搭建IPsec VPN隧道解决PLC设备与主控上位机无法使用公网IP进行通信的问题

已于 2024-09-01 22:42:05 修改
阅读量517 收藏 12
点赞数 13
分类专栏: 网络实操案例 文章标签: tcp/ip 网络协议 工控软件 ipsec
于 2024-09-01 18:52:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38072683/article/details/141788050
版权

问题描述

按照初设规定,每个工程点位都要安装一条具有独立公网IP的光纤专线,供该点位的视频监控设备、水质监测设备及PLC设备与外界进行通信。而在项目开发前期并没有意识到,组态软件(上位机)无法通过公网IP地址连接PLC,导致在交付后期PLC设备无法与主控进行通信。

后经过了解得知可以在控制室网络与各PLC所属网络之间搭建VPN隧道,使得两个网络之间可以像局域网那样相互访问。

VPN技术

VPN(虚拟专用网络,Virtual Private Network)是一种通过在公共网络上建立专用网络的技术,它可以让分散在不同地理位置的设备安全地相互通信,仿佛它们处在同一个局域网内。VPN技术最初主要用于远程办公和保护数据隐私,但如今已广泛应用于各种网络环境中,包括工业自动化领域中的PLC设备和主控上位机的安全通信。

如表所示目前流行的有以下几种协议:

协议类型安全性性能兼容性配置复杂性典型应用场景工作层级
IPsec VPN非常高,支持强加密和认证较好,但加密开销较大需要支持IPsec的客户端中等,通常需要配置路由和防火墙企业间通信,保护敏感数据传输网络层(第3层)
SSL VPN高,基于SSL/TLS加密较好,依赖网络延迟高,支持浏览器或轻量级客户端较低,使用方便远程访问,适合移动办公和远程用户传输层(第4层)
PPTP VPN低,已知安全漏洞较多高,较少的加密开销高,几乎所有平台都支持非常低,易于设置小型网络,不涉及敏感数据的场景数据链路层(第2层)
L2TP/IPsec非常高,结合L2TP和IPsec的优势较好,但隧道开销较大中等,需安装客户端软件中等,配置较复杂提供强加密的企业级网络连接数据链路层(第2层)和 网络层(第3层)
OpenVPN高,支持多种加密算法较好,依赖网络延迟和加密设置中等,需安装客户端软件中等,需要一定的配置开源解决方案,适合多种应用场景传输层(第4层)

详细解决方案

IP重新划分

由于控制室和各个点位配备的都有工业级路由器且支持IPsec VPN的搭建,所以直接在路由器上进行VPN搭建。

由于IPsec VPN要求各个隧道两端的网络是不同网段的,因此将整个工程的网络IP地址按照下表进行划分,使得主控和各个位置可以互相连通。

点位公网独立IP局域网网络
控制室111.xxx.xxx.xx1192.168.1.0/24
位置1#111.xxx.xxx.xx2192.168.2.0/24
位置2#111.xxx.xxx.xx3192.168.3.0/24
位置3#111.xxx.xxx.xx4192.168.4.0/24
位置4#111.xxx.xxx.xx5192.168.5.0/24
位置5#111.xxx.xxx.xx6192.168.6.0/24

采用站点到站点VPN部署模式,网络架构图如下图所示:
在这里插入图片描述

主控路由器配置(总部)

锐捷工业路由器为例演示总部的配置

需要注意以下几个点:

  1. 总部和分部在两个阶段的加密算法以及预共享密钥要保持一致。
  2. 总部和分部都需要配置隧道两端的网段。

在这里插入图片描述

其他点位路由器配置

TP-LINK工业级路由器为例演示分部的配置

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

测试

验证是否搭建成功可以从两个方面进行验证:

  1. 配置成功之后,主控和其他点位路由器都有相应的提示。

    • 主控路由器在这里插入图片描述
    • PLC设备点位(分部)路由器在这里插入图片描述

  2. 在主控(控制室网络)中使用局域网IPping PLC设备

Honyelchak
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPsec 1 IP安全 网络层安全(在网络层解决安全通信问题) P121
aiwo1376301646的博客
03-25 428
网测科技_IPsec VPN吞吐测试案例
Netitest的博客
11-10 368
介绍IPsec VPN吞吐测试案例
数通--IPsec VPN隧道搭建配置实验
m0_74313947的博客
01-21 1847
左右R2,R3分别配置静态路由,这里的0.0.0.0 0.0.0.0 100.1.1.1 ,意思就是不管是要去哪个ip地址都转发到100.1.1.1。这里有个细节,也就是边缘路由器需要在内侧配置网关,这里重点就是内侧,也就是边缘路由器的内网接口,而acl要配到外侧(靠近目的地的一端)为什么要进行NAT豁免,当一个网关配置了防火墙 ,NAT ,IPsec VPN时,会先走NAT,也就是先走NAT的acl。,而后走VPN的acl,所以NAT豁免的目的就是不走NAT的规则而走VPN的规则。
华为防火墙总部与分支机构建立IPsec VPN涉及NAT穿越
weixin_45457085的博客
07-18 1090
隧道建立方式:分为手动建立和IKE自动协商,手动建立需要人为配置指定所有IPsec建立的所有参数信息,不支持为动态地址的发起方,实际网络中很少应用;IKE协议是基于密钥管理协议ISAKMP框架设计而来,建立IKE SA 对等体后,双方通过IKE SA交互数据加密的秘钥信息,并协商建立IPsec SA,数据在IPsec SA上进行加密传输。传输模式和隧道模式:两种方式表现为对报文的封装方式差异。
HCL进行总部与分支建立IPsec VPN的web配置
weixin_50640172的博客
04-15 1285
策略名:自定义,优先级:1,设备角色:对等/分支节点,IP地址类型:IPV4,接口:GE1/0/1 自动带入接口地址1.1.1.2,对端IP地址/主机名:2.1.1.2。源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:对端内网地址:192.178.0.0/24,动作:允许。规则编号0:动作:拒绝,匹配源IP地址/通配符:本地内网的网络号和通配符掩码(不会的用工具自己算),匹配目的IP地址/通配符掩码:填对端地址段信息和通配符掩码。
使用IPSec保护网络通信.docx
11-12
使用IPSec保护网络通信.docx
嵌入式系统/ARM技术中的IPSec与NAT之间的兼容性分析和解决方案
12-08
4. IKE协商与NAPT:IKE协议通常使用固定的端口进行通信,NAPT的端口转换可能导致IKE协商失败,因为接收端无法识别出经过转换的源端口。 为了解决这些问题,一些解决方案应运而生: - 使用仅ESP而不使用AH,因为ESP...
阿里云 ubuntu16.04搭建IPSec服务
01-20
IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道IP数据包。 由于阿里云上有一些限制,...
国标GB28181视频监控EasyCVR视频汇聚平台国标注册被陌生IP入侵如何处理?
EasyCVR视频融合云平台的技术博客
08-27 333
将EasyCVR与智能分析网关结合使用,可以实现基于云、边、端架构的AI智能检测分析及算力的精细化调度等能力,该方案的应用场景也十分广泛,包括:通用安防、智慧安监、明厨亮灶、智慧景区、区域安全监测等。
使用本地IP无法访问前端项目的问题
最新发布
qq_42108331的博客
09-01 136
使用本地IP无法访问前端项目的问题
TCP数据包——报文头部组成
weixin_53389944的博客
08-27 618
源端口和目标端口:分别是发送方和接收方的端口号,用于标识通信的应用程序。序列号:用于标识数据流的序列号,保证数据包的顺序性。确认号:用于确认收到的数据包序列号,用于实现可靠传输。数据偏移:指示TCP报文头部的长度,以4字节为单位。保留字段:保留未使用的字段,置0。控制位:包括URG、ACK、PSH、RST、SYN、FIN六个标志位,用于控制TCP连接的建立、终止、数据传输等。窗口大小:发送方可以接收的数据量,用于流量控制。校验和:用于校验TCP报文的完整性。紧急指针:指示紧急数据的位置。
ModBus RTU、ModBus ASCII、ModBus TCP,它们有什么区别?
ddidi111的博客
08-27 446
Modbus是一种应用层协议,它定义了与基础网络无关的数据单元(ADU),可以在以太网(TCP/IP)或串行链路上(RS232、RS485等)进行通信(以太网ADU和串行ADU略有不同)。如果主站需要与多个从站设备进行通信,而这些设备支持不同的通信协议,那么就需要使用转换设备软件进行协议转换,以确保从站设备与主站之间的正常通信。常用的就是ModBus RTU模式,RTU用的是16位CRC校验。Modbus 协议支持两种不同的串行传输模式:ASCII 模式和 RTU 模式,它们之间的主要区别在于数据的。
TCP/IP 协议:互联网的基石
lly202406的博客
08-27 1155
TCP/IP协议,全称为传输控制协议/互联网协议(Transmission Control Protocol/Internet Protocol),是现代互联网通信的基础。自20世纪70年代末期以来,TCP/IP协议已经成为全球互联网通信的通用语言,它定义了数据如何在网络上进行传输和路由。本文将深入探讨TCP/IP协议的原理、结构、应用及其在互联网发展中的关键作用。
