利用AIR-GATE 3G路由器和VPN

實(shí)現(xiàn)安全的工業(yè)遠(yuǎn)程訪問(wèn)

 

           在工業(yè)和其他相關(guān)領(lǐng)域遠(yuǎn)程訪問(wèn)世界各地的電子設(shè)備和機(jī)器設(shè)備正在迅速獲得重視。專(zhuān)家們指出遠(yuǎn)程控制和監(jiān)控是提高生產(chǎn)率和降低成本，并在執(zhí)行過(guò)程中實(shí)現(xiàn)企業(yè)獲利的重要機(jī)制。工業(yè)機(jī)器對(duì)這方面信息的需求是重要的，公司管理者能夠了解工廠的當(dāng)前運(yùn)行情況并可迅速采取行動(dòng)。通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)已安裝的設(shè)備將大大降低了維護(hù)成本，優(yōu)化了監(jiān)測(cè)過(guò)程并消除需要遠(yuǎn)距離現(xiàn)場(chǎng)問(wèn)題確認(rèn)，從而對(duì)工業(yè)工廠不受地域限制的遠(yuǎn)程控制。

           過(guò)程變量-網(wǎng)關(guān)-VPN和PC之間的集成構(gòu)成了智能環(huán)境概念的技術(shù)基礎(chǔ)，其中生成的信息可以在多個(gè)平臺(tái)和應(yīng)用程序之間共享，從而允許對(duì)某些設(shè)備實(shí)現(xiàn)安全控制和遠(yuǎn)程監(jiān)控。智能環(huán)境的概念包括不同的技術(shù)，例如傳感器網(wǎng)絡(luò)和嵌入式系統(tǒng)，它們一起工作以跟蹤設(shè)備狀態(tài)，例如位置、溫度和運(yùn)動(dòng)。

    關(guān)于這種類(lèi)型遠(yuǎn)程連接的一個(gè)重要因素是信息和連接的安全性。任何遠(yuǎn)程訪問(wèn)都意味著數(shù)據(jù)通過(guò)公共網(wǎng)絡(luò)傳輸，確?，F(xiàn)場(chǎng)收集的信息的完整性和機(jī)密性對(duì)于可靠的遠(yuǎn)程操作至關(guān)重要。在主要安全工具中，我們有防火墻，它是公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間進(jìn)入的重要屏障，通過(guò)限制網(wǎng)絡(luò)上的可用端口、可以通過(guò)網(wǎng)絡(luò)設(shè)置分組類(lèi)型、允許的協(xié)議等。關(guān)于信息安全的另一個(gè)要點(diǎn)是加密，其目的是創(chuàng)建不屬于VPN（虛擬網(wǎng)）的那些人不能理解的數(shù)據(jù)序列，也就是說(shuō)只有真正的接收者才能理解原始數(shù)據(jù)。有一些協(xié)議負(fù)責(zé)為VPN連接提供安全性和加密，其中常用的是IPSec（IP安全協(xié)議），它是IP擴(kuò)展旨在為網(wǎng)絡(luò)中攜帶的分組提供更大的安全性和隱私，能夠以?xún)煞N模式使用，傳輸模式和隧道模式。在傳輸模式中，只有消息被加密，IP報(bào)頭沒(méi)有被修改。在隧道模式中，IP分組被*加密，因此有必要封裝一個(gè)新的IP分組來(lái)分發(fā)它。

    工業(yè)機(jī)器集成大量的嵌入式系統(tǒng)，有的連接到通信網(wǎng)絡(luò)或有的沒(méi)有。這些機(jī)器可以具有傳感器和執(zhí)行器，以實(shí)現(xiàn)監(jiān)測(cè)和控制操作。在本文中，我們將介紹AirGate-3G路由器作為網(wǎng)關(guān)，通過(guò)Modbus TCP，使用移動(dòng)數(shù)據(jù)連接，在網(wǎng)絡(luò)架構(gòu)中充當(dāng)VPN客戶(hù)端來(lái)讀取FieldLogger的應(yīng)用和配置。在這種類(lèi)型的解決方案中我們有以下拓?fù)浣Y(jié)構(gòu)：

    所提出的體系結(jié)構(gòu)規(guī)定FieldLogger將通過(guò)其以太網(wǎng)端口物理地連接到AirGate3G，并使用移動(dòng)數(shù)據(jù)連接，調(diào)制解調(diào)器作為客戶(hù)機(jī)連接到公司的VPN服務(wù)器，執(zhí)行認(rèn)證過(guò)程并接收內(nèi)部網(wǎng)絡(luò)IP，使它可以通過(guò)監(jiān)控軟件看到PC端，下面將詳細(xì)說(shuō)明這個(gè)連接的細(xì)節(jié)。

