CN109716732A - 用于软件定义的自动化系统中的部署的工业软件定义的网络架构 - Google Patents
用于软件定义的自动化系统中的部署的工业软件定义的网络架构 Download PDFInfo
- Publication number
- CN109716732A CN109716732A CN201780056280.XA CN201780056280A CN109716732A CN 109716732 A CN109716732 A CN 109716732A CN 201780056280 A CN201780056280 A CN 201780056280A CN 109716732 A CN109716732 A CN 109716732A
- Authority
- CN
- China
- Prior art keywords
- network
- industrial
- equipment
- controller
- sdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 117
- 238000000034 method Methods 0.000 claims abstract description 110
- 230000003472 neutralizing effect Effects 0.000 claims abstract description 3
- 230000006870 function Effects 0.000 claims description 133
- 238000001514 detection method Methods 0.000 claims description 27
- 238000003860 storage Methods 0.000 claims description 27
- 238000012423 maintenance Methods 0.000 claims description 26
- 230000004044 response Effects 0.000 claims description 23
- 238000002360 preparation method Methods 0.000 claims description 22
- 230000008859 change Effects 0.000 claims description 11
- 230000035945 sensitivity Effects 0.000 claims description 9
- 238000005457 optimization Methods 0.000 claims description 5
- 238000011068 loading method Methods 0.000 claims description 3
- 239000003595 mist Substances 0.000 description 119
- 238000007726 management method Methods 0.000 description 110
- 238000010586 diagram Methods 0.000 description 45
- 238000004458 analytical method Methods 0.000 description 29
- 230000008569 process Effects 0.000 description 29
- 238000013461 design Methods 0.000 description 28
- 238000012544 monitoring process Methods 0.000 description 28
- 238000005516 engineering process Methods 0.000 description 22
- 238000004519 manufacturing process Methods 0.000 description 22
- 238000012545 processing Methods 0.000 description 16
- 238000009826 distribution Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 9
- 230000000694 effects Effects 0.000 description 9
- 230000011218 segmentation Effects 0.000 description 8
- 210000001519 tissue Anatomy 0.000 description 8
- 230000009545 invasion Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000002955 isolation Methods 0.000 description 6
- 230000000670 limiting effect Effects 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 235000013351 cheese Nutrition 0.000 description 5
- 238000003745 diagnosis Methods 0.000 description 5
- 235000012907 honey Nutrition 0.000 description 5
- 230000000644 propagated effect Effects 0.000 description 5
- 239000011800 void material Substances 0.000 description 5
- 102100026205 1-phosphatidylinositol 4,5-bisphosphate phosphodiesterase gamma-1 Human genes 0.000 description 4
- 101000691599 Homo sapiens 1-phosphatidylinositol 4,5-bisphosphate phosphodiesterase gamma-1 Proteins 0.000 description 4
- 238000000429 assembly Methods 0.000 description 4
- 230000000712 assembly Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000009467 reduction Effects 0.000 description 4
- 238000000926 separation method Methods 0.000 description 4
- 238000004088 simulation Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 101100190617 Arabidopsis thaliana PLC2 gene Proteins 0.000 description 3
- 101100408456 Arabidopsis thaliana PLC8 gene Proteins 0.000 description 3
- 101100464304 Caenorhabditis elegans plk-3 gene Proteins 0.000 description 3
- 101100093534 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RPS1B gene Proteins 0.000 description 3
- 230000015556 catabolic process Effects 0.000 description 3
- 239000004568 cement Substances 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 239000012141 concentrate Substances 0.000 description 3
- 238000013480 data collection Methods 0.000 description 3
- 230000007423 decrease Effects 0.000 description 3
- 230000007850 degeneration Effects 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 238000013439 planning Methods 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 230000002829 reductive effect Effects 0.000 description 3
- 230000000007 visual effect Effects 0.000 description 3
- MWRWFPQBGSZWNV-UHFFFAOYSA-N Dinitrosopentamethylenetetramine Chemical compound C1N2CN(N=O)CN1CN(N=O)C2 MWRWFPQBGSZWNV-UHFFFAOYSA-N 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 229940112112 capex Drugs 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- FEBLZLNTKCEFIT-VSXGLTOVSA-N fluocinolone acetonide Chemical compound C1([C@@H](F)C2)=CC(=O)C=C[C@]1(C)[C@]1(F)[C@@H]2[C@@H]2C[C@H]3OC(C)(C)O[C@@]3(C(=O)CO)[C@@]2(C)C[C@@H]1O FEBLZLNTKCEFIT-VSXGLTOVSA-N 0.000 description 2
- 125000000524 functional group Chemical group 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000002156 mixing Methods 0.000 description 2
- 238000003012 network analysis Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000010181 polygamy Effects 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 230000000246 remedial effect Effects 0.000 description 2
- DWSYCUKCNSVBRA-UHFFFAOYSA-N 4-(5-methylsulfonyltetrazol-1-yl)phenol Chemical compound CS(=O)(=O)C1=NN=NN1C1=CC=C(C=C1)O DWSYCUKCNSVBRA-UHFFFAOYSA-N 0.000 description 1
- 101710167643 Serine/threonine protein phosphatase PstP Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 125000002015 acyclic group Chemical group 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 210000000988 bone and bone Anatomy 0.000 description 1
- 239000011449 brick Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000011049 filling Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 235000015243 ice cream Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 210000003127 knee Anatomy 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 239000008267 milk Substances 0.000 description 1
- 210000004080 milk Anatomy 0.000 description 1
- 235000013336 milk Nutrition 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 239000002994 raw material Substances 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/547—Remote procedure calls [RPC]; Web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/149—Network analysis or design for prediction of maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
- H04L41/5054—Automatic deployment of services triggered by the service manager, e.g. service implementation by automatic configuration of network components
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Environmental & Geological Engineering (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Stored Programmes (AREA)
Abstract
公开了用于工业网络的集中和简化管理的工业软件定义网络(SDN)架构、系统和方法。该工业SDN架构包括:基础设施平面,包括物理设备和虚拟设备;控制平面,包括用于控制和管理基础设施平面中的物理设备和虚拟设备的多个控制器,逻辑集中控制器包括网络控制器、虚拟化管理控制器和网络安全控制器;应用平面,包括一个或多个最终用户工业应用;以及平台平面,包括软件服务和应用编程接口(API)的集合,用于定义到应用平面到北和控制平面到南的通信接口以在应用平面中提供工业应用来可编程地访问控制平面中的多个控制器中的一个或多个控制器,以用于工业网络的简化和集中管理。
Description
相关申请的交叉引用
本申请要求以下美国临时申请的优先权并从中受益:2016年8月3日提交的题为“作为软件定义的自动化的一部分的软件定义的网络的部署”的第62/370,686号美国申请;以及在2016年8月18日提交的题为“作为软件定义的自动化的一部分的软件定义的网络的部署”的第62/376,470号美国申请。上述专利申请通过引用明确地并入本文。
背景技术
