《工業(yè)網絡技術與應用（微課版）》全套教學課件

工業(yè)控制系統與工業(yè)網絡第1章

工業(yè)網絡概述第2章

工業(yè)網絡設備基礎第3章VLAN虛擬局域網技術第4章

網絡冗余技術第5章

路由技術第6章

地址轉換技術NAT第7章

工業(yè)無線網絡技術第8章

工業(yè)網絡安全技術全套可編輯PPT課件

第1章工業(yè)網絡概述全套可編輯PPT課件

工業(yè)網絡是一種用于連接工業(yè)設備、傳感器、控制器和計算機的通信基礎設施。它在工業(yè)自動化領域中起到關鍵作用，允許設備之間實現數據傳輸、控制和監(jiān)控，從而支持工業(yè)過程的高效運行和管理。工業(yè)網絡的主要目標是實現設備之間的實時通信、數據交換和控制這些網絡可以覆蓋各種工業(yè)應用，包括制造、能源、物流、交通等領域。工業(yè)網絡的特點包括高實時性、可靠性、安全性和適應多種通信需求。工業(yè)網絡可以采用不同的通信協議和技術，包括傳統的工業(yè)總線協議、工業(yè)以太網協議以及專門為工業(yè)自動化設計的通信協議。這些網絡可以用于從簡單的數據收集和監(jiān)測到復雜的控制和協調操作。1.1現場總線與工業(yè)以太網現場總線是迅速發(fā)展起來一種工業(yè)數據總線，是自動化領域中生產現場所使用的數據通信網絡，主要解決智能現場設備和自動化測量系統的數字式、雙向傳輸、分支結構的連接與通信問題。工業(yè)以太網是指技術上與“商用以太網”兼容，同時能夠滿足工業(yè)現場對網絡實用性、適用性、可靠性、實時性、環(huán)境適應性等方面需要的工業(yè)網絡。工業(yè)以太網是以太網技術在工業(yè)自動化領域中的應用，是繼現場總線之后發(fā)展起來的，最具有發(fā)展前景的一種工業(yè)通信網絡。1.1現場總線與工業(yè)以太網工業(yè)總線到工業(yè)以太網的發(fā)展歷史可以追溯到上個世紀80年代，這段歷程涵蓋了從傳統的串行通信和并行總線發(fā)展到現代高速以太網通信的轉變。以下是這一發(fā)展歷程的主要階段：1.傳統串行通信和并行總線（1980s）：在工業(yè)自動化起步階段，采用了傳統的串行通信和并行總線協議，如Modbus、ProfibusDP等。這些協議用于設備之間的基本通信，但受限于傳輸速率和距離，無法滿足日益復雜的工業(yè)自動化需求。2.工業(yè)總線的出現（1990s）：隨著工業(yè)自動化系統的擴展，出現了一系列用于實現分布式控制和通信的工業(yè)總線協議，如ProfibusPA、DeviceNet、CANopen等。這些總線協議具有更高的實時性和可靠性，但仍然受限于帶寬和速率1.1現場總線與工業(yè)以太網3.以太網的引入（1990s-2000s）：為了滿足工業(yè)自動化中對更高帶寬、更快速率和更廣覆蓋范圍的需求，工業(yè)界開始將以太網引入工業(yè)通信領域。最初，工業(yè)以太網的應用主要集中在數據采集和監(jiān)控領域，如監(jiān)測設備和傳感器。不同的制造商推出了自己的工業(yè)以太網標準，如Ethernet/IP、Profinet、EtherCAT等。4.工業(yè)以太網的發(fā)展（2000s-至今）：隨著技術的不斷發(fā)展，工業(yè)以太網在工業(yè)自動化領域中得到了廣泛應用。這些協議不僅提供了更高的速率和帶寬，還具備實時性、可靠性和安全性。工業(yè)以太網不斷演進，引入了各種實時通信和控制協議，以滿足不同應用場景的需求。5.統一標準的推動（近年）：為了解決不同工業(yè)以太網協議之間的互操作性問題，一些倡導者開始提倡將不同協議整合為更統一的標準。例如，工業(yè)以太網聯盟（IndustrialEthernetConsortium）提出了一些通用的工業(yè)以太網標準，以促進不同設備的互聯和通信。1.2現場總線現場總線(Fieldbus)是20世紀80年代末期隨著計算機、通信、控制和模塊化集成等技術發(fā)展而出現的一門新興技術。國際電工委員會（EC）對現場總線的定義為：現場總線是一種應用于生產現場，在現場設備之間、現場設備與控制裝置之間實行雙向、串行、多節(jié)點數字通信的技術?，F場總線作為工業(yè)數據通信網絡的基礎，打通了生產過程中現場級控制設備之間、控制設備與更高控制管理層之間的聯系。目前流行的現場總線已達40多種，在不同的領域各自發(fā)揮重要的作用。1.2現場總線PROFIBUS總線CAN總線DeviceNetControlNetCC-Link1.3工業(yè)以太網工業(yè)以太網是按照工業(yè)控制的要求，發(fā)展適當的應用層和用戶層協議，使以太網和TCP/IP技術真正能應用到控制層，延伸至現場層，而在信息層又盡可能采用IT行業(yè)一切有效而又最新的成果。因此，工業(yè)以太網與以太網在工業(yè)中的應用全然不是同一個概念當前工業(yè)自動化系統按照應用領域分為離散制造控制和連續(xù)過程控制，工業(yè)網絡分層為設備層、I/O層、控制層和監(jiān)控層。各種工業(yè)以太網與工業(yè)總線的關系如圖所示。1.3工業(yè)以太網1.3工業(yè)以太網每種工業(yè)以太網都有設備層現場總線與之互補，如表所示。工業(yè)以太網互補的設備層現場總線EtherNet/IPDeviceNet,ControlNetPROFINETPROFIBUSDP,PROFIBUSPAFoundationFieldbusHSEFoundationFieldbusHIIDAIDA,ModbusTCP/IP1.3工業(yè)以太網分布式自動化接口IDA（theInterfaceforDistributedAutomation）是一種完全建立在以太網基礎上的工業(yè)以太網規(guī)范，它將基于Web的實時分布式自動化環(huán)境與集中的安全體系結構相結合，目標是創(chuàng)立一個基于TCP/IP的分散自動化的解決方案，涵蓋了自動化結構中的所有層次，包括設備層。1.3工業(yè)以太網Ethernet/IP技術采用標準的以太網芯片，并采用有源星形拓撲結構，將一組工業(yè)設備點對點地連接到交換機，應用層則采用工業(yè)界廣泛應用的開放協議——控制和信息協議（CIP)。Ethernet/IP通信協議模型。1.3工業(yè)以太網PROFINET是由PROFIBUS國際組織提出的基于實時以太網技術的自動化總線標準，它將企業(yè)信息管理層IT技術和工廠自動化相結合，同時又完全保留了PROFINET現有的開放性。PROFINET支持星形、總線型和環(huán)等拓撲結構。PROFINET提供了大量的工具幫助用戶方便地安裝工業(yè)電纜和耐用連接器以滿足電磁兼容（EMC）和溫度的要求。PROFINET框架內標準化，保證了不同制造商設備之間的兼容性。PROFINET的通信協議模型1.3工業(yè)以太網1998年現場總線基金會開始起草HSE，2003年3月完成了HSE的第一版標準。HSE主要利用現有商用的以太網技術和TCP/IP協議族，通過錯時調度以太網數據，達到工現場監(jiān)控任務的要求。1.4以太網基礎1.OSI開放系統互連模型為了構建一個標準化的數據通信和網絡世界，1979年國際標準化組織ISO開發(fā)了一個開放系統互連參考模型（OSI）。OSI模型的目標是可以使兩個系統（如兩臺計算機）之間進行相互通信。1.4以太網基礎物理層（第1層）：定義了網絡中兩點之間發(fā)送信息的介質的連接，提供了實現、維護和斷開物理連接所需的機械、電氣或光學實體。在這一層中最重要的兩個內容是“介質”和“信號”。數據鏈路層（第2層）：定義了在單個物理鏈路上數據幀如何傳輸，提供幀同步、差錯檢測、糾正機制、流量控制、鏈路管理功能，能夠及時處理傳輸中的錯誤，確保接收方正確接收數據。網絡層（第3層）：定義了數據從發(fā)送方經過若干個中間節(jié)點傳送到接收方的方法。這一層數據稱為數據包，通過路徑選擇、分段組合、流量控制、擁塞控制等功能，向傳輸層提供最基本的端到端的數據傳送服務。1.4以太網基礎傳輸層（第4層）：負責可靠的數據傳輸。傳輸層建立接收方和發(fā)送方之間的邏輯點對點連接，實現無故障的數據傳輸，確保接收方按正確的順序接收數據。會話層（第5層）：定義了網絡上兩個應用程序之間對話（會話）的控制方式，以及此類會話的建立和終止。表示層（第6層）：協議規(guī)定如何表示數據，因為不同的計算機系統表示數字和字符的方式不同，這一層確保了字符代碼的轉換，例如從ASCII轉換為EBCDIC。