工業(yè)以太網(wǎng)學(xué)習(xí)心得-

1、工業(yè)以太網(wǎng)學(xué)習(xí)心得工業(yè)以太網(wǎng)是基于IEEE 802.3 (Ethernet)的強(qiáng)大的區(qū)域和單元網(wǎng)絡(luò)。利用工業(yè)以太網(wǎng)，SIMATIC NET 提供了一個(gè)無(wú)縫集成到新的多媒體世界的途徑。-企業(yè)內(nèi)部互聯(lián)網(wǎng)(Intranet)，外部互聯(lián)網(wǎng)(Extranet)，以及國(guó)際互聯(lián)網(wǎng)(Internet) 提供的廣泛應(yīng)用不但已經(jīng)進(jìn)入今天的辦公室領(lǐng)域，而且還可以應(yīng)用于生產(chǎn)和過(guò)程自動(dòng)化。繼10M波特率以太網(wǎng)成功運(yùn)行之后，具有交換功能，全雙工和自適應(yīng)的100M波特率快速以太網(wǎng)(Fast Ethernet，符合IEEE 802.3u 的標(biāo)準(zhǔn))也已成功運(yùn)行多年。采用何種性能的以太網(wǎng)取決于用戶的需要。通用的兼容性允許用戶無(wú)縫

2、升級(jí)到新技術(shù)。為用戶帶來(lái)的利益-市場(chǎng)占有率高達(dá)80%，以太網(wǎng)毫無(wú)疑問(wèn)是當(dāng)今LAN(局域網(wǎng))領(lǐng)域中首屈一指的網(wǎng)絡(luò)。以太網(wǎng)優(yōu)越的性能，為您的應(yīng)用帶來(lái)巨大的利益：通過(guò)簡(jiǎn)單的連接方式快速裝配。通過(guò)不斷的開(kāi)發(fā)提供了持續(xù)的兼容性，因而保證了投資的安全。通過(guò)交換技術(shù)提供實(shí)際上沒(méi)有限制的通訊性能。各種各樣聯(lián)網(wǎng)應(yīng)用，例如辦公室環(huán)境和生產(chǎn)應(yīng)用環(huán)境的聯(lián)網(wǎng)。通過(guò)接入WAN(廣域網(wǎng))可實(shí)現(xiàn)公司之間的通訊，例如，ISDN 或Internet 的接入。-SIMATIC NET基于經(jīng)過(guò)現(xiàn)場(chǎng)應(yīng)用驗(yàn)證的技術(shù),SIMATIC NET已供應(yīng)多于400,000個(gè)節(jié)點(diǎn)，遍布世界各地，用于嚴(yán)酷的工業(yè)環(huán)境，包括有高強(qiáng)度電磁干擾的區(qū)域。工業(yè)以

3、太網(wǎng)絡(luò)的構(gòu)成-一個(gè)典型的工業(yè)以太網(wǎng)絡(luò)環(huán)境，有以下三類(lèi)網(wǎng)絡(luò)器件：網(wǎng)絡(luò)部件連接部件：FC 快速連接插座ELS(工業(yè)以太網(wǎng)電氣交換機(jī))ESM(工業(yè)以太網(wǎng)電氣交換機(jī))SM(工業(yè)以太網(wǎng)光纖交換機(jī))MC TP11(工業(yè)以太網(wǎng)光纖電氣轉(zhuǎn)換模塊)通信介質(zhì)：普通雙絞線，工業(yè)屏蔽雙絞線和光纖SIMATIC PLC控制器上的工業(yè)以太網(wǎng)通訊處理器。用于將SIMATIC PLC連接到工業(yè)以太網(wǎng)。PG/PC 上的工業(yè)以太網(wǎng)通訊處理器。用于將PG/PC連接到工業(yè)以太網(wǎng)。工業(yè)以太網(wǎng)重要性能-為了應(yīng)用于嚴(yán)酷的工業(yè)環(huán)境，確保工業(yè)應(yīng)用的安全可靠，SIMATIC NET 為以太網(wǎng)技術(shù)補(bǔ)充了不少重要的性能：工業(yè)以太網(wǎng)技術(shù)上與IEEE8

