工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡白皮書

1、工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡白皮書目 錄 HYPERLINK l _bookmark0 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡概述1 HYPERLINK l _bookmark1 工業(yè)園區(qū)發(fā)展現(xiàn)狀1 HYPERLINK l _bookmark2 工業(yè)園區(qū)網(wǎng)絡發(fā)展現(xiàn)狀2 HYPERLINK l _bookmark3 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡內(nèi)涵5 HYPERLINK l _bookmark4 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡利益相關方6 HYPERLINK l _bookmark5 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡需求8 HYPERLINK l _bookmark6 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡場景：管理維度8 HYPERLINK l _bookmark7 私有園區(qū)網(wǎng)

2、絡8 HYPERLINK l _bookmark8 公有園區(qū)網(wǎng)絡14 HYPERLINK l _bookmark9 虛擬化園區(qū)網(wǎng)絡20 HYPERLINK l _bookmark10 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡場景：實現(xiàn)維度25 HYPERLINK l _bookmark11 工業(yè)生產(chǎn)網(wǎng)絡25 HYPERLINK l _bookmark12 企業(yè)信息網(wǎng)絡28 HYPERLINK l _bookmark13 園區(qū)公共服務網(wǎng)絡31 HYPERLINK l _bookmark14 云基礎設施34 HYPERLINK l _bookmark15 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡架構(gòu)37 HYPERLINK l _bookm

3、ark16 園區(qū)網(wǎng)絡組網(wǎng)架構(gòu)37 HYPERLINK l _bookmark17 工業(yè)生產(chǎn)網(wǎng)絡37 HYPERLINK l _bookmark18 企業(yè)信息網(wǎng)絡43 HYPERLINK l _bookmark19 園區(qū)公共服務網(wǎng)絡45 HYPERLINK l _bookmark20 云基礎設施48 HYPERLINK l _bookmark21 園區(qū)網(wǎng)絡組網(wǎng)實現(xiàn)49 HYPERLINK l _bookmark22 傳統(tǒng)三層架構(gòu)網(wǎng)絡49 HYPERLINK l _bookmark23 大二層架構(gòu)網(wǎng)絡52 HYPERLINK l _bookmark24 無線網(wǎng)絡架構(gòu)57 HYPERLINK l _

4、bookmark25 園區(qū)網(wǎng)絡業(yè)務部署66 HYPERLINK l _bookmark26 園區(qū)網(wǎng)絡主要業(yè)務66 HYPERLINK l _bookmark27 分層業(yè)務部署67 HYPERLINK l _bookmark28 管理和維護69 HYPERLINK l _bookmark29 附錄 1：工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡創(chuàng)新技術與應用71 HYPERLINK l _bookmark30 1.1 WI-FI 671 HYPERLINK l _bookmark31 WIA74 HYPERLINK l _bookmark32 TSN76 HYPERLINK l _bookmark33 OPC UA79

5、 HYPERLINK l _bookmark34 室內(nèi)無線定位技術81 HYPERLINK l _bookmark35 大二層86 HYPERLINK l _bookmark36 SDN91 HYPERLINK l _bookmark37 NFV93 HYPERLINK l _bookmark38 工業(yè) PON 技術96 HYPERLINK l _bookmark39 1.10 5G98 HYPERLINK l _bookmark40 附錄 2：工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡解決方案101 HYPERLINK l _bookmark41 5G 工業(yè)園區(qū)場景海爾智慧工廠101 HYPERLINK l _bo

6、okmark42 5G 工業(yè)園區(qū)場景中建鋼構(gòu) 5G 立體停產(chǎn)庫105 HYPERLINK l _bookmark43 礦山園區(qū)網(wǎng)絡建設117 PAGE 128 PAGE 129 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡概述工業(yè)園區(qū)發(fā)展現(xiàn)狀工業(yè)園區(qū)作為推進我國改革開放和經(jīng)濟發(fā)展的重要載體， 一直被視為經(jīng)濟建設的主戰(zhàn)場。近年來，隨著城市化快速推進和產(chǎn)業(yè)轉(zhuǎn)型升級，工業(yè)園區(qū)的建設和發(fā)展取得了顯著成效，為區(qū)域經(jīng)濟發(fā)展做出了重大貢獻。目前全國各地已有近五百個國家級的經(jīng)開區(qū)、出口加工區(qū)、保稅區(qū)等，省級各類開發(fā)區(qū)超一千個，全國各類工業(yè)園區(qū)超兩萬個。根據(jù)工業(yè)園區(qū)的發(fā)展規(guī)模，我國工業(yè)園區(qū)發(fā)展可分為三個階段：1979 年-1990 年為

7、工業(yè)園區(qū)的創(chuàng)建試點期；1991 年-2000 年為工業(yè)園區(qū)的高速增長期；2001 年到現(xiàn)今為工業(yè)園區(qū)的穩(wěn)定和優(yōu)化期。根據(jù)工業(yè)園區(qū)的主導產(chǎn)業(yè)種類劃分，可將工業(yè)園區(qū)劃分為綜合類工業(yè)園區(qū)、行業(yè)類工業(yè)園區(qū)、靜脈產(chǎn)業(yè)類工業(yè)園區(qū)。綜合類工業(yè)園區(qū)是由不同工業(yè)行業(yè)的企業(yè)組成的工業(yè)園區(qū)，主要指在高新技術產(chǎn)業(yè)開發(fā)區(qū)、經(jīng)濟技術開發(fā)區(qū)等工業(yè)園區(qū)基礎上改造而成的工業(yè)園區(qū)。行業(yè)類工業(yè)園區(qū)以某一類工業(yè)行業(yè)的一個或幾個企業(yè)為核心，通過物質(zhì)和能量的繼承，在更多同類企業(yè)或相關行業(yè)企業(yè)間建立共生關系的工業(yè)園區(qū)。靜脈產(chǎn)業(yè)類工業(yè)園區(qū)以從事垃圾回收和再資源化利用的企業(yè)為主體建設的一類工業(yè)園區(qū)。根據(jù)工業(yè)園區(qū)批準建設部門劃分，可分為國家級工

8、業(yè)園區(qū)和?。ㄊ校┘壖捌渌I(yè)園區(qū)。其中，國家級工業(yè)園區(qū)統(tǒng)一由國務院批準建設。該類工業(yè)園區(qū)產(chǎn)業(yè)結(jié)構(gòu)、土地等資源利用、經(jīng)濟統(tǒng)計等全部由中央政府統(tǒng)一管理。省（市）級及其他工業(yè)園區(qū)，主要由省市人民政府批準建設的工業(yè)園區(qū)，不同于國家級工業(yè)園區(qū)的管理模式，該類工業(yè)園區(qū)相關管理權限是由地方政府決策。從園區(qū)內(nèi)經(jīng)濟構(gòu)成的主體來看，可以分為兩種:一是單個企 業(yè)或集團的私有園區(qū)。通常私有園區(qū)聚集配套企業(yè)較少，以生產(chǎn)和經(jīng)營活動為主，實行標準化的生產(chǎn)經(jīng)營區(qū)同生活區(qū)的分離， 采用封閉、半封閉式管理。當前，私有園區(qū)的建設取得了顯著 成效，由于中小型企業(yè)缺少共有園區(qū)管理支持，私有園區(qū)開發(fā) 商針對中小型企業(yè)在公司建立和維護日常

9、運作的需求，向中小 企業(yè)提供優(yōu)質(zhì)服務、建廠機制、辦公場所、協(xié)助項目審批等業(yè) 務支持。二是由多個企業(yè)聚集的公有園區(qū)。公有園區(qū)聚集各種 生產(chǎn)要素，工業(yè)化的集約強度高，突出產(chǎn)業(yè)特色，優(yōu)化功能布 局。工業(yè)園區(qū)網(wǎng)絡發(fā)展現(xiàn)狀隨著互聯(lián)網(wǎng)+時代的到來，互聯(lián)網(wǎng)與社會經(jīng)濟深度融合，不斷催生新應用、新服務、新業(yè)態(tài)、新方向，深刻改變了人們的生產(chǎn)方式、生活方式以及思維和認知方式，直接推動了經(jīng)濟的轉(zhuǎn)型升級和高質(zhì)量發(fā)展。在這種大背景和大趨勢下，傳統(tǒng)產(chǎn)業(yè)園區(qū)的發(fā)展方向、發(fā)展模式、建設方式等均面臨著新挑戰(zhàn)和新需求。對此，產(chǎn)業(yè)園區(qū)需以新一代信息技術利用為契機，緊密圍繞企業(yè)快速發(fā)展需求，快速提升自身服務水平和質(zhì)量，實現(xiàn)轉(zhuǎn)型發(fā)展，獲

