与当今的商业网络一样,工业网络也需要最高级别的安全性,以阻止网络恐怖分子、恶意员工和互联网黑客访问和破坏敏感、往往是关键的网络操作。工业以太网交换机现在提供许多安全功能,包括基于端口和基于VLAN的访问控制列表(ACL),其中网络管理员可以定义允许哪些MAC或IP地址访问交换机上的端口。此外,如果MAC地址与过滤器中列出的地址相匹配,MAC地址过滤功能将阻止转发任何数据包。如前所述,802.1Q VLAN还提供一个安全层,因为只有VLAN中的节点才能相互通信。在某些情况下,当必须共享某些资源时,可以使用重叠的VLAN。
在某些工业以太网交换机中发现的另一个安全功能是802.1X,它是电气和电子工程师协会(IEEE)的端口级网络访问控制(NAC)标准。802.1X定义了以太网上可扩展的身份验证协议(EAP)的封装。主机或请求方使用身份验证协议(EAP)向身份验证器(通常是以太网交换机)发送请求。之后,身份验证器封装EAP数据包,并将其发送到运行远程验证访问拨入用户服务(RADIUS)的身份验证服务器。远程验证访问拨入用户服务(RADIUS)是一种协议,它提供了一种对试图访问网络的节点进行集中身份验证、授权和解释的方法。
身份验证服务器从不直接与请求方联系,只会将信息传递回具有高安全级别的身份验证器。身份验证服务器将基于预定义的访问规则,拒绝或授予用户进入网络的请求。
通过利用上述一个或多个安全选项,可以确保只有指定的用户才能访问您的网络及其关键资源。