4、02.3/802.3u兼容，使用ISO和TCP/IP 通訊協(xié)議10/100M 自適應(yīng)傳輸速率冗余24VDC 供電簡(jiǎn)單的機(jī)柜導(dǎo)軌安裝方便的構(gòu)成星型、線型和環(huán)型拓?fù)浣Y(jié)構(gòu)高速冗余的安全網(wǎng)絡(luò)，最大網(wǎng)絡(luò)重構(gòu)時(shí)間為0.3 秒用于嚴(yán)酷環(huán)境的網(wǎng)絡(luò)元件，通過(guò)EMC 測(cè)試通過(guò)帶有RJ45 技術(shù)、工業(yè)級(jí)的Sub-D 連接技術(shù)和安裝專用屏蔽電纜的Fast Connect連接技術(shù)，確保現(xiàn)場(chǎng)電纜安裝工作的快速進(jìn)行簡(jiǎn)單高效的信號(hào)裝置不斷地監(jiān)視網(wǎng)絡(luò)元件符合SNMP(簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議)工業(yè)以太網(wǎng)聯(lián)網(wǎng)設(shè)備基本知識(shí)今天的控制系統(tǒng)和工廠自動(dòng)化系統(tǒng)，以太網(wǎng)的應(yīng)用幾乎已經(jīng)和PLC一樣普及。但現(xiàn)場(chǎng)工程師們對(duì)以太網(wǎng)的了解，大多來(lái)自他們對(duì)傳

5、統(tǒng)商業(yè)以太網(wǎng)的認(rèn)識(shí)。很多控制系統(tǒng)工程的實(shí)施甚至是直接讓IT部門(mén)的技術(shù)人員來(lái)實(shí)施。但是，IT工程師們對(duì)于以太網(wǎng)的了解，往往局限于辦公自動(dòng)化商業(yè)以太網(wǎng)的實(shí)施經(jīng)驗(yàn)，可能導(dǎo)致工業(yè)以太網(wǎng)在工業(yè)控制系統(tǒng)中實(shí)施的簡(jiǎn)單化和商業(yè)化，不能真正理解工業(yè)以太網(wǎng)在工業(yè)現(xiàn)場(chǎng)的意義，也無(wú)法真正利用工業(yè)以太網(wǎng)內(nèi)在的特殊功能，常常造成工業(yè)以太網(wǎng)現(xiàn)場(chǎng)實(shí)施的不徹底，給整個(gè)控制系統(tǒng)留下不穩(wěn)定因素。那么選擇正確的工業(yè)以太網(wǎng)要考慮哪些因素？簡(jiǎn)單的來(lái)說(shuō)，要從以太網(wǎng)通訊協(xié)議、電源、通信速率、工業(yè)環(huán)境認(rèn)證考慮、安裝方式、外殼對(duì)散熱的影響、簡(jiǎn)單通信功能和通信管理功能、電口或光口的考慮。這些都是最基本需要了解的產(chǎn)品選擇因素。如果對(duì)工業(yè)以太網(wǎng)的網(wǎng)絡(luò)

6、管理有更高要求，則需要考慮所選擇產(chǎn)品的高級(jí)功能如：信號(hào)強(qiáng)弱、端口設(shè)置、出錯(cuò)報(bào)警、串口使用、主干(TrunkingTM)冗余、環(huán)網(wǎng)冗余、服務(wù)質(zhì)量(QoS)、虛擬局域網(wǎng)(VLAN)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、端口鏡像等等其他工業(yè)以太網(wǎng)管理交換機(jī)中可以提供的功能。不同的控制系統(tǒng)對(duì)網(wǎng)絡(luò)的管理功能要求不同，自然對(duì)管理型交換機(jī)的使用也有不同要求?？刂乒こ處焸儜?yīng)該根據(jù)其系統(tǒng)的設(shè)計(jì)要求，挑選適合自己系統(tǒng)的工業(yè)以太網(wǎng)產(chǎn)品。由于工業(yè)環(huán)境對(duì)工業(yè)控制網(wǎng)絡(luò)可靠性能的超高要求，工業(yè)以太網(wǎng)的冗余功能應(yīng)運(yùn)而生。從快速生成樹(shù)冗余(RSTP)、環(huán)網(wǎng)冗余(RapidRingTM)到主干冗余(TrunkingTM)，都有各自不同

