基于IEEE1588的同步以太网实现方式
单片机的以太网连接方式2009
单片机的以太网连接方式2009-08-27 10:48 本博客页内容将与设计过程同步 本设计将以VRS51L3074单片机为基础阐述一种单片机连接以太网的方式。通过这种方式,可以使单片机成为计算网络中的一个终端,从而方便地扩展、高速地通讯。 设计计划: 2009年8月25日前完成选型工作,读懂资料,并绘制出相应的电路原理图 2009年8月28日前完成网络连接模块的PCB板设计 2009年9月7日前将单片机上基础软件部分调通 2009年9月10日前完成该通讯模块的软硬件功能设计 2009年9月20日前完成整体方案的性能测试,并提交相关测试文档 本博客页内容将与设计过程同步 本设计基于CP2200单芯片以太网微控制器及VRS51L3074高速8位单片机,以实现单片机访问以太网功能。 以太网作为现代主要的数据传输方式,以其高速性和很高的数据稳定性,已经从个人计算机到智能设备深入到世界的每个角落。作为现在用量最大、普及程度最高的8位单片机,其加入以太网络进行数据传输已经是大势所趋。 现代的新型1T8051类型的单片机,如RAMTRON公司的VRS51L3074单片机,已经能够提供足够的资源和速度以应对以太网对硬件的需求,这为8位单片机参与到以太网中奠定了良好的基础。 作为本次设计的核心控制基础,先介绍下VRS51L3074高性能51系列单片机。 VRS51L3074系列单片机是RAMTRON公司推出的一款1T的8051系列单片机。该款单片机性能优越,因其每个时钟周期就是一个系统周期,故而其可以工作在40MIPS的指令速度下,从速度上说,该单片机是可以用于小规模数据处理;该款单片机有256B+4KB的RAM;值得一提的是,在单片机内还集成了8KB的FRAM(铁电存储器),这是其他系列单片机所不具备的,这能够大大提升单片机的数据静态存储效能;该款单片机拥有完整的JTAG接口,可用于在线编程和在线调试,给开发带来很大的方便;其具备SPIBUS和SMBUS(IIC)总线,可独立地进行单片机与外围设备之间的串行通信;该单片机拥有丰富的外中断接口和时钟信号接口及PWM输出,在时间精度控制方面可以做到卓越的效果;其内部集成WatchDogTimer,加上其工业级的工作温度,使其在恶劣环境下也能正常工作。从单片机的资源和性能角度来说,该单片机是同类单片机中性能极高的,完全可以满足工业应用和高速数据传输的需求。 下面再介绍一下CP2200单芯片以太网微控制器。 CP2200以太网控制器是Silicon公司推出的专门服务8位/16位单片机的一种集成以太网络协议打包的芯片,其集成IEEE 802.3 MAC 和10 BASE-T PHY,完全兼容100/1000 BASE-T网络,自适应全/半双工网络,可适应大多数以太网络组织形式;其具有碰撞自动重发、自动填充和CRC生成、支持广播和多播MAC寻址等功能,大大减轻了后向通道中MCU的负荷。
目前以太网接入方式主要方式
目前以太网接入方式主要有3种:固定IP,DHCP,PPPOE,而PPPOE+VLAN是一种比较理想的宽带接入方式。 1、宽带接入网需要实现的基本功能 宽带接入网需要实现的基本功能可以归纳为以下几个方面: (1)用户管理 掌握用户的信息,在用户进行通信时对用户进行认证、授权,使合法用户方便快捷地接入网中,杜绝非法用户接入,防止非法用户占用网络资源。 (2)安全管理 合法用户在通信时要保障其数据的安全性,隔离带有用户个人信息的数据包,对于主要的网络设备防止其受到攻击而造成网络瘫痪。由于用户终端是以普通网卡与网络设备相连,在通信时会发送一些广播地址的帧(如ARP,DHCP消息等),而这些消息会携带用户的个人信息(如用户的MAC地址),如不隔离这些消息让其他用户接收到,容易发生MAC/IP地址的仿冒,影响合法用户上网。对于运营商来说,保护其系统设备的安全性,防止恶意攻击是十分重要的。 (3)业务管理 需要为保证QoS提供一定的手段。为了保证业务的QoS,网管人员根据具体情况为用户提供一定的带宽控制能力,例如保证用户的最低接入速率,限制用户的最高接入速率等。 (4)计费管理 接入网要能够对用户进行灵活的计费,根据用户类别、使用时长、用户流量等数据进行计费。 2、固定IP,DHCP,PPPOE 3种宽带接入方式的比较 2.1用户管理和开销方面 固定IP方式:对IP地址管理不易,用户恶意更改或者尝试自行设置自己的IP地址,都会造成管理上的麻烦,增加运营商的额外开销。 DHCP方式:一方面DHCP存在较多的广播开销,对于用户量较多的城域网会造成网络运行效率下降和配置困难;另一方面,仍然无法解决用户自行配置IP地址的问题。
访问控制总结报告
