)連接,在網(wǎng)絡(luò)架構(gòu)中充當VPN客戶端來讀取FieldLogger的應用和配置。在這種類型的解決方案中我們有以下拓撲結(jié)構(gòu):
所提出的體系結(jié)構(gòu)規(guī)定FieldLogger將通過其以太網(wǎng)端口物理地連接到AirGate3G,并使用移動數(shù)據(jù)連接,調(diào)制解調(diào)器作為客戶機連接到公司的VPN服務(wù)器,執(zhí)行認證過程并接收內(nèi)部網(wǎng)絡(luò)IP,使它可以通過監(jiān)控軟件看到PC端,下面將詳細說明這個連接的細節(jié)。
由于要讀取的設(shè)備將連接到AirGate-3G的網(wǎng)絡(luò)端口,所以具有設(shè)備的網(wǎng)絡(luò)板的物理地址很重要,因為當我們配置DHCP服務(wù)器調(diào)制解調(diào)器端口時,必須具有靜態(tài)租約,使得AirGate-3G總是打開,它分配相同的IP地址到它的物理連接設(shè)備。這個過濾器使用連接設(shè)備的網(wǎng)絡(luò)板的MAC地址,因為這總是相同的。需要重點指出的是,為租約保留的地址必須超出為該端口的DHCP保留的IP的范圍。使用稱為網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的路由器特性讀取網(wǎng)絡(luò)末端的設(shè)備,NAT是一種協(xié)議,顧名思義,它將IP地址和TCP/UDP端口從本地網(wǎng)絡(luò)轉(zhuǎn)換到因特網(wǎng)。也就是說,IP關(guān)系將被闡述:請求者的端口與目的地端口IP地址的連接。
AirGate-3G的作用是執(zhí)行這個“翻譯”并重定向連接。
在圖2,以太網(wǎng)端口3G路由器的DHCP服務(wù)器被激活并且靜態(tài)租約配置區(qū)域數(shù)據(jù)記錄器MAC地址:00:26:A4:00:00:9E:IP地址:192.168.0.2,超出DHCP保留的IP范圍。這將確保在進行NAT調(diào)制解調(diào)器配置服務(wù),你可以有固定的目標IP地址。
在該圖中, 配置PC-Server指的是負責此訪問的計算機,其IP固定為10.51.11.195,并且無論連接上請求的端口如何,它終都將訪問設(shè)備。第二Modbus連接指示任何試圖通過計算機VPN ModBus TCP端口(端口502)訪問3G路由器的計算機(地址0.0.0.0允許任何IP請求者包括在此規(guī)則中)也將訪問ModBus TCP端口(502)上的數(shù)據(jù)寄存器。第三個連接也一樣,從哪里請求連接到文件傳輸服務(wù)器(FTP:PATH 21)。
由于該解決方案中的互聯(lián)網(wǎng)連接提供商是移動數(shù)據(jù)載體,因此為SIM卡提供的IP是私有的,并且用于運營商的*訪問。為了能夠通過其IP地址訪問3G路由器,它必須與請求連接的機器在同一網(wǎng)絡(luò)上。使這種連接可行的解決方案是在調(diào)制解調(diào)器上使用VPN隧道,將使用其外部IP,再加上VPN服務(wù)器上經(jīng)過身份驗證的用戶和密碼,從而可以在公司的網(wǎng)絡(luò)上查看。路由器支持目前市場上使用的主要VPN協(xié)議,主要是IPvsec上的OpenVPN、PPTP和L2TP。
另外是在3G路由器中設(shè)置OpenVPN客戶端的示例。有必要輸入VPN服務(wù)器提供的信息(EX: 服務(wù)器IP地址、端口、壓縮、加密等)。若要將路由器驗證到VPN,可以使用以下選項:
Pre-shared 預共享
User/Password 用戶/密碼
X.509 certificate X.509證書
X.509 certificate + User / password X.509證書+用戶/密碼
X.509證書,它數(shù)字證書的格式,通常以這樣的方式使用,一個名稱可以安全地連接到一個公鑰,允許強大的身份驗證。本地IP地址將是SCADA軟件可以查看3G路由器的地址,并且在訪問該地址時,NAT調(diào)制解調(diào)器功能將生效,以便重新定向連接以讀取數(shù)據(jù)記錄器中寄存器信息。
因此使用具有移動數(shù)據(jù)連接的3G路由器和基于OpenVPN協(xié)議的VPN對設(shè)備的遠程訪問的應用基于以下支柱:
使用數(shù)據(jù)記錄器的MAC地址的靜態(tài)IP租約;
VPN客戶端配置(在這種情況下,OpenVPN客戶端);
地址轉(zhuǎn)換和重定向規(guī)則(NAT)的配置;
在不放棄數(shù)據(jù)安全性的情況下實現(xiàn)對機器和設(shè)備的遠程訪問的技術(shù)與工業(yè)自動化市場的技術(shù)趨勢并駕齊驅(qū)。借助于市場上可用的解決方案,可以部署幾個不同大小的應用程序,從而降低維護成本,提高生產(chǎn)率。
免責聲明