7、的優(yōu)勢(shì)和特點(diǎn)，控制工程師們可以根據(jù)自己的要求進(jìn)行選擇。為了更好地幫助大家了解和學(xué)習(xí)工業(yè)以太網(wǎng)冗余技術(shù)的特點(diǎn)，讓我們首先回顧以下以太網(wǎng)設(shè)備的發(fā)展過(guò)程。集線器 (Hub)相信絕大多數(shù)人都熟悉集線器。很多人使用這種簡(jiǎn)易設(shè)備去連接各種基于以太網(wǎng)的設(shè)備，如個(gè)人計(jì)算機(jī)，可編程控制器等。集線器接收到來(lái)自某一端口的消息，再將消息廣播到其它所有的端口。對(duì)來(lái)自任一端口的每一條消息，集線器都會(huì)把它傳遞到其它的各個(gè)端口。在消息傳遞方面，集線器是低速低效的，可能會(huì)出現(xiàn)消息沖突。然而，集線器的使用非常簡(jiǎn)單實(shí)際上可以即插即用。集線器沒(méi)有任何華而不實(shí)的功能，也沒(méi)有冗余功能。非管理型交換機(jī) (Unmanaged Switch)

8、集線器的發(fā)展產(chǎn)生了一種叫非管理型交換機(jī)的設(shè)備。它能實(shí)現(xiàn)消息從一個(gè)端口到另一個(gè)端口的路由功能，相對(duì)集線器更加智能化。非管理型交換機(jī)能自動(dòng)探測(cè)每臺(tái)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)速度。另外，它具有一種稱為“MAC地址表”的功能，能識(shí)別和記憶網(wǎng)絡(luò)中的設(shè)備。換言之，如果端口2收到一條帶有特定識(shí)別碼的消息，此后交換機(jī)就會(huì)將所有具有那種特定識(shí)別碼的消息發(fā)送到端口2。這種智能避免了消息沖突，提高了傳輸性能，相對(duì)集線器是一次巨大的改進(jìn)。然而，非管理型交換機(jī)不能實(shí)現(xiàn)任何形式的通信檢測(cè)和冗余配置功能。管理型交換機(jī) (Managed Switch)以太網(wǎng)連接設(shè)備發(fā)展的下一代產(chǎn)品是管理型交換機(jī)。相對(duì)集線器和非管理型交換機(jī)，管理型交換機(jī)

9、擁有更多更復(fù)雜的功能，價(jià)格也高出許多通常是一臺(tái)非管理型交換機(jī)的34倍。管理型交換機(jī)提供了更多的功能，通?？梢酝ㄟ^(guò)基于網(wǎng)絡(luò)的接口實(shí)現(xiàn)完全配置。它可以自動(dòng)與網(wǎng)絡(luò)設(shè)備交互，用戶也可以手動(dòng)配置每個(gè)端口的網(wǎng)速和流量控制。一些老設(shè)備可能無(wú)法使用自動(dòng)交互功能，因此手動(dòng)配置功能是必不可缺的。絕大多數(shù)管理型交換機(jī)通常也提供一些高級(jí)功能，如用于遠(yuǎn)程監(jiān)視和配置的SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)，用于診斷的端口映射，用于網(wǎng)絡(luò)設(shè)備成組的VLAN(虛擬局域網(wǎng))，用于確保優(yōu)先級(jí)消息通過(guò)的優(yōu)先級(jí)排列功能等。利用管理型交換機(jī)，可以組建冗余網(wǎng)絡(luò)。使用環(huán)形拓?fù)浣Y(jié)構(gòu)，管理型交換機(jī)可以組成環(huán)形網(wǎng)絡(luò)。每臺(tái)管理型交換機(jī)能自動(dòng)判斷最優(yōu)傳輸路徑和