10、取信息化環(huán)境下的核心競爭能力。網(wǎng)絡作為工業(yè) 園區(qū)最重要的基礎設施之一，通過融合新一代信息與通信技術， 具備迅捷信息采集、高速信息傳輸、高度集中計算、智能事務 處理和無所不在的服務提供能力，可以實現(xiàn)園區(qū)內(nèi)及時、互動、整合的信息感知、傳遞和處理，可以顯著提高園區(qū)產(chǎn)業(yè)集聚能 力、企業(yè)經(jīng)濟競爭力、園區(qū)可持續(xù)發(fā)展能力。工業(yè)園區(qū)的配套設施建設一直聚焦于交通運輸、供水、供電、排污等市政基礎設施，園區(qū)信息化建設起步晚、時間短， 信息化配套設施及服務還不夠完善。目前工業(yè)園區(qū)網(wǎng)絡存在的問題可以歸納為以下幾點：1、工業(yè)園區(qū)網(wǎng)絡架構(gòu)無法滿足工業(yè)互聯(lián)網(wǎng)新業(yè)務需求。 工業(yè)互聯(lián)網(wǎng)業(yè)務的發(fā)展對園區(qū)網(wǎng)絡基礎設施提出了更高的要求

11、和需求。傳統(tǒng)層級化的網(wǎng)絡架構(gòu)影響了信息交互的效率?，F(xiàn)階段園區(qū)網(wǎng)絡的每個層面承擔不同的網(wǎng)絡功能，都需要用戶來進行接入和控制。隨著園區(qū)內(nèi)企業(yè)規(guī)模的不斷擴大、用戶數(shù)目增多，導致網(wǎng)絡規(guī)模和網(wǎng)絡功能上不斷激增，網(wǎng)絡部署和管理會變得復雜。2、工業(yè)園區(qū)網(wǎng)絡寬帶性價比低，不足以支撐工業(yè)互聯(lián)網(wǎng)推廣應用。海量數(shù)據(jù)對容量和帶寬提出更高的要求，工業(yè)互聯(lián)網(wǎng)須建立在連續(xù)采樣、大體量的工業(yè)大數(shù)據(jù)基礎上，而海量數(shù)據(jù)的傳輸和存儲，對網(wǎng)絡的帶寬、穩(wěn)定性和覆蓋率提出更高的要求。多數(shù)工業(yè)園區(qū)的網(wǎng)絡基礎以滿足辦公、生產(chǎn)相關的軟件應用為主，傳輸速率、覆蓋率、穩(wěn)定性不足以支撐工業(yè)互聯(lián)網(wǎng)應用；工業(yè)專線寬帶價格偏高，工業(yè)網(wǎng)絡在設備、安裝、使用

12、、入場等費用上都有差別，相同帶寬的商用產(chǎn)品收費較高，存在較大的價格調(diào)整空間；工業(yè)寬帶的發(fā)展環(huán)境還不成熟，對網(wǎng)絡的要求迫切性沒有體現(xiàn)，需求沒有完全釋放，國家對工業(yè)領域的寬帶支持政策尚有欠缺。3、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡標準不統(tǒng)一，產(chǎn)品集成難以實現(xiàn)。工業(yè)互聯(lián)網(wǎng)要實現(xiàn)企業(yè)、機器、產(chǎn)品、用戶之間全流程、全方位、實時的互聯(lián)互通，達到研發(fā)、生產(chǎn)、管理、服務的高度協(xié)同，對標準化提出了新要求，需要制定統(tǒng)一的技術標準、服務標準、管理標準和安全標準。工業(yè)園區(qū)網(wǎng)絡異構(gòu)性普遍存在，網(wǎng)絡接口不同，統(tǒng)一的工業(yè)互聯(lián)網(wǎng)標準尚未制定，嚴重制約著產(chǎn)品、服務的集成。另外，由于缺乏較多典型工業(yè)互聯(lián)網(wǎng)的應用成功案例的示范引領，使很多企業(yè)難以下定

13、決心改變現(xiàn)在的生產(chǎn)和經(jīng)營模式。4、綜合網(wǎng)絡化系統(tǒng)集成企業(yè)缺乏，不能滿足工業(yè)互聯(lián)網(wǎng)發(fā)展需求。工業(yè)互聯(lián)網(wǎng)將無處不在的傳感器、嵌入式終端系統(tǒng)、智能控制系統(tǒng)、通信設施連接成一個智能網(wǎng)絡，使人與人、人與機器、機器與機器、服務與服務之間能夠互聯(lián)，最終支撐智能化生產(chǎn)、網(wǎng)絡化協(xié)同、個性化定制和服務化延伸等工業(yè)互聯(lián)網(wǎng)新模式新業(yè)務的實施，這對系統(tǒng)集成企業(yè)提出了更高的要求。目前，系統(tǒng)集成企業(yè)主要分布于各個細分行業(yè)，從事分領域的系統(tǒng)集成業(yè)務，能提供綜合網(wǎng)絡化系統(tǒng)集成服務的集成商較少， 難以滿足工業(yè)互聯(lián)網(wǎng)的發(fā)展需求。5、缺乏工業(yè)控制系統(tǒng)的網(wǎng)絡安全保障體系。工業(yè)控制系統(tǒng)的安全防護措施普遍不足，利用工業(yè)控制系統(tǒng)的漏洞感染數(shù)

14、據(jù)采集與監(jiān)控系統(tǒng)，從而導致工業(yè)設備停止運轉(zhuǎn)、數(shù)據(jù)丟失等安全事件時有發(fā)生，工業(yè)控制系統(tǒng)存在的安全隱患不容小覷。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡內(nèi)涵工業(yè)互聯(lián)網(wǎng)園區(qū)是一個國家或區(qū)域的政府根據(jù)自身經(jīng)濟發(fā)展的內(nèi)在要求，通過行政或市場手段劃出一塊區(qū)域，聚集各種生產(chǎn)要素，并利用工業(yè)互聯(lián)網(wǎng)各項使能技術，構(gòu)建工業(yè)環(huán)境下人、機、物全面互聯(lián)的關鍵基礎設施，實現(xiàn)工業(yè)研發(fā)、設計、生產(chǎn)、銷售、管理、服務等產(chǎn)業(yè)全要素的泛在互聯(lián)，支持工業(yè)數(shù)據(jù)的開放流動與深度融合，推動工業(yè)資源的優(yōu)化集成與高效配置、支撐工業(yè)應用的創(chuàng)新升級與推廣普及，從而使之成為功能布局優(yōu)化、結(jié)構(gòu)層次合理、產(chǎn)業(yè)特色鮮明的新型工業(yè)企業(yè)聚集發(fā)展區(qū)。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡是指在工業(yè)互聯(lián)

15、網(wǎng)園區(qū)內(nèi)部部署的以實現(xiàn)園區(qū)企業(yè)設備互聯(lián)和信息互通的網(wǎng)絡基礎設施，由園區(qū)到廠區(qū)、由管理到生產(chǎn)的綜合性基礎網(wǎng)絡體系。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡主要由工業(yè)生產(chǎn)網(wǎng)、企業(yè)信息網(wǎng)、園區(qū)公共服務網(wǎng)以及云基礎設施組成。其中：工業(yè)生產(chǎn)網(wǎng)是指部署在工廠內(nèi)部的，用以實現(xiàn)生產(chǎn)現(xiàn)場各類生產(chǎn)設備、傳感器、執(zhí)行器、工控機等互聯(lián)，以及工業(yè)數(shù)據(jù)采集、工業(yè)操控與維護的網(wǎng)絡；企業(yè)信息網(wǎng)是指部署在各企業(yè)內(nèi)部的辦公區(qū)域內(nèi)，用以實現(xiàn)部門互通的網(wǎng)絡；園區(qū)公共服務網(wǎng)是實現(xiàn)園區(qū)內(nèi)工業(yè)企業(yè)間互聯(lián)互通并向園區(qū)內(nèi)各企業(yè)提供基礎公共服務的網(wǎng)絡；云基礎設施作為工業(yè)互聯(lián)網(wǎng)園區(qū)內(nèi)部信息匯聚的重要基礎設施，實現(xiàn)園區(qū)內(nèi)多家企業(yè)私有云和公有云的承載。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡利

16、益相關方工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡建設的核心是建設低延時、高可靠、廣覆蓋的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡基礎設施，集合網(wǎng)絡、軟件、物聯(lián)網(wǎng)技術和服務，實現(xiàn)數(shù)據(jù)在工業(yè)各個環(huán)節(jié)的無縫傳遞，支撐形成實時感知、協(xié)同交互、智能反饋的生產(chǎn)模式，提升園區(qū)產(chǎn)業(yè)服務水平，提高服務的明確性、高效性、靈活性，建立自主創(chuàng)新的網(wǎng)絡服務體系。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡利益相關方包括四種角色，分別是建設方、運營方、維護方、使用方。建設方是指執(zhí)行工業(yè)互聯(lián)網(wǎng)園區(qū)建設計劃，組織、督促基本建設工作，支配、使用基本建設投資的基層單位。一般表現(xiàn)為：行政上有獨立的組織形式，經(jīng)濟上實行獨立核算，編有獨立的總體設計和基本建設計劃，是基本建設法律關系的主體。運營方是整個園區(qū)的