1. 访问控制概念 访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮书),已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计,需要满足以下的要求:计算机系统必须设置一种定义清晰明确的安全授权策略;对每个客体设置一个访问标签,以标示其安全级别;主体访问客体前,必须经过严格的身份认证;审计信息必须独立保存,以使与安全相关的动作能够追踪到责任人。从上面可以看出来,访问控制常常与授权、身份鉴别和认证、审计相关联。 设计访问控制系统时,首先要考虑三个基本元素:访问控制策略、访问控制模型以及访问控制机制。其中,访问控制策略是定义如何管理访问控制,在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行,访问控制机制有很多种,各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名,组名以及用户所属的角色等,或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问,访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境,提供一个概念性的框架结构。 目前人们提出的访问控制方式包括:自主性访问控制、强访问控制、基于角色的访问控制等。5.访问控制方式分类 2.1自主访问控制 美国国防部(Department of Defense,DoD)在1985年公布的“可信计算机系统评估标准(trusted computer system evaluation criteria,TCSEC)”中明确提出了访问控制在计算机安全系统中的重要作用,并指出一般的访问控制机制有两种:自主访问控制和强制访问控制。自主访问控制(DAC)根据访问请求者的身份以及规定谁能(或不能)在什么资源进行什么操作的访问规则来进行访问控制,即根据主体的标识或主体所属的组对主体访问客体的过程进行限制。在DAC系统中,访问权限的授予可以进行传递,即主体可以自主地将其拥有的对客体的访问权限(全部或部分地)授予其它主体。DAC根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。在DAC系统中,由于DAC可以将访问权限进行传递,对于被传递出去的访问权限,一般很难进行控制。比如,当某个进程获得了信息之后,该信息的流动过程就不再处于控制之中,就是说如果A可访问B,B可访问C,则A就可访问C,这就导致主体对客体的间接访问无法控制(典型如操作系统中文件系统)。这就造成资源管理分散,授权管理困难;用户间的关系不能在系统中体现出来;信息容易泄漏,无法抵御特洛伊木马的攻击;系统开销巨大,效率低下的缺点,不适合大型网络应用环境。 2.2强访问控制 强制访问控制(MAC)根据中央权威所确定的强制性规则来进行访问控制。和DAC不同,强制访问控制并不具备访问主体自主性,主体必须在由中央权威制定的策略规则约束下对系统资源进行访问。强制访问控制是一种不允许主体干涉的访问控制类型,是基于安全标识和信息分级等信息敏感性的访问控制。在MAC中,系统安全管理员强制分配给每个主/客体一个安全属性,强制访问控制根据安全属性来决定主体是否能访问客体。安全属性具有强制性,不能随意更改。 MAC最早出现在美国军方的安全体制中,并且被美国军方沿用至今。在MAC方案中,每个目标由安全标签分级,每个对象给予分级列表的权限。分级列表指定哪种类型的分级目标对象是可以访问
9种常见的INTERNET接入方式
9种常见的INTERNET接入方式 2005-07-22 13:58作者:王玉涵出处:考试吧责任编辑:王玉涵提到接入网,首先要涉及一个带宽问题,随着互联网技术的不断发展和完善,接入网的带宽被人们分为窄带和宽带,业内专家普遍认为宽带接入是未来发展方向。 宽带运营商网络结构如图1所示。整个城市网络由核心层、汇聚层、边缘汇聚层、接入层组成。社区端到末端用户接入部分就是通常所说的最后一公里,它在整个网络中所处位置如图1所示。 在接入网中,目前可供选择的接入方式主要有PSTN、ISDN、DDN、LAN、ADSL、VDSL、Cable-Modem、PON和LMDS9种,它们各有各的优缺点。 PSTN拨号: 使用最广泛 PSTN(Published Switched Telephone Network,公用电话交换网)技术是利用PSTN 通过调制解调器拨号实现用户接入的方式。这种接入方式是大家非常熟悉的一种接入方式,目前最高的速率为56kbps,已经达到仙农定理确定的信道容量极限,这种速率远远不能够满足宽带多媒体信息的传输需求; 但由于电话网非常普及,用户终端设备Modem很便宜,大约在100~500元之间,而且不用申请就可开户,只要家里有电脑,把电话线接入Modem 就可以直接上网。因此,PSTN拨号接入方式比较经济,至今仍是网络接入的主要手段。 PSTN接入方式如图2所示。随着宽带的发展和普及,这种接入方式将被淘汰。 ISDN拨号:通话上网两不误