應用層（第7層）：該層為網絡系統用戶提供服務。。1.4以太網基礎在OSI模型中，每一層都向發(fā)送方的用戶數據添加一些控制信息，稱之為報頭，接收方的相應層再刪除報頭信息。數據鏈路層不僅在傳輸數據的前面附加信息，也在它的后面附加含檢測傳輸錯誤的檢查代碼。只有物理層不添加任何內容。1.4以太網基礎2.局域網局域網（LAN）是指計算機、工作站和外圍設備之間在非常有限的地理位置區(qū)域內進行的通信。對于公共網絡，LAN采用稍微不同的方法實現OSI模型的底層要求。1.4以太網基礎3.以太網以太網是局域網的基礎，目前局域網協議還未達成標準化。IEEE組織的IEEE802.3標準制定了以太網的技術標準，它規(guī)定了包括物理層的連線、電子信號和介質訪問層協議的內容。以太網是應用最普遍的局域網技術，取代了其他局域網技術如令牌環(huán)、FDDI和ARCNET。1.4以太網基礎以太網只是OSI模型中第1層和第2層的一種特殊形式。它不是一個完整的網絡協議，而是一個子網，其他協議（如TCP/IP套件）可以在該子網上工作。以太網最重要的功能是：填寫物理層：通過介質發(fā)送和接收串行位流；檢測碰撞。填寫數據鏈路層：MAC介質訪問控制子層：提供網絡訪問機制CSMA/CD；建立數據幀。LLC邏輯鏈路控制子層：確保數據可靠性；為更高級別的應用程序提供數據通道。1.4.1物理層多年以來物理層最重要的實現有：粗纜以太網（10Base5）、細纜以太網（10Base2）、寬帶以太網（10Broad36）、雙絞線以太網（10Base-T）、光纖以太網（10Base-F）、快速以太網（100Base-T/100Base-F）、千兆以太網（1000Base-T）、無線以太網1.4.1物理層1.基于同軸電纜的以太網最初的以太網是圍繞總線拓撲的概念設計的。以太網的第一個實現是粗纜以太網，基于一根黃色粗同軸電纜，也稱為10Base5。10Base5以太網的特點：傳輸速率最高10Mbps基帶傳輸最大5x100=500米每段最多連接100個收發(fā)器1.4.1物理層2.基于雙絞線的以太網同軸電纜的主要問題是只能采用半雙工通信，總線結構也不理想，為了突破總線拓撲結構，以太網產生了星型拓撲。在這種拓撲結構中，所有站點都與一個或多個中央集線器相連，可以使用雙絞線。通過這種方式可以方便地擴展和檢查網絡，并有助于錯誤檢測?；陔p絞線的以太網，站點與中央集線器之間最大長度為100米。每個站點都必須直接與集線器或交換機連接。雙絞線已經從10Base-T（10Mbps）發(fā)展到100Base-T（100Mbps）和1000Base-T（1000Mbps）。1.4.1物理層1）快速以太網快速以太網采用非屏蔽雙絞線電纜，支持高達100Mbps的速度。電纜由8根電線組成，4對線組成。在10/100Base-T中僅使用4對中的2對：白橙色/橙色、白綠色/綠色。快速以太網的特點是：以100Mbps的速度傳輸數據全雙工通信支持無線以太網1.4.1物理層2）千兆以太網千兆位以太網的目標數據速率為1000Mbps。千兆以太網仍然使用125MHz的100Base-T/Cat5時鐘速率，為每個時鐘信號（00、01、10和11）編碼兩位，用四個電壓等級，達到1000Mbps的數據速率。此外，1000BASE-T也使用以太網電纜的四個數據對實現雙向發(fā)送或接收數據。這種調制技術被稱為4D-PAM5，目前使用五種不同的電壓水平。第五個電壓電平用于誤差機制。1.4.1物理層3.基于光纖的以太網為了使傳輸距離變得更長，光纖電纜是一個很好的選擇。第一種光纖的名稱為10BASE-F和100BASE-F。在發(fā)送和接收數據時，始終使用單獨的玻璃纖維。采用光纖的千兆以太網為全雙工模式，數據速率為1000Mbps。千兆以太網有兩種不同的類型。1000BASE-SX和1000BASE-LX。1000Base-SX在多模光纖上使用短波長光脈沖。1000Base-LX在多模或單模光纖上使用波長較長的光脈沖。1.4.2數據鏈路層網絡層將IP數據報送到數據鏈路層。“數據幀”是數據鏈路層的傳送單位。數據鏈路層將IP數據報作為“數據幀”的數據部分并且為數據幀添加幀首部和尾部的標記。首部和尾部的一個重要作用是確定幀的界限。一個數據幀的長度等于幀的數據部分加上幀的首部和尾部的長度。每一種數據鏈路層協議都規(guī)定了所能傳輸的數據幀的數據部分的上限即最大傳輸單元MTU。1.4.2數據鏈路層1.以太網數據幀一個以太網數據幀至少由46個實際數據字節(jié)和26個協議字節(jié)（開銷）組成。這個最小的數據字節(jié)數是定義時隙時間所必需的。以太網數據幀格式如圖1-6所示，數據幀各字段含義如下:1.4.2數據鏈路層preamble同步碼：由7個字節(jié)56位1和0交替的二進制數序列組成。這些位用于同步，并給每個在線參與者在實際數據到達之前觀察總線上活動的時間。SFD幀開始分隔符：有固定序列10101011組成是preamble的最后一個字節(jié)，向接收方指示實際數據正在傳輸。DA目的MAC地址：標識必須接收消息的站點的MAC地址。該字段占用6個字節(jié)的空間。目的地址可以是單個地址、多播地址或廣播地址。MAC廣播地址為FF-FF-FF-FF-FF-FF。1.4.2數據鏈路層SA源MAC地址：標識消息來源的站點的MAC地址。該字段的長度為6字節(jié)。TYPE類型：EthernetII（DIX標準）和IEEE802.3之間有區(qū)別。對于EthernetII，類型字段是指使用以太網幀發(fā)送數據的高級協議。Xerox為每個為以太網開發(fā)的協議分配一個2字節(jié)的代碼。例如0600H代表XNS協議、0800H代表IP（Internet協議）、0806H代表ARP協議、0835H代表反向ARP協議、8100H代表IEEE802.1Q標簽幀（VLAN）。IEEE802.3將類型字段定義為長度字段，以便能夠確定實際發(fā)送數據的字節(jié)數。Xerox不使用低于1500的類型號，由于數據幀的最大長度為1500，因此不可能重疊，并且可以同時使用這兩種定義。1.4.2數據鏈路層DATA數據字段：包含要發(fā)送的數據。這個數據字段是透明的，這意味著這個字段的內容對于以太網是完全開放的。只有長度必須至少為46字節(jié)，且不超過1500字節(jié)。PAD填充位：當數據沒有達到最小46字節(jié)長度時如果，需要將隨機數據位添加到數據中，以滿足最小數據長度要求。FCS校驗和：是發(fā)送方創(chuàng)建的4字節(jié)CRC校驗值。接收方可以使用此代碼檢查數據的完整性。1.4.2數據鏈路層2.CSMA/CD以太網在數據鏈路層MAC子層使用IEEE802.3載波監(jiān)聽多路訪問/沖突檢測CSMA/CD協議。該協議包括3部分內容載波監(jiān)聽：多個站點在發(fā)送數據幀前，首先監(jiān)聽信道是否空閑，如果空閑，則發(fā)送數據幀；否則等待，繼續(xù)監(jiān)聽直到信道空閑。多路訪問：允許多個站點以多點接入方式連接在一根信道上，都有訪問信道的權利。沖突檢測：一個站點在信道上發(fā)出一個數據幀同時監(jiān)聽信道，如果另一個站點在同一時間同一信道也發(fā)出一個數據幀，則會檢測出碰撞，發(fā)送者立即停止發(fā)送，并發(fā)送32位干擾序列信，道上所有站點都會監(jiān)聽到沖突。1.4.2數據鏈路層以太網段上的沖突1.4.2數據鏈路層CAMA/CD流程1.5TCP/IP協議傳輸控制協議/網絡控制協議（TCP/IP）是一組工業(yè)標準協議，設計用于在由不同網段組成的大型網絡上進行通信，這些網段由路由器連接。TCP/IP協議族可以完美地定位在OSI模型中。一個四層簡化模型主要用于表示TCP/IP協議族稱為TCP/IP模型，如圖1-9所示。這個模型的核心是網絡層和傳輸層，應用層描述所有使用TCP/IP協議的應用協議。例如，HTTP協議屬于此協議。1.5TCP/IP協議傳輸控制協議/網絡控制協議（TCP/IP）是一組工業(yè)標準協議，設計用于在由不同網段組成的大型網絡上進行通信，這些網段由路由器連接。TCP/IP協議族可以完美地定位在OSI模型中。一個四層簡化模型主要用于表示TCP/IP協議族稱為TCP/IP模型，如圖1-9所示。這個模型的核心是網絡層和傳輸層，應用層描述所有使用TCP/IP協議的應用協議。例如，HTTP協議屬于此協議。1.5TCP/IP協議