17、內(nèi)部專門設置的對園區(qū)網(wǎng)絡各項事宜進行統(tǒng)一管理的單位。維護方負責園區(qū)網(wǎng)絡基礎設施維護。使用方一般是指入駐園區(qū)的各工業(yè)企業(yè)，他們從運營方租用網(wǎng)絡等資源。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡需求工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡場景：管理維度工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡的運營模式對園區(qū)網(wǎng)絡的復雜程度和 網(wǎng)絡技術選型會產(chǎn)生影響。因此原則上可依據(jù)是否存在“租用” 的情況，將園區(qū)網(wǎng)絡分為私有園區(qū)網(wǎng)絡和公有園區(qū)網(wǎng)絡。私有園區(qū)網(wǎng)絡場景描述私有園區(qū)網(wǎng)絡的使用者只有一個企業(yè)，因此私有園區(qū)網(wǎng)絡的建設方、運維方和使用方通常是合一的。使用方會針對自己的核心業(yè)務特點去設計、建設符合業(yè)務需求的完整網(wǎng)絡。通常來說，單個企業(yè)的企業(yè)園區(qū)，或者以某個企業(yè)為核心， 聚集少量配

18、套企業(yè)的工業(yè)園區(qū)可以歸屬為私有園區(qū)網(wǎng)絡。私有園區(qū)網(wǎng)絡是一個業(yè)務驅(qū)動的網(wǎng)絡，使用方會針對企業(yè)的業(yè)務特點自底而上的設計網(wǎng)絡，即針對不同的業(yè)務分別進行需求分析，網(wǎng)絡規(guī)劃和設計，然后再疊加多張網(wǎng)絡，進行融合設計，最終形成一張完整的網(wǎng)絡。需求描述和主要功能企業(yè)典型的業(yè)務網(wǎng)絡（圖 1）可分為以下幾個子網(wǎng)。1）生產(chǎn)網(wǎng)：生產(chǎn)網(wǎng)絡通常指承載企業(yè)核心生產(chǎn)經(jīng)營活動的網(wǎng)絡。對于不同類型的企業(yè)，由于生產(chǎn)經(jīng)營活動的不同，生產(chǎn)網(wǎng)絡的差異性非常大。例如：對于制造類企業(yè)，生產(chǎn)網(wǎng)絡通常指覆蓋車間區(qū)域?qū)崿F(xiàn)制造自動化的網(wǎng)絡；對于物流類企業(yè)，生產(chǎn)網(wǎng)絡通常指覆蓋倉庫、碼頭、停車場等區(qū)域的實現(xiàn)調(diào)度自動化的網(wǎng)絡；對于高科技的設計類無工廠的企

19、業(yè)，生產(chǎn)網(wǎng)絡主要覆蓋實驗室。圖 1 企業(yè)典型業(yè)務網(wǎng)絡雖然不同企業(yè)的生產(chǎn)網(wǎng)絡各不相同，特別是前端網(wǎng)絡，差異非常大。例如：制造類企業(yè)使用工業(yè)以太網(wǎng)，物流類企業(yè)使用無線網(wǎng)絡，無工廠企業(yè)使用標準以太網(wǎng)，但是，生產(chǎn)網(wǎng)絡依然有其共性。主要包括：高性能：這里的高性能用來特指性能和特性能夠滿足前端網(wǎng)絡的要求。例如：低時延、高帶寬、無丟包、抗惡劣環(huán)境等。一般的，生產(chǎn)網(wǎng)絡的設備選型可能不同于其它網(wǎng)絡。例如：工廠內(nèi)需要使用工業(yè)級設備，碼頭上需要使用抗惡劣環(huán)境的室外型 Wi-Fi AP，礦井中需要使用符合本安要求的網(wǎng)絡設備，實驗室需要使用具備大緩存的無丟包交換機等等?？煽啃裕荷a(chǎn)網(wǎng)絡是不允許中斷的，必須保證7*24

20、小時的可靠性。因此，生產(chǎn)網(wǎng)絡通常采用嚴格的冗余以實現(xiàn)高可靠。冗余包括但不限于電源冗余，位置冗余，鏈路冗余，設備冗余，AB 平面?zhèn)浞莸雀鞣N冗余技術。安全性：為了保證絕對的安全性，生產(chǎn)網(wǎng)絡通常要求和其它網(wǎng)絡隔離。根據(jù)重要性的不同，可能是絕對的物理隔離，也可能是邏輯隔離，嚴格受限訪問。辦公網(wǎng)：指企業(yè)用于日常辦公的網(wǎng)絡，通常運行企業(yè)的郵件系統(tǒng)，即時通訊系統(tǒng)，網(wǎng)頁電子流系統(tǒng)，以及其他的辦公自動化系統(tǒng)。性能和服務質(zhì)量保證：辦公網(wǎng)要能保證網(wǎng)絡上各種業(yè)務的服務質(zhì)量，避免因為帶寬原因?qū)е聭镁徛?，避免因為服務質(zhì)量保證能力不足影響實時語音/視頻類業(yè)務導致溝通不暢；特別是對于 Wi-Fi 網(wǎng)絡，無線網(wǎng)絡的不確定性較

21、強，一定要合理進行設備選型、網(wǎng)絡規(guī)劃和部署、特性使能，以保證性能和服務質(zhì)量；可靠性：辦公網(wǎng)對可靠性有較高的要求，不能接受網(wǎng) 絡故障影響日常辦公；通常會采用鏈路冗余、設備冗 余等技術提升可靠性；辦公網(wǎng)不會追求絕對的可靠性， 需要精細的平衡可靠性和成本；用戶接入控制和賬號管理：引入 Wi-Fi 網(wǎng)絡后，必須增加用戶接入控制和賬號管理功能，以解決接入安全性問題。為此，網(wǎng)絡需要引入認證服務器，使能設備上的用戶接入控制問題。用戶賬戶管理工作的復雜度相當高，需要引入合適的管理系統(tǒng)協(xié)助管理；網(wǎng)絡虛擬化：多數(shù)大型企業(yè)為了對不同的部門進行網(wǎng)絡隔離，以降低管理復雜度，需要辦公網(wǎng)能夠提供網(wǎng)絡虛擬化功能，通過不同的虛

22、擬網(wǎng)進行承載。另外， 如果辦公網(wǎng)需要融合承載多種業(yè)務，也應該使用虛擬網(wǎng)進行承載。視頻會議網(wǎng)：為視頻會議系統(tǒng)服務的承載網(wǎng)絡。由于視 頻會議對網(wǎng)絡的服務質(zhì)量有特別的要求，并且視頻會議系統(tǒng)的 位置固定，數(shù)量有限。傳統(tǒng)上，我們會構(gòu)建視頻會議專網(wǎng)來保 證視頻服務質(zhì)量。隨著及時通信系統(tǒng)的發(fā)展，個人級的視頻會 議服務開始普及，同時，辦公網(wǎng)絡的帶寬和質(zhì)量有很大的提升， 部分企業(yè)開始使用虛擬化的視頻會議網(wǎng)進行服務。安防網(wǎng)：用于提供企業(yè)環(huán)境安全服務的網(wǎng)絡。安防網(wǎng)業(yè)務流通常包括視頻監(jiān)控、樓宇自控、門禁控制和電梯控制，主要訪問流向指向監(jiān)控中心和服務存儲區(qū)，監(jiān)控視頻流量對時延和帶寬較為敏感，要求設備支持高可靠性和高帶寬

23、，接入交換機保證低時延、雙交流電源高可靠設計。互聯(lián)區(qū)：互聯(lián)區(qū)主要用于同一個企業(yè)的不同園區(qū)網(wǎng)絡之間的互聯(lián)，以及和其他企業(yè)的互聯(lián)。互聯(lián)區(qū)的拓撲較簡單，但對管理系統(tǒng)要求較高。由于涉及到廣域互聯(lián)，鏈路的使用率和效率尤為重要，需要部署合適的設備，監(jiān)控和管理互聯(lián)網(wǎng)絡上的流量和業(yè)務，進行精細調(diào)整，以提高鏈路利用率，降低運營成本；租賃網(wǎng)：租賃網(wǎng)通常提供給關聯(lián)企業(yè)，提供基礎的網(wǎng)絡服務，同時提供嚴格受控的公司內(nèi)部網(wǎng)絡訪問權限。關聯(lián)企業(yè)通過租賃網(wǎng)接入企業(yè)內(nèi)部網(wǎng)絡，和企業(yè)的相關自動化系統(tǒng)，例如：庫存管理系統(tǒng)，實現(xiàn)對接，從而實現(xiàn)端到端的自動化。管理私有園區(qū)網(wǎng)絡由單一管理者進行管理，通常是企業(yè)的 IT 管理團隊。IT 管