ISDN(Integrated Service Digital Network,综合业务数字网)接入技术俗称“一线通”,它采用数字传输和数字交换技术,将电话、传真、数据、图像等多种业务综合在一个统一的数字网络中进行传输和处理。用户利用一条ISDN用户线路,可以在上网的同时拨打电话、收发传真,就像两条电话线一样。ISDN基本速率接口有两条64kbps的信息通路和一条16kbps 的信令通路,简称2B+D,当有电话拨入时,它会自动释放一个B信道来进行电话接听。 就像普通拨号上网要使用Modem一样,用户使用ISDN也需要专用的终端设备,主要由网络终端NT1和ISDN适配器组成。网络终端NT1好像有线电视上的用户接入盒一样必不可少,它为ISDN适配器提供接口和接入方式。ISDN适配器和Modem一样又分为内置和外置两类,内置的一般称为ISDN内置卡或ISDN适配卡;外置的ISDN适配器则称之为TA。ISDN内置卡价格在300~400元左右,而TA则在1000元左右。 ISDN接入技术示意如图3所示。用户采用ISDN拨号方式接入需要申请开户,初装费根据地区不同而会不同,一般开销在几百至1000元不等。ISDN的极限带宽为128kbps,各种测试数据表明,双线上网速度并不能翻番,从发展趋势来看,窄带ISDN也不能满足高质量的VOD等宽带应用。 DDN专线: 面向集团企业 DDN是英文Digital Data Network的缩写,这是随着数据通信业务发展而迅速发展起来的一种新型网络。DDN的主干网传输媒介有光纤、数字微波、卫星信道等,用户端多使用普通电缆和双绞线。DDN将数字通信技术、计算机技术、光纤通信技术以及数字交叉连接技术有机地结合在一起,提供了高速度、高质量的通信环境,可以向用户提供点对点、点对多点透明传输的数据专线出租电路,为用户传输数据、图像、声音等信息。DDN的通信速率可根据用户需要在N×64kbps(N=1~32)之间进行选择,当然速度越快租用费用也越高。 用户租用DDN业务需要申请开户。DDN的收费一般可以采用包月制和计流量制,这与一般用户拨号上网的按时计费方式不同。DDN的租用费较贵,普通个人用户负担不起,DDN主要面向集团公司等需要综合运用的单位。DDN按照不同的速率带宽收费也不同,例如在中国电信申请一条128kbps的区内DDN专线,月租费大约为1000元。因此它不适合社区住户的接入,只对社区商业用户有吸引力。 ADSL: 个人宽带流行风 ADSL(Asymmetrical Digital Subscriber Line,非对称数字用户环路)是一种能够通过普通电话线提供宽带数据业务的技术,也是目前极具发展前景的一种接入技术。ADSL素有“网络快车”之美誉,因其下行速率高、频带宽、性能优、安装方便、不需交纳电话费等特点而深受广大用户喜爱,成为继Modem、ISDN之后的又一种全新的高效接入方式。
实时以太网POWERLINK技术基础
实时以太网POWERLINK技术基础 摘要:开源实时通信技术Ethernet POWERLINK是一项在标准以太网介质上,用于解决工业控制及数据采集领域数据传输实时性的最新技术。本文介绍它的基本原理、相关特性如冗余、直接交叉通信、拓扑结构、安全性设计,并定义其物理层与介质等内容。 关键词:实时性、直接交叉通信、冗余技术、安全技术、时隙管理、多路复用、主从结构、NMT、SDO,PDO 1.工业实时以太网技术 1.1为什么以太网得到发展? 以太网实在上世纪70年代后期就已经被开发的网络通信技术,不像其它系统,从那时到现在以太网的开发从没间断,许多公司进行了大量的投资,以太网技术现在在全世界已经拥有巨大的共享知识积累并在全世界分布。 以太网是一个电缆基础的数据网络技术,它用于本地数据网络LAN,他能够使本地的所有设备数据可以互联,例如,计算机、打印机的数据采用相同的数据帧格式,只是最开始,传统意义的LAN 类型是受制于一个独立的建筑的,以太网技术现在已经可以互联远程单元的设备了。 以太网标准定义了一个电缆和连接器类型,比特信号在传输层的处理细节,以及特定包的格式和协议,参照OSI模型,以太网定义物理层和数据链路层,以太网或多或少包括IEEE802.3,自90年代以来,它逐渐成为了最为广泛使用的LAN技术,并取代其它LAN标准例如令牌环网、以及曾经的工业和工厂网络技术ARCNET,以及在特定应用环境应用的FDDI,以太网可以作为其它网络协议的基础协议如:AppleTalk,DECnet,IPX/SPX,或者TCP/IP。 1.2 CSMA/CD及它带来什么影响? CSMA/CD机制运行原理 通俗的讲,以太网是依照共享介质机制来运行的,这意味着,在任意给定时间,所有的网络节点可以向其它节点发送和接收其它节点的信号,每个设备被赋予了一个独立的MAC地址(介质访问控制),它确保了所有网络节点的确定标识,为了防止两个节点同时发送数据而导致数据碰撞,以太网使用CSMA/CD机制(载波侦听访问/碰撞检测),即,每个节点侦听网络,如果它发现网络上没有信号正在传输它就可以发送,然而,某个节点仍然会导致不同节点的并发信号丢失,在这种情况下,碰撞检测阻止该节点的发送,在一个任意的间隔过后,节点尝试一个新的数据发送,数据
以太网通讯方式
1.1以太网通讯方式 1.PLC300/400-PLC300/400之间的通讯 1.1.两个PLC程序在一个文件中,清楚地知道两个PLC的型号,组态,建立以太网通讯1.1.1硬件组态 打开SIMATIC Manager,根据我们系统的硬件组成,进行系统的硬件组态,如图1-1:插入2个S7300的站,进行硬件组态,如图1-2和图1-3: 图1-1 分别组态2个系统的硬件模块:
图1-2 图1-3 设置CP343-1、CP343-IT模块的参数,建立一个以太网,其MPI、IP地址的设置步骤如下:●双击CP343-1一栏,显示如下界面: 图1-4 ●单击Properties(属性),选择SetMAC address(同时复选IP地址)
图1-5 ●CP343-IT的属性设置步骤与上面CP343-1的设置方式完全相同。 ●组态完2套系统的硬件模块后,分别进行下载,然后点击Network Configration按钮, 打开系统的网络组态窗口NetPro,选中CPU314,如下图: 图1-6 ●5、在窗口的左下部分点击鼠标右键,插入一个新的网络链接,并设定链接类型为 ISO-on-TCP connection 或TCP connection或UDP connection 或ISO Transport connection,如下图:
图1-7 ●6、点击OK后,弹出链接属性窗口,使用该窗口的默认值,并根据该对话框右侧信息 进行后面程序的块参数设定: ●7、再单击Properties(属性),设置TCP连接。
图1-9 ●当2套系统之间的链接建立完成后,用鼠标选中图标中的CPU,分别进行下载,如图示: 图1-10 到此为止,系统的硬件组态和网络配置已经完成。 1.1.2软件编码 ●在第一个PLC的程序中,调用通讯模块,如图所示,在左边“libraries->SIMATIC->CP300”中,双击选择“FC5”,用于发送数据,如图所示:
访问控制列表(ACL)总结
访问控制列表(ACL)总结 一、什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下:access-list ACL号permit|deny host ip地址 例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问控制列表实例一:
同步以太网及其时钟
同步以太网及其时钟 https://www.360docs.net/doc/5c16275385.html, ( 2011/6/13 14:30 ) 摘要:本文描述了同步以太网的概念,同步以太网的网络结构及同步性能的总体要求。然后,介绍了同步以太网设备(EEC)的时钟规范,网络应用及支持同步以太网的时钟芯片。 关键词:同步以太网;同步状态信息;以太网设备时钟 前言 在电信服务提供商网络向下一代网络的演进中,以太网将逐步取代PDH以及SONET/SDH传输网。因此,在一些要求严格同步的应用(包括无线基站以及TDM电路仿真(CES)设备)中,电信服务提供商将面临如何通过以太网传输高品质时钟同步的挑战。最新的标准解决办法是同步以太网(SvncE)。 在SvncE中,以太网采用与SONET/SDH相同的方式,通过高品质、可跟踪一级基准时钟信号同步其位时钟。2006年,国际电信联盟在其G.8261中描述了SvncE概念。2007年,在G.8262中对SvncE性能要求进行了标准化。规定了同步以太网网络设备中使用的时钟的最低性能要求。 同步以太网技术广泛用于DSLAM、路由器、MSSP(多业务交换平台)、PON及多业务接入设备,支持通过高带宽。融合同步以太网链路来承载话音、数据、视频和传统业务。 1、同步以太网的概念和基准时钟信号的分配方式
G.8261定义了分组网中的定时同步网元,规定了网络中所容许的最大抖动和漂移值;分组网边界与TDM接口时需要达到的抖动和漂移容限的最小值;概述了网元实现同步功能的最小要求。提出了两种基准时钟信号的分配方式:网络同步方式(同步以太网)和基于分组方式,解决了分组网特别是以太网的同步问题。 1.1 方式1:网络同步方式(同步以太网) 与现在的SONET/SDH链路一样,同步以太网通过OSI七层协议的第一层即物理层实现网络同步,如图1所示。同步以太网方式称为PRC分配方式(如GPS)或用同步物理层(以太网(E丁Y),STM—N)的主一从方式。它支持基于网络同步线路码方式的时钟分配,这种方式己广泛地运用到同步TDM网。 总体结构
实时的工业以太网EthernetPowerlink
叶莘 贝加莱工业自动化(上海)有限公司北京办事处经理、工学硕士实时的工业以太网Ethernet Powerlink 近十年来,随着互联网技术飞速发展,以太网成为商业通信中的主导网络技术。以太网的通信速率要比目前任何工业现场总线高很多,因它是IT界标准网络技术,成千上万的公司参与开发生产有关产品,使其成本低廉。因此,人们期望以太网也能应用到工控领域中,逐渐取代现有工控行业中繁多的总线系统,用以太网来实现从管理层到工业现场层的贯穿一致性通信。 工控领域和IT界对网络系统有着截然不同的需求,要想有效地应用以太网,必须使其符合工业环境的特殊需求。本文以实时工业以太网标准 Ethernet Powerlink为例,介绍工业以太网的实现方案和现场实际应用情况。 1 标准以太网的实时局限性 目前,标准以太网可达到100Mb/s甚至1000Mb/s的传输速度,远快于任何现场总线系统。