10、備用路徑，當(dāng)優(yōu)先路徑中斷時(shí)自動(dòng)阻斷(block)備用路徑。應(yīng)工業(yè)以太網(wǎng)用安全的研究工業(yè)以太網(wǎng)是當(dāng)前工業(yè)控制領(lǐng)域的研究熱點(diǎn)。工業(yè)以太網(wǎng)重點(diǎn)在于利用交換式以太網(wǎng)技術(shù)為控制器和操作站，各種工作站之間的相互協(xié)調(diào)合作提供一種交互機(jī)制并和上層信息網(wǎng)絡(luò)無(wú)縫集成。目前工業(yè)以太網(wǎng)開(kāi)始在監(jiān)控層網(wǎng)絡(luò)上逐漸占據(jù)主流位置，正在向現(xiàn)場(chǎng)設(shè)備層網(wǎng)絡(luò)滲透。工業(yè)以太網(wǎng)相對(duì)于以往自動(dòng)化技術(shù)有很多優(yōu)勢(shì)，然而事物是相對(duì)的，在我們享受開(kāi)放互聯(lián)技術(shù)進(jìn)步的成果同時(shí)應(yīng)該對(duì)它們存在的隱患和可能帶來(lái)的嚴(yán)重后果要有深刻認(rèn)識(shí)。1工業(yè)以太網(wǎng)的特點(diǎn)及安全要求雖然脫胎于Intranet、Internet等類(lèi)型的信息網(wǎng)絡(luò)，但是工業(yè)以太網(wǎng)是面向生產(chǎn)過(guò)程,對(duì)實(shí)時(shí)

11、性、可靠性、安全性和數(shù)據(jù)完整性有很高的要求。既有與信息網(wǎng)絡(luò)相同的特點(diǎn)和安全要求，也有自己不同于信息網(wǎng)絡(luò)的顯著特點(diǎn)和安全要求：（1）工業(yè)以太網(wǎng)是一個(gè)網(wǎng)絡(luò)控制系統(tǒng)，實(shí)時(shí)性要求高，網(wǎng)絡(luò)傳輸要有確定性。（2）整個(gè)企業(yè)網(wǎng)絡(luò)按功能可分為處于管理層的通用以太網(wǎng)和處于監(jiān)控層的工業(yè)以太網(wǎng)以及現(xiàn)場(chǎng)設(shè)備層（如現(xiàn)場(chǎng)總線）。管理層通用以太網(wǎng)可以與控制層的工業(yè)以太網(wǎng)交換數(shù)據(jù)，上下網(wǎng)段采用相同協(xié)議自由通信。（3）工業(yè)以太網(wǎng)中周期與非周期信息同時(shí)存在，各自有不同的要求。周期信息的傳輸通常具有順序性要求，而非周期信息有優(yōu)先級(jí)要求，如報(bào)警信息是需要立即響應(yīng)的。（4）工業(yè)以太網(wǎng)要為緊要任務(wù)提供最低限度的性能保證服務(wù)，同時(shí)也要為非緊

12、要任務(wù)提供盡力服務(wù)，所以工業(yè)以太網(wǎng)同時(shí)具有實(shí)時(shí)協(xié)議也具有非實(shí)時(shí)協(xié)議。基于以上特點(diǎn)，有如下安全應(yīng)用要求：（1）工業(yè)以太網(wǎng)應(yīng)該保證實(shí)時(shí)性不會(huì)被破壞，在商業(yè)應(yīng)用中，對(duì)實(shí)時(shí)性的要求基本不涉及安全，而過(guò)程控制對(duì)實(shí)時(shí)性的要求是硬性的，常常涉及生產(chǎn)設(shè)備和人員安全。（2）當(dāng)今世界舞臺(tái)，各種競(jìng)爭(zhēng)異常激烈。對(duì)于很多企業(yè)尤其是掌握領(lǐng)先技術(shù)的企業(yè)，作為其技術(shù)實(shí)際體現(xiàn)的生產(chǎn)工藝往往是企業(yè)的根本利益。一些關(guān)鍵生產(chǎn)過(guò)程的流程工藝乃至運(yùn)行參數(shù)都有可能成為對(duì)手竊取的目標(biāo)。所以在工業(yè)以太網(wǎng)的數(shù)據(jù)傳輸中要防止數(shù)據(jù)被竊取。（3）開(kāi)放互聯(lián)是工業(yè)以太網(wǎng)的優(yōu)勢(shì)，遠(yuǎn)程的監(jiān)視、控制、調(diào)試、診斷等極大的增強(qiáng)了控制的分布性、靈活性，打破了時(shí)空的限