通信网络(或简称网络)实现数据通信。数据通信可以在计算机之间、计算机和外围设备以及其它设备之间进行。工业网络与传统通信网络不同,因为它们在实时和数据完整性约束下和出于安全和其它原因期望连续和可靠的操作而处理通常在恶劣环境中运行的物理过程的控制和监视。工业通信网络通常基于通信技术/协议,诸如以太网、Modbus、ControlNet、DeviceNet等。
虽然工业网络已经使得工厂车间中的几乎所有东西都能够连接,并且极大地改善了数据完整性和信号准确性,但它仍然是相对静态的。例如,任何修改,即使是小的修改,都需要网络工程师的注意。此外,网络工程师负责设计、部署和定义网络的限制。因此,工业应用开发人员必须适应网络的设计决策和随之而来的特征。这种对网络的依赖意味着工业应用开发人员在开发工业应用时经常受到网络的限制。
工业自动化过程正变得更加大规模和复杂,具有更多数据要求。因此,支持此类过程的工业网络也变得越来越困难和复杂,这并不奇怪。这在管理这些工业网络方面提出了挑战。由于缺乏网络控制元素的集中化使得工业网络管理非常复杂,这些挑战进一步加剧。在这样的环境中,诸如根据策略配置网络以及响应于变化、故障或其它操作参数重新配置网络的任务变得非常困难、耗时且成本过高。更糟糕的是,工厂停工在执行此类任务时变得不可避免,从而导致财政损失。
附图说明
图1A是示出与软件定义的网络(“SDN”)相比的传统网络的框图。
图1B是示出与SDN设备实现相比的传统网络设备实现的框图。
图2是示出软件定义的自动化(“SDA”)系统的简化架构的框图。
图3是示出SDA系统的功能架构的框图。
图4A是示出SDA系统的子系统的框图。
图4B是示出图4A的每个SDA子系统的控制范围的框图。
图5A是示出根据一些实施例的平面中的工业SDN架构的框图。
图5B是示出根据一些实施例的层中的工业SDN的框图。
图5C是示出根据一些实施例的工业SDN系统设计架构的框图。
图6A是示出SDN控制域的框图。
图6B是示出SDA网络的框图。
图6C是示出虚拟化网络的框图。
图6D是示出工业SDN控制域的框图。
图7A是示出包括三个平面的SDN架构的框图。
图7B是示出根据一些实施例的雾(Fog)控制器和SDN控制器之间的集成的示例的框图。
图7C是示出根据一些实施例的工业软件定义的网络应用(“ISDNA”)架构的框图。
图7D是示出根据一些实施例的拓扑服务架构的框图。
图7E是示出根据一些实施例的SDN控制器代理的示例组件的框图。
图8是示出根据一些实施例的工业SDN网络中的工业设备的预备和调试的框图。
图9A是示出根据一些实施例的示例性工业应用的创建的框图。
图9B是示出图9A的示例性工业应用的工业功能连接视图的框图。
图9C是示出图9A的示例性工业应用的工业流量(traffice)连接视图的框图。
图9D是示出图9A的示例性工业应用的工业物理连接视图的框图。
图9E是示出图9A的示例性工业应用的工业逻辑连接视图的框图。
图9F是示出图9A的示例性工业应用的完整连接视图的框图。
图10是示出ISDNA的网络视图的框图,其中每个视图提供适合于特定用户组的兴趣的信息级别。
图11A是示出根据一些实施例的可操作的工业SDN中的监视和分析组件的框图。
图11B是示出根据一些实施例的通过可操作的工业SDN的各种网络级别的网络故障传播的第一示例的框图。
图11C是示出根据一些实施例的通过可操作的工业SDN的各种网络级别的网络故障传播的第二示例的框图。
图11D是示出根据一些实施例的通过可操作的工业SDN的各种网络级别的网络故障传播的第三示例的框图。
图12是示出根据一些实施例的工厂作为服务的示例性实现的框图。
图13A是示出根据一些实施例的可操作的工业SDN中的分析应用的示例性组件的框图。
图13B是示出根据一些实施例的描绘对象之间的连接的实时表示以监视和分析工业SDN中的拥塞问题的对象的地图的框图。
图13C是逐月、逐日和逐小时的活动趋势的框图。
图13D是示出使用指数密度函数作为时间函数的产品的生产率下降的图。
图13E是示出作为年的函数的产品故障概率的表。
图14是示出根据一些实施例的用于简化工业领域中的网络基础设施部署和维护的示例性方法的逻辑流程图。
图15是示出根据一些实施例的用于简化工业网络的管理的示例性方法的逻辑流程图。
图16是示出根据一些实施例的用于工业网络的集中管理的示例性方法的逻辑流程图。
图17是示出用于可操作的工业网络的集中监视和报告的示例性方法的逻辑流程图。
图18示出了计算机系统的示例形式的机器的图形表示,其中在计算机系内可以执行指令集合,以用于使机器执行本文所讨论的任何一种或多种方法。
具体实施方式
本公开描述了用于软件定义的自动化(“SDA”)系统中的工业环境(“工业SDN”)和工业SDN的部署的软件定义的网络(SDN)的架构。
如本文所公开的工业SDN架构是在传统的SDN架构的改进。虽然工业SDN架构提供了传统SDN架构的许多优点,但它还提供了额外的好处,包括让工业应用开发人员直接访问网络,这使他们能够(1)设计工业控制应用而不受网络设计的限制,以及(2)对网络进行编程和监控并利用关于网络事件的信息来不仅维护网络还管理工业操作。
部署在SDA系统中的工业SDN通过工业SDN应用进一步增强了SDA系统,使得系统能够自动执行通常需要大量网络专业知识、计划和时间的任务。例如,在工业网络中预备(provisioning)和调试(commissioning)设备通常是需要网络工程师的任务。部署有本文公开的工业SDN的SDA系统(“SDA系统”)能够在设备首次连接到网络时安全地预备和调试符合网络和安全策略的设备,而不需要网络工程师或任何用户。
为了充分理解工业SDN架构和部署有工业SDN的SDA系统的特征和优点,下面提供传统SDN架构和SDA系统的简要概述。
1、SDN概述
SDN是一种网络架构,其中做出关于发送流量的位置的决策的系统(即,控制平面)与将流量转发到所选目的地的底层系统(即,数据平面)解耦。简单来说,SDN使网络可编程。借助于SDN,网络管理员可以通过抽象更高级别的功能来管理网络服务。
SDN架构是基于三个基本原理的分层架构:
(1)控制平面和数据平面的解耦:该原理允许转发机制与网络资源控制的单独演进。换句话说,网络控制在抽象转发机制上运行,允许网络元素成为商品。
(2)逻辑集中控制:在SDN视图中,控制器是网络元素的编排器(orchestrator)。逻辑集中控制是指将网络基础设施视为有机整体,使SDN控制器对所有网络资源进行全局控制,即控制器充当中央管理和控制实体。
(3)抽象网络资源和状态暴露于外部应用:网络作为虚拟功能是这一原则背后的主要驱动力。控制平面和数据平面的分离允许SDN控制器向其它控制器或应用提供作为网络及其元素的递归抽象的网络抽象。
参考图1A,传统的网络架构包括由各种供应商提供的专用网络设备102(诸如但不限于路由器、交换机和防火墙等)。每个网络设备102包括支持各种协议的控制平面和数据平面108。该多供应商网络基础设施保证每个设备102a、102b和102c分别使用供应商专有接口104a、104b和104c单独管理,从而进行预备、维护和去调试(de-commissioning)非常耗时且成本高昂。使用专用硬件,并且有时还可以定制协议,保证网络功能的实现和可用性由供应商决定。它还遵循供应商的业务模型和产品生命周期,而不是网络部署需求。
与传统网络相比,SDN的特征在于网络控制和转发功能的解耦。网络控制或智能在逻辑上集中在SDN控制器120中,这使得网络管理员能够动态调整网络范围流量流动以满足变化的需求。此外,即使基于软件的SDN控制器维护网络的全局视图,它对应用、策略引擎和/或其它实体112来说显得像单个逻辑实体。当通过开放标准实现时,因为SDN控制器120而不是多个供应商特定的设备和协议提供指令,所以SDN简化了网络设计和操作。网络设备114a和虚拟化网络设备(例如,开放vSwitch)114b中的每一个包括负责转发流量的数据平面。
参考图1B,在诸如路由器或交换机的典型网络设备102中,所有智能都在设备本身中。设备102通常在三个平面中实现:数据平面108a、控制平面106a和管理平面116a。数据平面108是负责移动分组的层,并且通常在具有固定转发方法的提供者专有硬件中实现,并且需要专有应用/配置104。控制平面106a是负责做出转发决定并与其它设备交换那些转发决定的层。它可以在具有供应商特定协议和特征的硬件和/或固件中实现。这种类型的实现导致存在复杂且专用的网络设备。管理平面116a是提供管理接口的层,并且通常以命令行界面(command-line interface,CLI)的形式实现为软件。CLI实现是供应商特定的,并且因此难以在多供应商环境中自动化。
与传统网络相反,SDN中的主要方法是通常利用开放协议分离控制平面和数据平面,并且将它们连接起来。该方法允许控制平面协议并需要与数据平面分开部署,从而创建用于泛化(generalization)的开口。
在SDN设备114实现中,控制平面可以在通用CPU上实现,因此降低了网络硬件的复杂性并且去除了固件中协议的复杂实现。此外,控制平面不再与特定网络设备相关联,因此合并所有设备的控制平面是可能的。这种合并被称为SDN控制器155。SDN控制器155提供集中的网络智能并且能够实现网络的整体视图。SDN设备114中的管理平面116b是SDN应用112本身。这是SDN的可编程部分,旨在提供网络管理的自由和针对用户的网络需求的设计。
由SDN控制器155用于编程底层数据平面108b硬件的最常用协议之一是OpenFlow(OF)。OpenFlow是供应商中立的标准。基于OpenFlow的SDN的一个方面是数据平面108b对流而不是静态查找表(例如交换机中的MAC表或路由器中的路由表)进行操作。SDN中的流最好描述为用于分组交换的模式匹配规则。将控制协议的复杂性降低到一个协议并使用诸如三元内容可寻址存储器(ternary content-addressable memory,TCAM)的高速存储器实现基于流的查找的原理可以得到基础设施设备的简化和商品化硬件作为网络设备的使用。
2、软件定义的自动化(SDA)
SDA提供用于设计、管理和维护高度可用、可扩展和灵活的自动化系统的参考架构。在一些实施例中,SDA技术使控制系统和相关软件能够在雾平台或私有云内运行。在传统的制造设施、炼油厂、潜艇、车辆、隧道、行李处理系统、能源管理系统、建筑物管理系统、洪水控制系统、电网控制系统等中可以发现不同程度的复杂性的控制系统。通过将整个控制系统或其至少一部分移动到雾平台或私有云,并向控制系统元素提供软件接口,SDA技术在自动化工程的整个生命周期中实现工程任务,诸如设计、编程、配置、安装、运行、维护、演进和关闭,以更简单、更有效和更具成本效益的方式执行。
I、简化架构
图2是示出根据一些实施例的SDA系统的简化架构的图。该架构描绘了链接到系统软件224的雾服务器222、以及经由通信骨干网226通信地耦合到雾服务器222和系统软件224的智能连接设备228A、228B。该架构还描绘了至少一些智能连接设备228B和雾服务器222可以通信地耦合到云218。
雾服务器222包括控制资源和计算资源的集合,其中控制资源和计算资源相互连接以为托管企业的自动化系统而创建逻辑上集中但可能物理上分布的系统。这里使用的“雾服务器”或“雾平台”是已经本地化到一个或多个计算和/或控制节点中的云管理系统(或本地化子系统或本地化系统或虚拟化管理平台)。换句话说,雾服务器222是云技术,其已经以一个或多个计算和/或控制节点的形式降落到本地或安装(因此称为“雾”)以管理整个自动化系统或其中的一部分。雾服务器222通过提供可以在其上运行和/或管理的自动化系统的虚拟化基础设施来实现虚拟化。虚拟化基础设施包括执行诸如虚拟机、容器和/或裸机(bare metal)(或裸机映像)的主机的计算节点。反过来,主机可以执行包括物理组件或功能单元的应用和/或软件实现以及自动化门户或系统软件224的客户机。如本文所使用的,虚拟化是某物的虚拟版本的创建。例如,虚拟组件或虚拟化组件(例如,虚拟PLC、虚拟交换机、网络功能虚拟化(network function virtualization,NFV))表示在计算节点上运行的主机上执行的功能。它本身没有物理存在。雾服务器222不需要位于集中控制室中;在雾服务器222的管理下,也可以考虑靠近传感器和致动器(例如,IO设备、嵌入式设备)的控制器、设备和/或服务器232。在一些实施例中,雾服务器222也可以聚合、存储和/或分析数据,和/或将数据或分析报告给云218。云218可以是企业云(即私有云)、公共云或混合云。系统软件224为最终用户提供单个入口点以定义(例如,设计、预备、配置等)自动化系统。定义自动化系统的一种方式是管理用户希望它们被执行的应用/应用功能的分配。
智能连接设备228A、228B(也是智能连接产品)通过执行应用/应用功能来监视和/或控制靠近设备/原材料/环境的设备、传感器和/或致动器。在各种实施例中,智能连接设备具有以下特征:(1)物理和电气组件、(2)固件或“智能”嵌入式部件、以及(3)连接和互操作性。在一些实施例中,智能连接设备还可以具有可以远程或板载运行的网络安全组件。
一些智能连接设备228A可以在本地运行应用或应用功能(“应用”)(例如,速度驱动器的速度/扭矩调节环),因为它们具有这样做的处理能力。这意味着不需要在其它地方(例如,在连接的PC、服务器或其它计算设备上)执行这些应用以获得数据来执行其功能。这具有更快的响应时间(即,更少的延迟)和节省网络带宽的优点。应用的板载或本地执行的另一个优点是它提高了数据的一致性和架构的稳健性,因为即使网络出现故障,设备也可以继续生成信息(例如,警报)或记录数据。
在一些实施例中,智能连接设备228B可以在一个或多个服务器(例如,服务器232、雾服务器222)全部或部分地执行。例如,智能连接设备228B可以响应于远程信号(例如,远程方法调用、应用编程接口或API调用),就像应用在本地运行一样,而实际上应用正例如在雾服务器222中远程运行。在一些实施例中,智能连接设备可以捕获关于其自身状态和其环境状态(例如,其正在监视的设备)的实时数据,并将这样的数据发送到雾服务器222和/或远程云。在一些实施例中,智能连接设备228A、228B可以将捕获的实时数据转换为信息(例如,警报),存储它们并对它们执行操作分析。然后,智能连接设备228A、228B可以组合上述监视和控制功能,以优化自身的活动和状态。
通信骨干网226有利于雾服务器222、系统软件224和智能连接设备228A、228B之间的相互作用。通信骨干(或物联网(Internet of Things,IoT)/工业物联网(IndustrialInternet of Things,IIoT)骨干)包括一组网络架构和网络砖,其实现智能连接设备228A、228B、雾服务器222以及作为SDA架构的任何其它组件的物理和逻辑连接。例如,工厂中的各种设备可以使用基于诸如以太网、TCP/IP、web和/或软件技术的各种标准的技术彼此连接并与企业系统(例如,MES或ERP)连接。统一全球工业以太网骨干形式的通信骨干网226可以提供:从工厂(OT)到企业应用(IT)的数据的简单访问、定义符合客户需求的不同类型的网络架构的灵活方式(例如,星型、菊花链型、环型)、可以满足诸如可用性、安全性和恶劣环境支持等要求的稳健架构,以及通过一个电缆在合适的时间为合适的人提供正确的信息。
通信骨干网226包括提供交换机、路由器和/或电缆系统的完整工业以太网基础设施,以满足所有拓扑的需要。通信骨干网226还支持基于各种标准(例如,Modbus/TCP-IP、以太网IP、OPCUA、DHCP、FTP、SOAP、REST等)的标准的一组连接协议。通信骨干网226还可以支持一组网络(web)功能,这些网络功能提供如使用标准网页的诊断、监视和配置的功能和定义模式的设备集成参考架构,以将设备组集成到应用级别和网络级别的控制器以用于配置、调整和诊断。在一些实施例中,可以将网络安全元素内置到架构中。通信骨干网226还遵循在性能(服务质量或QoS)、稳健性(用于冗余的RSTP和PRPHSR)和安全级别(IEC61508)上构造架构的一组架构规则。在一些实施例中,通信骨干网226还支持一组网关的集成以将传统(即,非以太网)设备连接到网络。
通信骨干网226可以使用多种协议以提供满足多种需求的多种服务。表1列出了通信需求和合适协议的一些示例。
表1服务和协议