但对于工业控制来说,比传输速率更重要的是实时性。实时性的一个重要标志是时间的确定性,通信时数据传输时间不是随机的,而是可事先准确预测的。 以太网虽有很高传输速率却不能保证实现控制设备间的实时通信。标准以太网IEEE802.3的通信机制使数据传输时间可被任意推迟,也就谈不上实时性。而在工控领域中,特别是在对高动态过程的控制中,实时性却必不可少。1.1 工业控制对实时性的要求 1) 实时性 在工业控制系统中,实时可定义为系统对某事件响应时间的可预测性。一个事件发生后,系统须在一个可准确预见的时间范围内作出反应。至于反应时间须有多快,由被控制过程决定。化工热化过程控制有秒级别的反应时间就足够,而在高动态传动控制中系统反应时间必须达到微秒级。 2) 抖动(Jitter) 所谓抖动,是指同样过程每次完成或响应时间上的偏差,也就是时间精确度。抖动大小对一些过程控制如运动控制和一些高精确度闭环控制非常关键。以无轴印刷机为例:设印刷速度为25m/s,也就是说每40mm/μs 。轴间通信如大于40μs抖动,就会有1mm以上的偏差,印刷质量肯定不能满足要求,如图1。 图1 抖动对控制的影响示意图 3) 通信周期时间 控制系统中的程序以周期性循环的方式运行,一个周期内所有输入被刷新,完成计算任务后再被写入输出中,周期时间长短由控制对象决定。高动态传动控制周期往往要达到毫秒级。 系统联网后,网络数据交换速度应和系统运算周期时间相对应。在位置控制、电子齿轮、多轴联动的高精确度运动控制中,刷新时间越短越好。时间越短控制精确度越高,能完成的动态性能也更高。多轴联动中,伺服系统如以400μs的周期进行位置控制,各轴间的信息交换当然也是以400μs周期为最佳,以达到轴间最精确的同步。 1.2 实时级别划分 按照不同过程对实时性要求的不同,可把实时性能划分为四个级别(如图2)。其中实时级别四是工控中对实时性能要求最苛刻的,主要是机械传动和运动控制中对实时性的要求。针对这些实时要求对象可选用不同现场总线系统,如果工业以太网要成为全工控领域标准,就须覆盖所有这些对实时性能和通信周期的需求,也就是须满足最苛刻的实时要求。 图2 4种不同实时级别划分 2 解决以太网实时局限性的传统方法 目前,有几种解决以太网数据传输时间不确定问题的方案,其共同点是:都不改变现有以太网通信机制,协议也是直接使用TCP/IP,有很多局限性。代表性方式有:1) 低冲突概率 如网络中没有太多数据,冲突概率会降低,它随数据通信的增加而呈指数级增长。当网络负载低于或等于10%时,可假设冲突可避免。这种方法局限性:不能充分利用网络带宽,浪费带宽;且不能百分之百保证冲突不会发生。 2) 在冲突域利用网络交换器分段 如图3,利用网络交换器分段是一种完全不同的方案,能完全避免冲突发生。其原理是把可能发生冲突的网域用网络交换器隔开。它有些类似于一组点对点连接。 图3 在冲突域利用网络交换器分段 系列专题——EPSG专栏(二) 后插3
访问控制技术手段
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。 权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。 属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属
访问控制
访问控制:原理及实践 访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。 Ravi S. Sandhu and Pierangela Samarati 摘要:访问控制的目的是为了限制一个合法的计算机系统用户可执行的活动和操作。访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。这篇文章解释了访问控制及其与其它安全服务的关系,如身份认证、审计和管理等。然后讨论了访问矩阵模型并描述了在实际系统中实现这种访问矩阵的不同方法,最后讨论了在现行系统中普遍存在的访问控制策略以及对访问控制管理的简单思考。 访问控制和其它安全服务 在计算机系统中访问控制依靠并与其它安全服务共存。访问控制涉及限制合法用户的活动。用户或代表用户的执行程序通过请求监听器对系统中的主体执行访问控制,而监听器促进每一次访问。为了决定用户要进行的操作是否通过,请求监听器要向认证数据库发出请求。认证数据库是通过安全管理员管理和维护的。管理员在安全策略和组织的基础上设置这些认证。用户也可以修改认证数据库中的一些部分。例如,设置个人文件的访问权限、查询监听器和记录系统相关活动的日志。 图1是安全服务及其关系的逻辑图表。它不应该用字面的意思去解释。例如,后面将提到,对象经常是被请求监听器保护着存储在认证数据库中的,而不是被物理上分开的。图表对区别身份认证,访问控制,审计和管理服务的区分较为理想化,可能不如图表显示的明显。他们之间的区分被认为是必要的,但不是在每个系统中都表现得明显。 对认证和访问控制清楚区分开很重要。认证服务的责任是正确地建立用户的身份。访问控制则是假设用户的身份认证被成功核实后通过请求监听器执行访问控制。