TCP/IP協議族1.5TCP/IP協議1.網絡控制協議網絡控制協議（TheInternetProtocol，簡稱IP協議），用于OSI模型的第3層網絡層，這一層負責在不同的網絡上表述和傳輸信息。IP協議最重要的功能是：在互聯網上進行數據包路徑選擇，每個主機有32位IP地址標識。它是一種無連接協議。當發(fā)送不同的IP數據包時，每個包可以通過不同的路徑到相同的目標主機，沒有固定物理連接。封裝成格式統一的數據包，由一個報頭和一個數據字段組成。報頭由發(fā)送方地址和接收方地址等組成。數據包獨立于硬件，并在傳輸之前在本地網絡設備上再次封裝。

1.5TCP/IP協議IP協議不檢查數據是否正確發(fā)送，也不提供確認或糾正機制。IP報頭的長度至少為20字節(jié)。當使用可選項字段時，報頭最大可為60字節(jié)。要發(fā)送的數據由傳輸層傳送到網絡層。網絡層將數據打包到數據字段中，然后添加一個IP報頭后生成IP數據包，等待數據鏈路層行進一步處理。1.5TCP/IP協議當路由器接收到數據包太大時，IPv4將路由器上的這個數據包分較小的數據包以滿足數據幀格式。當這些數據包到達目的地時，IPv4將把這些數據包按原始順序重新組合。當一個數據包必須被分開時，IPv4完成下面工作：每個數據包都有自己的IP報頭屬于同一原始消息的所有分割消息都具有原始標識字段。片段偏移字段指定了該片段在原始消息中的位置。1.5TCP/IP協議2.TCP協議IP是一種無連接的數據包傳送服務。由于使用IP不可靠的分組服務，TCP必須為不同的應用程序提供可靠的數據傳送服務。對于許多應用來說，傳輸可靠性是至關重要的：系統必須保證數據不會丟失、不能復制和按正確的順序到達。TCP協議負責在一個或多個網絡上正確發(fā)送信息，工作在傳輸層。TCP的交換形式稱為面向連接：建立邏輯連接，使用，然后再次停止。因此，TCP是一種端到端協議。要發(fā)送的數據由應用層發(fā)送到傳輸層。傳輸層將信息打包到數據字段中，然后添加一個TCP報頭，1.5TCP/IP協議3.UDP協議因特網的協議套件也有一個無連接的傳輸協議，即UDP（用戶數據協議）。使用UDP，應用程序可以在不建立連接的情況下發(fā)送IP數據包。許多客戶應用程序只是一次請求一次回答，就使用UDP，而不必設置連接。

1.6本章實訓以太網電纜是從一個網絡設備連接到另外一個網絡設備傳遞信息的介質，是以太網網絡的基本構件。本小節(jié)以西門子四芯“快速連接”工業(yè)以太網線纜為例，制作網線接口。1.實訓目的：（1）掌握以太網基本原理；（2）掌握西門子四芯“快速連接”工業(yè)以太網線纜制作方法；（3）掌握工業(yè)以太網線測試方法；2.實訓準備（1）復習本章內容；（2）熟悉西門子四芯“快速連接”工業(yè)以太網線纜；（3）熟悉網絡測線儀的使用；1.6本章實訓3.實訓設備本章實訓所需要的設備一共有：西門子四芯“快速連接”工業(yè)以太網線纜1根，以太網接口1對，工業(yè)網絡做線工具1套，網絡測線儀。具體實驗步驟如下：步驟1截取一根100mm長的工業(yè)以太網線步驟2線的兩端剝去25mm長外皮，金屬屏蔽網保留5mm長1.5TCP/IP協議步驟3打開金屬接頭，按照頭內線顏色標識把對應線插入到底步驟4合攏金屬接頭，用螺絲刀插入金屬圓環(huán)的孔內，順時針時針旋轉90度完成固定。步驟5將制作完成的ProfiNet線接到線測試儀上進行測試，1、2、3、6燈亮為正常拓撲圖制作(MakingTopologyMap)工業(yè)控制系統與工業(yè)網絡第2章工業(yè)網絡設備基礎2.1工業(yè)網絡設備2.1.1可編程邏輯控制器可編程邏輯控制器（ProgrammableLogicalController）簡稱PLC，是一種以微處理器為基礎，綜合了現代計算機技術、自動控制技術和通信技術發(fā)展起來的一種通用的工業(yè)自動控制裝置SIMATICS7-1200控制器和SIMATICHMI基本型面板均可使用SIMATICTIAPortal工程軟件進行編程。實現了使用同一個工程軟件對兩種設備進行編程，開發(fā)成本得以顯著降低2.1工業(yè)網絡設備1.SIMATICS7-1200PLC簡介S7-1200緊湊型控制器是一款節(jié)省空間的模塊化控制器，該控制器使用靈活、功能強大，可用于控制各種各樣的設備以滿足自動化需求。①電源接口