13、制，但是對(duì)于這些應(yīng)用必須保證經(jīng)過(guò)授權(quán)的合法性和可審查性。2工業(yè)以太網(wǎng)的應(yīng)用安全問(wèn)題分析（1）在傳統(tǒng)工業(yè)工業(yè)以太網(wǎng)中上下網(wǎng)段使用不同的協(xié)議無(wú)法互操作，所以使用一層防火墻防止來(lái)自外部的非法訪問(wèn)，但工業(yè)以太網(wǎng)將控制層和管理層連接起來(lái)，上下網(wǎng)段使用相同的協(xié)議，具有互操作性，所以使用兩級(jí)防火墻，第二級(jí)的防火墻用于屏蔽內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)和分配不同權(quán)限合法用戶的不同授權(quán)。另外還可用根據(jù)日志記錄調(diào)整過(guò)濾和登錄策略。要采取嚴(yán)格的權(quán)限管理措施，可以根據(jù)部門(mén)分配權(quán)限，也可以根據(jù)操作分配權(quán)限。由于工廠應(yīng)用專業(yè)性很強(qiáng)，進(jìn)行權(quán)限管理能有效避免非授權(quán)操作。同時(shí)要對(duì)關(guān)鍵性工作站的操作系統(tǒng)的訪問(wèn)加以限制，采用內(nèi)置的設(shè)備管理系統(tǒng)

14、必須擁有記錄審查功能，數(shù)據(jù)庫(kù)自動(dòng)記錄設(shè)備參數(shù)修改事件：誰(shuí)修改，修改的理由，修改之前和之后的參數(shù)，從而可以有據(jù)可查。（2）在工業(yè)以太網(wǎng)的應(yīng)用中可以采用加密的方式來(lái)防止關(guān)鍵信息竊取。目前主要存在兩種密碼體制：對(duì)稱密碼體制和非對(duì)稱密碼體制。對(duì)稱密碼體制中加密解密雙方使用相同的密鑰且密鑰保密，由于在通信之前必須完成密鑰的分發(fā)，該體制中這一環(huán)節(jié)是不安全的。所以采用非對(duì)稱密碼體制，由于工業(yè)以太網(wǎng)發(fā)送的多為周期性的短信息，所以采用這種加密方式還是比較迅速的。對(duì)于工業(yè)以太網(wǎng)來(lái)說(shuō)是可行的。還要對(duì)外部節(jié)點(diǎn)的接入加以防范。（3）工業(yè)以太網(wǎng)的實(shí)時(shí)性目前主要是由以下幾點(diǎn)保證：限制工業(yè)以太網(wǎng)的通信負(fù)荷，采用100M的快速

15、以太網(wǎng)技術(shù)提高帶寬，采用交換式以太網(wǎng)技術(shù)和全雙工通信方式屏蔽固有的CSMA/CD機(jī)制。隨著網(wǎng)絡(luò)的開(kāi)放互連和自動(dòng)化系統(tǒng)大量IT技術(shù)的引入，加上TCP/IP協(xié)議本身的開(kāi)放性和層出不窮的網(wǎng)絡(luò)病毒和攻擊手段，網(wǎng)絡(luò)安全可以成為影響工業(yè)以太網(wǎng)實(shí)時(shí)性的一個(gè)突出問(wèn)題。1）病毒攻擊。在互聯(lián)網(wǎng)上充斥著類(lèi)似Slammer、“沖擊波”等蠕蟲(chóng)病毒和其它網(wǎng)絡(luò)病毒的襲擊。以蠕蟲(chóng)病毒為例，這些蠕蟲(chóng)病毒攻擊的直接目標(biāo)雖然通常是信息層網(wǎng)絡(luò)的PC機(jī)和服務(wù)器，但是攻擊是通過(guò)網(wǎng)絡(luò)進(jìn)行的，因此當(dāng)這些蠕蟲(chóng)病毒大規(guī)模爆發(fā)時(shí)，交換機(jī)、路由器會(huì)首先受到牽連。用戶只有通過(guò)重啟交換路由設(shè)備、重新配置訪問(wèn)控制列表才能消除蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)設(shè)備造成的影響。