24、理團隊執(zhí)行根據(jù)企業(yè)業(yè)務特點規(guī)劃和設計網(wǎng)絡， 并自行進行管理維護。網(wǎng)絡的使用者包括生產(chǎn)部門，企業(yè)員工， 也可以是企業(yè)行政部門，也有外部相關企業(yè)員工。私有園區(qū)網(wǎng)絡的 IT 管理不僅僅采用技術手段，各種規(guī)章制度也是重要的管理手段。通過規(guī)章制度約束使用者的行為，從而簡化管理。網(wǎng)絡的管理功能也是網(wǎng)絡的重要功能組件，需要進行合理規(guī)劃，并部署相應的軟硬件。環(huán)境不同于普通的網(wǎng)絡，園區(qū)內(nèi)部的環(huán)境多變，既有一般的生產(chǎn)辦公區(qū)域，也有需要考慮防水寬溫的室外區(qū)域，更有環(huán)境多變的生產(chǎn)區(qū)域。選擇設備時，要充分不同環(huán)境的要求：辦公區(qū)域：可以選擇普通的室內(nèi)款型。但是，室內(nèi)的電磁環(huán)境相對復雜，需要關注各種無線信號，包括 Wi-F

25、i 信號間的相互干擾。必要時，需要選擇內(nèi)置帶通濾波器的款型，以提高對干擾的抑制能力；室外區(qū)域：環(huán)境相對復雜，對設備的防水、寬溫等有較高要求。一般來說，各種網(wǎng)絡設備都有室外型號，或者有支持室外安裝的室外柜組件，可以合理使用；生產(chǎn)區(qū)域：生產(chǎn)區(qū)域環(huán)境復雜，并且各行業(yè)有自己的環(huán) 境和安全規(guī)范。例如：很多行業(yè)有本安的要求。采購設 備時，需要選擇符合相應要求的，通過相關認證的設備?？煽啃詧@區(qū)網(wǎng)絡高可靠和高可用是整個園區(qū)健康運行的重要條件之一，所以對網(wǎng)絡整體架構(gòu)的高可用性和高可靠性部署需考慮全面。網(wǎng)絡架構(gòu)必須能夠達到園區(qū)對服務級別的要求，并且通過多層次的冗余容錯考慮，使得整個網(wǎng)絡架構(gòu)能夠滿足業(yè)務系統(tǒng)不間斷穩(wěn)

26、定運行的需求，同時實現(xiàn)網(wǎng)絡層面的負載分擔和災難恢復。同時基于高可靠和高可用的考量，在園區(qū)網(wǎng)建設中， 需使用 DHCP 相關網(wǎng)絡環(huán)境的應用場景（如辦公有線接入和無線接入等）采用獨立的 DHCP 服務器進行地址分配，提高在上班高峰時期地址分配的可靠性和支持更全面的 DHCP 高級功能，提高可用性。擴展性和兼容性在園區(qū)網(wǎng)絡建設中，從可擴展性角度出發(fā)，采用業(yè)務功能模塊化和網(wǎng)絡拓撲層次化的部署方式，使得網(wǎng)絡架構(gòu)在功能、容量、覆蓋能力等各方面具有易于擴展的能力，以適應快速發(fā)展的業(yè)務對網(wǎng)絡基礎架構(gòu)的要求；從兼容性的角度出發(fā)，園區(qū)網(wǎng)建設在技術上采用開放式的構(gòu)架和協(xié)議，消除未來擴容時的設備局限性。園區(qū)網(wǎng)建設遵循

27、如下擴展性和兼容性原則：網(wǎng)絡拓撲結(jié)構(gòu)層次化把整個園區(qū)網(wǎng)絡分為三個層：核心層、匯聚層和接入層，各層完成各自的功能和任務并相互協(xié)同工作，最大化地保證了網(wǎng)絡的穩(wěn)定和良好的擴展性。網(wǎng)絡功能的擴展性，在現(xiàn)有網(wǎng)絡架構(gòu)和設備的基礎上，能夠為未來可能的園區(qū)網(wǎng)應用如統(tǒng)一IP 語音、高清視頻終端接入等提供支撐能力。遵循業(yè)界公認的標準制定一個高兼容性網(wǎng)絡架構(gòu)，確保 設備、技術的互通和互操作性，支持網(wǎng)絡、節(jié)點的擴展， 方便快速部署新的產(chǎn)品和技術，以適應業(yè)務的快速增長。網(wǎng)絡功能的兼容性，園區(qū)網(wǎng)絡需要能夠和企業(yè)現(xiàn)有的各類服務兼容。安全從整體園區(qū)網(wǎng)層面，安全性主要體現(xiàn)在如下幾個方面：安全的接入：包括有線和無線層面的接入安全

28、，能夠?qū)τ谟芯€、無線進行的安全策略部署和管理，從而構(gòu)建能夠具備安全接入能力的基礎網(wǎng)絡平臺，以滿足未來統(tǒng)一接入安全需求。安全的隔離：園區(qū)網(wǎng)接入網(wǎng)包含業(yè)務接入和辦公接入兩個部分，為了更好地保證安全，在園區(qū)網(wǎng)核心層、匯聚層和接入層完全物理隔離，從而最大可能保證兩網(wǎng)互訪的安全性。投資保護園區(qū)網(wǎng)絡架構(gòu)設計必須滿足未來 3-5 年的使用需求，提高整網(wǎng)的利用率和擴展能力，使得可能的后續(xù)投資最小化。同時結(jié)合運維等方面的要求，獲得最佳總體擁有成本。公有園區(qū)網(wǎng)絡場景描述公有園區(qū)網(wǎng)絡的使用者有多個企業(yè)，即存在多個使用方， 但通常會有一個運維方負責運維整個網(wǎng)絡，運維方負責設計網(wǎng)絡，滿足園區(qū)的基礎服務需求，以及園區(qū)各企

29、業(yè)的通用性需求。使用方從運維方租用網(wǎng)絡以部署企業(yè)的各種服務，滿足企業(yè)需 求。因此，公有園區(qū)網(wǎng)絡的構(gòu)建重點是：統(tǒng)一提供園區(qū)基礎的服務，從而降低各企業(yè)運維的成本。運營方需要構(gòu)建多網(wǎng)融合的基礎網(wǎng)絡，服務于各種基本 服務。例如：安防網(wǎng)，能耗管理網(wǎng)等。提供統(tǒng)一的公共服務網(wǎng)，供園區(qū)企業(yè)租用，降低企業(yè)基本服務的開銷。例如：視頻會議網(wǎng)絡；提供統(tǒng)一的公共Internet 服務，供園區(qū)內(nèi)部人員使用。例如：覆蓋住宿區(qū)的寬帶接入；覆蓋公共區(qū)域的無線接入。運營方需要建設強大的用戶管理系統(tǒng)，以簡化用戶管理復雜度；提供支持多租戶的基礎網(wǎng)絡和管理系統(tǒng)，向企業(yè)提供核心網(wǎng)絡連接服務，并支持企業(yè)進行定制化改造。需求描述和主要功能需

30、要建設完整的園區(qū)網(wǎng)絡，提供園區(qū)網(wǎng)絡基礎服務：園區(qū)網(wǎng)絡需要包含以下幾張服務網(wǎng)：園區(qū)基礎服務網(wǎng)， 公共服務網(wǎng)，公共Internet 接入網(wǎng)等。園區(qū)需要統(tǒng)一建設服務網(wǎng)，以及對應的業(yè)務系統(tǒng)。例如：視頻監(jiān)控網(wǎng)和視頻監(jiān)控系統(tǒng)、視頻會議網(wǎng)絡及視頻會議系統(tǒng)；企業(yè)入駐園區(qū)后，可以直接享受相應的服務，無需再進行相應的投資；園區(qū)業(yè)務管理系統(tǒng)。園區(qū)業(yè)務要高效的向企業(yè)提供，強 大的軟件系統(tǒng)必不可少。園區(qū)業(yè)務管理系統(tǒng)可以有效的 降低業(yè)務管理工作量。特別是用戶名/賬號管理系統(tǒng)。 業(yè)務管理系統(tǒng)同樣應該支持多租戶，以便企業(yè)參與管理， 實現(xiàn)自管理。公共網(wǎng)絡服務。園區(qū)運營商需要面向最終用戶，提供網(wǎng) 絡服務。例如：需要提供個人上網(wǎng)服