②存儲卡插槽（上部保護蓋下面）

③可拆卸用戶接線連接器（保護蓋下面）

④板載I/O的狀態(tài)LED⑤PROFINET連接器（CPU的底部）

2.1工業(yè)網絡設備2.SIMATICHMI面板簡介SIMATICHMI面板是用于實現高效設備級交互的HMI裝置，通過全面的功能強大且具有創(chuàng)新功能的操作員控制和監(jiān)視設備，可在十分廣泛的應用和領域中實現高效的設備級HMI解決方案?？梢酝ㄟ^TIAPortal中的SIMATICWinCC進行集成化組態(tài)，用戶可通過這種組態(tài)在時間、成本和工作量上實現可觀的節(jié)約。①

電源接口

②USB接口

③PROFINET接口

④裝配夾的開口⑤顯示屏/觸摸屏⑥嵌入式密封件

⑦功能鍵

2.1工業(yè)網絡設備SIMATICHMI面板具有如下獨特優(yōu)勢：（1）高效工程：可視化的創(chuàng)建可比以前更快更輕松。（2）創(chuàng)新的設計和操作：可視化成為機器的顯著特點。（3）明亮的HMI操作面板：適合每種應用的適宜操作面板。（4）安全備份：保護投資和專有技術，安全操作。（5）快速調試：大幅節(jié)省測試和維修時間。（6）基于PC的開放性：適用于靈活、獨立的應用。2.1工業(yè)網絡設備可用的基本型HMI面板包含如下類型：

KTP400Basic：4"觸摸屏，帶4個可組態(tài)按鍵，分辨率為480x272，800個變量

KTP700Basic：7"觸摸屏，帶8個可組態(tài)按鍵，分辨率為800x480，800個變量

KTP900Basic：9"觸摸屏，帶

8個可組態(tài)按鍵，分辨率為

800x480，800個變量

KTP1200Basic：12"觸摸屏，帶10個可組態(tài)按鍵，分辨率為800x480，800個變量

KTP700BasicDP：7"觸摸屏，帶8個可組態(tài)按鍵，分辨率為800x480，800個變量

KTP1200BasicDP：12"觸摸屏，帶10個可組態(tài)按鍵，分辨率為

800x400，800個變量2.1工業(yè)網絡設備2.1.2工業(yè)交換機工業(yè)交換機也稱為工業(yè)以太網交換機，即應用于工業(yè)控制領域的以太網交換機設備，由于采用了透明而統一的TCP/IP協議，具有開放性好、應用廣泛以及價格低廉等優(yōu)勢。工業(yè)交換機具有電信級性能特征，可耐受嚴苛的工作環(huán)境。產品采用寬溫設計，防護等級不低于IP30，支持標準和私有的環(huán)網冗余協議。2.1工業(yè)網絡設備1.第2層工業(yè)交換機第2層工業(yè)以太網交換機具有構建第2層網絡所需要的所有功能。第2層交換機分兩種，即非網管型第2層交換機和網管型第2層交換機。非網管型第2層交換機，無需額外組態(tài)，即可集成到第2層網絡中。網管型第2層交換機，可對其進行配置：它們有IP地址，可以利用該地址針對具體應用對其進行配置。2.1工業(yè)網絡設備西門子SCALANCEX-200網管型工業(yè)以太網交換機①具有端口LED的電氣端口

②具有接地連接器的電源

③串口

④“RESET”按鈕（后側）

⑤故障LEDSCALANCEXB-208第2層工業(yè)交換機包含8個10/100MbpsRJ-45端口2.1工業(yè)網絡設備SCALANCEX-200工業(yè)以太網交換機包括類型：結構緊湊、應用靈活的SCALANCEXB-200交換機。結構緊湊、堅固耐用的SCALANCEXC-200交換機（以太網供電，傳輸速率最高可達10Gbps）。堅固耐用且經過專門認證的SCALANCEXC-200EEC交換機。SCALANCEXP-200交換機，無機柜安裝（防護等級IP65），傳輸速率高達1Gbps。采用SIMATICET200SP結構設計的扁平SCALANCEXF-200交換機，可模塊化配備總線適配器

（BA）。SCALANCEX-200RNA（冗余網絡訪問），用于PRP網絡結構中的冗余HSR。2.1工業(yè)網絡設備第2層工業(yè)交換機通常包含如下基本屬性：（1）以太網接口支持10Mbps、100Mbps、1000Mbps全雙工。（2）生成樹冗余：可采用STP、MSTP、RSTP等多種冗余協議。（3）環(huán)網冗余：可采用HRP、MRP等多種冗余協議。（4）虛擬網絡(Virtualnetworks,VLAN)：要想構建節(jié)點數快速增加的工業(yè)以太網，可以將一個物理網絡分成若干個虛擬子網。支持基于端口、協議和子網的VLAN。（5）端口鏡像：允許將一個端口的數據流鏡像到另一個端口（監(jiān)視端口）。然后可在該監(jiān)視端口對數據流進行分析，而不影響數據通信。（6）鏈路匯聚：使用鏈路匯聚（IEEE802.1AX）捆綁數據流。（7）時鐘同步：診斷消息（日志表條目、電子郵件）具有時間戳。通過與SNTP/NTP服務器進行同步，本地時間在整個網絡中保持一致，這使得識別多個設備的診斷消息更為輕松。2.1工業(yè)網絡設備2.第3層工業(yè)交換機第3層工業(yè)交換機具有構建第3層網絡所需要的所有功能，通常用于靈活的連接和構建高性能工廠網絡。

由于具有模塊化設計，這些交換機可滿足相應任務的要求。它們支持IT標準（如VLAN、IGMP、RSTP），可將自動化網絡無縫集成到現有辦公網絡中。第3層工業(yè)交換機在實現第2層交換機功能的基礎上還具有第3層路由功能，可實現不同IP子網之間的通信，支持靜態(tài)路由、支持RIP、OSPF、VRRP等協議實現路由功能和路由冗余。2.1工業(yè)網絡設備SCALANCEXM408-8C交換機具有8個RJ-45端口，8個可插拔收發(fā)器插槽，最多支持2個端口擴展器和

1個功能擴展器。①電氣端口

②帶保護蓋的擴展接口

③SFP收發(fā)器的插槽

④用于固定到S7標準導軌的位置（在設備的底部）

⑤接地（在設備背面）

⑥LED指示燈

⑦C-PLUG/KEY-PLUG的插槽

2.1工業(yè)網絡設備3.并行冗余交換機環(huán)形網絡冗余可以增加網絡可靠性，當某一線路出現故障，可以自動重構恢復通訊。通常使用HSP冗余協議的收斂時間是300ms，使用MRP冗余協議收斂時間是200ms，但在一些特殊場合，需要使用無重構時間的網絡。目前，要實現無縫冗余涉及兩個技術，即并行冗余協議（PRP）和高可靠性無縫冗余（HSR），西門子SCALANCEX-204RNA交換機就是支持PRP和HSR協議實現無縫冗余功能的并行冗余交換機。2.1工業(yè)網絡設備1）并行冗余協議（PRP）PRP使用由標準網絡組件組成的并行獨立結構。通過無縫冗余模塊（例如SCALANCEX-204RNA），可將不具有PRP功能的節(jié)點或整個網段連接到PRP網絡中。當一個節(jié)點要發(fā)送的數據幀經過SCALANCEX-204RNA后，會被復制為兩份，分別通過兩個互相獨立的局域網傳輸，到達對方的SCALANCEX-204RNA交換機時，它會將最先到達的數據幀轉發(fā)給目的設備而丟棄后到達的數據幀。2）高可靠性無縫冗余（HSR）HSR通信的冗余則是通過環(huán)網式結構實現的。通過SCALANCEX-204RNA，不具有HSR功能的節(jié)點或整個網段也可以連接到HSR網絡。當一個節(jié)點要發(fā)送數據幀經過SCALANCEX-204RNA后，會被復制為兩份，在環(huán)網中往兩個方向傳輸，到達對方的SCALANCEX-204RNA交換機時，它會將最先到達的數據幀轉發(fā)給目的設備而丟棄后到達的數據幀。2.1工業(yè)網絡設備3）SCALANCEX-204RNA交換機圖2-5（a）SCALANCEX-204RNA（HSR）