当一个合法用户通过身份认证并正确地接管了请求监听器时访问控制的作用就停止了。 读者肯定对通过提供一个认证密码登录计算机系统很熟悉。在一个网络环境中,身份认证因为许多原因而变得困难。为了冒充合法用户,只要攻击者能找到网络通道就能重放认证协议。同样,网络中的计算机需要互相认证。在此文中,我们假先设认证已成功通过,然后关注后面即将发生的。 要了解单靠访问控制也不是一个保证计算机系统安全的根本方案,这一点很重要的。审计必须贯穿于整个过程。审计控制涉及对系统中所有请求和活动的后续分析。审计要求对所有用户的登录请求和活动作后续的分析。审计控制作为阻隔入侵和分析查找可能存在的入侵行为是很有用的。最后,审计对于确定被审计者没有滥用特权也是很重要的。换句话说就是保持用户的行为是可审计的。注意,有效的审计要求有合适的身份认证。 在访问控制系统中用策略和机制来区分它们的不同。策略是决定访问的控制方式和的访问决定的产生的高层指导。机制则是执行策略的可配置的底层软硬件程序。安全研究员已经试图将访问控制机制大大地发展为独立于策略,以便可以被他们使用。为了重复使用可适合各种安全目标的机制,这是很可取的。同样的机制经常可以被用于支持安全性、完整性和可用性目标。从另一方面过来看,策略选择如此丰富以至系统执行者可以自主选择。 总之,不存在策略好坏的说法。确切的说,一改是策略提供的保护可能有多有少。不管如何,不是所有的系统都有同样的保护要求。一个系统的策略并不一定适合另外一个系统。例如,非常严格的访问控制策略在某些系统中至关重要,在一个需要灵活环境的系统中也许
实时以太网EtherCAT的技术和应用
实时以太网EtherCAT的技术和应用 目录 摘要: (3) 关键词: (3) 前言 (3) 一.实时以太网 (3) 1.1 实时以太网的发展历史 (3) 1.2 实时以太网的发展现状 (4) 1.2.1 通信确定性与实时性 (4) 1.2.2 稳定性与可靠性 (4) 1.2.3 安全性 (4) 1.2.4 总线供电问题 (5) 1.3 实时以太网的技术优势 (5) 1.3.1 应用广泛 (5) 1.3.2 通信速率高 (5) 1.3.3 成本低廉 (5) 1.3.4 资源共享能力强 (5) 1.3.5 可持续发展潜力大 (6) 1.4 实时以太网的关键技术 (6) 1.4.1 实时通信技术 (6) 1.4.2 总线供电技术 (6) 1.4.3 远距离传输技术 (6) 1.4.4 网络安全技术 (6) 1.4.5 可靠性技术 (6) 1.5 实时以太网的未来技术 (7) 1.5.1 工业以太网的防爆保护 (7) 1.5.2 未来的网络拓扑结构 (7) 1.5.3 让交换机学习自动化语言 (7) 1.5.4 安全增长的重要性 (7) 1.5.5 无线网络提供新的应用可能 (7) 1.5.6 更高的网络带宽 (7) 1.6 实时以太网的主流五种标准 (8) 1.6.1 EtherCAT标准 (8) 1.6.2 Ethernet/IP标准 (8) 1.6.3 PowerLink标准 (8) 1.6.4 Profinet标准 (9) 1.6.5 Sercos-III标准 (9) 1.7 实时以太网的五种标准比较 (9) 1.7.1 硬件和软件的差异 (9) 1.7.2 实现确定性的方案 (10) 1.7.3 实现实时性的异同 (11)
自主访问控制综述
自主访问控制综述 摘要:访问控制是安全操作系统必备的功能之一,它的作用主要是决定谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。而自主访问控制(Discretionary Access Control, DAC)则是最早的访问控制策略之一,至今已发展出多种改进的访问控制策略。本文首先从一般访问控制技术入手,介绍访问控制的基本要素和模型,以及自主访问控制的主要过程;然后介绍了包括传统DAC 策略在内的多种自主访问控制策略;接下来列举了四种自主访问控制的实现技术和他们的优劣之处;最后对自主访问控制的现状进行总结并简略介绍其发展趋势。 1自主访问控制基本概念 访问控制是指控制系统中主体(例如进程)对客体(例如文件目录等)的访问(例如读、写和执行等)。自主访问控制中主体对客体的访问权限是由客体的属主决定的,也就是说系统允许主体(客体的拥有者)可以按照自己的意愿去制定谁以何种访问模式去访问该客体。 1.1访问控制基本要素 访问控制由最基本的三要素组成: ●主体(Subject):可以对其他实体施加动作的主动实体,如用户、进程、 I/O设备等。 ●客体(Object):接受其他实体访问的被动实体,如文件、共享内存、管 道等。 ●控制策略(Control Strategy):主体对客体的操作行为集和约束条件集, 如访问矩阵、访问控制表等。 1.2访问控制基本模型 自从1969年,B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象,经过多年的扩充和改造,现在已有多种访问控制模型及其变种。本文介绍的是访问控制研究中的两个基本理论模型:一是引用监控器,这是安全操作系统的基本模型,进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系;二是访问矩阵,这是访问控制技术最基本的抽象模型。