31、務，用戶可以開戶、銷戶等。需要提供高性能的園區(qū)網(wǎng)絡，供企業(yè)租用：全面覆蓋的 Wi-Fi 網(wǎng)絡。無線網(wǎng)絡的特點是具備獨占性， 即相同的網(wǎng)絡技術，在同一空間內(nèi)通常只能部署一套網(wǎng)絡。否則， 網(wǎng)絡間將會存在干擾， 輕則相互影響， 1+1100KM）。隨著虛擬化技術的發(fā)展，特別是 2over3 技術的發(fā)展，我們將多個園區(qū)虛擬化成一個園區(qū)，從而實現(xiàn)統(tǒng)一規(guī)劃，統(tǒng)一管理， 統(tǒng)一業(yè)務提供。虛擬化園區(qū)網(wǎng)絡又可以被細分為本地多園區(qū)虛 擬化網(wǎng)絡和遠程多園區(qū)虛擬化網(wǎng)絡。本地多園區(qū)虛擬化網(wǎng)絡本地多園區(qū)虛擬化網(wǎng)絡指的是將兩個或者多個物理上距離不遠的園區(qū)網(wǎng)絡通過虛擬化技術虛擬成一個完整的工業(yè)園區(qū)網(wǎng)絡。場景分析同一個工業(yè)園區(qū)因

32、為土地的限制，有可能被分為地理上有一定距離的多個區(qū)域。傳統(tǒng)上，我們需要為每個區(qū)域單獨構(gòu)建園區(qū)網(wǎng)絡，分別管理，通過 Internet 互通。但在實際使用中，會存在以下問題：管理復雜度。網(wǎng)絡管理、維護部門需要面對兩張網(wǎng)絡， 兩套網(wǎng)絡管理系統(tǒng)。網(wǎng)絡中的配置、管理等需要人工同步，復雜且錯誤概率高。業(yè)務連續(xù)性需求難以滿足。例如：實驗室的需要二層連接；接入希望在兩張網(wǎng)絡獲得一致的體驗。強行二層互聯(lián)，則會導致網(wǎng)絡的效率、可靠性等極大下降。組網(wǎng)方案我們可以采用網(wǎng)絡級多虛一的技術，采用專門的二層連接將多個園區(qū)直接相連，使用統(tǒng)一的控制器部署業(yè)務。組網(wǎng)拓撲如圖 2 所示。圖 2 本地多園區(qū)虛擬化網(wǎng)絡組網(wǎng)拓撲本地多園

33、區(qū)虛擬化網(wǎng)絡建設需要考慮以下幾點：架構(gòu)層面，需要統(tǒng)一管理/統(tǒng)一策略。園區(qū)間互聯(lián)多使用光纖直連，可構(gòu)建虛擬化的跨園區(qū)打通的 overlay 網(wǎng)絡，地址可以跨園區(qū)統(tǒng)一規(guī)劃，網(wǎng)絡策略可以跨園區(qū)統(tǒng)一規(guī)劃，并實現(xiàn)網(wǎng)隨人動?？梢钥鐖@區(qū)構(gòu)建端到端的虛擬 VPN 專網(wǎng)，實現(xiàn)一網(wǎng)多業(yè)務承載。網(wǎng)絡控制器及業(yè)務組件應集中部署于主園區(qū)，一套管理人員，一套管理系統(tǒng)，降低人力成本和復雜度。Internet 出口一般集中在主園區(qū)統(tǒng)一出口，安全策略集中部署，主/副園區(qū)共享一致的出口策略?？煽啃苑矫妫泄芸亟M件可采取雙機或者多機熱備方式部署。對于可靠性要求高的企業(yè)，可以進一步將 AAA 和無線AC 控制器下沉各個園區(qū)，實現(xiàn)園

34、區(qū)內(nèi)本地業(yè)務處理，在園區(qū)間線路中斷的情況下提供業(yè)務連續(xù)性。網(wǎng)絡架構(gòu)本身可采用雙機堆疊，ECMP 等冗余機制實現(xiàn)園區(qū)內(nèi)部的高可靠性。遠程多園區(qū)虛擬化網(wǎng)絡遠程多園區(qū)虛擬化網(wǎng)絡指多個物理上距離較遠的園區(qū)獨立運行，但通過虛擬化技術實現(xiàn)二三層互通，業(yè)務層面上實現(xiàn)虛擬化的網(wǎng)絡。場景分析對于大型企業(yè)來說，往往會存在多個園區(qū)，包括辦公園區(qū)，生產(chǎn)園區(qū)，以及派出機構(gòu)等。不同的園區(qū)可能地理上間隔很遠， 甚至分布在不同的國家。傳統(tǒng)上，這些局域網(wǎng)絡之間互不關聯(lián)， 各自獨立管理和運行。如果需要互通，則通過向第三方租用的VPN（通常為BGP MPLS VPN）實現(xiàn)三層互通。如果采用網(wǎng)絡多虛一的方式進行管理，則會存在以下的問

35、題：由于大型網(wǎng)絡的管理需要本地化，因此，對于多張網(wǎng)絡， 采用統(tǒng)一網(wǎng)絡、統(tǒng)一管理的方式進行網(wǎng)絡虛擬化并不適 用。否則，會涉及到大量的管理團隊之間的溝通和協(xié)調(diào)。多虛一的方式會導致管理組件集中部署，在廣域鏈路發(fā)生故障時，業(yè)務連續(xù)性會受較大的影響。組網(wǎng)方案我們可以采用虛擬網(wǎng)絡互聯(lián)+控制器協(xié)同的方式，建議組網(wǎng)拓撲如圖 3 所示。圖 3 遠程多園區(qū)虛擬化網(wǎng)絡組網(wǎng)拓撲遠程多園區(qū)虛擬化網(wǎng)絡建設需要考慮的幾個點： 1）管理上統(tǒng)分結(jié)合，提供簡便性和可靠性：用戶組，網(wǎng)絡策略，VPN 全網(wǎng)統(tǒng)一規(guī)劃和拉通；地址規(guī)劃各園區(qū)獨立進行，園區(qū)間三層路由互通無線 AC 組件下沉各自園區(qū)internet 多出口。網(wǎng)絡控制器分級分權

36、：總部控制器負責規(guī)劃網(wǎng)絡業(yè)務公共/統(tǒng)一的部分，并下發(fā)給所有分控制器，分控制器在各個園區(qū)本地管控各自的網(wǎng)絡組件，可以免受WAN 網(wǎng)故障的影響AAA 組件分級分權：AAA 組件是最常使用的部件，也需要在總部和各分部分別部署，免受WAN 網(wǎng)故障的影響?？偛緼AA 定義統(tǒng)一的接入策略和接入場景，同步給所有其他園區(qū)的 AAA，各園區(qū)的 AAA 本地執(zhí)行。各路由節(jié)點的路由按需下發(fā)，節(jié)約資源，提供擴展性。2）園區(qū)和WAN 網(wǎng)的協(xié)同WAN 網(wǎng)若是自營可控的，則可以通過控制器實現(xiàn)園區(qū)和WAN 網(wǎng)的一體化管理，園區(qū)關注業(yè)務快速轉(zhuǎn)發(fā)，策略控制，WAN 網(wǎng)強調(diào)最優(yōu)調(diào)度，通過在控制器上一體化編排簡化使用體驗。若 WAN

37、 是租用線路，不可控，只提供 IP 透明傳輸，則多關注其承載能力指標，比如 MTU，時延，帶寬等指標。園區(qū)出口需要使用合適的多出口選路策略與WAN 網(wǎng)做對接和匹配。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡場景：實現(xiàn)維度工業(yè)生產(chǎn)網(wǎng)絡場景描述在工業(yè)現(xiàn)場，工業(yè)生產(chǎn)網(wǎng)絡主要連接工廠內(nèi)部的各種要素， 包括人員（如生產(chǎn)人員、設計人員、外部人員）、機器（如生產(chǎn) 裝備）、材料（如原材料、過程件、制成品）、環(huán)境（如儀表、 監(jiān)測設備）等。工業(yè)生產(chǎn)網(wǎng)絡架構(gòu)如圖 4 所示。圖 4工業(yè)生產(chǎn)網(wǎng)絡架構(gòu)工業(yè)生產(chǎn)網(wǎng)絡一般使用現(xiàn)場總線、工業(yè)以太網(wǎng)、工業(yè)無線等通信方式，通過PLC、RTU、DCS、工業(yè)邊緣網(wǎng)關等設備采集、控制、監(jiān)測生產(chǎn)過程。各個生廠區(qū)之

