编者按：

        很多制造商都会问及下列问题：制造企业如何构建自身的工业网络？如何实现制造与企业信息平台的融合？最佳实践的方法是什么？如何保护制造业中的设备资产？如何建立制造企业的安全模型？使用什么样的安全策略规避风险？如何使用专用的软件对网络监控？如何对生产、数据、安全进行控制、管理、分析并做出合理的商业决定？
       作者打算用四篇文章《制造企业参考架构》、《保护好制造业计算与控制资产》、《制造企业参考架构中的软件》和《集成架构应用于过程控制系统》，从网络结构、安全管理、软件使用和过程控制四个方面回答上述的问题，希望对读者能有所帮助。

摘要

       因为在工厂中，控制与信息都采用EtherNet/IPTM ，这就导致了工业企业广泛地使用标准的以太网。这种部署使得制造网络与企业网络的融合成为可能。因为在任何需要信息的层次或节点，都可以及时得到生产关键数据指标（KPI），所以企业通过网络融合而受益。制造和商业系统之间的信息融合也使制造商的灵活性和创新机会大大增加。

       这种技术和网络融合使得网络划分的界线更为模糊。过去局限于制造领域的部分，现在可以实现与企业的协同。为了实现网络融合，控制工程师和信息技术（IT）工程师要一同实践组织和文化的融合，并且分享彼此的经验。新出现的制造IT，与企业IT有着非常大的不同，它把协同的理念推向了更新、更高的水平。

       为了支持和加速网络的融合，罗克韦尔自动化公司和思科公司合作开发了制造企业的参考架构。这个架构能够为用户成功地采用最新技术提供了基石，架构的内容都是针对工程和 IT 的命题。制造企业参考架构为用户提供了技术培训、设计指南、推荐方案和最佳实践，可以帮助用户建立一个坚固和安全的网络，实现制造和企业网络的融合。

       本文简要推荐了制造企业的参考构架，并且描述了最佳实践方法。

控制和信息融合

       融合已经不是一个新的概念。比如，公司常常通过扩张、合并和收购的方式进行融合。企业系统把不同的商业系统统一到一个公共的企业资源计划（ERP）系统。最终，用户把声音、图像、影像和数据汇聚到一个公共的信息网络。

       在制造企业中，生产和控制的自动化岛屿，日益地汇聚到一个集成工厂级的控制和信息平台。用户也结合了批处理、连续过程、离散、安全、运动控制和驱动控制等不同的工业网络，集成到基于EtherNet/IP、使用标准以太网技术的工业以太网当中。

       在制造企业大量部署的EtherNet/IP 也触发了从传统的三层网络模型到一个融合的以太网模型的迁移，参见图1。融合没有使网络模型变平。功能分段、地理位置和信任域的安全需要一个多层模型。

       在以太网的早期，传统的三层网络模型发生演化。有些特性，诸如：冲突域、半双工和10Mbps的速度限制了以太网在生产控制应用中的使用。在早期，专用的、制造商特定的工业网络非常流行，直到出现了像ODVA这样的开放组织，开始推广和使用公共工业协议（CIPTM）。

       按照功能和地域把一个网络划分成多个小的局域网（LAN），三层网络模型提供了一种自然的网络划分。这样就减少了管理和安全信息对控制的影响。连接的设备，诸如：驱动器和带有控制器的机器人，一个设备级的网络可以对智能设备进行控制、配置，并且可以从中收集数据。在一个区中的设备级网络一般不和其他的设备级网络进行交互。做为一个设备级网络的骨干，控制网络实现控制器互锁，并且提供与监控计算机的连接。网关提供了一种从制造系统到企业系统的信息映射。手动、存储转发的映射机制需要巨大的人力和物力的支撑。

 
图1 传统3层制造网络模型               融合以太网制造网络模型

       融合的以太网模型减少了对专用网关的依赖，信息可以自然地流动。虽然进行了技术的融合，但模型并没有变平。在任何地方、在任何时间要对数据访问的需求，对企业提出了新的挑战。制造商还必须保护好他们的资产，防止来自内部和外部的威胁（好人也可能犯错误，并由此给企业带来损害）。因为制造区域不再孤立，连接在工业网络上的计算机和控制器会和企业区一样，遇到安全问题的困扰。

       企业范围的以太网需要很好地设计和构建。建立比较小的LAN，控制和管理网络流量，以及需要一种多层、分段的方法，建立可信任域，限制访问人员。