同步以太网的SSM
同步以太网的同步状态信息(参见G.8164) 11 SSM for synchronous Ethernet 11.1 Packet-level SSM For existing SDH-based SSM, the SSM message is carried in fixed locations within the SDH frame. In the case of Ethernet, there is no equivalent of a fixed frame. Overhead for various functions, e.g., pause, OAM, etc., is carried via protocols running over the PHY layer. As such, SSM must be carried over a protocol. 11、同步以太网的同步状态信息(SSM,译者注) 11.1分组级的SSM 对于现存的、基于SDH的SSM,SSM是在SDH帧内固定位置传送的。在以太网情况下,不存在等效的固定帧。各种功能的开销(例如中断、OAM等)是借助运行在物理(PHY,译者注)层上的协议传送的。因此,SSM必须在协议上传送。 Logically, the SDH SSM overhead can be viewed as a dedicated unidirectional communication channel between entities that process SSM messages. Figure 11-1 shows a simplified example of two network elements connected to one another. Each is also connected to an SSU. Selectors are provided within each network element to provide the source selection for the system clock. Selectors are under the control of a block called "sync control". This block would also be responsible for controlling timing protection. Not shown in the figure is an interface to the management system. 在逻辑上,SDH 的SSM可以看作为一个专用的、处理SSM实体之间的单向通信通路。图11-1给出了一个两个网元互连的简化例子。每个网元也连接到一个同步供给单元(SSU,译者注)。为了提供系统时钟的来源选择,在每个网元内都提供了选择器。选择器受到一个称为“同步控制”功能(“功能”二字为译者所加)块的控制。本功能(“功能”二字为译者所加)块也负责控制定时保护。没有在图中给出与管理系统的接口。
各种实时以太网技术地比较
主流实时以太网技术的比较
实用文档
一、各个实时以太网技术概要 summay of different RT-Ethernet tehcnologies 当前,工业实时以太网技术蓬勃发展,正在取代传统的现场总线技术(Profibus,CAN,Interbus,Fieldbus,DeviceNet,Modbus),市场 上出现了众多实时通信技术,本文对其进行了比较,这些实时以太网均建立在 uS 级的循环周期上,而不列入 ModBus TCP/IP、Ethernet TCP/IP 这些 mS 级的通信技术,并且也不将非主流的以太网技术列入,纯粹在实时以太网这个领域里进行比较(这里的实时以太网遵循 INONA 所提 出的实时分类级别)。 需要申明的是,本文仅提供一个全景式的概览,而非倾向性的描述,旨在客观公正的对各种技术的特点进行分析,以作为互相交流,不作 为选择网络技术的参考依据。
1.1ProfiNet IRT ProfiNet 提供了三个不同的版本,按照其实现和对应用的实时性支持能力为 ProfiNet/Cba,ProfiNet RT,ProfiNet IRT,其中 ProfiNet/Cba 是建立在 Soft IP 基础上,采用交换机连接方式,由于交换机所带来的时间延迟,因此,无法支持较快的同步速度,ProfiNet 并不具备很 高的实时性,而 RT 也无法满足高速运动控制的需求,而 ProfiNet IRT 则是设计为更快速的运动控制应用,因此,采用了专用的芯片来实 现,这使得其速度得到了大幅度的提高,可以达到 100 个伺服 100uS 的数据刷新能力,系统抖动为 1uS。
目前 Profinet 已经开始大量使用,而 ProfiNet IRT 尚未正式得到大量使用.