圖2-5（b）SCALANCEX-204RNA（PRP）SCALANCEX204RNA（HSR）

有兩個RJ-45插孔（P1/A和P2/B）用于連接不具備HSR能的終端設備或網段，另外兩個RJ-45插孔（HSR1和HSR2）用于連接HSR環(huán)網。作為網絡接入點用于將最多兩個非HSR終端設備或網段連接至一個環(huán)形HSR網絡結構。另外，還可以實現從PRP至HSR網絡的單一或冗余網關。SCALANCEX204RNA（PRP）有兩個RJ-45插孔（P1和P2）用于連接不具備PRP功能的終端設備或網段，另外兩個RJ-45插孔（PRPA和PRPB）用于連接PRP網絡LANA和LANB。

2.1工業(yè)網絡設備2.1.3工業(yè)路由器1.工業(yè)路由器概述工業(yè)路由器是一種用于連接兩個或兩個以上網絡的耐用器件，可將信號僅傳送到所需端口。工業(yè)路由器作為企業(yè)組建網絡的核心設備，能提供較高的穩(wěn)定性和安全性，與普通路由器相比具有更多優(yōu)勢。1）更高的轉發(fā)性能、更高的帶機量2）更豐富的路由協議3）工業(yè)級的產品設計更適合長時間使用2.1工業(yè)網絡設備2.西門子SCALANCEM系列工業(yè)路由器SCALANCEM工業(yè)路由器按照連接方式分為有線連接和無線連接兩大類。1）有線連接到遠程網絡2.1工業(yè)網絡設備2）無線連接到遠程網絡3種常用的無線工業(yè)路由器：SCALANCEM874-3支持3G（UMTS）數據服務HSPA+（高速分組接入），因此可在下行鏈路中實現14.4Mbps的傳輸速率，在上行鏈路中實現5.76Mbps的傳輸速率。SCALANCEM876-4支持4G（LTE–長期演進），因此可在下行鏈路中實現100Mbps的傳輸速率，在上行鏈路中實現50Mbps的傳輸速率。SCALANCEMUM856-1支持5G（RoW），因此可在下行鏈路中實現高達1000Mbps的傳輸速率，在上行鏈路中實現高達500Mbps的傳輸速率2.1工業(yè)網絡設備2.1.4工業(yè)防火墻工業(yè)防火墻，顧名思義就是用于工業(yè)控制網絡的防火墻，是工業(yè)控制系統信息安全必須配備的設備，用來實現工業(yè)控制網絡與外部其他網絡以及工業(yè)控制網絡內部不同業(yè)務之間的邊界隔離和訪問控制。工業(yè)防火墻除了具備傳統IT防火墻的安全功能之外，還具有如下特點：（1）工業(yè)防火墻只要求合適的吞吐率，但對實時性的要求卻非常嚴格。（2）工業(yè)防火墻要求解析和過濾各種工業(yè)控制協議和自定義協議，具備深度包檢測功能，實現對協議通信內容的深度解析、過濾、阻斷、報警、審計等各類功能。（3）與傳統IT防火墻一般部署在內網和外網的位置或其他邊界區(qū)域不同，工業(yè)防火墻一般部署在工控網絡的分層區(qū)域之間。（4）工業(yè)防火墻一般使用黑白名單相結合的防御技術，既實現基于工業(yè)漏洞庫的黑名單被動防御功能，又實現基于智能機器學習引擎的白名單主動防御功能。（5）工業(yè)防火墻一般放置在工業(yè)現場環(huán)境，工作環(huán)境惡劣，因此工業(yè)防火墻具有嚴苛的工業(yè)級硬件技術要求，可實現高可靠性和穩(wěn)定性。2.1工業(yè)網絡設備2.西門子SCALANCES系列工業(yè)防火墻簡介西門子SCALANCES系列是西門子工業(yè)級別防火墻，可以為工廠自動化提供安全防護，防止非法訪問工業(yè)網絡和自動化系統。（1）防火墻功能：SCALANCES內部網段中的所有網絡節(jié)點都受到其防火墻保護。（2）路由器模式（3）IPsec隧道確保通信安全（4）使用RADIUS服務器進行用戶驗證（5）HTTPS：用于Web頁面的加密傳送，例如在過程控制中。（6）NTP（安全）：用于安全的時鐘同步和傳輸。（7）SNMPv3：用于安全傳送網絡分析信息，使其免受竊聽。（8）設備和網段的保護：防火墻保護功能可應用于單個設備、多個設備或整個網段的運行。2.1工業(yè)網絡設備3.西門子SCALANCES-615工業(yè)防火墻2.2網絡地址基礎2.2網絡地址基礎工業(yè)網絡中的每一臺設備都需要通過地址來進行唯一標識，在數據鏈路層使用的是MAC地址，而在網絡層使用的是IP地址。2.2.1MAC地址MAC（MediaAccessControl，介質訪問控制）地址，也叫物理地址、硬件地址，是IEEE802標準為局域網規(guī)定的一種48位的全球地址，通常用十六進制數表示。形象地說，MAC地址就如同我們身份證上的身份證號碼，具有全球唯一性。2.2網絡地址基礎1.MAC地址的組成MAC地址是識別網絡節(jié)點的硬件地址，由六個以十六進制表示的字節(jié)組成，中間用連字符“-”或冒號：分隔2.2網絡地址基礎2.工業(yè)網絡設備MAC地址在工業(yè)網絡中，制造商會為每個設備的網絡接口都分配一個MAC地址以進行標識。2.2網絡地址基礎3.交換機MAC地址表MAC地址對應于OSI參考模型的第二層數據鏈路層，工作在數據鏈路層的交換機維護著計算機MAC地址和自身端口的數據庫，通常也稱為交換表、MAC地址表。交換機根據接收數據幀中的“源MAC地址”來建立和維護MAC地址表；根據“目的MAC地址”來決定如何轉發(fā)數據幀。圖2-11交換機建立MAC地址表和轉發(fā)幀的流程2.2網絡地址基礎1）交換機建立和維護MAC地址表開始時交換機的地址表是空的，交換機每收到一個數據幀就會取出其源MAC地址，然后在地址表中查找是否已有該地址，若無則將該地址加入到地址表中，添加一條記錄（MAC地址接口號有效時間）；若有則更新地址表中與該地址對應的端口號和有效時間等信息?？紤]到可能有時要在交換機的接口更換主機，或者主機要更換其網絡適配器，這就需要更改地址表中的記錄。為此，在交換機地址表中的每條記錄都設有一定的有效時間。過期的記錄就自動被刪除。這種自學習方法使得交換機能夠即插即用，不必人工進行配置。2.2網絡地址基礎2）交換機根據MAC地址表轉發(fā)數據幀交換機從接收的數據幀中取出其目的MAC地址，然后在地址表中查找是否已有該地址，若無則會以泛洪方式將數據幀轉發(fā)給除入接口之外的所有接口；若有則進一步查看其對應的接口是否和入接口相同，若不同則將數據幀向指定接口轉發(fā)；若相同則無需轉發(fā)而丟棄掉數據幀。2.2網絡地址基礎2.2.2IP地址IP是網絡之間互連的協議。IP地址是指互聯網協議地址，也稱為網際協議地址。1.IP地址的表示方法IP地址由32位二進制數組成，用于唯一標識網絡中的IP節(jié)點。為便于記憶、書寫與表達，通常會使用十進制進行表示。如圖2-12所示，每8位為一組，將4組二進制數轉換為4個十進制數，各數字間用點分隔，俗稱為點分十進制表示法。2.2網絡地址基礎2.IP地址的結構與分類IP地址采用兩級結構，由網絡位和主機位兩部分組成，如圖2-13所示。網絡地址表示其屬于互聯網的哪一個網絡，主機地址表示其屬于該網絡中的哪一臺主機。主機部分使用的位數決定了網絡中可以容納的主機數量。2.2網絡地址基礎IP地址根據網絡號的不同分為5種類型，A類地址、B類地址、C類地址、D類地址和E類地址。其中較常用的是A類、B類和C類地址，如圖2-14所示2.2網絡地址基礎A類地址的網絡號占8位，只有7位可供使用（最高位固定為0），A類地址可指派的網絡號是1-126。A類地址的主機位占24位，因此每一個A類網絡中的最大主機數為224-2，即16777214。B類地址的網絡號占16位，只有14位可供使用（最高2位固定為10），B類地址第一個8位的網絡號是128-191。B類地址的主機位占16位，因此每一個B類網絡中的最大主機數為216-2，即65534。