16、蠕蟲(chóng)病毒攻擊能夠?qū)е抡麄€(gè)網(wǎng)絡(luò)的路由震蕩，這樣可能使上層的信息層網(wǎng)絡(luò)部分流量流入工業(yè)以太網(wǎng)，加大了它的通信負(fù)荷，影響其實(shí)時(shí)性。在控制層也存在不少計(jì)算機(jī)終端連接在工業(yè)以太網(wǎng)交換機(jī)，一旦終端感染病毒，病毒發(fā)作即使不能造成網(wǎng)絡(luò)癱瘓，也可能會(huì)消耗帶寬和交換機(jī)資源。2） MAC攻擊。工業(yè)以太網(wǎng)交換機(jī)通常是二層交換機(jī)，而MAC地址是二層交換機(jī)工作的基礎(chǔ)，網(wǎng)絡(luò)依賴MAC地址保證數(shù)據(jù)的正常轉(zhuǎn)發(fā)。動(dòng)態(tài)的二層地址表在一定時(shí)間以后（AGE TIME）會(huì)發(fā)生更新。如果某端口一直沒(méi)有收到源地址為某一MAC地址的數(shù)據(jù)包，那么該MAC地址和該端口的映射關(guān)系就會(huì)失效。這時(shí)，交換機(jī)收到目的地址為該MAC地址的數(shù)據(jù)包就會(huì)進(jìn)行泛洪處

17、理，對(duì)交換機(jī)的整體性能造成影響，能導(dǎo)致交換機(jī)的查表速度下降。而且，假如攻擊者生成大量數(shù)據(jù)包，數(shù)據(jù)包的源MAC地址都不相同，就會(huì)充滿交換機(jī)的MAC地址表空間，導(dǎo)致真正的數(shù)據(jù)流到達(dá)交換機(jī)時(shí)被泛洪出去。這種通過(guò)復(fù)雜攻擊和欺騙交換機(jī)入侵網(wǎng)絡(luò)方式，近來(lái)已有不少實(shí)例。一旦表中MAC地址與網(wǎng)絡(luò)段之間的映射信息被破壞，迫使交換機(jī)轉(zhuǎn)儲(chǔ)自己的MAC地址表，開(kāi)始失效恢復(fù)，交換機(jī)就會(huì)停止網(wǎng)絡(luò)傳輸過(guò)濾，它的作用就類(lèi)似共享介質(zhì)設(shè)備或集線器，CSMA/CD機(jī)制將重新作用從而影響工業(yè)以太網(wǎng)的實(shí)時(shí)性。目前信息層網(wǎng)絡(luò)采用的交換機(jī)安全技術(shù)主要包括以下幾種。流量控制技術(shù) ，把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。訪問(wèn)控制列表（ACL

18、）技術(shù) ，ACL通過(guò)對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)輸入和輸出控制，確保網(wǎng)絡(luò)設(shè)備不被非法訪問(wèn)或被用作攻擊跳板。 安全套接層（SSL） 為所有 HTTP流量加密，允許訪問(wèn)交換機(jī)上基于瀏覽器的管理 GUI。802.1x和RADIUS 網(wǎng)絡(luò)登錄 控制基于端口的訪問(wèn)，以進(jìn)行驗(yàn)證和責(zé)任明晰。源端口過(guò)濾只允許指定端口進(jìn)行相互通信。Secure Shell （SSHv1/SSHv2） 加密傳輸所有的數(shù)據(jù)，確保IP網(wǎng)絡(luò)上安全的CLI遠(yuǎn)程訪問(wèn)。安全FTP 實(shí)現(xiàn)與交換機(jī)之間安全的文件傳輸，避免不需要的文件下載或未授權(quán)的交換機(jī)配置文件復(fù)制。不過(guò)，應(yīng)用這些安全功能仍然存在很多實(shí)際問(wèn)題，例如交換機(jī)的流量控制功能只能對(duì)經(jīng)過(guò)端口的各類(lèi)流量進(jìn)行簡(jiǎn)單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無(wú)法區(qū)分哪些是正常流量，哪些是異常流量。同時(shí)，如何設(shè)定一個(gè)合適的閾值也比較困難。一些交換機(jī)具有ACL，但如果ASIC支持的ACL少仍舊沒(méi)有用。一般交換機(jī)還不能對(duì)非法的ARP（源目的MAC為廣播地址）進(jìn)行特殊處理。網(wǎng)絡(luò)中是否會(huì)出現(xiàn)路由欺詐、生成樹(shù)欺詐的攻擊、802.1x的DoS攻擊、對(duì)交換機(jī)網(wǎng)管系統(tǒng)的DoS攻擊等，都是交換機(jī)面臨的潛在威脅。在控制層，工業(yè)以太網(wǎng)交換機(jī)，一方面可以借鑒這些安全技術(shù)，但是也必須意識(shí)到工業(yè)