38、間通過隔離網(wǎng)閘，對工廠內(nèi)區(qū)域分別進行保護。HMI（人機交互接口）、SCADA（數(shù)據(jù)采集與監(jiān)視控制）等生產(chǎn)應用通過工業(yè)以太網(wǎng)、工業(yè)無線等對工廠整體進行監(jiān)控和管理。外部網(wǎng)絡訪問需經(jīng)過工業(yè)防火墻控制、過濾，并由審計網(wǎng)關對訪問操作進行記錄和安全審計回溯。工業(yè)生產(chǎn)網(wǎng)絡是工業(yè)系統(tǒng)互聯(lián)和工業(yè)數(shù)據(jù)傳輸交換的支撐基礎，表現(xiàn)為通過泛在互聯(lián)的網(wǎng)絡基礎設施、健全適用的標識解析體系、集中通用的應用支撐體系，實現(xiàn)信息數(shù)據(jù)在生產(chǎn)系統(tǒng)各單元之間、生產(chǎn)系統(tǒng)與商業(yè)系統(tǒng)各主體之間的無縫傳遞。從而構(gòu)建新型的機器通信、設備有線與無線連接方式，支撐形成實時感知、協(xié)同交互的生產(chǎn)模式。典型業(yè)務傳統(tǒng)工業(yè)應用主要包含 HMI、SCADA 等。H

39、MI 近乎實時地顯示操作信息，對生產(chǎn)設備的電機和閥門狀態(tài)、油箱液面等多種過程參數(shù)和相關情境信息進行圖形可視化，從而讓操作人員能夠清晰了解生產(chǎn)過程狀態(tài)，進行控制和優(yōu)化。SCADA 通過 RTU、PLC 等設備對生產(chǎn)環(huán)節(jié)的各種狀態(tài)進行數(shù)據(jù)采集、監(jiān)控、告警和記錄，進而高級 SCADA 系統(tǒng)進行整個工廠的生產(chǎn)控制和調(diào)度。隨著工業(yè)信息化需求不斷提高，HMI、SCADA 等傳統(tǒng)工業(yè)應用愈加復雜，系統(tǒng)間互聯(lián)互通性差，加劇了工業(yè)生產(chǎn)網(wǎng)絡的信息過載、“數(shù)據(jù)孤島”等困局。另一方面，技能熟練的操作工人普遍短缺，很多工人缺乏理解信息所需的專業(yè)知識。隨著這類問題日益加劇，需要更加普適化、標準化的工業(yè)生產(chǎn)網(wǎng)絡和更加易用的

40、工業(yè)控制系統(tǒng)與應用。新型工業(yè)應用面向高易用性和高可靠性需求，在執(zhí)行標準的操作程序的同時，確保及時、快速識別異常問題。先進的狀態(tài)感知幫助操作人員了解正在發(fā)生的情況、聚焦問題并即時提供相關示圖，使得人員、應用與設備之間聯(lián)系的更加緊密、更加高效。可視化的標準化生產(chǎn)指導引導人員進行正確的操作， 預測性設備維護提升生產(chǎn)設備的可靠性、維護性。需求描述傳統(tǒng)工業(yè)生產(chǎn)網(wǎng)絡使用很多數(shù)字化的業(yè)務流程，整體工業(yè)生產(chǎn)網(wǎng)絡非常簡單但可靠，生命周期可長達十幾年。但是，在工業(yè)生產(chǎn)過程中會使用多種不同的工業(yè)通訊協(xié)議對不同的工業(yè)控制設備進行分開控制，逐步形成了多個“數(shù)據(jù)孤島”。隨著更多聯(lián)網(wǎng)設備的加入，如機器人、移動智能終端、AG

41、V 小車等，以及新型工業(yè)應用的引入，如泛在感知、實時監(jiān)測、精準控制、數(shù)據(jù)集成、運營優(yōu)化、供應鏈協(xié)同、需求匹配、服務增值等，需要工廠整體進行網(wǎng)絡連接和控制。原有工業(yè)生產(chǎn)網(wǎng)絡互聯(lián)互通性差、彈性容量不足等缺點逐漸顯露，需要在保持高實時性和冗余性的前提下，實現(xiàn)可擴展、可維護性好且成本可控的新型工業(yè)生產(chǎn)網(wǎng)絡。新型工業(yè)生產(chǎn)網(wǎng)絡通過智能化的傳感控制，統(tǒng)一標準的網(wǎng)絡通信協(xié)議，高效集約地改造整體產(chǎn)業(yè)線，使得智能控制、大數(shù)據(jù)分析、人工智能等技術得以實施應用，縮短生產(chǎn)研發(fā)周期，提升生產(chǎn)效率與能源利用水平。工業(yè)生產(chǎn)網(wǎng)絡的安全應從工業(yè)和互聯(lián)網(wǎng)兩個視角分析。從 工業(yè)視角看，安全的重點是保障智能化生產(chǎn)的連續(xù)性、可靠性、關注

42、智能裝備、工業(yè)控制設備及系統(tǒng)的安全；從互聯(lián)網(wǎng)視角看， 安全主要保障個性化定制、網(wǎng)絡化協(xié)同以及服務化延伸等工業(yè) 互聯(lián)網(wǎng)應用的安全運行以提供持續(xù)服務的能力，防止重要數(shù)據(jù) 的泄露。表現(xiàn)為通過涵蓋整個工業(yè)系統(tǒng)的安全管理體系，避免網(wǎng)絡設施和系統(tǒng)軟件收到內(nèi)部和外部攻擊，降低企業(yè)數(shù)據(jù)被未授權訪問的風險，確保數(shù)據(jù)傳輸與存儲的安全性，實現(xiàn)對工業(yè)生產(chǎn)系統(tǒng)和商業(yè)系統(tǒng)的全方位保護。重點關注工業(yè)應用安全、網(wǎng)絡安全、工業(yè)數(shù)據(jù)安全以及智能產(chǎn)品的服務安全。從構(gòu)建互聯(lián)網(wǎng)安全保障體系考慮，主要包括以下幾個方面：設備安全：工業(yè)智能裝備和智能產(chǎn)品的安全，包括芯片安全、嵌入式操作系統(tǒng)安全、相關應用軟件安全以及功能安全等。網(wǎng)絡安全：工廠

43、內(nèi)有線網(wǎng)絡、無線網(wǎng)絡、以及工廠外與用戶、協(xié)作企業(yè)等實現(xiàn)互聯(lián)的公共網(wǎng)絡安全?？刂瓢踩嚎刂茀f(xié)議安全、控制平臺安全、控制軟件安全等。應用安全：支撐工業(yè)互聯(lián)網(wǎng)業(yè)務運行的應用軟件及平臺的安全。數(shù)據(jù)安全：工廠內(nèi)重要的生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)及工廠外部的數(shù)據(jù)（用戶數(shù)據(jù)）等。企業(yè)信息網(wǎng)絡場景描述企業(yè)信息網(wǎng)絡是是企業(yè)辦公、科研、生產(chǎn)數(shù)據(jù)以及相關信息存儲與提煉的載體，是形成工業(yè)互聯(lián)的關鍵網(wǎng)絡環(huán)節(jié)。企業(yè)信息網(wǎng)絡需要確保控制設備能夠與管理工廠或公司的應用系統(tǒng)和設備之間進行正常通信。它是一個必須能夠處理由大量數(shù)據(jù)組成的復雜信息的網(wǎng)絡。典型業(yè)務企業(yè)網(wǎng)中運行了各種各樣的企業(yè)服務系統(tǒng)，例如視頻會議系統(tǒng)、郵件系統(tǒng)、辦公管理

44、系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、ERP 系統(tǒng)等等， 為了實現(xiàn)應用需求，布線方式通常采用有線或無線方式，對吞吐量及時延的要求較高，通常采用高速以太網(wǎng)絡，使用常見TCP/IP 協(xié)議進行通信，除常見辦公業(yè)務系統(tǒng)以外，企業(yè)網(wǎng)內(nèi)還運行了對于工業(yè)企業(yè)正常運營極為重要的ERP 系統(tǒng)、MES 系統(tǒng)和SCADA 系統(tǒng)的全部和部分應用系統(tǒng)。根據(jù)承載業(yè)務不同，企業(yè)信息網(wǎng)絡又可分為以下幾類：企業(yè)辦公網(wǎng)：以雙絞線、同軸電纜的有線網(wǎng)絡為主，無線網(wǎng)絡為輔，對網(wǎng)絡傳輸質(zhì)量及吞吐量要求高。實驗室網(wǎng)絡：實驗室是工業(yè)企業(yè)不可或缺的部分，網(wǎng)絡形態(tài)以有線為主，時延要求不高。倉儲網(wǎng)絡：作為倉儲功能，其可追溯性尤為重要，常使用射頻識別和條形碼掃描技術對

45、工廠內(nèi)所有材料進行完整識別。通過以太網(wǎng)或無限鏈接 ERP 系統(tǒng)。需求描述針對工業(yè)互聯(lián)網(wǎng)園區(qū)的業(yè)務特點和發(fā)展趨勢，對企業(yè)信息網(wǎng)絡提出了一些新的需求：靈活的認證方式支持 MAC、802.1X、Portal 等認證方式，提供豐富的認證策略來滿足不同場景下的終端認證需求，并能支持策略集中控制和策略隨行保障，終端接入網(wǎng)絡后 IP 地址不變，實現(xiàn)精確溯源。網(wǎng)絡和終端位置解耦隨著移動辦公的需求越來越多，就需要網(wǎng)絡資源和策略以人為核心進行定義，用戶在哪里接入、資源就下發(fā)到哪里，無論用戶移動到哪里，策略和體驗不變。有線無線一體化能力能夠?qū)ζ髽I(yè)的有線和無線網(wǎng)絡進行融合，實現(xiàn)統(tǒng)一管理， 包括統(tǒng)一的有線無線拓撲展示、