C類地址的網絡號占24位，只有21位可供使用（最高3位固定為110），A類地址第一個8位的網絡號是192-223。C類地址的主機位占8位，因此每一個C類網絡中的最大主機數為28-2，即254。D類地址是多播地址，E類地址是保留地址。2.2網絡地址基礎2.2.3子網掩碼子網掩碼（subnetmask）又稱為地址掩碼，其主要功能就是能夠清晰標識出一個IP地址中哪些位代表網絡位、哪些位代表主機位，從而能夠從IP地址迅速計算出網絡地址。1.子網掩碼的表示方法子網掩碼也是一個32位的二進制數，由一連串1和接著的一連串0組成，而1的個數就是網絡位的長度，0的個數就是主機位的長度。通常也采用點分十進制表示法。常用A類、B類、C類地址默認的子網掩碼如圖2-14所示。A類地址網絡位占8位，主機位占24位，因此默認子網掩碼為。B類地址網絡位占16位，主機位占16位，因此默認子網掩碼為。C類地址網絡位占24位，主機位占8位，因此默認子網掩碼為。2.2網絡地址基礎2.2網絡地址基礎3.無分類編址CIDR這種編址方法的全名是無類域間路由CIDR(ClasslessInter-DomainRouting)。CIDR消除了傳統的A類、B類和C類地址的概念，可以減小路由表大小并更加有效地分配IPv4的地址空間。在無分類CIDR編址中引入了網絡前綴的概念，如圖2-17所示。CIDR表示的IP地址用網絡前綴替代了原來的網絡號，這里最大的區(qū)別是前綴的位數n不固定，可以在0~32之間選取任意值，完全不受傳統分類地址的限制。2.2網絡地址基礎CIDR使用“斜線記法”或稱為CIDR記法，即在IP地址后面加上斜線“/”，斜線后面是網絡前綴所占的位數。示例1：IPv4地址為，對應子網掩碼為使用CIDR記法可等價表示為：/24，表示前24位為網絡位。示例2：使用CIDR記法表示為：4/18，表示前18位為網絡位。則其等價的子網掩碼應為11111111.11111111.11000000.00000000，即?！纠}2-2】已知IP地址是4/18，求網絡地址。該題計算過程及結果2.2網絡地址基礎2.2網絡地址基礎2.2.4子網劃分子網劃分的基本思路是從主機位中借用若干位作為子網位subnet-id，而主機號host-id也就相應減少了若干位。劃分子網只是把IP地址的主機號host-id這部分進行再劃分，而不改變IP地址原來的網絡號net-id。子網劃分的優(yōu)點主要有：(1) 減少了IP地址的浪費(2) 使網絡的組織更加靈活(3) 更便于維護和管理劃分子網后IP地址就變成了三級結構2.2網絡地址基礎以標準C類地址為例，其網絡號占24位、主機號占8位，默認的子網掩碼為。假設IP地址的三級結構中子網位數為n，則根據n不同的取值可得到不同的子網劃分結果，如表2-2所示。子網位數可用子網數CIDR記法子網掩碼主機位數可用主機數12/2528712624/269266238/2724530416/2840414532/294836664/305222其中：可用子網數=2n（n是子網位數）；可用主機數=2m-2（m是主機位數）。2.2網絡地址基礎【例題2-3】假設現有一個C類網絡地址/24，若要將其劃分為4個子網，請問如何指定子網掩碼？每個子網的網絡地址、廣播地址、可分配的主機地址范圍是多少？解：（1）劃分為4個子網，則需要借用2位，子網掩碼為92。（2）4個子網所包含的具體地址信息如表2-3所示。其中：網絡地址（最小地址）=每一個子網中主機位全為0的地址；廣播地址（最大地址）=每一個子網中主機位全為1的地址；可分配的主機地址范圍=介于網絡地址和廣播地址之間的所有地址。2.2網絡地址基礎子網序號網絡地址廣播地址可分配主機地址100000000001111113-2201000000401111111275-2631000000028101111119129-9141100000092111111115593-542.2網絡地址基礎1、請進行IP地址規(guī)劃，計算并填寫下表：IP地址3子網掩碼地址類別(1)____________網絡地址(2)____________直接廣播地址(3)____________主機號(4)____________子網內最后一個可用IP地址(5)____________工業(yè)控制系統與工業(yè)網絡第3章VLAN虛擬局域網技術3.1VLAN的基本概念VLAN（虛擬局域網）是將物理網絡劃分成若干個相互屏蔽的邏輯網絡，只有相同VLAN上的節(jié)點才能彼此尋址的技術。VLAN技術使得管理員可以根據實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同的組，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的局域網有著相同的屬性，比如按部門需求：一個VLAN用于銷售，另一個VLAN用于工程，還有一個VLAN用于自動化。由于VLAN是從邏輯上劃分網絡，而不是從物理上劃分，所以同一個VLAN內的各個工作站可以在不同物理局域網段。一個VLAN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。3.1VLAN的基本概念VLAN產生的原因廣播域是指廣播幀（目標MAC地址全部為1的數據幀），所能傳遞到的范圍，也就是某臺設備能夠直接通信的范圍。沒有VLAN的二層交換機連接的網絡只能構建單一的廣播域。3.1VLAN的基本概念假如計算機E要與計算機F進行通信，首先計算機E廣播“ARP請求（ARPRequest）信息”，來嘗試獲取計算機F的MAC地址。接下來交換機1收到ARP請求廣播幀后，會將它轉發(fā)給除接收端口外的其他所有端口，也就是泛洪。然后交換機2收到廣播幀后，也會泛洪。最終ARP請求會被轉發(fā)到同一網絡中的所有客戶機上。圖3-1沒有劃分VLAN的廣播域3.1VLAN的基本概念2.VLAN工作原理為了限制廣播域的范圍，減少廣播流量，需要將主機劃分為不同的組，組和組之間設置隔離。因此我們采用VLAN技術，將物理局域網分割成多個邏輯局域網，也就是多個VLAN。每一個VLAN都包含一組有相互通訊需求的計算機，同一個VLAN內的計算機在同一廣播域，可以在二層網絡進行通信。而不同VLAN不屬于同一個廣播域，不同VLAN中的計算機不能實現二層網絡的直接通信。3.1VLAN的基本概念E計算機與F計算機同在VLAN10中，所以F計算機可以收到E計算機發(fā)送的ARP請求幀。而計算機A、B、C、D都不屬于VLAN10所以就收不到E計算機發(fā)送的ARP請求幀了。這樣，廣播幀就被限制在各自的VLAN范圍內傳輸，同時也提高了網絡安全性。圖3-2劃分VLAN的廣播域3.1VLAN的基本概念圖3-3交換機1端口VLAN劃分3.1VLAN的基本概念3.VLAN類型1）靜態(tài)VLAN靜態(tài)VLAN又稱為基于端口的VLAN，是根據用戶的計算機連接到的交換機端口判斷屬于哪一個VLAN。比如，一個交換機的1、2、3端口被定義為VLAN10，同一交換機的6、7、8端口被定義為VLAN20，如果一臺計算機連接到6號端口，則這臺計算機屬于VLAN20。3.1VLAN的基本概念優(yōu)點：易于配置；所有操作在交換機上完成，用戶幾乎不需要操作。缺點：當網絡中的計算機數目過多時，由于管理員需要逐個指定交換機端口所屬VLAN，設置操作就變的繁雜。如果用戶改變電腦連接的端口，則管理員必須重新配置。可見靜態(tài)VLAN顯然不適合那些需要頻繁改變拓撲結構的網絡。3.1VLAN的基本概念2）動態(tài)VLAN動態(tài)VLAN是基于用戶的地址或使用的協議。動態(tài)VLAN可以大致分為3類：