1.2Ethernet POWERLINK 采用轮询方式,由主站 MN 和 CN 构成,系统由 SoC 开始启动等时同步传输,由主站为每个 CN 分配固定时间槽,通过这一机制来实现实时数 据交换,同时也通过多路复用和节点序列方式来优化网络的效率,支持标准的 Ethernet 报文,应用层采用 CANopen,Ethernet POWERLINK 无需专用的芯片,并且可运行在多种 OS 上。
实时以太网
西安交通大学 实时以太网 技术现状与发展 学院电气工程学院 专业控制理论与控制工程 班级硕1021 姓名李勇强
摘要 在世界各国研发机构的共同推动下,以太网技术得以极其快速的发展,关键技术正逐个被攻破,工业现场环境的安装应用将被解决。随着初期研发投资被消化以后,工业以太网相对于现场总线的性价比优势将逐渐凸现。在研究工业网络实时性要求的基础上,给出了工业以太网和实时以太网的定义,深入分析了6种主要实时以太网的通信协议,同时,较全面地概述了我国EPA实时以太网技术及其标准。
工业控制网络的实时性要求 我们知道,用于工业自动化系统的网络通信技术来源于IT信息的计算机网络技术,但是又不同于一般的计算机网络通信,这是因为IT网络通信是以传递信息为最终目的,而工业控制网络传递信息是以引起物质或能量的运动为最终目标。所以,用于测量和控制数据通信的主要特点是:允许对事件进行实时响应的事件驱动通信,很高的可用性,很高的数据完整性,在有电磁干扰和地电位差的情况下能正常工作,以及使用工厂内专用的传输线等。其中,最主要的要求是网络通信的高实时性。 对于工业自动化系统来说,目前根据不同的应用场合,将实时性要求划分为三个范围:信息集成和较低要求的过程自动化应用场合,实时响应时间要求是100 ms或更长;绝大多数的工厂自动化应用场合实时响应时间的要求最少为5~10ms;对于高性能的同步运动控制应用,特别是在100个节点下的伺服运动控制应用场合,实时响应时间要求小于1 ms,同步传送和抖动小于1μs。工业控制网络的实时性还规定了许多技术指标,如交付时间、吞吐量、时间同步、时间同步精度以及冗余恢复时间等,对于这些性能指标都有详细的规定,例如:我国制定的《用于工业测量与控制系统的EPA、系统结构与通信标准》的国家标准中规定网络的时间同步精度分为8个等级,即0:无精度要求,1:<1 s,2:<100 ms,3:<10ms,4:<1 ms,5:<100 μs,6:<10μs,7:<1μs。 工业以太网与实时以太网 长期以来,关于现场总线的争论不休,互通与互操作问题很难解决,于是现场总线开始转向以太网。经过近几年努力,以太网技术已经被工业自动化系统广泛接受。众所周知,Ethernet 网络出现于1975年,并于1982年制定成为IEEE802.3标准的第一版本,1990年2月该标准正式成为ISO/IEC 8802.3国际标准。在这期间,Ethernet从最初10 M bit/s以太网,过渡到100 M bit/s快速以太网和交换式以太网,直至发展到今天的光纤以太网和万兆以太网。可以说,开放的Ethernet是30年来发展最成功的网络技术,它是在与IEEE 802.4令牌总线局域网和IEEE 802.5令牌环局域网两个对手的竞争中脱颖而出的,并导致了一场信息技术革命。Ethernet网的快速发展和广泛应用,有力地推动了高技术芯片和系统开发,从而大大提高了网络性能和降低了系统成本。因而,Ethernet每年在世界上的安装量超过上亿个节点。 通常,人们习惯上将用于工业控制系统的以太网统称为工业以太网。但是,如果仔细划分,按照国际电工委员会SCBSC的定义,工业以太网是用于工业自动化环境,符合IEEE 802.3标准,按照IEEE 802.1D《媒体访问控制(MAC)网桥》规范和IEEE 802.1Q《局域网虚拟网桥》规范,对其没有进行任何实时扩展(Extension)而实现的以太网。通过采用减轻以太网负荷,提高网络速度,采用交换式以太网和全双工通信,采用信息级、流量控制以及虚拟局域网等技术,到目前为止可以将工业以太网的实时响应时间做到5~10ms,相当于现有的现场总线。工业以太网在技术上与商用以太网是兼容的。 对于响应时间小于5ms的应用,工业以太网已不能胜任。为了满足高实时性能应用的需要,各大公司和标准组织纷纷提出各种提升工业以太网实时性的技术解决方案。这些方案建立在IEEE 802.3标准基础上,通过对其和相关标准的实时扩展,提高实时性,并且做到与标准以太网的无缝连接,这就是实时以太网(Real Time Ethernet,简称RTE)。为了规范这部分工作的行为,2003年5月,IEC/SCBSC专门成立了WALL实时以太网工作组,该工作组负