现有系统中的网络被完全分段以允许有保证或可靠的通信。SDA架构中的通信骨干网226可以通过软件定义的网络(SDN)和/或时间敏感网络(Time SensitiveNetworking,TSN)技术克服现有系统的问题。如前所述,SDN技术使得能够将网络的控制逻辑与底层网络硬件或设备(例如,交换机、路由器)分离并使得能够将网络控制逻辑集中。SDN技术可以在这些网络中带来简单性和灵活性,允许在网络策略驱动的不同层进行通信。TSN技术为标准以太网增加了一系列功能,以便在区域或整个架构中提供实时功能和时间保证的交换。此外,网络安全解决方案还可以集成并适应于SDA架构。
II、功能架构
在一些实施例中,SDA架构经由提供资源的系统范围管理的一组控制器实现自动化系统的管理。这些控制器构成雾服务器的控制资源,并提供管理整个系统的同质方法。系统管理员可以与这些控制器节点交互以进行初始设置、系统扩展、诊断、维护等。类似地,在系统内部或外部执行的应用可以与这些控制器节点交互以管理系统中的特定方面或功能(例如,ICS工具、网络工具、电气系统工具)、管理计算资源(例如,监视、管理其它应用和/或资源)等。SDA架构的该功能视图在图3中示出。
图3中描绘的SDA系统的示例性功能视图包括应用平面305、控制平面315和资源平面352。应用平面305包含系统软件334和软件组件或应用325,它们在系统中执行并且都使用和管理一组系统资源。控制平面315包括一组控制器,控制器包括雾服务器控制器(或雾控制器或虚拟化管理控制器)335、网络控制器356和网络安全(cybersecurity,CS)控制器345。如本文所使用的,网络控制器356可以包括SDN控制器、TSN控制器或将时域并入SDN控制器的TsSDN控制器。在2017年7月19日提交的第PCT/EP2017/068213号相关PCT申请中描述了TsSDN控制器及其在提供保证确定性通信中的作用,该申请在此以其整体并入。这些控制器向应用平面305中的应用提供一组标准化的接口,以访问和/或管理系统的资源平面352中的资源。在一些实施例中,控制器还提供诊断、可用性管理等。网络控制器356可以在系统级管理和分配网络策略336。类似地,CS控制器345可以在系统级强制执行安全策略338。
在一些实施例中,这些控制器可以具有彼此的层级关系。例如,SDA系统可以包括顶层控制器(未示出)和每个控制建筑物或站点的一组集中控制器(例如,雾控制器335、网络控制器356和CS控制器555)。顶层控制器可以例如将策略分配到集中控制器以使这些控制器能够控制他们自己的建筑物或站点。虚拟化环境支持控制器的分层分配。
资源平面352可以包括网络资源348、通过计算节点342所表示的计算资源、存储资源344和安全资源346。由雾控制器335管理的计算节点342执行系统软件334和应用325。向系统提供计算资源的计算节点342可以由雾控制器335物理地分配和管理。例如,服务器形式的一些计算节点位于雾服务器或私有云中,而如智能连接设备的其它计算节点在边缘运行。网络资源348可以是雾服务器中的虚拟网络资源、交换/路由硬件中的物理基础设施资源或位于智能连接设备中的基础设施资源。存储资源344可以是用于存储虚拟映像、卷、应用、过程数据、状态数据等的数据库和/或其它设备。安全资源346可以包括驻留在计算节点342、存储节点344和/或独立组件上的安全组件,其提供诸如安全策略的实施、入侵检测和保护等的安全服务。
控制器编排(orchestrate)和监视系统的一些或所有资源。管理系统的应用(例如,系统软件540或自动化门户、网络管理工具等)向系统发送请求以应用特定策略。例如,系统软件334可以用于部署连接到具有特定实时网络要求、安全要求和可用性/弹性要求的一组设备的新PLC。在一些实施例中,应用对应于组件的软件/固件实现。这些应用可以部署在计算资源上,并且可以使用存储资源和网络资源进行通信。
III、SDA系统
SDA系统包括各种子系统,这些子系统一起工作以提供用于创建、管理和操作自动化系统的完全集成的解决方案。图4A是示出根据一些实施例的SDA系统的子系统的框图。在一些实施例中,SDA系统400包括雾服务器子系统454(“雾服务器”),其具有雾控制器或冗余雾控制器435、一个或多个计算节点442和存储器444。SDA系统400还包括软件组件456。在其它实施例中,SDA系统400还可以包括具有安全控制器或冗余安全控制器445的网络安全(“CS”)子系统458、物理和/或虚拟化安全组件461以及存储CS策略的安全策略储存库438。在其它实施例中,SDA系统400还可以包括具有网络控制器或冗余网络控制器456的网络子系统462、物理网络463、物理网络组件465、虚拟网络464、虚拟网络组件466和存储网络策略的网络策略储存库436。
雾服务器454提供在其上可以运行和/或管理自动化系统(一个或多个)的虚拟化环境。雾服务器454包括计算节点442,计算节点442提供逻辑处理能力并且可以以高弹性水平托管应用、数据库等。计算节点的非限制性示例包括:服务器、个人计算机、包括智能连接设备的自动化设备等。
雾服务器控制器435利用雾服务器管理软件来执行其功能。雾服务器管理软件可以基于诸如OpenStack的云管理软件。诸如OpenStack等的标准/现成形式的云管理软件通常在用于数据中心管理的信息技术(Information Technology,IT)领域中使用。然而,自动化系统管理涉及一组不同的挑战。例如,一些自动化系统可以运行时间关键和/或安全关键的应用,这些应用需要关于延迟、可靠性和/或其它因素的确定性保证。考虑自动奶酪切片系统,其中切割通过奶酪块的刀片与奶酪块的运动之间的高速同步运动对于产生均匀厚度的奶酪切片是至关重要的。如果存在任何处理或网络延迟,则可能导致不同厚度的奶酪片,导致浪费和生产力损失。
雾服务器控制器435管理虚拟化环境的所有方面和计算节点442的完整生命周期。例如,雾服务器454可以在计算节点上支持并且暂时停止诸如虚拟机、容器或裸机的主机,并且创建或删除虚拟化组件459和虚拟网络464。如本文所使用的,虚拟化组件/元素/实例459是物理设备或其表示的物理设备的一部分的逻辑等效物,被实现为在雾服务器454的内部运行的软件实体。虚拟化组件459还可以包括软件组件,诸如在主机上运行的应用和/或应用功能(例如,配置有应用的虚拟机是虚拟化组件/元素/实例)。
雾服务器控制器435可以通过控制器的冗余和计算节点故障的管理来提供高可用性(high availability,HA)。控制器还可以管理各个计算节点的启动、关闭和修补。在一些实施例中,雾服务器平台可以提供对虚拟化组件的高可用性的支持。在一些实施例中,雾服务器454可以包括存储节点或数据存储444。存储444可以存储虚拟映像、卷(即,实例化映像的硬盘驱动器)、应用和过程数据等。
软件组件子系统456可以包括由雾服务器454的虚拟化生态系统托管的虚拟化组件459。软件组件子系统456还可以包括在虚拟化环境内运行的软件425的虚拟化实例(例如,用于编程、配置和/或管理的软件(例如,Unity、SoMachine、SCADA)),其用于编程、配置、管理或以其它方式与自动化设备交互。在一些实施例中,软件组件子系统456还可以包括系统软件434(也称为自动化门户),其提供了用于作为整体来管理拓扑、库存、配置、编程、控制和/或诊断自动化设备和/或自动化系统的单个接口。
通过系统软件434用户可以在所有生命周期阶段访问用于系统定义和系统管理的各种应用。例如,系统软件434可以用于在工程阶段期间配置和参数化设备并且在维护阶段期间调试、编程和/或诊断设备。因为可以从单个门户管理自动化系统中的任何设备的所有方面,所以系统软件434的一些益处包括对于最终用户的简单性和易用性以及成本降低。除了向整个系统提供单个入口点之外,系统软件434还呈现一致的用户界面和用户体验,这有助于减少不一致性并提高效率和生产率。
CS子系统458包括相关联的CS控制器或冗余CS控制器445以及虚拟化和/或物理安全组件461。安全子系统458通过安全策略和安全组件(诸如入侵检测/保护系统、虚拟化的下一代防火墙、证书授权和识别系统等)提供整体的网络安全解决方案。CS控制器445向虚拟化和/或物理组件461传播安全策略,以确保实施必要的安全保护。在一些实施例中,CS子系统458还可以向其它组件和子系统提供安全策略和认证服务。在一些实施例中,CS系统458的安全策略可以存储在安全策略储存库438中。
网络子系统462包括用于整个SDA系统解决方案的以太网网络基础设施。在一些实施例中,网络子系统462是具有SDN控制器或冗余SDN控制器作为网络控制器456的SDN网络子系统。SDN网络通过SDN控制器提供网络的控制逻辑与底层网络硬件(例如,路由器、交换机)的逻辑分离以及控制网络的逻辑集中。这意味着SDN控制器可以在整个网络基础设施(即,物理网络463和物理网络组件465以及虚拟网络464和虚拟网络组件466)中传播网络策略,以控制连接、带宽和延迟、服务水平协议(Service Level Agreement,SLA))(例如,re:确定性响应时间/传输时间)、流量流动控制等,并且网络硬件可以实现这些策略。在一些实施例中,网络子系统462的网络策略可以存储在网络策略储存库436中。
在一些实施例中,网络子系统462可以包括网状无线电网络。在网状无线电网络中,每个节点可以连接到至少两个其它节点,其中数据在称为跳跃的过程中从一个节点传递到另一个节点。由于节点本身充当路由器,因此无线电网状网络通常不需要指定的路由器。然而,一些网状无线电网络包括一个或多个网状路由器以及网状节点,以代表其它网状路由器和/或网状节点中继流量。在一些实施例中,网络子系统462可以包括高速射频(radio frequency,RF)网或混合网络上的虚拟电路,其中仅由节点的无线电收发器促进通信,而无需任何外部设备。因此,在一些实施例中,网络子系统或网络基础设施的网络元素的配置可以包括网状无线电网络中的网状节点和/或网状路由器的配置(例如,OpenFlow启用的网状路由器)。
在一些实施例中,网络子系统462可以是时间敏感网络(TSN)子系统,其具有作为网络控制器456的TsSDN控制器或SDN和TSN控制器两者以及包括具有TSN能力的网络设备的网络基础设施。TSN网络子系统确保按照预定义的最大确定性传输时间和高可靠性传输/共享任务关键和时间敏感数据。在各种实施例中,网络控制器456可以是本地雾服务器虚拟网络控制器、传统网络管理系统控制器、SDN控制器、TSN控制器、TsSDN控制器和/或其任何组合。
SDA解决方案中的子系统的作用互相补充,以提供完全集成的解决方案。具体地,雾服务器454可以通过托管子系统的虚拟化元素和/或通过子系统的控制功能与这些子系统中的每一个进行交互。虽然雾服务器454与SDA子系统中的每一个具有整体关系,但SDA子系统不被认为在雾服务器454的范围内。图4B是示出根据一些实施例的SDA子系统中的每一个的控制范围的图。
雾服务器454的领域(realm)是雾控制器435、计算节点442、以及雾服务器605内的虚拟化组件459的管理。虚拟化组件459和软件425(例如,Historian、SCADA、SoMachine、Unity)不在雾服务器605的控制范围,但是在软件组件子系统456的控制范围内。然而,软件组件456通过系统软件/自动化门户434与雾控制器435和计算节点442交互以提供配置并控制对雾服务器454和/或其它子系统的输入来驱动它们的操作。
为了提供系统范围的解决方案,网络控制的连续性扩展以包括网络的虚拟和物理组件二者。因此,网络子系统462的领域不仅包括物理网络组件465和物理网络463,还包括在雾服务器454内创建并存在的虚拟网络464和虚拟网络组件466。这需要在网络子系统462和雾服务器454之间完全集成以提供运用该控制的机制。例如,雾服务器控制器435可以在雾服务器454中创建虚拟网络464并控制在计算节点442和虚拟网络464上托管的虚拟机/容器之间的连接,而网络控制器456可以根据一个或多个网络策略配置虚拟网络464的虚拟网络组件466。这种集成级别需要编排实例化和删除序列,显然,虚拟网络464必须存在才能连接虚拟机和容器。
CS子系统458控制安全组件,诸如入侵检测系统(instrusion detection system,IDS)467、入侵保护系统(instrusion protection system,IPS)468(例如,虚拟化的下一代防火墙)等以及传播安全性策略到不同实体的CS控制器445。在一些实施例中,CS子系统458可以与SDA系统解决方案的所有方面集成。例如,网络控制器456可以利用由CS子系统458提供的安全服务来向其范围内的网络组件(例如,物理或虚拟)提供安全配置信息。在一些实施例中,雾服务器454可以利用该服务来认证登录、为主机(虚拟机、容器、裸机)配置提供安全策略、在实例化之前认证主机映像等。
在一些实施例中,某些子系统可被认为对于SDA系统解决方案是外部的。这些外部子系统包括非SDN OT网络和非SDA边缘设备472(例如,传统设备)和IT网络和后台装备471。在一些实施例中,工业物联网(IIoT)469或其它基于云的服务可以被视为对于SDA系统解决方案是外部的或者被视为SDA系统解决方案的一部分。
3、用于工业环境的SDN
工业环境中的网络高度复杂且部署、管理和升级成本高,需要熟练的网络工程师。例如,考虑将新的工业设备添加到工厂并将其连接到工厂网络的任务。这样的任务通常需要仔细选择之后插入设备的端口,然后发送ping(例如,SNMP ping)以询问设备来确保设备正确连接到网络并且响应。执行此任务的网络工程师不仅需要了解网络协议等,还必须熟悉工厂网络的布局方式(例如,确定插入设备的位置)。即使设备连接到网络后,网络工程师可能需要执行进一步的配置以确保设备只能与其所需的设备通信(例如,通过访问控制列表(access control list,ACL)配置、MACSecurity)。因此,将一个新设备添加到现有工厂网络的整个过程是既不简单也不是即时的任务。对于更复杂的任务,诸如部署新的自动化系统,不难猜测在创建系统网络之前可能需要花费数小时或数天的精心规划。例如,要部署多少路由器和防火墙,选择什么类型的网络拓扑,如何实现逻辑单元或设备的隔离等。
作为另一示例,考虑在具有完全冗余网络的工厂中出现网络问题的情况。例如,工厂管理者不知道如何诊断和解决网络问题。工厂管理者也不知道如何评估网络问题的严重性。例如,网络问题与冗余丢失(其中如果第二个网络也出现故障,不作为可能会导致生产停止)相关?或者网络问题仅仅是一个不会影响生产的问题?不知道网络问题转化为决策者理解的语言可能意味着工厂管理者无法控制生产水平。例如,在上述场景中,工厂管理者可以选择忽略与冗余丢失相关的网络问题。然而,当第二个网络出现故障时,生产将停止几个小时直到网络问题得到解决,并且工厂重新启动,所有这些都需要花费数千美元。如果工厂管理者只能理解冗余损失在成本或时间方面意味着什么,他或她可以决定立即致电网络工程师来解决问题,而不是延迟它。类似地,如果网络问题仅仅是一个不会影响生产的问题,工厂管理者可能会延迟维修,直到下一次计划维护。
本文公开的架构、系统和方法(下文称为“公开的技术”)通过引入简化网络管理解决这些和其它问题。在一些方面,所公开的技术使得更容易实例化、部署、维护和管理工业网络。不再需要了解网络的布局方式,或将工业设备插入的端口。相反,设备可以插入工厂网络中的任何地方,并且所公开的技术将自动检测设备,确定其能力,根据安全策略预备网络路径以使其能够与网络中的其它实体通信,并且调试设备以开始执行。
所公开的技术使网络可编程,这反过来使得可以将网络工程领域引入工业应用领域并使其成为整个工业应用设计的基本部分。换句话说,工业应用开发人员不必受网络设计或网络工程师决策的限制。工业应用设计人员能够直接对过程事件(诸如:应用响应时间(application response time,ART)降级、连接丢失、安全漏洞等)进行可编程访问。工业应用设计人员还能够基于工业功能而不是网络能力(或者更糟糕的,网络设计)来划分网络。通过这种方式,工业应用将变得适配于具有“端到端”的网络可见性和控制的网络状态。