46、認證機制、基于 5W1H 劃分用戶組；統(tǒng)一轉(zhuǎn)發(fā)，即 AC 負責 AP 管理，流量本地轉(zhuǎn)發(fā)，在減輕 AC 性能壓力的同時，實現(xiàn)有線/無線流量無差別轉(zhuǎn)發(fā)；統(tǒng)一策略， 做到業(yè)務策略完全適用于有線和無線流量，也不需要單獨給無線再定義組間訪問策略，實現(xiàn)無線終端的跨園區(qū)跨三層漫游。網(wǎng)絡可視化能力全網(wǎng) underlay、overlay 拓撲，業(yè)務流量等以圖示/圖表等方式呈現(xiàn)，拓撲管理、設備管理、用戶組/策略管理，業(yè)務配置管理等功能以圖形化方式提供，能夠?qū)收闲畔⑦M行實時顯示等。云端存儲隨著工業(yè)過程自動化的發(fā)展和數(shù)據(jù)存儲的不斷發(fā)展，生產(chǎn) 過程將變得更加自動化，控制器將變得更加復雜，大量的可用 數(shù)據(jù)在工廠中被收

47、集并源源不斷的傳送至上層企業(yè)網(wǎng)絡進行存 儲、提煉、管理和檢索。這就對數(shù)據(jù)存儲的能力要求越來越高。輸入輸出的高吞吐量和實時性需求必須加快企業(yè)網(wǎng)絡的運營承載能力改造，在未來的幾年里，隨著云技術和通信技術的不斷發(fā)展，云存儲必然會逐漸取代本地存儲，當然，本地存儲也可能作為邊緣計算的必要功能得以體現(xiàn)。園區(qū)公共服務網(wǎng)絡場景描述園區(qū)公共服務網(wǎng)絡是工業(yè)園區(qū)各企業(yè)網(wǎng)絡互連關鍵基礎設 施之一，是工業(yè)園區(qū)進駐的各企業(yè)辦公、科研、生產(chǎn)數(shù)據(jù)以及 相關信息互通與交流的載體，是形成工業(yè)互聯(lián)的關鍵網(wǎng)絡環(huán)節(jié)， 承擔了各企業(yè)工業(yè)互聯(lián)互通、信息流通等重要作用。園區(qū)公共 服務網(wǎng)絡需要確保各企業(yè)之間辦公，科研等相關數(shù)據(jù)能夠進行 正常通

48、信，并確保網(wǎng)絡具備足夠的性能及健壯性，已支撐各企 業(yè)互連訴求。它必須能夠處理由大量數(shù)據(jù)，有足夠的帶寬，快 速業(yè)務處理，可以滿足大量企業(yè)之間靈活互連。典型業(yè)務園區(qū)公共服務網(wǎng)絡典型業(yè)務包括：室外 Wi-Fi:在公共區(qū)域使用 Wi-Fi 覆蓋整個園區(qū)戶外區(qū)域，提供高品質(zhì)的數(shù)據(jù)接入服務，同時可以作為園區(qū)物聯(lián)網(wǎng)的承載網(wǎng)，支持無線接入業(yè)務和無線回傳業(yè)務。物聯(lián)網(wǎng)：支持園區(qū)公共部分管理的各種物聯(lián)網(wǎng)應用，實現(xiàn)園區(qū)智慧管理。常見的 IOT 類應用包括資產(chǎn)管理、人員管理、健康管理、能效管理等。能源等基礎設施監(jiān)控：園區(qū)公共服務網(wǎng)絡應該能夠?qū)@區(qū)內(nèi)的攝像頭，水，電，煤，天然氣，機房內(nèi)設備等基礎設施各種重要參數(shù)（包括溫度

49、、壓力、流量、電量、液位等）進行集中的動態(tài)監(jiān)控并建立各系統(tǒng)的系統(tǒng)監(jiān)控圖。對部分設備，可以實現(xiàn)數(shù)據(jù)的實時自動采集、保存、監(jiān)測、計算、動態(tài)分析和能源統(tǒng)計報表輸出，并通過顯 示對整個園區(qū)的基礎設施進行全局監(jiān)視。外部互聯(lián)網(wǎng)絡：由于園區(qū)私有網(wǎng)絡自身規(guī)模的不斷擴大和信息化程度的不斷提高，進駐園區(qū)的部分企業(yè)可能需要通過園區(qū)公共服務網(wǎng)絡作為出口訪問互聯(lián)網(wǎng)，以及進行園區(qū)外部互連(如業(yè)務上公有云)，這些外部互聯(lián)網(wǎng)絡需要借助運營商網(wǎng)絡的優(yōu)勢，而部分采用無線方式進行包括 5G、衛(wèi)星、GSM 等。需求描述業(yè)務快速，自動化部署能力隨著企業(yè)互聯(lián)互通要求的快速發(fā)展及應用，園區(qū)公共服務網(wǎng)絡需要維護的互通通道數(shù)量以及需要隔離的企

50、業(yè)邏輯網(wǎng)絡數(shù)量均會呈現(xiàn)爆發(fā)式增長，網(wǎng)絡自身的規(guī)模也會隨之增長，所以需要網(wǎng)絡設備在首次部署、擴容以及故障替換時，能夠自動化上線，作到即插即用，能根據(jù)網(wǎng)絡設備的角色自動下發(fā)相應的配置， 同時管理員對網(wǎng)絡的隧道等業(yè)務部署能夠集中管控，自動化下發(fā),大幅提升網(wǎng)絡的部署效率，降低部署成本。帶寬保障能力工業(yè)互聯(lián)網(wǎng)園區(qū)中存在著大量的企業(yè)互連訴求，各企業(yè)帶寬消耗性業(yè)務，如 4K 視頻，AR，VR，機器視覺等帶寬消耗型業(yè)務不斷增長，如何能夠快速滿足接入到園區(qū)私有網(wǎng)絡中各企業(yè)的帶寬訴求，不因設備性能的限制，并保持未來的可擴展性， 是必須要考慮的問題。這就要求在建立園區(qū)公共服務網(wǎng)絡時，無論內(nèi)部交換設備還是出口設備，需

51、要具備足夠的帶寬支撐以及具備未來良好的擴展能力，而決定這一切的關鍵是芯片，因此，在構(gòu)建園區(qū)公共服務網(wǎng)絡時，設備所采用的芯片是需要重點關注的內(nèi)容。多業(yè)務承載能力工業(yè)互聯(lián)網(wǎng)園區(qū)中除了辦公業(yè)務外，通常還有安防監(jiān)控、車輛管理、智能樓宇管理、信息發(fā)布以及其他業(yè)務。如果每種業(yè)務都獨立建網(wǎng)，會導致建設成本高，運維管理復雜。因此， 需要實現(xiàn)通過一張物理網(wǎng)絡承載多個業(yè)務并保證多業(yè)務之間的安全隔離，要能通過圖形化用戶界面實現(xiàn)分鐘級端到端虛擬業(yè)務網(wǎng)絡的創(chuàng)建并自動化下發(fā)配置，避免傳統(tǒng) MPLS VPN 方案存在的業(yè)務配置復雜、組網(wǎng)設備及 IT 人員要求高、業(yè)務調(diào)整不靈活等問題。物聯(lián)終端快速上線能力工業(yè)互聯(lián)網(wǎng)園區(qū)中存在

52、著海量的物聯(lián)終端，如 IP 攝像機、門禁控制器、智能照明、能源管理終端、傳感器等。數(shù)以千計的物聯(lián)終端需要能夠高效的接入到園區(qū)網(wǎng)絡中，不受物理位置的限制，并且自動識別終端類型進入到各自對應的邏輯業(yè)務網(wǎng)絡，并自動下發(fā)對應的網(wǎng)絡安全策略，以與其他邏輯業(yè)務網(wǎng)絡之間安全隔離。終端接入網(wǎng)絡之后，網(wǎng)絡系統(tǒng)能夠探測終端的設備類型，當發(fā)生終端被仿冒時，能夠自動將其隔離并及時告警，保障業(yè)務系統(tǒng)的安全運行。云基礎設施場景描述傳統(tǒng)上，大型園區(qū)會建設自己的中心機房，中心機房提供較好的設備運行環(huán)境，企業(yè)使用的各種服務器，包括網(wǎng)絡應用服務器，IT 應用服務器等被擊中放置在中心機房里。隨著私有云應用的不斷成熟，越來越多的園區(qū)