【ZYNQ MPSoC开发】lwIP TCP发送用于数据缓存的软件FIFO设计
qq1016019583的博客
09-01 390
文章介绍了在使用ZYNQ 跑裸机lwIP TCP发送大量数据时的一种软件FIFO缓存方案
西门子PLC控制激光读头,profient转Ethernet IP网关应用
bjbxkj的博客
08-29 497
因此,将西门子PLC的Profinet协议转换为Ethernet/IP协议,以实现对激光读头的控制,成为解决这一问题的有效途径。通过上述步骤,西门子PLC可以成功通过Profinet协议转换为Ethernet/IP协议,实现对激光读头的有效控制,为工业自动化系统的集成提供了灵活性和可扩展性。在完成上述配置后,进行系统联调,检查PLC、网关和激光读头之间的通信是否正常。根据激光读头的用户手册或技术文档,配置其Ethernet/IP通信参数,确保激光读头能够接收并响应来自网关的Ethernet/IP数据包。
WHAT - 一个 IP 地址与地理信息的关联
weixin_58540586的博客
08-28 976
不同国家(或地区)的地理信息可能会有所不同,但全球通用的地理层级大致包括大洲、国家、省/州、市/县以及街道/邮政编码。通用的地理编码标准如 ISO 3166 和基于坐标的系统(经纬度)可以帮助在不同国家(或地区)之间进行一致的地理信息映射。
根据子网前缀的长度计算ip范围
软考鸭
08-28 784
要根据子网前缀的长度计算IP范围,我们需要了解子网前缀长度与子网掩码之间的关系,以及如何通过子网掩码来确定IP地址的网络部分和主机部分。综上所述,根据子网前缀的长度计算IP范围涉及确定子网掩码、网络地址、广播地址,并考虑特殊地址的用途。子网掩码是一串连续的1,后跟一串连续的0,其长度与IP地址的位数相同(对于IPv4地址是32位)。可用的IP地址范围是从网络地址的下一个地址开始,到广播地址的前一个地址结束。广播地址是子网中最后一个IP地址,它通过将网络地址的主机部分全部设置为1得到。前缀长度,子网掩码是。
NVI技术创新联盟成立,BOSMA博冠IP轻量化制播已运用
Bosma8K的博客
08-27 430
BOSMA博冠旗下首款8K 60P小型化广播级摄像机B1最早于2022北京冬奥会进行8K直播应用,今年跟随中央广播电视总台8K转播车“出使”海外,参与巴黎奥运会8K国际公共信号制作。如今,B1融入自主可控、开放先进的传输协议标准NVI技术,实现首个国产8K摄像机轻量化8K NVI网络化制播应用,为提升我国专业视听领域的国际话语权贡献一份力量。在央视总台展位,多台BOSMA博冠8K摄像机正在前端进行8K采集,展示IP化与12G-SDI双传输矩阵,多样化8K传输解决方案为广播电视行业增加丰富选择性。
华为防火墙通过公网IP与ubuntu20.04公网服务器 ipsec连接配置
04-04
1. 在华为防火墙上配置IPSec VPN 首先,在华为防火墙上配置IPSec VPN,以便与Ubuntu 20.04公网服务器建立安全连接。 1.1 创建IKE策略 IKE是IPSec的关键协议之一,用于建立安全的VPN隧道。在华为防火墙上,我们需要创建IKE策略来定义IKE协议的参数。 在命令行界面下,输入以下命令: [Huawei] ipsec ike proposal ike-proposal1 [Huawei-ike-proposal-ike-proposal1] encryption-algorithm aes-cbc-256 [Huawei-ike-proposal-ike-proposal1] integrity-algorithm sha1 [Huawei-ike-proposal-ike-proposal1] dh group14 该命令创建了一个IKE策略,指定了加密算法、完整性算法和Diffie-Hellman密钥交换组。这些参数应该与Ubuntu 20.04公网服务器上的设置相匹配。 1.2 创建IPSec策略 IPSec是用于加密数据的另一个重要协议。我们需要在华为防火墙上创建IPSec策略,以定义加密参数。 在命令行界面下,输入以下命令: [Huawei] ipsec proposal ipsec-proposal1 [Huawei-ipsec-proposal-ipsec-proposal1] esp encryption-algorithm aes-cbc-256 [Huawei-ipsec-proposal-ipsec-proposal1] esp integrity-algorithm sha1 该命令创建了一个IPSec策略,指定了加密和完整性算法。这些参数应该与Ubuntu 20.04公网服务器上的设置相匹配。 1.3 创建IPSec VPN 现在,我们可以使用上述IKE和IPSec策略创建IPSec VPN。 在命令行界面下,输入以下命令: [Huawei] ipsec vpn vpn1 [Huawei-ipsec-vpn-vpn1] ike proposal ike-proposal1 [Huawei-ipsec-vpn-vpn1] ipsec proposal ipsec-proposal1 [Huawei-ipsec-vpn-vpn1] remote-address 1.2.3.4 [Huawei-ipsec-vpn-vpn1] quit 该命令创建了一个名为vpn1的IPSec VPN,指定了IKE和IPSec策略,并将其绑定到Ubuntu 20.04公网服务器的公共IP地址。 2. 在Ubuntu 20.04公网服务器上配置IPSec VPN 接下来,在Ubuntu 20.04公网服务器上配置IPSec VPN,以便与华为防火墙建立安全连接。 2.1 安装StrongSwan StrongSwan是一个流行的开源IPSec VPN实现,我们将使用它来配置Ubuntu 20.04公网服务器。 