通过编排,所公开的技术的一个方面,工业应用程序设计者将能够按需透明地实例化网络级别服务(例如,通过工业SDN应用程序)以实现网络功能虚拟化(NFV)。这种服务的示例包括但不限于:网络安全服务(诸如:深度包检测(deep packet inspection,DPI)和防火墙)、负载平衡器、流量分析器、NAT、代理服务、路由等。在正确的时间和地点将网络功能实例化为虚拟化服务是工业SDN应用(ISDNA)的职责,这将参考图7C-7E详细描述。使用服务功能链接(service function chaining,SFC)可以在虚拟或真实元素之间提供足够的基于策略的连接。
4、工业SDN架构
分别如图5A和5B所示,工业SDN架构500可以被描绘为由若干不同的平面和层构成。参考图5A,工业SDN架构的面向平面的视图包括四个平面,每个平面在下面描述。
I、应用平面
工业SDN架构中的应用平面505实现工业控制应用525。工业控制应用(或简称工业应用)和SDA控制应用(或简称SDA应用)在本公开中可以互换使用。工业控制应用是用工业应用开发软件开发的。驻留在该平面505上的工业控制应用的一个示例是实现传送带功能的程序,其具有由工业应用开发人员开发的启动和停止、故障检测和简单项目计数器的选项。传送带功能可以使用其它控制应用开发,诸如PLC控制应用(例如,控制一组I/O点)和马达控制器应用,然后可以以编程方式将其链接在一起以形成传送带应用。该平面中的工业应用525是图4A中的软件组件456的一部分。工业应用525可以被认为是工业SDN的信息和需求的来源。
II、平台平面
平台平面510实现软件集合和应用编程接口(API),其定义到北向的应用平面505(the application plane 505to the north)中的工业应用525的接口,并暴露对南向的控制平面515中的控制器(550、555、560)的程序化访问。平台平面510组件包括雾编排器535、工业SDN应用(ISDNA)540和CS编排器545。称为SDA编排器530的顶层应用或服务隐藏了编排和控制的大部分复杂性,并暴露了工业应用开发人员可以利用来开发工业应用525的API。
III、控制平面
控制平面515实现控制基础设施平面520中的设备的实体。平台平面510编排组件编排SDN和/或其它控制元素以实现工业应用525的功能。控制平面515包括雾控制器550、SDN控制器555和网络安全(CS)控制器560。应当注意,这些控制器中的每一个代表逻辑集中控制系统。例如,在示例性系统中,多个SDN控制器节点可以是物理分布的,但是它们一起代表逻辑上集中的SDN控制器。SDN控制器555不仅管理物理网络,而且与雾控制器550一起管理虚拟网络。CS控制器560管理安全策略并与雾控制器550和SDN控制器555协作以实施安全策略。应当注意,在一些实施例中,控制平面515可以包括TsSDN控制器,或者包括SDN控制器555和TSN控制器两者。在这样的实施例中,平台平面510可以包括相应的编排器组件。已经参考图4A(例如,雾控制器435、网络控制器456和CS控制器445)描述了雾控制器550、SDN控制器555和CS控制器560的各方面。
IV、基础设施平面
基础设施平面520通过提供物理和虚拟网络连接来实现通信。它包括网络中作为发起者、消费者或信息瞬时参与网络的每个设备(即,提取/推送信息的设备)。这些设备可以是工业设备575和基础设施设备570。工业设备575包括执行工业或自动化功能或其一部分的那些设备。例如,实现自动化功能所需的PLC、I/O模块、马达、驱动器等。基础设施设备570包括诸如交换机、路由器、中间盒用具等的网络设备等。有两种类型的基础设施570和工业设备575-虚拟和真实。虚拟设备(或虚拟化元素)565在诸如服务器、PC等的硬件上运行。在服务器上运行且没有物理表现形式的PLC是虚拟工业设备的示例。类似地,作为多层网络交换机的软件实现的Open vSwitch(开放虚拟交换机)是托管在计算资源580上的虚拟化元素565的示例。另一方面,真实设备是硬件设备。真实基础设施设备的示例包括SDN控制器设备,诸如来自NoviFlow的NoviSwitch 1248和来自Extreme Networks的BlackDiamond X8。与传统网络设备相比,这些基础设施设备是没有嵌入式控制的简单转发设备。来自这些设备的网络智能在逻辑上集中在控制平面515中的SDN控制器555中。在一些实施例中,真实基础设施设备570可以包括可能不能进行SDN控制的传统网络设备。
工业SDN平面与两个职责概念相关联:编排574和信息573。编排包括对复杂网络元素和协议的自动布置、协调和管理的职责。信息包括对网络信息的收集、分析,解释、呈现和组织的职责,这反过来使工业应用能够以编程方式对网络状况作出反应。
网络中心视图由开放系统互连(Open System Interconnectivity,OSI)网络视图定义。在层中描述网络是很自然的并且通常使用自下而上的方法。例如,网络可以被描述为包括连接到网格中的3个设备和10个交换机,使用RSTP协议确保无环路拓扑;并且设备使用EIP协议进行通信。如图5B中所描绘的工业SDN架构由七层构成,每层具有其自己的特定功能。这些层包括:基础设施层、南向接口、控制层、北向接口、ISDNA、雾和SDN编排层、SDA编排层和工业应用。在一些实施例中,ISDNA、雾、SDN和SDA编排可以被认为是编排层的一部分。
根据网络习惯,并且为了便于理解,工业SDN架构的每个不同层分布在工业SDN架构的面向层的视图中描绘的四个平面上,现在将以自下而上的方式从硬件到工业应用对其进行描述。
I、层1:基础设施层
工业SDN基础设施包括基础设施设备570、工业设备575和虚拟化元素565。现在将详细参考图6A-6D描述基础设施层的组件中的每一个。
如图6A所示的整个SDN控制域可以分为真实和虚拟设备。SDN控制域包括诸如工业设备和网络设备的真实基础设施设备678、以及在云服务器(即,分布式计算平台)677上执行的虚拟环境679中的虚拟工业设备和网络设备。基于这种分类甚至实际网络可以被区分为真实网络和虚拟网络,因为这些网络可以基于任何网络拓扑666(诸如环型、网状、完全连接型、线型、树型、星型)等。但从ISDNA技术的角度来看,区分真实和虚拟设备是不必要的,区别的主要目的是为了便于理解ISDNA的范围和职责。
SDA网络(即,SDA系统中的网络)可以被划分为如图6B所示的三个不同的物理网络。雾管理网络专用于管理具有由虚线描绘的网络连接的雾设备676。SDN管理网络(操作和管理(operation and management,OAM)网络)专用于管理SDN设备614,其具有由粗实线描绘的网络连接。工业网络是实际生产网络,其提供实际和虚拟化工业设备675之间的通信。工业网络中的网络连接由非粗体实线描绘。
在一些实施例中,可以使用SDN来管理这些网络中的每一个。为了便于说明,将详细讨论工业网络的管理和流经该网络的通信。管理连接的物理连接和规则称为底层网络。
尽管工业网络具有真实的物理设备,它还具有经由虚拟网络连接的虚拟设备,如图6C所示。虚拟环境云679中描绘的设备是物理设备(诸如交换机、路由器、PC、PLC、防火墙等)的虚拟化实例。它们通过虚拟链接连接。具有虚拟连接的虚拟设备的网络被称为虚拟化网络。虚拟设备驻留在作为真实网络一部分的物理雾服务器节点(即计算节点)上。这意味着真实网络和虚拟化网络互连以形成工业SDN控制域,如图6D所示。如图6D所示,工业SDN控制域包括雾服务器677中的物理雾设备676(例如,服务器)、SDN设备614(例如,极端网络(Extreme Network)交换机)、工业基础设施678中的工业设备675、雾服务器654中托管的虚拟化环境679中的虚拟工业和基础设施设备、以及物理网络663和虚拟网络664。ISDNA通过SDN控制器来管理工业SDN控制域,其中SDN控制器具有从SDA或工业应用、雾管理应用或雾编排器535以及网络安全应用或CS编排器545提供的输入。虚拟环境679中的图6D描绘的是裸机雾设备679a。裸机设备运行专用的二进制映像,该映像与主机硬件(即计算节点硬件)紧密耦合-非常类似于传统的嵌入式设备。这个二进制映像可以充分利用对硬件的直接访问,就像在工厂安装映像一样。在一些实施例中,裸机映像可以是完整的内核和操作系统(OS),以将裸机节点转换为具有对VM和/或容器自身支持的VM和/或容器的完整计算节点。
在历史上,工业基础设施中的主导拓扑在需要冗余的地方是链型或环型。与树型或网状拓扑相比,这些拓扑背后的主要驱动因素是材料和安装成本的降低。现在,雾是工业基础设施的主要贡献者,网络的拓扑视图转变为环型和网状的混合。雾的核心(即,雾控制器)通常驻留在与雾服务器的其它物理部分(诸如计算节点、存储节点等)紧密物理接近处,这些物理部分与快速高吞吐量连接互连,并且由于它是高端(high-end)设备,所以它可以具有大量高速网络接口。这样,它可以以相对低的成本完全连接到网状666a中。另一方面,工业设备通常远距离部署,并且具有显著较低的能力,以较低的速度使用较少的网络接口。这样,边缘设备可以部署在链型和环型中(例如,666b)。应当注意,在其它实施例中,可以部署各种其它拓扑,诸如星型、完全连接型、线型、树型、总线型等。
通常,SDN控制器使用单独的、物理隔离的管理网络来管理网络。工业网络更偏好简化的网络形式,包括最小的布线和简单的管理。换句话说,是整个工业应用的统一网络视图。鉴于这些网络预期,管理和运营网络的整合是可取的。这种整合展现了其它问题,诸如设计(拓扑)、引导和管理这种网络。
工业网络,重点是以太网。以太网设计在无环型拓扑中工作。可以通过以下方式连接以太网设备来实现此拓扑:总线型、星型、树型或其组合。这些拓扑中的布线配置错误会导致环型的产生,从而导致流量的线速复制,更为人所知地称为广播风暴。为了补救意外的或甚至有意的环型拓扑,以太网基础设施设备通常部署生成树协议,诸如STP、RSTP、MSTP、SPB等。这些协议提供完全连接(跨越)和无环型(树)拓扑的能力导致使用环型和网状拓扑进行有意的以太网部署。在这些拓扑中,生成树协议充当冗余协议。工业以太网非常喜欢环型拓扑,因为它以最小的布线成本提供单个容错网络,并具有合理的恢复时间。可以在工业SDN网络中提供相同或相似级别的功能。
通过其依赖于被认为是稳定的单独管理网络(OUT-BAND)来简化在SDN中创建环型或网状拓扑。SDN控制器驻留在该网络上,并且每个设备被预备以访问它。由于SDN控制器可以完全控制每个设备,因此它可以指示每个设备如何转发流量,以便它不会创建环路。换句话说,无环路网络只是工业SDN网络中的另一网络应用。
当管理网络和生产网络合并时,会遇到自举(bootstrapping)问题:如果SDN控制器必须管理管理网络,则管理网络必须是无环路的。因为它是无环路的,所以它需要SDN控制器。这是遇到因果关系困境的地方。从SDN的角度来看,SDN控制器具有对网络的完全控制,即,SDN控制网络中的每个设备在预备之后都具有到SDN控制器的路径。
在所有接口处于阻塞状态下自举的设备可以使用LLDP协议来交换有关控制器位置的信息。链路层发现协议(Link Layer Discovery Protocol,LLDP)可以用于交换OpenFlow信息,从而形成到SDN控制器的路径。一旦设备获得了到SDN控制器的路径,控制器就可以重新配置要集成到网络中的设备。然后,SDN控制器应用可以通过其配置选项来调节管理和操作分离。
一些工业领域中的基础设施设备将基础设施和终端设备集成到一个设备中。例如,PLC充当PLC和开关。这样,这些类型的工业设备适合于由SDN控制器直接管理。为了由SDN控制器管理,设备可以实现所选SDN控制器的至少一个南向(south bound)接口。一个示例性解决方案是使这样的设备实现OpenFlow或类似协议。在工业设备级别实现OpenFlow会将SDN控制带到设备级别。
II、层2:南向接口
在图5C中,为了由SDN控制器管理,基础设施平面520中的设备可以实现所选SDN控制器的至少一个南向接口(south-bound)585。包括南向API的南向接口584定义控制平面515中的控制实体与基础设施平面520中的基础设施设备之间的通信协议,以使它们能够彼此交互。这样,南向接口574对于控制平面515和基础设施平面520之间的分离是必需的。OpenFlow是用于SDN的最受欢迎的开放式南向标准之一。
III、层3:控制
SDN的好处之一是凭借SDN控制器555提供的逻辑集中控制简化了网络部署、管理和维护。层1的基础设施由控制平面的实体管理,控制平面的实体包括:
(1)雾控制器550:负责雾(即虚拟化平台)的管理
(2)SDN控制器555:负责SDN网络的管理
(3)CS控制器560:负责网络安全的整体管理。
控制平面515通过三个控制器的互连形成,以通过控制层API的暴露形成网络的一个统一视图。从SDN的角度来看,SDN控制器555是该集成工作的核心部分,并且是SDN的基本部分。在可以详细检查SDN控制器555的作用及其在工业控制平面515中的集成之前、理解SDN控制器实现和使用的基本原理是重要的。
(i)SDN架构
SDN控制器的目的是将网络控制与数据路径分开,并提供网络服务的抽象。如图7A所示的SDN架构,SDN控制器755a是网络或SDN应用712与数据平面708b中的底层网络基础设施714之间的中介。
在应用平面754中,SDN控制器实现应用控制器平面接口(A-CPI)并将北向接口(north-bound interface,NBI)713暴露给SDN控制器的用户以开发网络中心应用,而不用担心网络实现细节。这个平面是ISDNA的天然驻留地。
控制平面706b是SDN控制器755a本身。该平面代表SDN网络的中央智能。虽然SDN控制器755a可以是物理分布的,但它在逻辑上集中在该平面中。控制器的详细架构是特定于实现的,但是通常,SDN控制器实现数据控制器平面接口(Data-controller planeinterface,D-CPI)南向协议717来与基础设施资源和相应服务通信以允许通过作为NBI713的A-CPI的可编程性。具体地,实现为D-CPI接口的协议集使SDN控制器755a能够直接控制驻留在数据平面708b中的实际网络设备资源。
当前控制器格局可以分为开源和专有控制器。开源主要针对通用特征丰富的SDN控制器,而专有控制器则面向特定应用。为了互操作性,SDN控制器755a最好是独立于供应商的。ISDNA的一种方法是使用开源平台。适用于ISDNA基础设施的SDN控制器755a包括提供许多网络服务和南向协议的OpenDaylight(ODL)。另一个合适的选择包括ONOS,其性能是选择的主要原因。
可以发生ISDNP与SDN控制器集成的一个地方是SDN控制器的NBI接口。然而,许多SDN控制器的NBI接口缺乏标准化。尽管如此,ISDNA架构通过实现参考7E描述的SDN控制器代理来处理这一点。
(ii)与雾控制器集成
参考图5B,ISDNA 540控制真实和虚拟工业网络。当真实网络受SDN控制器555的直接控制时,虚拟化网络受雾控制器550的控制。为了使这两个管理系统能够彼此交互,在所公开的工业SDN架构中,雾控制器550和SDN控制器555彼此通信地耦合,从而向ISDNA 540提供统一的网络感知。雾控制器550和SDN控制器555的集成在工业SDN控制平面515上实现。图7B描绘了雾控制器550和SDN控制器55之间的集成的一个示例性实现,下面描述该示例性实现。
图7B示出了雾控制器750的OpenStack实现与SDN控制器755的ODL实现之间的集成的示例。由OpenStack提供的ML2插件750a使用ODL的REST API来访问SDN控制器755中的应用755b,并且向ODL发出命令。ODL解释命令并且作为响应,创建、配置和填充使用OpenFlow755d进行交换的Open vSwitch数据库(Open vSwitch Database,OVSDB)755c的转发表。此时,SDN控制器755和雾控制器750完全由SDN控制器755控制,这意味着整个网络拓扑经由ODL北向接口对于ISDNA是可用的。此时,ISDNA可以与SDN控制器755集成。
(iii)与网络安全控制器集成
参考图5B,CS控制器560是负责管理网络安全策略的实体。这些策略在网络和设备级别编排。这样,CS控制器550与雾控制器550和ISDNA 540接口。