53、網(wǎng)絡開始構(gòu)建自己的數(shù)據(jù)中心，通過數(shù)據(jù)中心承載和提供各類業(yè)務，以數(shù)據(jù)中心為節(jié)點重構(gòu)基礎網(wǎng)絡。和中心機房的建設思路不同，數(shù)據(jù)中心更加強調(diào)如何高效的使用數(shù)據(jù)中心中的各種資源，園區(qū)更傾向于集中建設數(shù)據(jù)中心，集中部署計算資源，實現(xiàn)資源高效實用。各企業(yè)或者各部門從數(shù)據(jù)中心中租用計算資源。同時，云計算擴大了計算資源的能力邊界，更多的業(yè)務受益于云計算，并引發(fā)了多種業(yè)務部署模型的變化，越來越多的業(yè)務依賴云計算，遷移到數(shù)據(jù)中心中。典型業(yè)務典型的業(yè)務包括：網(wǎng)絡管理類業(yè)務。網(wǎng)絡本身成為企業(yè)業(yè)務的一部分后， 網(wǎng)絡管理的業(yè)務重要性不斷提升。同時，網(wǎng)絡管理類業(yè) 務直接受益于云計算，集中的網(wǎng)絡控制器和分析器可以 有效的降低網(wǎng)

54、絡管理的復雜度，提升業(yè)務部署的敏捷性。越來越多的網(wǎng)絡管理類業(yè)務服務器云化后進駐數(shù)據(jù)中心；虛擬桌面類業(yè)務。企業(yè)不再采購獨立的高性能 PC，員工遠程接入 VM，可以實現(xiàn)任意地點的一致體驗；高性能計算。通過云計算向企業(yè)提供高性能計算，AI 計算等；WEB 和 IT 服務。企業(yè)內(nèi)部或者外部使用的各種服務；需求描述為此，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡已經(jīng)越來越無法滿足云計算場景 下業(yè)務對網(wǎng)絡基礎設施的要求。數(shù)據(jù)中心網(wǎng)絡面臨著以下挑戰(zhàn)：網(wǎng)絡池化和部署自動化需求各類業(yè)務上線和調(diào)整需求頻繁，傳統(tǒng)網(wǎng)絡的配置機制已無法滿足大量業(yè)務的快速變更需求。需要在 DC（Data Center）內(nèi)部形成資源池，并且在多個 DC 之間也進行

55、統(tǒng)一資源池的管理。無法支持應用部署和物理位置解耦。數(shù)據(jù)中心網(wǎng)絡高效運維需求數(shù)據(jù)中心規(guī)模不斷擴大，故障域也隨之擴大。虛擬網(wǎng)絡延伸到服務器內(nèi)部（如 vSwitch），網(wǎng)絡和 IT 的運維邊界越來越模糊。為了提高用戶體驗，需要對應用進行實時故障定位。海量安全策略的配置和調(diào)整需求數(shù)據(jù)中心內(nèi)部有大量的租戶和各類應用需要配置海量的安全隔離策略。安全策略的調(diào)整需要耗費大量人力和時間，并且容易出錯。各類 VAS（Value-Added Service）設備性能有差異， 需要資源池化，并統(tǒng)一管理。數(shù)據(jù)中心生態(tài)鏈開放性需求數(shù)據(jù)中心內(nèi)部多個廠商之間的設備難以整合，運維難度大。網(wǎng)絡設備、控制器、虛擬化平臺、云平臺異構(gòu)

56、，需要統(tǒng)一的標準接口來實現(xiàn)業(yè)務的快速集成。另外，對于共有園區(qū)網(wǎng)絡的數(shù)據(jù)中心，還需要增加多租戶的需求。數(shù)據(jù)中心支持多租戶數(shù)據(jù)中心按需出租給用戶，用戶可以自行管理面向租戶的業(yè)務自動部署以及租戶虛擬資源遷移時配置動態(tài)遷移租戶之間流量互相隔離，租戶之間網(wǎng)絡地址空間獨立不同租戶的網(wǎng)絡地址空間可以重疊多方位、多級別的安全控制及 QoS 保障工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡架構(gòu)園區(qū)網(wǎng)絡組網(wǎng)架構(gòu)工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡主要由工業(yè)生產(chǎn)網(wǎng)、企業(yè)信息網(wǎng)、園區(qū)公共服務網(wǎng)以及云基礎設施組成。其架構(gòu)如圖 5 所示。圖 5 工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡總體架構(gòu)工業(yè)生產(chǎn)網(wǎng)絡功能和性能工業(yè)生產(chǎn)網(wǎng)絡主要連接工廠內(nèi)部的各種要素，包括人員（如生產(chǎn)人員、設計人員、

57、外部人員）、機器（如生產(chǎn)裝備）、 材料（如原材料、過程件、制成品）、環(huán)境（如儀表、監(jiān)測設備） 等。工業(yè)生產(chǎn)網(wǎng)絡架構(gòu)、技術多樣，需要合考慮布置成本、使用場景要求，在生產(chǎn)現(xiàn)場布設工業(yè)有線通信和工業(yè)無線通信相結(jié)合互補的網(wǎng)絡，滿足生產(chǎn)控制管理和工業(yè)應用的需求。工業(yè)有線主要適合帶寬、可靠性、實時性要求高且位置相 對固定的設備接入。工業(yè)有線主要分為工業(yè)總線與工業(yè)以太網(wǎng)。工業(yè)總線協(xié)議有幾十種，主流協(xié)議有 Modbus、Profibus、IO- link、CAN/CANopen、CC-Link，主要用于 PLC 南向的簡單數(shù)據(jù)量和模擬量接入，傳輸距離一般較短，數(shù)據(jù)傳輸速率較低，抗 干擾能力差相對較差，安全性基

58、本沒有考慮。工業(yè)以太網(wǎng)協(xié)議數(shù)量眾多， 主流協(xié)議有 DeviceNet、Profinet、EtherCAT、EtherNet/IP、Modbus-TCP，多用于 PLC 北向輸出，通信速率高、網(wǎng)絡拓撲靈活，也存在協(xié)議種類多，協(xié)議間互聯(lián)互通性較差等 問題，難以進行靈活部署與快速擴展。工業(yè)無線適合廣覆蓋、移動性強的使用應用，以可靠性、帶寬要求不高的傳感器網(wǎng)絡、移動機器人等應用為代表，適合靈活的工業(yè)應用布置。其中 Wi-Fi 技術具有部署容易、組網(wǎng)靈活和可移動等優(yōu)勢，但可靠性和安全性難以足工業(yè)級需求。LoRa 技術，適用于低速率、低功耗的中長距離場景。ZigBee、ISA 100.11a、Wirele

59、ss Hart、WIA FA/PA 等技術受限于傳輸距離或者傳輸速率，多用在傳感器、儀表等傳輸距離有限、傳輸速率不高的使用場景。RFID、UWB 等技術多用于定位應用?；诠卜涓C網(wǎng)絡的 NB-IoT 等技術，具有廣域覆蓋、可靠性保障、QoS 等優(yōu)點，適用于低速率、低功耗的傳感設備接入。因此，為適應智能制造發(fā)展，工廠內(nèi)部網(wǎng)絡需要進行扁平化、IP 化、無線化及靈活組網(wǎng)等各方面的改進。工廠內(nèi)網(wǎng)絡扁平化。扁平化包括兩個方面，一是工廠OT 系統(tǒng)將逐漸打破車間級、現(xiàn)場級分層次組網(wǎng)模式，智能機器之間將逐漸實現(xiàn)直接的橫向互聯(lián)。二是整個工廠管理控制系統(tǒng)扁平化，包括 IT 系統(tǒng)和 OT 系統(tǒng)部分功能融合（如 H

60、MI），或通過工業(yè)云平臺方式實現(xiàn)，實時控制功能下沉到智能機器。工廠內(nèi)網(wǎng)絡以太網(wǎng)/IP 化趨勢。隨著工業(yè)互聯(lián)網(wǎng)技術的發(fā)展演進，現(xiàn)場總線正在逐步被工業(yè)以太網(wǎng)替代。未來，工業(yè)內(nèi)有線將被基于通用標準的工業(yè)以太網(wǎng)逐步取代各種私有的工業(yè)以太網(wǎng)，并實現(xiàn)控制數(shù)據(jù)與信息數(shù)據(jù)同口傳輸。為解決大量支持 IP 的裝備接入問題，IPv6 技術將在工廠內(nèi)廣泛使用。工廠內(nèi)無線網(wǎng)絡成為有線網(wǎng)絡的重要補充。目前無線技 術主要用于信息的采集、非實時控制和工廠內(nèi)部信息化等場景， Wi-Fi、Zigbee、2G/3G/LTE、面向工業(yè)過程自動化的無線網(wǎng)絡WIA-PA、WirelessHart 以及ISA100.11a 等技術已在工廠