企业工业网络搭建以及配置
网络拓扑图:
局域网分配:
IP地址段确认
生产网络:192.168.1.0/24 |
边端网络:192.168.2.0/24 |
维护网络:192.168.3.0/24 |
服务区: 192.168.8.0/24 |
生产网络:
设备名 | 设备信息 | 数量 | 备注 | IP地址 |
路由器 | Cisco IOL | 1台 | 交换机 | 无 |
主机 | Linux_7 | 1台 | 服务器 | 192.168.1.100 |
边缘网络:
设备名 | 设备信息 | 数量 | 备注 | IP地址 |
交换机 | Cisco IOL | 1台 | 交换机 | 无 |
主机 | linux_8 | 1台 | 服务器 | 192.168.2.100 |
维护网络:
设备名 | 设备信息 | 数量 | 备注 | IP地址 |
交换机 | Cisco IOL | 1台 | 交换机 | 无 |
主机 | Linux_9 | 1台 | 服务器 | 192.168.3.100 |
边缘端网络配置:
云端网络配置:
模拟典型工业网络安全情景,对网络进行优化配置,封堵网络漏洞,提高安全性能,并搭建的网络进行测试形成当前网络性能与安全性能分析报告。为了更好的维护网络安全,对于各个网络有以下要求:
交换机配置
生产网络:
允许icmp回包:access-list ProduACL permit icmp any any echo-reply // 允许icmp回包
不可以访问维护网络
命令:
access-list ProduACL deny ip any 192.168.3.0 255.255.255.0 // 不允许访问维护
不可以访问边端网络
命令:
access-list ProduACL deny ip any 192.168.2.0 255.255.255.0 // 不允许访问边端
所以加入到端口:
access-group ProduACL in interface Produ
端网络:
允许icmp回包:access-list BrinkACL permit icmp any any echo-reply // 允许icmp回包
可以通过ping访问生产网络
命令:
access-list BrinkACL permit icmp any 192.168.1.0 255.255.255.0 // ICMP
可以通过OPC UA访问生产网络
命令:
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 // OPC UA
可以通过机器人通信协议(TCPIP, UR机器人)访问生产网络
命令:
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003 // UR
可以通过PLC通讯协议(S7协议)访问生产网络
命令:
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 // S7
可以通过数控通讯协议(NC-Link)访问生产网络
命令:
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 // NC-Link
边端网络不可以通过ping、OPC UA、TCPIP、S7、数控通讯协议之外的协议访问生产网络
// 边端本身安全等级低于生产 第6条不用配置
可以通过ping 访问维护网络
命令:
access-list BrinkACL permit icmp any 192.168.3.0 255.255.255.0 // ping 维护网络
所以加入到端口:
access-group BrinkACL in interface Brink
可以通过ping 访问生产网络
命令:
access-list TestACL permit icmp any any echo-reply // 允许icmp回包
access-list TestACL permit icmp any 192.168.1.0 255.255.255.0 // ping 生产网络
可以通过https 访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 443 //https 访问生产网络
可以通过http 访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 80 //http 访问生产网络
可以通过OPC UA 访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //OPC UA 访问生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840 //OPC UA 访问生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 //OPC UA 访问生产网络
可以通过机器人通信协议(TCPIP)访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议(TCPIP)访问生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999 //机器人通信协议(TCPIP)访问生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001 //机器人通信协议生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002 //机器人通信协议生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003 //机器人通信协议生产网络
可以通过数控通讯协议访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 //数控通讯协议访问生产网络
可以通过PLC通讯协议(S7协议)访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 //PLC通讯协议(S7协议)访问生产网络
不可以使用除了http、https、ping、OPC UA、S7、数控通讯协议之外的协议访问生产网络
// 维护网络本身安全等级低于生产 第8条不用配置
可以通过ping 访问边端网络
命令:
access-list TestACL permit icmp any 192.168.2.0 255.255.255.0 //ping边端网络
可以通过https 访问边端网络
命令:
access-list TestACL permit tcp any 192.168.2.0 255.255.255.0 eq 443 //https 访问边端网络