基于MAC地址的VLAN（MACBasedVLAN）：是通過查詢并記錄端口所連計算機上網卡的MAC地址來決定端口的所屬?；谧泳W的VLAN（SubnetBasedVLAN）：是通過所連計算機的IP地址，來決定端口所屬VLAN的?；谟脩舻腣LAN（UserBasedVLAN）：是根據交換機各端口所連的計算機上當前登錄的用戶，來決定該端口屬于哪個VLAN。動態(tài)VLAN的優(yōu)點是每個人都可以將計算機連接到任何端口，并且仍然是正確VLAN的一部分。缺點是這種VLAN類型的成本較高，因為它需要特殊的硬件。3.1VLAN的基本概念4.VLAN協議格式IEEE802.1Q在以太網幀中增加了4個字節(jié)的802.1Q標簽，如圖3-4所示，包含了2個字節(jié)的標簽協議標識和2個字節(jié)的標簽控制信息。標簽字節(jié)字段含義如下：3.1VLAN的基本概念（1）標簽協議標識TPID：2字節(jié)，值為0X8100H指定此幀為標記幀，因此包含額外信息字段。（2）標簽控制信息TCI：2字節(jié)，包含3個字段優(yōu)先級、CFI和VLANID。（3）優(yōu)先級：3位，包含幀的優(yōu)先級，優(yōu)先級代碼是介于0和7之間的數字，又稱為服務類別(ClassofService,CoS)。（4）規(guī)范格式標識符CFI：1位，IEEE802.1Q僅針對以太網或令牌環(huán)開發(fā)。0代表以太網，1代表令牌環(huán)。（5）VLAN識別號VLANID：12位，最多可構成4096個VLANID。4095編號為保留；0編號幀中，僅包含優(yōu)先級信息（標記有優(yōu)先級的幀），不包含任何有效的VLAN標識符。3.2私有VLAN1.私有VLAN的類型（1）主私有VLAN是指被劃分的VLAN。（2）次私有VLAN只存在于主私有VLAN