CS控制器560与雾控制器550的集成的目的是创建和操纵虚拟化网络基础设施。CS控制器560与ISDNA 540的集成是基于使CS控制器560控制由工业SDN网络内的资源处理的通信的可访问性、使用以及内容的简单授权。SDN控制器555和CS控制器560的集成基于ISDNA 540的几个基本方面,包括网络功能虚拟化(NFV)和服务功能链接(SFC)。
网络功能虚拟化(NFV)是网络架构概念,其使用IT虚拟化技术将全部类别的网络节点功能虚拟化为可以连接或链接在一起的构建块,以创建通信服务。从安全角度来看,在一些实施例中,NFV可以用于虚拟化网络安全相关功能(诸如防火墙、DPI等),并将它们定位在工业SDN网络中的策略位置。有两种类型的NFV部署:集中式和分布式。集中式方法基于虚拟化网络功能的部署以及将所有流量重定向到其进行处理。分布式方法基于具有一组特定策略的设备专用网络安全功能。在任一情况下,SDN控制器555基于由CS控制器560定义的策略将流量(traffic)定向到功能。
服务功能链接(SFC)提供定义网络服务(例如,防火墙、负载平衡器)的有序列表的能力,然后在网络中将其拼接在一起以创建服务链。网络安全中的SFC可以被视为一系列与网络安全相关的网络功能,这些网络功能被编排以实施全面的SDA网络安全策略。这些功能可以是虚拟的、网络虚拟功能(NVF)或实际用具。SFC中SDN控制器555的职责是启用或便利化从一个功能到另一个功能的逻辑分组流以实现SDA网络安全策略。
在一些实施例中,ISDNA 540和CS控制器560的集成可以基于来自两个角度的一组基本需求。首先,CS控制器560创建功能并为ISDNA 540分配任务以连接它们。其次,CS控制器560为ISDNA 540分配任务以创建功能并基于一组提供的策略连接它们。
IV、层4:北向接口
SDN控制器555向应用开发人员提供API以使应用开发人员能够对SDN控制器555进行编程。该API由平台平面510中的ISDNA 540用于与SDN通信控制器555通信。
V、层5:ISDNA、雾和CS编排
该层包括一组软件和API,其可以以编程方式访问控制平面515中的控制器并对它们进行编排以管理和控制基础设施设备。该层的ISDNA 540、雾编排器535和CS编排器545紧密耦合到控制平面515中的相应SDN、雾和CS控制器。雾编排器535通过雾控制器550实现虚拟化需求,并且CS编排器545通过CS控制器545实现安全策略。ISDNA 540通过SDN控制器555实现网络化特征。具体地,ISDNA 540通过ISDNA API的暴露来描述网络。通过暴露ISDNPAPI,基于功能视图,ISDNA 540实现了工业网络可编程性。这些实体一起形成整体SDA应用视图。现在将参考图7C-7E详细描述ISDNA的架构及其一些组件。
图7C是示出根据一些实施例的ISDNA架构的框图。ISDNA 740经由ISDNA API 740a提供一致的工业网络接口,以面向其北侧的SDA应用开发人员。在其南侧,ISDNA 740面向控制平面715中的SDN控制器。如图所示,ISDNA 740可以包括若干网络服务,诸如CS服务740b、拓扑服务740c和雾管理服务740d。这些网络服务负责基于特定服务视图的网络编排和统计信息收集。拓扑服务740c提供关于物理和逻辑网络拓扑的信息。CS服务740b提供与CS编排器(也称为CS应用)的接口(例如,图5B中的CS编排545)。雾管理服务740d提供与雾编排器(也称为雾管理应用)的接口(例如,图5B中的雾编排535)。
ISDNA 740还包括若干代理,诸如SDN控制器代理740e、SDN设备代理740f和虚拟化代理740g。SDN控制器代理740e实现特定于控制平面715中的SDN控制器的接口。例如,如果SDN控制器是ODL控制器,则SDN控制器代理740e是ODL控制器代理。类似地,如果SDN控制器是ONOS控制器,则SDN控制器代理740e是ONOS控制器代理。虚拟化代理740g实现特定于虚拟化平台的接口。另一方面,SDN设备代理74实现到基础设施平面720中的网络设备的接口。在一些实施例中,SDN设备代理740f是用于直接支持与SDN控制器不兼容的传统设备的可选接口。SDN设备代理740f提供南向接口以使得能够控制和配置目标设备。目标设备的非限制性示例包括可以使用工业协议(诸如但不限于Modbus和EtherNet/IP(EIP))来控制和配置的设备。在其它实施例中,代替SDN设备代理740f,作为SDN控制器的南向接口的工业协议的集成可以支持传统设备。
参考图7D,描绘了拓扑服务740c的示例架构。拓扑服务740c的主要功能之一是发现网络上的设备。为了发现和识别设备,拓扑服务740c与SDN控制器、雾控制器和CS控制器(例如,图5B中的组件555、550和560)交互。发现过程可以包括发现各种方面,包括连接、设备标识、网络标识、通信标识等。
例如,拓扑服务740c与SDN控制器接口以确定物理和逻辑连接(例如,分别经由物理网络管理781和逻辑网络管理782)。对于设备标识,拓扑服务740c可以与SDN控制器代理740e、SDA编排器、雾管理服务74od和/或CS管理服务740b接口。例如,从SDN控制器代理740e,拓扑服务740c可以获取网络设备能力。从SDA编排器,雾管理服务740d和CS管理服务740b,拓扑服务740c可以获取标识在网络上发现的设备的信息。
对于网络标识,拓扑服务740c可以与SDN控制器代理740e和SDA编排器接口。具体地,从SDN控制器代理740e,拓扑服务740c可以识别网络分段技术和现有网络分段。从SDA或雾编排器,拓扑服务740c可以识别与工业功能或应用的SDA分组的网络分段关系。例如,一组工业功能可以使用网络的逻辑段或物理段进行通信。拓扑服务740c可以将网络与SDA分组相关联。拓扑服务740c还可以识别可用的通信协议(例如,从参考图11A和13A描述的分析应用,或者根据检查通信流)、各个通信流或流(例如,经由通信管理器783)。
拓扑服务740c还可以包括标识网络设备的功能的功能管理器784。网络设备可以按功能分开或分组。例如,一些与控制功能相关联,而另一些与生产功能相关联。考虑水泥混合系统,其具有测量湿度、流体性、旋转速度、温度和/或其它参数的传感器系统。如果没有功能管理,水泥混合系统可以因任何原因停止,诸如当一盏灯熄灭、或者控制器停止工作,使整个网络停机并使水泥混合物凝固。因此,信息不是直接连接,而是通过信息交换786被馈送到以异步方式管理事件的事件队列系统788。
而拓扑发现功能处理当前存在于网络上的设备,拓扑设计功能处理网络中期望和设计的设备。此功能的主要目的是为用户提供创建网络拓扑和修改发现的拓扑的能力。可以从两个角度来看待网络拓扑的创建:物理和逻辑拓扑以及策略控制。物理拓扑或连接是网络上两个节点之间的实际链接。可以在任何类型的节点之间建立这种连接;节点是端节点或基础设施节点。在一些实施例中,拓扑设计功能可以识别可用于工业应用的网络设备,向工业应用提供所发现设备的网络能力,与雾管理服务740d接口以预备NFV,与SDN控制器接口以创建网络分段,为底层(Underlay)网络设计暴露API,为覆盖(Overlay)网络设计暴露API等。
参考图7E,SDN控制器代理740e实现ISDNA 740和SDN控制器755之间的通信。SDN控制器代理740e与北向的ISDNA API(ISDNA API to the north)接口,并与南向的SDN控制器755(SDN controller 755 to the south)接口。ISDNA架构是SDN控制器不可知的,即,它允许经由为该SDN控制器部署控制器代理插件740e来使用任何SDN控制器。例如,如果在网络中部署ODL控制器,则可以在ISDNA中部署ODL控制器代理以使ISDNA能够与ODL控制器接口。SDN控制器代理740e可以转换来自拓扑服务740c的信息,例如,用于SDN控制器以使得SDN控制器可以添加设备、移除设备、替换设备等。在一些实施例中,SDN控制器代理740e可以包括具有拓扑管理API 789a、设备事件处理789b和网络策略管理789c的控制代理789。网络策略管理789c可以转换用于SDN控制器755的网络安全要求。这种转换的策略的一个示例是:仅允许YouTube访问连接到端口1的任何设备。
设备事件处理组件789b可以将事件从SDN控制器755推送到ISDNA 740e的其它组件。例如,SDN控制器755可以检测链路丢失事件,并且该事件可以由设备事件处理组件789b处理。可以经由拓扑管理API 789a获得(例如,关于事件的)更多信息。在任何情况下,事件都被传递到拓扑服务740c。然后,拓扑服务740c可以从物理到逻辑确定物理连接丢失的位置并在各种平面中生成消息。例如,拓扑服务740c可以确定物理连接丢失的位置并且例如经由SDN设备代理在基础设施平面中生成消息。类似地,它可以确定逻辑连接断开的位置并且例如经由SDN控制器代理740e在控制平面中生成消息。传递到应用平面时的信息可以例如导致冗余发生。因此,如图5B所示,信息573可以从基础设施平面520通过各个层传播到应用平面505,而编排574从应用平面525向下传播到基础设施平面520。而编排574从应用平面525向下传播到基础设施平面520。
VI、层6:SDA编排
参考图5B,SDA编排组件530是统一软件,其位于层5的ISDNA 540、雾编排器535和CS编排器545之上,并且通过向北暴露API以与工业应用525接口来隐藏这些组件背后的复杂性。
VII、层7:工业应用
工业应用525位于SDA编排器535之上。用户从应用的角度工作,并且因此以应用的本机语言而不是网络语言描述他们想要构建的系统。这些工业应用利用SDA编排器暴露的API将他们的需求传送给SDA编排器530,以便编排在控制平面515中的控制元素。
5、工业SDA系统设计架构
图5C是示出工业SDA系统设计架构的示例的框图。在设计架构图中,用户利用软件在应用平面505中创建工业应用525。这样的工业应用525可以包括功能或一组功能,并且不是以网络语言创建,而是以编程语言创建,编程语言是软件应用的原生代码(例如,PLC编程语言)。举例来说,用户可以使用一个或多个软件应用创建传送带应用,定义传送带工作所需的各种组件,诸如PLC、马达、开关、运动传感器、视觉信号等。
(例如,经由API)与工业应用525接口的SDA编排器530提供必要的抽象以隐藏平台平面510和控制平面515的组件的编排细节以简化应用开发。换句话说,用户可以创建传送带应用,而无需知道底层和组件的细节的情况,无需单独访问和编程控制器或基础设施设备中的每一个,并且无需仔细规划在何处以及如何将基础设施设备连接到现有网络。SDA编排器530与ISDNA540、雾管理编排器535和CS编排器545一起通过建议物理和逻辑网络连接并实现CS特征和策略来简化传送带应用创建过程以创建隔离逻辑单元,以用于诊断、控制、防火墙等。具体地,耦合到雾控制器550的雾管理编排器535可以编排雾服务器中的一个或多个计算节点中的虚拟化元素的创建。耦合到CS控制器560的CS编排器545可以编排CS控制器560以实现网络安全策略。对于SDN,ISDNA 540、SDN控制器555和虚拟化元素565、基础设施设备570和工业设备575之间的功能和关系是主要关注的问题。经由北向接口584与SDN控制器555接口的ISDNA 540编排SDN控制器555以建议通信路径,该通信路径可以基于用户定义的准则,诸如负载、底层基础设施的能力、时间灵敏度等。SDN控制器555经由南向接口585与虚拟化元素565,基础设施设备570和/或工业设备575交互,以定义基础设施平面520中的每个设备可以采用的通信路径。
6、工业SDN架构的示例性用例
工业SDN架构包括ISDNA,其满足在工业环境中的各种需求,并向工业用户提供网络的最终控制和理解(这在传统网络架构或SDN网络架构中不可能提供)。换句话说,使用基于ISDNA的架构,网络变得可供用户使用。因此,网络在运行时可能变得无关紧要,而在不运行时则变得透明。用于实现工业SDN架构的示例性用例之一是从工业应用的角度简化预备和调试过程,即,使用户能够“安全地连接任何地方的任何东西”。
I.安全和快速预备和调试
现有的工业环境,预备和调试设备是一个复杂的过程。人们不能简单地将设备连接到任何地方并期望它能够正常运行。工业网络具有众多连接规则(拓扑)、系统约束、网络协议约束等。除了现有的网络复杂性之外,作为SDA的基本部分的虚拟化增加了这种复杂性。通过真实和虚拟设备及其互补的真实和虚拟网络的组合,形成如图6D所示的新的网络域。如图所示,工业SDN控制域包括其中托管包括虚拟化设备的虚拟环境679的雾654、和包括工业设备、计算系统等的基础设施环境678。
考虑其中用户具有工业设备的场景,该工业设备需要部署在工厂中以执行特定工业功能。可以在该过程附近或在一定距离处部署该特定设备,这取决于工厂布局。为了基于工业SDN架构将其连接到网络,用户不需要知道确切的拓扑或网络配置。用户可以简单地使用以太网电缆并将设备连接到期望物理位置的第一个可用交换机端口。作为执行该简单行为的结果,可以在工业SDN网络中启动以下操作中的一个或多个:
(i)SDA系统(例如,经由ISDNA)确定物理位置是否适合于设备的连接。
(ii)SDA系统(例如,经由ISDNA)确定是否允许连接的设备参与网络。
(iii)SDA系统(例如,经由ISDNA)确定设备的类型、其能力和特定的工业功能。
(iv)SDA系统(例如,经由ISDNA)预备到设备所需的所有资源(诸如存储、I/O点、其它对等设备等)的网络路径。
一旦上述步骤完成,可以认为该设备已完全预备并准备好进行调试阶段。应当注意的是,设备的预备状态和调试状态之间存在实质性的区别。在最简单的意义上,预备后的设备准备好执行应用,而调试后的设备被授权开始执行应用。当设备开始应用执行时,设备被认为是可操作的。
图8是示出根据一些实施例的工业SDN网络中的设备的快速并安全预备的数据流图。
当新的工业设备875c首次连接到本公开的工业SDN网络(例如,以太网网络),它广播地址解析协议(address resolution protocol,ARP)请求。网络中的每个单个基础设施设备(例如,814)由SDN控制器855编程以将未知源的ARP分组重定向到SDN控制器855。因此,来自要预备的工业设备875c的ARP分组也被重定向到SDN控制器855。SDN控制器855的下一步是确定是否允许工业设备875c与网络中的任何其它设备或资源通信。为了做出该确定,SDN控制器855将从ARP请求中提取的关于工业设备875c的信息(例如,其MAC地址、IP地址和/或封装在ARP请求中的任何其它信息)传递给ISDNA 840(例如,经由图7C中的SDN控制器代理740e)。在一些实施例中,ISDNA 840又可以请求SDA编排器识别工业设备和适用于工业设备的相关网络安全策略。具体地,SDA编排器830可以从CS编排器845/CS控制器860获得用于预备工业设备875c的相关策略。例如,这样的策略可能要求工业设备875c由认证服务865a认证。例如,由CS控制器860控制的认证服务865a可以驻留在雾服务器的物理计算节点上。认证服务865a可以实现访问控制列表(ACL)或任何其它认证方法,其中访问控制列表(ACL)是用于网络中允许的白名单设备的方法。基于SDA编排器830(例如,经由ISDNA)提供的信息的SDN控制器855创建从工业设备875c到认证服务865a的网络路径。所以,当工业设备875c发送另一个ARP请求时,该请求遍历所提供的网络路径到认证服务865a。认证服务865a确定工业设备875c是否被授权参与网络以及工业设备875c被允许在网络中做什么。如果认证服务865a确定允许工业设备875c参与网络,则它可以访问由客户配置的设备数据库,以用于存储各种类型的设备、它们如何组合在一起、能力、工业功能、协议、询问(interrogation)程序等。来自这种数据库的信息可以用于询问和识别工业设备875c和/或确定工业设备875c所需的资源。