    由于要讀取的設(shè)備將連接到AirGate-3G的網(wǎng)絡(luò)端口，所以具有設(shè)備的網(wǎng)絡(luò)板的物理地址很重要，因?yàn)楫?dāng)我們配置DHCP服務(wù)器調(diào)制解調(diào)器端口時(shí)，必須具有靜態(tài)租約，使得AirGate-3G總是打開(kāi)，它分配相同的IP地址到它的物理連接設(shè)備。這個(gè)過(guò)濾器使用連接設(shè)備的網(wǎng)絡(luò)板的MAC地址，因?yàn)檫@總是相同的。需要重點(diǎn)指出的是，為租約保留的地址必須超出為該端口的DHCP保留的IP的范圍。使用稱(chēng)為網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的路由器特性讀取網(wǎng)絡(luò)末端的設(shè)備，NAT是一種協(xié)議，顧名思義，它將IP地址和TCP/UDP端口從本地網(wǎng)絡(luò)轉(zhuǎn)換到因特網(wǎng)。也就是說(shuō)，IP關(guān)系將被闡述：請(qǐng)求者的端口與目的地端口IP地址的連接。
AirGate-3G的作用是執(zhí)行這個(gè)“翻譯”并重定向連接。

     在圖2，以太網(wǎng)端口3G路由器的DHCP服務(wù)器被激活并且靜態(tài)租約配置區(qū)域數(shù)據(jù)記錄器MAC地址:00:26:A4:00:00:9E：IP地址:192.168.0.2，超出DHCP保留的IP范圍。這將確保在進(jìn)行NAT調(diào)制解調(diào)器配置服務(wù)，你可以有固定的目標(biāo)IP地址。

 

    在該圖中， 配置PC-Server指的是負(fù)責(zé)此訪問(wèn)的計(jì)算機(jī)，其IP固定為10.51.11.195，并且無(wú)論連接上請(qǐng)求的端口如何，它終都將訪問(wèn)設(shè)備。第二Modbus連接指示任何試圖通過(guò)計(jì)算機(jī)VPN ModBus TCP端口(端口502)訪問(wèn)3G路由器的計(jì)算機(jī)(地址0.0.0.0允許任何IP請(qǐng)求者包括在此規(guī)則中)也將訪問(wèn)ModBus TCP端口(502)上的數(shù)據(jù)寄存器。第三個(gè)連接也一樣，從哪里請(qǐng)求連接到文件傳輸服務(wù)器（FTP:PATH 21）。

    由于該解決方案中的互聯(lián)網(wǎng)連接提供商是移動(dòng)數(shù)據(jù)載體，因此為SIM卡提供的IP是私有的，并且用于運(yùn)營(yíng)商的*訪問(wèn)。為了能夠通過(guò)其IP地址訪問(wèn)3G路由器，它必須與請(qǐng)求連接的機(jī)器在同一網(wǎng)絡(luò)上。使這種連接可行的解決方案是在調(diào)制解調(diào)器上使用VPN隧道，將使用其外部IP，再加上VPN服務(wù)器上經(jīng)過(guò)身份驗(yàn)證的用戶(hù)和密碼，從而可以在公司的網(wǎng)絡(luò)上查看。路由器支持目前市場(chǎng)上使用的主要VPN協(xié)議，主要是IPvsec上的OpenVPN、PPTP和L2TP。

    另外是在3G路由器中設(shè)置OpenVPN客戶(hù)端的示例。有必要輸入VPN服務(wù)器提供的信息（EX: 服務(wù)器IP地址、端口、壓縮、加密等）。若要將路由器驗(yàn)證到VPN，可以使用以下選項(xiàng)：

Pre-shared 預(yù)共享

User/Password 用戶(hù)/密碼

X.509 certificate X.509證書(shū)

X.509 certificate + User / password  X.509證書(shū)+用戶(hù)/密碼

 

 X.509證書(shū)，它數(shù)字證書(shū)的格式，通常以這樣的方式使用，一個(gè)名稱(chēng)可以安全地連接到一個(gè)公鑰，允許強(qiáng)大的身份驗(yàn)證。本地IP地址將是SCADA軟件可以查看3G路由器的地址，并且在訪問(wèn)該地址時(shí)，NAT調(diào)制解調(diào)器功能將生效，以便重新定向連接以讀取數(shù)據(jù)記錄器中寄存器信息。

 

          因此使用具有移動(dòng)數(shù)據(jù)連接的3G路由器和基于OpenVPN協(xié)議的VPN對(duì)設(shè)備的遠(yuǎn)程訪問(wèn)的應(yīng)用基于以下支柱：

使用數(shù)據(jù)記錄器的MAC地址的靜態(tài)IP租約；

VPN客戶(hù)端配置（在這種情況下，OpenVPN客戶(hù)端）；

地址轉(zhuǎn)換和重定向規(guī)則（NAT）的配置；

    在不放棄數(shù)據(jù)安全性的情況下實(shí)現(xiàn)對(duì)機(jī)器和設(shè)備的遠(yuǎn)程訪問(wèn)的技術(shù)與工業(yè)自動(dòng)化市場(chǎng)的技術(shù)趨勢(shì)并駕齊驅(qū)。借助于市場(chǎng)上可用的解決方案，可以部署幾個(gè)不同大小的應(yīng)用程序，從而降低維護(hù)成本，提高生產(chǎn)率。