在终端中,输入以下命令: $ sudo apt-get update $ sudo apt-get install strongswan 这将安装StrongSwan。 2.2 配置IPSec VPN 现在,我们需要配置StrongSwan以与华为防火墙建立IPSec VPN。 在终端中,打开/etc/ipsec.conf文件: $ sudo nano /etc/ipsec.conf 将以下内容添加到文件末尾: conn vpn1 keyexchange=ikev1 authby=secret ike=3des-sha1-modp1024 esp=aes256-sha1 left=2.3.4.5 # Ubuntu 20.04公网服务器的公共IP地址 leftsubnet=192.168.1.0/24 # Ubuntu 20.04公网服务器的本地子网 right=1.2.3.4 # 华为防火墙的公共IP地址 rightsubnet=192.168.2.0/24 # 华为防火墙的本地子网 auto=start 这将创建一个名为vpn1的IPSec连接,指定了IKE和IPSec参数,并将其绑定到Ubuntu 20.04公网服务器和华为防火墙的本地子网。 2.3 配置PSK 我们还需要为IPSec VPN配置预共享密钥(PSK)。 在终端中,打开/etc/ipsec.secrets文件: $ sudo nano /etc/ipsec.secrets 将以下内容添加到文件末尾: 2.3.4.5 1.2.3.4 : PSK "mysecretpassword" 这将为Ubuntu 20.04公网服务器和华为防火墙之间的IPSec连接配置PSK。 3. 测试IPSec VPN 现在,我们可以测试IPSec VPN是否正常工作。 在Ubuntu 20.04公网服务器上,输入以下命令以启动IPSec连接: $ sudo ipsec up vpn1 如果一切正常,您将看到以下输出: initiating Main Mode IKE_SA vpn1[1] to 1.2.3.4 generating ID_PROT request 0 [ SA V V V V V ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (184 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (184 bytes) parsed ID_PROT response 0 [ SA V V V V V ] received NAT-T (RFC 3947) vendor ID received XAuth vendor ID received DPD vendor ID received FRAGMENTATION vendor ID received unknown vendor ID: 1f:07:17:00:00:00:00:00:00:00:00:00:00:00:00:00 generating ID_PROT request 0 [ KE No NAT-D NAT-D ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (244 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (244 bytes) parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] local host is behind NAT, sending keep alives generating ID_PROT request 0 [ ID HASH ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (100 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (68 bytes) parsed ID_PROT response 0 [ ID HASH ] IKE_SA vpn1[1] established between 2.3.4.5[2.3.4.5]...1.2.3.4[1.2.3.4] scheduling reauthentication in 10046s maximum IKE_SA lifetime 10586s generating QUICK_MODE request 2499452192 [ HASH SA No ID ID ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (188 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (188 bytes) parsed INFORMATIONAL_V1 request 4026938035 [ HASH D ] received packet: from 1.2.3.4[500] to 2.3.4.5[500] (76 bytes) generating INFORMATIONAL_V1 response 4026938035 [ HASH D ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (76 bytes) 这表示IPSec连接已成功建立。 现在,您可以从Ubuntu 20.04公网服务器上访问华为防火墙的本地子网,并从华为防火墙上访问Ubuntu 20.04公网服务器的本地子网。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Honyelchak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值