例如,认证服务865a可以根据收集的信息(例如,从设备数据库收集的来自设备询问的信息)确定工业设备875c需要与“组A”中的所有设备通信。在图8的示例图中,PLC1是设备875a,其是工业设备875c想要与之通信的组A的一部分。认证服务865a将与工业设备875c相关联的该访问配置信息提供给CS控制器860(例如,经由API)。SDN控制器855基于访问配置信息,预备从工业设备875c到PLC1 875a的路径“P1”。如果认证服务865a允许(例如,基于CS策略),则也可以由SDN控制器855预备从PLC1 875a到工业设备875c的路径(P1’)。因此,工业设备875c和PLC1 875a可以经由由SDN控制器855预备的路径P1和P1’进行双向通信。
假设PLC2 875b也属于组A,但与PLC1 875a处于不同的网段。SDN控制器855可以对基础设施设备814进行编程以预备从工业设备875c到PLC2 875b的路径P2、以及从PLC2875b到工业设备875c的路径P2’。应当注意,前向路径和返回路径可以相同或不同。在某些情况下,通信可以是单向的。
在一些实施例中,工业设备875c可能需要外部存储。工业设备875c可以请求这样的存储,或者可以在策略中指定要求。该请求可以由SDA编排器830处理,或者经由设备配置服务来处理。最终,雾控制器850实例化一个或多个计算节点中的存储节点,并且向SDN控制器855通知存储节点的位置。SDN控制器855又提供从工业设备875c到存储节点的网络路径,以使工业设备875c能够连接到存储节点来存储/检索数据(例如,配置信息、应用数据等)。
在一些实施例中,SDN控制器855可基于提供基于QoS要求的路径。例如,SDN控制器855可以将来自工业设备875c的流量识别为“MODBUS”。然后,SDN控制器855可以为MODBUS流量应用网络策略(例如,存储在网络策略数据库中)。在图8中,假设P1/P1’和P2/P2’是由SDN控制器855提供的用于MODBUS流量的路径。SERCOS是具有严格时序要求的高速协议。SERCOS流量的网络策略可以命令SDN控制器855提供不允许其它流量的新路径。在图8中,P3/P3’可以是SDN控制器855为SERCOS流量提供的路径。
一旦新的工业设备875c已经完成所有检查并且可以访问其需要完全操作的所有资源(例如,应用被加载),则认为预备和调试过程完成。与预备和调试过程相比,去调试(decommissioning)过程涉及禁用两点之间的通信。去调试过程可以通过用户指令、网络安全策略改变、故障的自动检测、路径的重新优化的机会等来启动。例如,主动监视网络的分析应用(例如,图11A中的分析应用1129、图13A中的分析应用1320)可以确定经由路径A的通信不满足QoS要求(例如,延迟太高),然后SDN控制器可以禁用路径A并提供满足QoS要求的新的路径B。
7、在工业SDN中创建和部署工业应用
包括ISDNA和其它编排器的工业SDN架构的优点之一是工业应用(或SDA应用)创建过程的简化而不受网络设计约束的负担。在此应用创建过程中,应用设计人员无需关心网络详细信息或网络含义。在一些实施例中,ISDNA和其它编排器可以创建工业应用并且仅基于所需功能或功能设计使其部署就绪。在其它实施例中,例如,与网络要求或特征有关的用户输入也可以用于创建工业应用。
图9A是示出根据一些实施例的示例性工业应用的创建的框图。应当注意,示例性应用仅用于说明目的;实际工业应用通常更复杂。示例性应用是传送带应用,具有用于停止和启动、故障检测和简单的项目计数器的选项。作为前几个步骤,用户可以使用设计应用创建所需的功能组件。在一些实施例中,可以利用多个应用来创建传送带应用(例如,Unity软件,用于与Wonderware(SCADA系统)软件协作来提供控制器的功能以可视化和控制系统)。这样的应用可以经由系统软件或自动化门户(例如,系统软件434)访问。例如,用户可以创建传送带单元902和致动器元素904。在功能设计中创建致动器元素或任何其它元素可以例如,需要经由设计应用从可用的选择列表中选择致动器元素,并将所选择的致动器元素拖放到设计应用的工作区域上。用户还可以给致动器元素标识(例如,名称:MAINMOTOR、序列号:SCH90045)并将其分配给功能组(例如,组:G_CONVEYORBELT)。用户可以创建诊断元素906A、906B:并给每个提供标识(例如,名称:MAINMOTORALARM1)、序列号:SCH70100),并且将每个分配给功能组(例如,组:G_CONVEYORBELT)。用户还可以创建控制元素908,并给它一个标识(例如,名称:MAIN MOTOR CONTROL SWITCH、序列号:SCH6099)并将其分配给组(例如,组:G_CONVEYORBELT)。用户可以将这些元素连接在一起(例如,通过绘制连接线),从而得到图9B中所示的功能视图901。在该视图中,人可以使用控制元素908(例如,开关)来打开/关闭启动/停止传送带902的致动器元素904(例如,马达)。此外,诊断元素906B(例如,传感器)可以计算传送带902上的包装的数量。并且最后,连接到致动器元素904的诊断元素906A(例如,诊断灯)可以通过从绿色变为红色来指示问题。
考虑到在图9B中描绘的基于连接的功能视图901,SDA系统可以建议创建和部署如图9A所示的传送带所需的其它元素。例如,SDA系统可以建议用户组912(例如,用于应用控制、维护和管理)(名称:CONVEYORBELTPERSONNELPC、组:G_CONVEYORBELT)、冗余应用控制器914(名称:CONVEYORBELTPLC、序列号:SCH10001、组:G_CONVEYORBELT)、致动器控制器916(名称:CONVEYOR BELT MOTOR CONTROLLER、序列号:SCH30077、组:G_CONVEYORBELT)和诊断控制器918(名称:MAIN ALARM CONTROLLER、序列号:SCH40066、组:G_CONVEYORBELT)。在一些实施例中,SDA系统可以基于用户提供的信息以及关于存储在一个或多个数据库中的规则和关联、用户简档、设备简档等的信息来做出这些建议。例如,当用户选择马达时,SDA系统可以自动检索马达控制器的目录并建议满足用户/设计准则的电动机控制器。在一些实施例中,规则和关联可以从过去的设计导出或学习、和/或为每个工业应用指定。SDA系统还可以经由如图所示的一个或多个工业协议建议最佳连接。图9C描绘了基于流量的连接视图903,其示出了使用EIP和MB/TCP协议的PC912、冗余应用控制器914、致动器控制器916、诊断控制器918之间的最佳连接。在一些实施例中,SDA系统可以基于诸如设备能力、端口的数量/类型、规则等信息来建议最佳连接。
在资产和各种控制器连接后,SDA系统带来了网络连接方面。来自基于功能的连接视图901和基于流量的连接视图903的信息可以用作生成如图9D所示的物理连接的输入。为了生成物理连接,SDA系统(例如,经由ISDNA)可以实例化诸如DNS服务器926和路由器928的网络元素。SDA系统(例如,经由ISDNA)还可以建议网络拓扑(例如,冗余物理拓扑)。在一些实施例中,SDA系统可以基于所选设备的能力、成本、规则和/或其它准则来建议物理连接和网络拓扑。然后,SDA系统可以根据成本和/或其它准则以拓扑(例如,环路或网状)连接网络元素。得到的物理连接视图907描绘了以网状拓扑连接的三个路由器。
在接受所建议的物理连接时,SDA系统(例如,经由ISDNA)可以建议逻辑连接。逻辑连接可以与网络安全功能和策略(诸如逻辑单元的隔离(例如,隔离诊断与控制)、防火墙等)集成。逻辑连接也可以基于用户输入。例如,用户可以经由工业应用请求防火墙、DNS、NAT和虚拟交换机以将两个VLAN组合在一起。雾控制器可以实例化雾服务器中的防火墙,并通知ISDNA防火墙所在的位置(例如,经由IP地址)并实施要求所有流量通过防火墙的网络安全策略。图9E中描绘的逻辑连接视图909示出了两个隔离的控制域:用于控制的VLAN1和用于生产的VLAN2。与物理连接视图相比,此逻辑连接视图更简单、更易于理解。
至此,SDA系统(经由ISDNA)可以基于负载、底层基础设施的能力、时间敏感性和任何用户定义的准则建议通信路径,同时底层物理基础设施被完全抽象化。例如,在图9C中描绘的基于流量的连接视图903中,致动器控制器916可以通过EIP协议与冗余应用控制器914通信。类似地,冗余应用控制器914可以通过ModbusTCP(MB/TCP)与诊断控制器918通信。基于来自基于流量的连接视图的该信息,SDN控制器可以预备仅允许MB/TCP流量的从冗余应用控制器914到诊断控制器918的路径。以这种方式,SDA系统确保与协议兼容。
至此,SDA/SDN集成工业功能设计被认为是完整的。图9F示出了对应于传送带应用的功能901、流量903、逻辑909和物理907连接视图。
8、工业SDN的功能视图
工业网络有许多不同的用户。每个网络用户在组织内具有不同的功能,并且每个功能对网络具有不同的感知以及对不同级别或类型的信息的需求。基于典型的工业组织结构,下面的表2根据其功能及其与网络相关的合理兴趣列出了人员组。
表2人员组和兴趣的网络方面
基于这些人员组,ISDNA可以被划分为五个网络视图或平面,如图10的功能性工业SDN图中所描绘的,每个视图传输适合于特定组的兴趣的级别的信息。在该图中,业务视图1011以管理人员1014为目标,以使用户能够监视网络事件对业务的影响。功能连接视图1001以操作人员1016为目标,以使用户能够管理工业功能。基于流量的连接视图1003以安全人员1018和工程人员1022为目标,以使用户能够管理通信策略、监视使用、通信运行状况(health)等。例如,逻辑连接视图1009还以安全人员1018和工程人员1022为目标,以使用户能够管理逻辑网络分段连接和策略。最后,物理连接视图1007以安全人员1018、工程人员1022和维护人员1024为目标,以使用户能够管理物理网络连接和策略。
9、操作的工业SDN的监视和维护
一旦执行了预备和调试,就可以监视操作的工业网络,并且可以响应于监视数据采取各种行为。在一些实施例中,可以通过操作的工业SDN的各种组件以分布式方式执行监视。例如,参考图11A,控制平面1115中的SDN控制器1155可以包括数据收集模块H55e作为应用1155b。经由ISDNA 1140编程的数据收集模块H55e可以通过网络设置路径以监听基础设施平面1120中正在向其转发的网络设备。例如,如果设备A和B经由具有10个交换机的网络路径进行通信。SDN控制器1155(经由数据收集模块H55e)可以配置那些交换机(例如,每个交换机或交换机3和10)来将它们接收的分组复制并转发到收集代理1127。在一些实施例中,收集代理1127可以是逻辑上集中的数据存储(即,在某些情况下可以物理分布),其中该数据存储是用于监视从基础设施平面1120中的设备收集的数据的储存库。最终,分析应用1129可以从收集代理1127接收或检索监视数据以执行各种分析,包括生成与在下面详细描述的每个网络级别操作的用户相关的网络级特定信息所需的分析。参考图13A详细描述分析应用。
在一些实施例中,SDN控制器/ISDNA可以监视从物理级别到功能级别的所有级别的网络。然而,系统生成的、必须处理的信息量可能会非常大,这可能会妨碍及时的响应。例如,如果有大量信息要处理,系统可能无法及时诊断故障(例如,发生了什么或故障发生在哪里)。此外,来自监视和处理的信息不一定对所有人员组都有用。例如,考虑一个场景,在这个场景中,司机撞到了电缆穿过的柱子,导致电缆被切断。在冗余系统中,生产不会停止,即传送带保持运行。对于工程师来说,“端口1的连接丢失”信息可能就足够了。然而,对于可能看不到任何明显迹象的操作人员或管理人员来说,相同的信息可能没有任何意义。在一些实施例中,ISDNA可以通过提供针对目标人员组定制的足够详细的信息来解决这个问题。
在一些实施例中,工业应用开发人员可以具有对从所有级别的网络的监视中检测到的各种网络事件(诸如ART退化、连接丢失、安全漏洞等)的直接可编程访问。例如,考虑包括应用处理时间(application processing time,APT)和网络转换时间(networktransition time,NTT)的ART的监视示例。当网络拥塞时,SDN控制器可以检测到导致ART的退化的业务吞吐量的降低。ISDNA可以监视ART并检测其退化。工业应用开发人员可以经由ISDNA对SDN控制器进行编程,以通过较少负载的路径重定向流量来响应ART退化,从而有助于恢复退化的ART。通过另一个例子,考虑网络入侵,其中突然断开端口并在其上显示另一个设备并且开始使用未知协议进行通信。监视网络所有级别的ISDNA可以检测端口的断开和未知协议的消息。工业应用开发人员可以经由ISDNA对SDN控制器进行编程,以实现准备好的安全计划。这样的计划可能需要例如将来自可疑设备的流量路由到伪网络(安全陷阱或蜜罐),从而将入侵与实际网络隔离。工业应用开发人员可以通过ISDNA对SDN控制器进行编程,以实现准备好的安全计划。这样的计划可能需要例如将来自可疑设备的流量路由到伪网络(安全陷阱或蜜罐),从而将入侵与实际网络隔离。工业应用开发人员可以通过ISDNA对SDN控制器进行编程,以实现准备好的安全计划。这样的计划可能需要例如将来自可疑设备的流量路由到伪网络(安全陷阱或蜜罐(honey pot)),从而将入侵与实际网络隔离。
ISDNA具有网络的中心视图并且知道网络中发生的网络事件。参考图11B、11C和11D,这意味着ISDNA正在监视物理级别、逻辑级别、流量级别和功能级别的网络,并且可以将在一个级别发生的事件与在其它级别的变化相关联。
在一些实施例中,在物理层1109,ISDNA可以:
·监视网络统计,诸如每端口带宽利用率、网络带宽利用率、吞吐量等;
·获取设备特定信息,例如物理位置、功率使用等;
·确定设备之间的物理距离(例如,用于可视化和材料估算方程);
·发现网络连接和设备能力;
·监视网络连接;
·监视物理连接,诸如端口链路状态、连接速度等;
·监视逻辑连接;
·创建和实施连接策略;
·关联网络事件并将其传播给查看适当的详细信息的用户。
例如,如图11B所示,当单个物理链路发生故障导致端口1处的连接丢失时,ISDNA可以将连接丢失网络事件1123与可用的其它网络级别信息(例如,来自上面的列表)相关联,以确定与在此级别操作的用户(例如,工程安全、维护安全和/或安全人员)相关的物理连接视图信息(诸如网络事件的类型、受影响的设备和受影响的设备的位置)。例如,使用与网络事件相关联的物理连接视图信息,维护人员可以采取补救行动(例如,在端口1中插入电缆)以缓解或解决问题。
随着来自该级别的信息被传播到上面的逻辑级别1107,网络协议信息细节可用。在一些实施例中,在逻辑级别1107,ISDNA可以:
·监视网络统计,诸如带宽利用率、网络响应时间;
·发现逻辑网络连接和设备能力;
·监视网络逻辑连接;
·创建和监视连接参数(例如,LA、连接速度和方向、冗余);
·创建和描述网络行为,诸如服务级别网络访问级别控制的质量;
·创建和实施逻辑网络分段;
·创建和实施网络访问策略;
·监视网络技术的配置和运行;
·关联网络事件并将其传播给用户以查看适当的详细信息。
ISDNA可以将逻辑级别1107处可用的信息与从物理级别1109传播的信息相关联,以确定或生成与在该级别操作的用户相关的逻辑连接视图信息1121a。例如,假设图11B的网络基于环型拓扑,ISDNA可以通知工程人员和/或安全人员花费了系统20ms在物理级别1109检测连接丢失网络事件1123a并切换到避免受影响的网络设备的备用路径。
随着信息达到流量级别1103,它开始在传送故障的含义而不是协议细节方面采取更一般的形式。此级别的ISDNA可以:
·监视每个连接的运行状况和状态;
·监视协议统计,诸如PPS/网络响应时间;
·监视设备生成的流量的量和类型;
·发现流量和设备能力(参见分析应用);
·创建和实施通信策略;
·分布式传输(每个通信通道采用通过网络的任意路径);
·聚合传输(两个设备之间的所有通信信道都采用特定路径);
·关联网络事件并将其传播给查看适当的详细信息的用户。
在图11B的示例,ISDNA可以向用户(例如,工程人员和/或安全人员)提供系统正在降低的容错级别(即,容错级别或FTL从0的1下降)上运行的信息1119a。
随着信息达到功能级别1101,故障的解释可以是简单的警告和底层网络的状态。从工业功能的网络角度来看,ISDNA可以:
·发现工业功能;
·管理工业功能-分组、隔离、功能访问控制管理;
·对工业功能建立简档(profile)、创建、删除和修改工业功能(创建和删除修改不是主要的编程接口,而是与全局SDA应用的集成);
·监视连接
·监视通信运行状况
·监视应用响应时间
·创建和实施通信策略
·使用TSN进行基于ART的连接管理
·将网络事件传播给查看适当的详细信息的用户。
在图11B的示例中,ISDNA可以向在该级别操作的用户(例如,操作人员)提供在物理层1109处检测到网络故障而传送带应用仍在运行的操作警告1117a。
最后,信息被传播到业务级别1111,其中业务级别1111呈现所有底层问题的合并视图以形成业务角度(例如,财政损失或收益),其中业务属性被分配给故障完成了整个视图。换句话说,在此最高级别的视图中,来自所有四个ISDNA平面的所有可用信息被合并以伪实时地形成工业过程的财政或业务图像。业务属性的非限制性示例包括:估计的停机时间、维修成本等。
从业务应用的网络角度来看,ISDNA可以使在该级别操作的用户能够:
·分配财政简档给功能、流量或连接;
·从财政角度监视资源运行和维护成本;
·分配成本价值给生产障碍。
在图11B的示例中,ISDNA可以向在该级别操作的用户(例如,管理人员)提供与物理级别1109处的连接丢失事件1123a相关联的成本1113a。例如,在该示例中,估计的维修成本被确定为300美元。并且可以基于维护人员成本/小时*工作小时数(例如,100美元/小时*0.5小时)+材料成本(例如,250美元)。例如,如果网络事件严重到足以导致生产停机,那么成本或损失可以确定如下:每小时生产的单位数量*每单位平均利润*停机时间小时数。应当注意,这些成本计算是示例。与网络事件相关联的成本或损失可以以任何数量的基于业务属性(诸如但不限于:估计的停机时间、维修成本等)的方式计算。
图11C是示出根据一些实施例的通过网状拓扑中配置的操作的工业SDN的各种网络级别的网络故障传播的第二示例的框图。当从设备拉出电缆时,连接丢失网络事件1123b在物理级别1109处发生。关于该网络事件的信息可以与该级别处可用的其它信息相关联,以通知在该级别处操作的用户端口1因为连接丢失事件而被关闭(1123b)。来自该级别的信息可以被传播到下一逻辑级别1107,其中在下一逻辑级别1107来自物理级别1109的信息可以与该级别处可用的信息相关联,以通知在该级别处操作的用户冗余丢失已发生并且系统能够在20ms内恢复(1121b)。然后,逻辑级别处可用的信息可以被传播到流量级别1103,其中在流量级别1103所接收的信息与可用信息相关联,以通知在该级别处操作的用户系统具有容错级别从10降低到1的降低的容错级别(1119b)。在功能级别1101,从流量级别1103传播的信息与可用信息相关联,以生成在物理级别检测到具有低严重性的网络故障的操作员警告(1117b)。在来自所有级别的信息被合并的业务级别1111,可以向用户提供物理级别处的网络故障的财政成本(1113b)。例如,如果系统计划以降低的容错级别(例如,设计为在FTL降至5之前不采取任何行为)运行,则成本可能为0美元。可替换地,如果系统专门设计为以10的FTL运行(即,小于10的FTL可能导致拥塞而增加并影响生产),那么存在与维护人员找到受影响的设备并插入电缆的网络事件相关联的财政成本(例如,300美元)。
图11D是示出根据一些实施例的通过操作的工业SDN的各种网络级别的网络故障传播的第三示例的框图。与图11B和11C的情况一样,在一个级别处检测到的网络事件通过其它级别一直传播到业务级别1117,并且与每个级别处可用的信息相关联以在每个级别处生成与用户在那个级别处操作相关的级别特定的网络事件信息。在该示例中,可以在物理级别1109处检测与端口的激活(1123c)相关的网络事件。可替换地,可以在流量级别1103处检测与来自设备的不规则流量图案(1119c)相关的网络事件。两个网络事件都表示未授权的入侵或网络攻击。在一些实施例中,可以经由ISDNA配置SDN控制器,以在未授权的入侵的情况下实现准备好的安全计划。例如,这样的计划可能需要将来自可疑设备的流量路由到虚假网络(安全陷阱或蜜罐),从而将入侵与实际网络隔离开来。如果安全计划被成功激活,则ISDNA可以将该网络事件(1119c或1123c)转换为逻辑级别特定的网络信息,该信息通知在逻辑级别1107处操作的用户通过激活安全计划处理了网络事件(1121c)。在一些情况下,可以通过去激活与网络事件相关联的端口来处理网络攻击,在这种情况下,逻辑级别特定的网络信息将通知用户相同的网络事件。同样的,ISDNA可以将相同的网络事件转换为功能级别特定的网络信息,以通知在功能级别1101处操作的用户系统正在正常运行但是存在未授权的活动(1117c)。可替换地,在补救措施生效之前,未授权的入侵可能会导致一些临时功能丧失。在这种情况下,可以通知用户在临时功能丢失之后系统正常运行(1117c)。最后,在业务级别1111处,ISDNA可以确定未授权的活动的成本(1113c)。在此示例中,成本可能在100美元到100,000美元之间(即最小到重大损失)之间的任何数。例如,如果未授权的活动是由于用户从PC访问授权站点,则向用户通知策略的成本将是最小的。但是,如果未授权的活动是由于PC感染了恶意软件,则整个网络可能停机或需要脱机以解决问题。
以这种方式,ISDNA可以通过网络级别传播网络事件,在每个级别将来自那个级别的信息与来自前一级别的信息相关联,以生成和/或选择与在该级别处操作的用户相关的信息。因此,每个级别基于在该级别处操作的用户的技能集提供不同级别的信息。充足的信息流和在适当角度消散意味着用户可以获得与其角色相关的信息,该信息可以帮助迅速做出决策并可以防止更大的问题或财政损失。此外,所有网络视图及其功能级别的组合为用户提供了完整的网络控制和安全感。
应当注意,网络事件可以是在网络中发生的导致或能够导致网络变化的任何事件。这种变化可能是不利的或无意的、或是积极的或有意的。连接丢失和网络攻击只是网络事件的示例。诸如但不限于网络设备故障、未知/不必要的流量的检测等的其它事件也是网络事件。这些网络事件可以导致通用系统降级,并且在业务级别处具有相关成本。网络设备故障本身可能是由于各种原因造成的。例如,一种类型的网络设备故障可能不会在物理级别处的连接丢失中出现,但是其在转发级别发生故障并且可能是响应于其它受影响设备上的通信丢失的反动事件。另一种类型的网络设备故障可能与网络设备对帧的不可控重传有关。再一种类型的网络故障可能与网络的特定区域中检测到不必要的业务有关(例如,由于故障的网络/SDN策略解释)。网络设备故障还可能与未能应用所请求的SDN策略的网络设备相关,或者与部分操作的、在先前配置的策略中转发流量但SDN控制器不可再访问的网络设备相关。导致网络中的积极或有意变化的网络事件的示例是当设备被成功授权参与网络时。
应当注意,术语视图不限于信息的视觉表示。它可以包括易于由软件应用或接口(例如,可视或编程接口、API等)消耗的形式的信息。在一些实施例中,对应于这些ISDNA平面的视图可以以增强现实或介导现实的格式集成。基于视图和感兴趣程度的用户,在集中式SDA应用中收集的信息可以与真实工厂视图交织,这可以改进故障排除、提供即时生产反馈等。
10、作为服务的工厂
通常的工厂建设过程不仅昂贵而且耗时。在建造工厂时,它通常会运行多年,直到遇到一些问题。例如,需要添加另一条生产线、工厂空间太小、工厂需要搬到其它地方等等。无论什么原因,在其它地方建造相同/类似的工厂并不容易,并且通常需要引入外部帮助来从零开始。此外,必须收集各种信息,诸如装置清单、规格、应用、协议等,以帮助进行新的工厂建设。这里描述的工业SDN架构利用工厂作为服务的模型,以实现简单的复制-粘贴-链操作,从而实现基于工业功能链接的工厂设计。智能链接或堆叠可能发生在工业应用的所有层上,其主张是通过重新使用通信的基础设施和逻辑隔离来降低OPEX和CAPEX。
考虑在参考图9A-9F所描述的传送带应用创建过程的示例。此过程生成可以智能地链接到另一个以形成生产组的SDA功能。从抽象的工业功能中创建生产设施被称为“作为服务的工厂”。图12描绘了作为服务的SDA工厂,其中将牛奶加工成冰淇淋并包装并运送到卡车上以进行运送。假设第一个工厂(组1)包括链接到另一个工厂以形成生产组1206A的包装功能1204A(例如,传送带应用)。SDA系统具有关于存储在一个或多个数据存储中的第一个工厂应用的功能、流量、逻辑和物理层的所有信息。在一些实施例中,例如,SDA功能中的每一个可以以模板的形式存储。在其它实施例中,包括链接在一起的SDA功能的整个工厂可以以模板的形式存储。当要创建第二个工厂(组2)时,用户可以在设计应用中简单地拖拽并放置工厂图标或功能图标并将它们链接在一起。例如,如果可以使用更新/改进的控制器,则可以执行替换操作以更新或修改模板。然后,SDA系统可以自动生成底层流量、物理和逻辑连接视图,预备必要的网络路径,调试基础设施和工业设备等,以创建完全运行的工厂。在一些实施例中,除了真实模式之外,SDA系统还可以提供模拟模式。在模拟模式中,SDA功能是虚拟SDA功能(例如,1204、1206),其中所有工业和网络设备是托管在雾服务器或分布式计算环境1202中的虚拟化设备。然后,SDA系统可以使用虚拟SDA功能来模拟整个工业过程。然后,来自模拟的数据可以用于用作生产设施的设计、顺序预备和调试、实时扩展、维护测试、优化等的模拟。在一些实施例中,模拟数据可以用于估计SDA部署的CAPEX(资金支出)和OPEX(运行支出)。
11、工业SDN中的分析应用
图13A是示出工业SDN中的分析应用1329的示例组件的框图。分析应用1329可以是虚拟化的(例如,在雾服务器中或在外部云中),或者可以是物理硬件设备(例如,具有强大的处理能力)。分析应用1329可以从逻辑上集中的收集代理1327访问监视数据,并且实时或伪实时地执行各种分析。仅作为示例而非限制,分析可以用于:
·检测和管理拥塞问题(组合真实网络和虚拟网络的整体实时网络平衡器)
·检测设备的存在(基于通信模式的设备分析)
·确认规则和策略的有效性(检测和管理不需要的流量和允许的流量)
·历史数据,以预测潜在易出故障的通信模式(对应用程序创建的网络谐波、管理数据包的增加、缺少作为故障检测的预测通信做出反应)
·监视通信的运行状况(抖动检测/测量)
·提供工业功能统计和网络分析(作为ART测量的实时分析、故障恢复时间检测)
I、示例情况:拥塞
用户可以检测和管理拥塞问题。拥塞检测可以实现真实网络和虚拟网络相结合的整体实时网络平衡。
分析应用1329的拥塞管理模块1304可以实现示例性拥塞管理解决方案,该解决方案包括在交互式站点中构建所有对象(例如,传感器、机器和计算机)的准确地图,其中线条示出了每个对象如何连接到另一个。图13B中示出的示例性地图描绘了当时恰好正在进行的事件的实时表示。在示例性地图中,实线单线描绘了对象之间的正向通信,实线双线描绘了此时未使用的工作连接,并且虚线描绘了无法正常工作的通信。
如果由于某种原因,制造已经停止,构建管理可以检查该地图并准确地指向有故障的设备,而不是玩猜谜游戏。以这种方式,可以更有效和快速地解决问题。此外,每个对象(例如,产品或设备)效率不适用于所有其它对象,而是仅适用于一些实施例中的某些其它对象。因此,当对象不能正常工作时,该对象只能警告需要被通知的对象。通知的一些示例可以包括:灯打开/关闭、可以发送自动电话或自动电子邮件。这是监视工业网络的最有效方式。
通过实施用户地图,组织可以监控网络并分析拥塞问题。拥塞问题可以自行解决,因为一旦系统意识到存在问题,它就可以选择最佳选项,并将其从网络中切断或重定向活动以减轻拥挤。可视化模块1302可以呈现用户地图和/或其它图形。
II、示例情况:设备检测
在一些实施例中,可以使用基于通信模式的设备简档分析技术来经由设备检测模块1306来检测设备的存在。
可以实现诸如上述用户地图的用户地图,以使组织能够在任何时间准确地分析正在发生的事情。地图可以描绘每个设备是什么的不同表示。例如,计算机可以具有与手机不同的外观。根据设备简档(即计算机、手机、HMI设备),协议可以在必要时自动重新配置网络,同时仍保持生产力。例如,最好断开访客的设备(如手机),而不是中断工业流程并失去产品或利润。
在另一种实现方式中,可以重定向手机的流量,以缓解工业过程附近的流量。因为它显示实时数据,所述这是描述性分析的实现。
III、示例性用例:网络使用
在一些实施例中,实时数据和分析可以用来经由网络使用管理模块1308分析网络使用、检测和管理不需要的和允许的流量、并且监视组织的规则和政策等。
组织通常具有由于内容而被阻止的站点。但是,用户仍然可以尝试访问这些站点或其它未列入限制列表的站点。当尝试访问这些站点时,可以向网络管理员或其它人员发送警报以密切关注网络。这使组织能够维护安全的网络。
在一些实施例中,可以实现能够为站点使用指纹的技术。站点可以有不同的指纹,甚至站点内的站点也有多个指纹。例如,Gmail和Google Drive可以有不同的指纹。可以在这些指纹上收集分析并进行分析,以查看人们正在做什么以及人们何时访问这些网站。例如,可以使用对社交媒体的分析来生成表示在网络上访问的应用的图像。气泡越大,访问的越多。这是规范性、预测性、诊断性和描述性分析的实现,因为它将历史数据与实时数据相结合,以分析什么出错(或正确)并决定将来如何做以获得更好的结果。
IV、示例性用例:历史数据
在一些实施例中,历史数据可以经由历史数据分析模块1312进行分析,以预测潜在易出故障的通信模式。该分析可以基于对应用程序创建的网络谐波、管理数据包的增加、缺少作为故障检测的预测通信等做出反应。
例如,站点可以生成数据趋势和预测,并且可以制作示出非常高级别的活动的图。一些示例图可以包括如图13C所示逐月、逐日、逐小时的图。这些图可以描述哪些机器在某些天通信,并检测在周期期间是否似乎出现了某些问题。这些图不仅可用于理解过程,还可用于决定何时安排可以中断过程的替换或其它时间敏感修复。这是预测分析的实现,因为它使用历史数据来更好地预测未来。
存在许多交互式实时图的应用,诸如上面描述的那些。除了管理机器之间的通信之外,这些图还可以用于预测替换以及人员配备趋势。客户可以检查图表、查看通信暂停的时间、或者当月的某些天非常繁忙。使用此信息,用户可以基于特定日的预测的流量的量来配备更少或更多员工。
如果很明显某个传感器或机器似乎在周期中的同一部分期间停止运行,工业可以开始在其停止运行之前的周期中的安静时间期间预先将传感器或机器调换。这将更有效,因为由于设备故障而不需要中断或停止该过程。
V、示例性用例:通信
在一些实施例中,可以监视通信运行状况。例如,可以检测和测量抖动以经由通信运行状况模块1314评估通信的运行状况。这是规范性、预测性,诊断性和描述性分析的实现,因为它将历史数据与实时数据相结合以分析什么出错并决定将来做些什么才能有更好的结果。
VI、示例性用例:实时数据
在一些实施例中,实时分析模块1316可以提供工业功能统计和网络简档信息以供用户查看。实时分析可以包括例如:ART测量、故障恢复时间检测等。这是描述性分析的实现,因为它基于实时数据。
VII、示例性用例:替换
在一些实施例中,替换管理模块1318可以使用分析来确定可以抢先替换哪些产品/设备以避免中断过程。
在一些实施例中,替换管理模块1318可以实现指数降低的概率密度函数(probability desnsity funtion,PDF)。指数函数可以提供用于描述随机变量的模型(例如,灯泡的寿命和多种电子元件)。指数函数也可以用于建模直到某些特定事件发生的时间量。大多数产品具有特定年份的保修,例如,如图13D所示的二十年保修。大约二十年后,生产率将开始下降,并且通过使用指数密度函数,组织可以确定产品何时最有可能出故障,并且他们可以预先替换它。使用二十年作为示例,有太多可用的计算。图2中描绘的表格。图13E示出了一些计算。产品在20年之前停止运行的概率为36%,而在20至30年之间保持运行的概率为14%等。这些数据可以用于通过在特定年份抢先替换产品来评估收益和损失,或者只是让产品运行,可能会中断整个过程并导致整体损失。通过查看历史时间线图,组织可以决定替换产品的最佳时间,这将最小程度地破坏整个过程。
12、示例性方法