內。每個次私有VLAN都有一個特定的VLAN號，并且與主私有VLAN

相連。3.2私有VLAN次私有VLAN包括兩種類型：隔離次私有VLAN和團體次私有VLAN。（1）隔離次私有VLAN（IsolatedSecondaryPVLAN）：隔離次私有VLAN內的各設備之間不能通過第2層進行通信。（2）團體次私有VLAN（CommunitySecondaryPVLAN）：團體次私有VLAN內的各設備之間可直接通過第2層進行通信。隸屬不同團體私有VLAN的設備之間不能通過第2層進行通信。3.2私有VLAN2.私有VLAN端口類型3種不同類型的端口：（1）帶標簽混合端口是指各工業(yè)以太網交換機之間使用混合端口進行互連即在端口類型（PortType）中配置成“交換機端口PVLAN混合(Switch-PortPVLANPromiscuous)”3.2私有VLAN（2）不帶標簽主機端口是指用于連接PC的端口，即在端口類型（PortType）中配置成“交換機端口VLAN主機(SwitchPortVLANHost)”。3.2私有VLAN（3）不帶標記的混合端口是指用于連接服務器的端口，即在端口類型（PortType）中配置成“交換機端口PVLAN混合（Switch-PortPVLANPromiscuous）”。3.3西門子SCALANCE-XM-200交換機VLAN界面端口類型在SCALANCE-XM-408交換機中通過System>Ports>Configuration路徑下“PortType”下拉列表進行配置，如圖3-6所示（1）路由器端口(Routerport)：端口是第3層接口。它不支持第2層功能。（2）交換機端口VLAN混合(Switch-PortVLANHybrid)：端口發(fā)送有標記和無標記的幀。它不會自動成為VLAN的成員。（3）交換機端口VLAN中繼(Switch-PortVLANTrunk)：端口僅發(fā)送有標記的幀，并且自動成為所有VLAN的成員。（4）交換機端口VLAN主機(Switch-PortVLANHost)：主機端口屬于次私有VLAN。將設備連接到只能與私有VLAN的特定設備進行通信的主機端口。（5）交換機端口PVLAN混合(Switch-PortPVLANPromiscuous)：混合端口屬于主PVLAN。將設備連接到可與PVLAN的所有設備進行通信的混合端口。（6）交換機端口VLAN訪問：訪問端口屬于支持Q-in-QVLAN隧道功能的提供商交換機。將用戶網絡連接到訪問端口。3.3西門子SCALANCE-XM-200交換機VLAN界面3.3西門子SCALANCE-XM-200交換機VLAN界面3.3.1General常規(guī)標簽3.1VLAN的基本概念端口列表(Listofports)：規(guī)定端口如何接收并轉發(fā)數據幀?？墒褂靡韵逻x項：-該端口不是指定VLAN的成員。對于新創(chuàng)建的VLAN，所有端口的標識符均為“-”。M該端口是VLAN的成員。端口接受此VLAN數據幀，在轉發(fā)數據幀時帶有相應VLAN標記。R該端口是VLAN的成員，GVRP幀用于注冊。U（大寫）此端口是無標記的VLAN成員。此VLAN配置為端口VLAN。端口在轉發(fā)此VLAN的幀數據時不帶VLAN標記。u（小寫）此端口是無標記VLAN成員，但是此VLAN未配置為端口VLAN。端口在轉發(fā)此VLAN的幀數據時不帶VLAN標記。F該端口不是指定VLAN的成員，即使該端口組態(tài)為中繼端口，也無法成為此VLAN的成員。T該選項只顯示，無法在WBM中選擇。此端口是中繼端口，可成為所有VLAN的成員。3.1VLAN的基本概念3.3.2PortBasedVLAN標簽工業(yè)控制系統與工業(yè)網絡第4章冗余技術第4章網絡冗余技術網絡冗余是指集成硬件和軟件，以確保在網絡某一點故障時，能保持最佳的可用性。在現代工業(yè)網絡中常用的冗余協議有以下幾種：STP/RSTP生成樹協議/快速生成樹協議：用于消除網絡中存在的環(huán)路，構建樹形拓撲，同時實現鏈路的冗余備份。MRP介質冗余協議：僅適用于環(huán)拓撲結構，它允許以太網交換機成環(huán)狀連接，在發(fā)生單點故障時獲得比生成樹協議更快的恢復時間，它適用于大多數工業(yè)以太網應用場合。PRP并行冗余協議：適用于高可靠性自動化網絡HSR高可靠性無縫冗余：通過環(huán)網式結構實現的平行冗余。4.1STP生成樹與RSTP快速生成樹生成樹協議（SpanningTreeProtocol,縮寫STP）是IEEE802.1d中描述的開放協議。它是OSI第2層協議，保證了局域網中無環(huán)路。生成樹協議基于RadiaPerlman開發(fā)的算法，允許網絡有冗余鏈路，如果鏈路出于任何原因損壞，則會自動恢復并提供非環(huán)路的備份路徑。STP協議在工業(yè)網絡中很難得到應用。這是因為支持生成樹協議的交換機，在鏈路中斷后，需要30-50秒恢復時間替代路徑才可用，這種延遲對于控制系統是不可接受的。而對于檢測應用程序來說，30秒是最長的接受時間。此外，它還不能用于環(huán)結構冗余。為了讓生成樹協議縮短恢復時間，IEEE在2001年制定了快速生成樹協議（RSTP）。RSTP的恢復時間低于STP，大于1到10秒而不是30到50秒。根據應用程序的不同，此恢復時間已經相當快了4.1STP生成樹與RSTP快速生成樹4.1.1生成樹協議中的基本概念1.橋接協議數據單元STP的所有功能都是通過交換機或者網橋之間周期性地發(fā)送STP的橋接協議數據單元（BridgeProtocolDataUnit縮寫B(tài)PDU）來實現的。BPDU用于在交換機或者網橋之間傳遞信息，每2秒發(fā)送一次報文。STP的BPDU是一種二層報文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP協議的交換機都會接收并處理收到的BPDU報文，該報文的數據區(qū)里攜帶了用于生成樹計算的所有有用信息。4.1STP生成樹與RSTP快速生成樹BPDU報文格式各個字段的含義如下。ProtocolID：協議ID，恒定為0。Version：版本號,恒定為0。Type：報文類型，決定該中所包含的兩種BPDU格式類型（配置BPDU和拓撲變更TCNBPDU）。Flags：標記，標志活動拓樸中的變化。標記包含在拓樸變化通知（TopologyChangeNotifications）的下一部分中。RootBID：根網橋的網橋ID。收斂后的網絡中,所有網橋配置BPDU中的該字段都應該具有相同值?？梢约毞譃閮蓚€BID子字段：網橋優(yōu)先級（2字節(jié)）和網橋MAC地址（6字節(jié)）。BPDU的報文格式4.1STP生成樹與RSTP快速生成樹RootPath:根路徑成本,通向根網橋（RootBridge）的所有鏈路的積累開銷。SenderBID：發(fā)送網橋ID。創(chuàng)建當前BPDU的網橋BID。對于某一交換機發(fā)送的所有BPDU而言，該字段值都相同；而對于不同交換機發(fā)送的BPDU而言，該字段值不同。PortID：端口ID，每個端口的ID值都是唯一的，由端口優(yōu)先級（1字節(jié)）和端口編號組成。這個字段記錄的是發(fā)送BPDU網橋的出端口。MessageAge：報文老化時間。記錄RootBridge生成當前BPDU后經過的時間。MaxAge:最大老化時間，保存BPDU的最長時間，也反映了拓樸變化通知（TopologyChangeNotification）過程中的網橋表生存時間情況。Hello:訪問時間，指周期性發(fā)送BPDU的時間，默認是2秒。ForwardDelay:轉發(fā)延遲,用于在Listening和Learning狀態(tài)的時間,也反映了拓樸變化通知（TopologyChangeNotification）過程中的時間情況。4.1STP生成樹與RSTP快速生成樹2.路徑成本STP依賴于路徑成本的概念，最短路徑是建立在累計路徑成本的基礎上的。生成樹的根路徑成本就是到根網橋的路徑中所有鏈路的路徑成本的累計和。路徑成本的計算和鏈路的帶寬相關聯，表4-1列出了一些在IEEE802.1d標準中規(guī)定的路徑成本。STP的路徑成本是越低越好4.1STP生成樹與RSTP快速生成樹3.網橋ID使用STP時，擁有最低網橋ID的交換機將成為根網橋。網橋ID共8字節(jié)，由2字節(jié)的優(yōu)先級和6字節(jié)網橋的MAC地址組成.網橋優(yōu)先級是從0~65535的數字，默認值是32768（0x8000）。優(yōu)先級最低的網橋將成為根網橋。如果網橋優(yōu)先級相同，則比較網橋MAC地址，具有最低MAC地址的交換機或網橋將成為根網橋。4.端口ID端口ID也參與決定到根網橋的路徑。端口ID共2字節(jié)，包括1字節(jié)的端口優(yōu)先級和1字節(jié)的端口編號組成。端口優(yōu)先級是從0~255的數字，默認值是128（0x80）。端口編號則是按照端口在交換機上的順序排列的，例如，端口1的ID是0x8001，端口2的ID是0x8002。端口優(yōu)先級數越小，則優(yōu)先級越高。如果端口優(yōu)先級相同，則編號越小，優(yōu)先級越高。4.1STP生成樹與RSTP快速生成樹4.1.2生成樹協議的工作過程1.選舉一個根網橋在一個給定網絡中只能存在一個根網橋，也就是具有最小網橋ID的交換機。當網絡中的交換機啟動后，每一臺都會假定它自己就是根網橋，把自己的網橋ID寫入BPDU的根網橋ID字段里面，然后向外泛洪。當交換機接收到一個具有更低的RootBID的BPDU時,它就會把自己正在發(fā)送的BPDU中的RootBID字段替換為這個更低的網橋ID，再向外發(fā)送。經過一段時間以后，所有的交換機都會比較完全部的RootBID，并且選舉出具有最小網橋ID的交換機作為根網橋。4.1STP生成樹與RSTP快速生成樹例如，在圖4-2所示的拓撲結構中，三臺交換機通過比較網橋優(yōu)先級，發(fā)現交換機1的優(yōu)先級是最小的，因此交換機1被選舉為根網橋。4.1STP生成樹與RSTP快速生成樹如果三臺交換機的網橋優(yōu)先級相同的話，則交換機2當選為根網橋，因為它的MAC地址最小。根網橋默認情況下每2秒發(fā)送一次BPDU，生成樹下游的非根交換機會接收這些BPDU，依據其中傳遞的信息進行根端口和指定端口的選舉。STP收斂以后，如果有一臺網橋ID值更小的交換機加入進來，那么，它也會把自己當作一個根網橋而在網絡中通告，引起STP進行新一輪的根網橋選舉。由于新交換機的網橋ID更小，所以其他的交換機在比較一番后，就會把它作為新的根網橋記錄下來，再重新計算到達新根網橋的無環(huán)路拓撲。4.1STP生成樹與RSTP快速生成樹2.選舉根端口下面要在所有的非根網橋上選舉出根端口。所謂根端口（RootPort，縮寫RP），就是從非根網橋到根網橋路徑成本最小的端口。選舉根端口的依據順序如下：根路徑成本最小。發(fā)送網橋ID最小。發(fā)送端口ID最小。4.1STP生成樹與RSTP快速生成樹如圖4-3所示，交換機1為根網橋，交換機2和交換機3都需要選舉出到達交換機1的根端口。按照表4-1中路徑成本的計算方法，對于交換機2來說，從端口P2到達根網橋的根路徑成本是19，計算方法是：端口P2接收到根網橋發(fā)送的BPDU中根路徑成本字段是0，交換機2將端口P2的路徑成本（帶寬100Mbps的快速以太網鏈路，路徑成本為19）累加在上面，得到P2的根路徑成本為0+19＝19。從端口P1到達根網橋的根路徑成本是19+19＝38，因為它收到交換機3發(fā)送的BPDU中根路徑成本字段值已經是19了，再累加端口P1的路徑成本19，得到最終的根路徑成本為38。通過比較端口P1和端口P2的根路徑成本，P2將被選舉為根端口。同理，交換機3的P1端口也會被選舉成根端口。4.1STP生成樹與RSTP快速生成樹如果一臺非根交換機到達根網橋的多條根路徑的成本相同，則比較從不同的根路徑所收到BPDU中的發(fā)送網橋ID，哪個端口收到的BPDU中發(fā)送網橋ID較小，則哪個端口為根端口;如果發(fā)送網橋ID也相同，則比較這些BPDU中的端口ID，哪個端口收到的BPDU中端口ID較小，則哪個端口