将描述在具有图5A-5C中所描述的架构的工业SDN中实现的各种示例性方法。
图14是示出根据一些实施例的用于简化工业领域中的网络基础设施部署和维护的示例性方法的逻辑流程图。在该示例性方法中,在框1402,ISDNA可以接收用于自动化系统部署的至少一个用户定义的通信准则。自动化系统部署可以包括连接到工业SDN的至少第一工业设备和第二工业设备。在一些实施例中,自动化系统部署可以定义工业SDN网络中需要实例化的网络级别服务(例如,防火墙)。在一些实施例中,可以从工业应用接收用户定义的通信准则(例如,在工业SDN架构的应用平面上执行)。用户定义的通信准则的非限制性示例包括负载、服务质量、网络设备能力、时间敏感性等。
在框1404,ISDNA可以与SDN控制器协调,ISDNA通过SDN控制器与SDN控制器代理进行接口,以确定第一和第二工业设备之间的通信路径。在框1404a,可以基于至少一个用户定义的通信准则来确定通信路径。例如,如果工业SDN网络包括网络设备A、B、C、D、E和F,则通信路径可以避开网络设备C和D(因为它们已经处理了大量流量),而选择通过设备A、B、E和F的网络路径。
在框1406,SDN控制器与一个或多个网络设备交互以定义通信路径来实现第一工业设备和第二工业设备之间的通信。与网络设备交互可以包括对网络设备进行编程,例如,安装或更新分组处理规则(或流表)。这使得通信路径中的每个网络设备能够将分组与分组处理规则匹配并执行某些指定的行为。在一些实施例中,通信路径(或网络路径)可以通过虚拟化网络设备。因此,在框1406a,通信路径可以包括真实或虚拟化网络设备。例如,在来自以上示例的网络设备A、B、E和F中,网络设备B可以是虚拟化网络设备。
图15是示出根据一些实施例的用于简化工业网络的管理的示例性方法的逻辑流程图。
在该示例性方法中,在框1502,SDN控制器可以检测工业SDN中新的工业设备的存在。当工业网络中的网络设备没有用于处理来自新的工业设备的消息的规则时,可以由软件定义的网络(SDN)控制器检测工作网络中的新的工业设备的存在。在这种情况下,消息被转发到SDN控制器。在框1504,来自新的工业设备的消息可以被路由到认证服务,其中该认证服务可以确定新的工业设备是否被授权参与工业网络。在一些实施例中,将消息路由到认证服务可以响应于网络安全控制器确定至少一个网络安全策略适用于新的工业设备,并且这样的网络安全策略可能要求认证服务认证新的工业设备。然后,SDN控制器可以预备从新的工业设备到认证服务的网络路径,以使来自新的工业设备的下一消息能够被路由到认证服务。如果在判定框1506处新的工业设备被确定为未被授权参与工业SDN,则在框1508处停止预备过程。然后,新的工业设备将不能与网络中的其它工业设备通信。然而,如果新的工业设备被成功认证,则该方法前进到1510,其中在1510可以确定新的工业设备的属性及其工业功能。
在框1512,SDN控制器可以基于新的工业设备的属性识别新的工业设备执行其工业功能所需的至少一个资源。在框1514,SDN控制器可以向至少一个资源预备网络路径,以使新的工业设备能够在工业网络中执行其工业功能。在一些实施例中,新的工业设备所需的资源可以包括连接到工业网络的一个或多个其它工业设备、或外部存储。例如,如果资源是外部存储,ISDNA可以与虚拟化管理控制器协调以在虚拟化管理平台中实例化存储节点并向SDN控制器提供存储节点的位置,以使SDN控制器能够预备从新的工业设备到提供外部存储的存储节点的新路径。
在一些实施例中,网络路径可以基于至少一个用户定义的准则来提供。用户定义的准则可以包括但不限于:服务质量要求、负载、网络设备能力和时间敏感性要求。
在一些实施例中,去调试事件可以被检测到。如果在判定框1516检测到这样的事件,则SDN控制器可以在框1518对网络路径去调试,并且然后在框1514提供从新的工业设备到资源的新的网络路径。去调试事件的非限制性示例可以包括:用户指令、网络安全策略更新、沿着网络路径自动检测故障、检测重新优化网络路径的机会、负载条件的变化、服务质量的变化、网络事件等。如果在1516处未检测到去调试事件,则在框1520处不采取任何行动。
图16是示出根据一些实施例的用于工业网络的集中管理的示例性方法的逻辑流程图。
在框1602,由平台平面中的ISDNA接收来自应用平面中的工业应用的指令。工业应用经由ISDNA暴露的应用编程接口与ISDNA接口。响应于来自工业应用的指令,在框1604处,ISDNA与平台平面和控制平面中的多个实体协调以按需实例化工业网络中的网络级别服务。在一些实施例中,实例化可以由ISDNA与控制平面中的至少一个软件定义的网络(SDN)控制器协调来执行。平台平面经由应用编程接口通信地耦合到控制平面。
在各种实施例中,网络级别服务可以包括但不限于提供多个数据平面组件中的至少一些数据平面组件之间的连接、网络安全服务、负载平衡器和流量分析器之间的连接。在一些实施例中,在框1606,可以使用网络功能虚拟化按需实例化网络级别服务。ISDNA可以与SDN控制器和虚拟化管理控制器协调,以使用网络功能虚拟化按需实例化网络级别服务。在其它实施例中,在框1608,可以使用服务功能链接按需实例化网络级别服务,其中服务功能链接连接至少两个网络级别服务以实现由网络安全控制器管理的一个或多个网络安全策略。ISDNA可以与至少SDN控制器和网络安全控制器协调,以使用服务功能链接来实例化网络级别服务。网络级别服务的一些非限制性示例可以包括虚拟防火墙、深度包检测(DPI)、负载平衡器、流量分析器、NAT、代理服务、路由等。
图17是示出用于可操作的工业网络的集中监视和报告的示例性方法的逻辑流程图。可操作的工业网络是部署在工业领域中的SDN,并且包括物理级别、逻辑级别、流量级别、功能级别和业务级别。在一些实施例中,在框1702,具有可操作的工业网络的集中视图的ISDNA可以在可操作的工业网络的每个级别处收集和处理网络事件信息。例如,ISDNA监视可操作的工业网络的当前状态并执行收集和处理、传播、生成和提供步骤。在一些实施例中,网络事件信息与ISDNA在一级别处检测到的网络事件相关联。示例包括但不限于:可操作的工业网络的物理级别的连接丢失或对可操作的工业网络的未授权访问。
在框1704,ISDNA可以将每个级别处的网络事件信息中的至少一些网络事件信息传播到后续级别,使得每个后续级别具有从所有先前级别合并的网络事件信息。在框1706,ISDNA可以在每个级别根据该级别处可用的合并的网络事件信息,生成与在该级别处操作的一个或多个用户组的用户相关的、级别特定的网络事件信息。
例如,物理级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:网络统计、设备特定的信息、位置信息、网络连接、物理连接或连接策略。逻辑级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:网络统计、设备特定的信息、逻辑连接、连接参数、网络行为、逻辑网络分段、网络访问策略或配置。类似地,流量级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:连接运行状况、连接状态、协议统计、设备生成的流量的量和类型、流量和设备能力、通信策略或传输类型。功能级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:工业功能、连接、通信运行状况、应用响应时间(ART)或通信策略。最后,业务级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:操作成本、维护成本、与生产障碍相关联的成本、或与网络事件相关联的成本。
在框1708,ISDNA可以向用户提供与用户在可操作的工业网络中操作的级别相对应的级别特定的网络事件信息。在一些实施例中,物理级别与工程用户组、维护用户组和安全用户组的用户相关联,逻辑级别和流量级别各自与工程用户组和安全用户组的用户相关联,功能级别与操作用户组的用户相关联,并且业务级别与管理用户组的用户相关联。
13、进一步实施例
下面是根据本公开的基于工业SDN架构和/或用工业SDN架构部署的SDA系统的进一步的实施例的列表。
实施例1:一种用于工业网络的集中和简化管理的工业网络架构,包括:
基础设施平面,包括连接到工业网络的物理设备和虚拟设备;
控制平面,包括用于控制和管理基础设施平面中的物理设备和虚拟设备多个控制器,多个逻辑集中控制器包括网络控制器、虚拟化管理控制器和网络安全控制器;
应用平面,包括一个或多个最终用户工业应用;以及
平台平面,包括软件服务和应用编程接口(API)的集合,用于定义到应用平面到北和控制平面到南的通信接口以在应用平面中提供工业应用来可编程地访问控制平面中的多个控制器中的一个或多个控制器,以用于工业网络的简化和集中管理。
实施例2:如实施例1所描述的工业网络架构,其中网络安全控制器通信地耦合到网络控制器和虚拟化管理控制器,其中网络安全控制器通过网络控制器控制基础设施平面中的物理设备和虚拟设备所处理的通信的可访问性、使用和内容。
实施例3:如实施例1所描述的工业网络架构,其中,平台平面中的服务集合包括工业软件定义的网络应用(ISDNA)、虚拟化管理服务和网络安全服务,其中ISDNA通信地耦合到虚拟化管理服务和网络安全服务两者。
实施例4:如实施例3所描述的工业网络架构,其中,平台平面的ISDNA、虚拟化管理服务和网络安全服务分别耦合到控制平面的网络控制器、虚拟化管理控制器和网络安全控制器。
实施例5:如实施例1所描述的工业网络架构,其中,工业网络包括真实网络和虚拟网络,并且其中真实网络由网络控制器控制,而虚拟网络由虚拟化管理控制器控制,网络控制器通信耦合到虚拟化管理控制器。
实施例6:如实施例3所描述的工业网络架构,其中,ISDNA能够经由用于网络控制器的网络控制器代理与任何网络控制器接口。
实施例7:如实施例6所描述的工业网络架构,其中,ISDNA包括与基础设施平面中的传统网络设备接口的设备代理。
实施例8:如实施例1所描述的工业网络架构,其中工业网络的简化和集中管理包括连接到工业网络的设备的安全和快速预备。
实施例9:如实施例8所描述的工业网络架构,其中安全和快速预备包括:
通过认证服务确定连接到工业网络的设备被授权参与工业网络;
确定设备的属性;
基于设备的属性识别设备执行其工业功能所需的资源;
为所识别的资源预备网络路径,以使设备能够访问资源。
实施方式10:如实施例9所描述的工业网络架构,其中,设备的属性包括设备类型、设备能力和设备的工业功能。
实施例11:一种用于工业网络的集中管理的系统,包括:
平台平面组件,提供到工业应用的接口,平台平面组件包括工业软件定义的网络应用(ISDNA);
控制平面组件,经由应用编程接口耦合到平台平面组件,控制平面组件耦合到其它控制平面组件,其中控制平面组件包括软件定义的网络(SDN)控制器,并且所述其它控制平面组件包括虚拟化管理控制器和网络安全控制器;并且
其中,响应于来自工业应用的输入,ISDNA与至少SDN控制器协调来按需实例化工业网络中的一个或多个网络级别服务。
实施例12:如实施例11所描述的系统,还包括:
多个数据平面组件,包括真实或虚拟化网络设备和工业设备,其中虚拟化网络设备和工业设备在分布式计算环境上执行,其中多个数据平面组件经由应用编程接口与SDN控制器连接。
实施例13:如实施例12所描述的系统,其中一个或多个网络级别服务包括提供多个数据平面组件中的至少一些数据平面组件之间的连接。
实施例14:如实施例12所描述的系统,其中控制平面组件中的每一个是在分布式计算环境上执行的逻辑集中实体。
实施例15:如实施例11所描述的系统,其中,一个或多个网络级别服务包括网络安全服务、负载平衡器、或流量分析器。
实施例16:如实施例11所描述的系统,其中,一个或多个网络级别服务是使用网络功能的虚拟化按需实例化的。
实施例17:如实施例16所描述的系统,其中所述一个或多个网络级别服务由ISDNA与SDN控制器和虚拟化管理控制器协调来实例化。
实施例18:如实施例11所描述的系统,其中,一个或多个网络级别服务由ISDNA与至少SDN控制器和网络安全控制器协调来实例化。
实施例19:如实施例18所描述的系统,其中按需实例化一个或多个网络级别服务包括使用服务功能链接来连接至少两个网络级别服务以实现由网络安全控制器管理的一个或多个网络安全策略。
实施例20:如实施例11所描述的系统,其中,一个或多个网络级别服务包括部署在工业网络中的虚拟防火墙,并且其中SDN控制器基于由网络安全控制器定义的一个或多个网络安全策略,通过虚拟防火墙定向与一个或多个准则匹配的流量以用于处理。
实施例21:如实施例11所描述的系统,其中按需实例化工业网络中的一个或多个网络级别服务包括ISDNP、SDN控制器、虚拟化管理控制器和网络安全控制器之间的协调。
实施例22:一种用于简化工业领域中网络基础设施部署和维护的方法,包括:
通过工业软件定义的网络应用(ISDNA)接收用于自动化系统部署的至少一个用户定义的通信准则,用户定义的通信准则从工业应用接收,其中自动化系统部署包括连接到工业软件定义的网络(SDN)的至少第一工业设备和第二工业设备;
与SDN控制器协调以确定自动化系统部署的第一工业设备和第二工业设备之间的通信路径,该通信路径是基于至少一个用户定义的通信准则确定的;
与一个或多个网络设备交互以定义用于实现第一工业设备和第二工业设备之间的通信的通信路径。
实施例23:如实施例22所描述的方法,其中至少一个用户定义的通信准则包括负载、服务质量、网络设备能力或时间敏感性。
实施例24:如实施例22所描述的方法,其中通信路径通过在虚拟化平台中的一个或多个计算节点中执行的至少一个虚拟化网络设备。
实施例25:如实施例22所描述的方法,其中ISDNA经由SDN控制器代理与SDN控制器接口。
实施例26:一种用于简化工业网络的管理的方法,包括:
检测工业网络中新的工业设备的存在;
通过认证服务确定新的工业设备被授权参与工业网络;
确定新的工业设备的属性及其工业功能;
基于新的工业设备的属性识别新的工业设备执行其工业功能所需的至少一个资源;
预备到所述至少一个资源的网络路径,以使新的工业设备能够在工业网络中执行其工业功能。
实施例27:如实施例26所描述的方法,其中当工业网络中的网络设备不具有用于处理来自新的工业设备的消息的规则时,由软件定义的网络(SDN)控制器检测工业网络中新的工业设备的存在。
实施例28:如实施例26所描述的方法,还包括由网络安全控制器确定适用于新的工业设备的至少一个网络安全策略,其中所述至少一个网络安全策略要求由认证服务认证新的工业设备。
实施例29:如实施例28所描述的方法,还包括由软件定义的网络(SDN)控制器预备从新的工业设备到认证服务的网络路径。
实施例30:如实施例26所描述的方法,其中新的工业设备所需的至少一种资源包括连接到工业网络或外部存储的一个或多个其它工业设备。
实施例31:如实施例30所描述的方法,还包括由虚拟化管理控制器在虚拟化管理平台中实例化存储节点,并提供存储节点的软件定义的网络(SDN)控制器位置,以使SDN控制器能够预备从新的工业设备到提供外部存储的存储节点的新路径。
实施例32:如实施例26所描述的方法,其中基于至少一个用户定义的准则提供网络路径。
实施例33:如实施例32所描述的方法,其中用户定义的准则包括服务质量要求、负载、网络设备能力或时间敏感性要求。
实施例34:如实施例26所描述的方法,还包括:响应于去调试事件,将网络路径从新的工业设备去调试到所述至少一个资源。
实施例35:如实施例34所描述的方法,其中,去调试事件包括用户指令、网络安全策略更新、沿着网络路径的故障的自动检测、重新优化网络路径的机会的检测、负载条件的变化、或服务质量的变化。
实施例36:一种用于工业网络的集中管理的方法,包括:
在应用平面接收来自工业应用的指令,工业应用经由ISDNA暴露的应用编程接口与平台平面中的工业软件定义的网络应用(ISDNA)接口;
响应于来自工业应用的输入,按需实例化工业网络中的一个或多个网络级别服务,其中实例化由ISDNA与控制平面中的至少软件定义的网络(SDN)控制器协调来执行,其中平台平面经由应用编程接口通信地耦合到控制平面,并且其中控制平面还包括虚拟化管理控制器和网络安全控制器。
实施例37:如实施例36所描述的方法,其中SDN控制器经由应用编程接口与多个数据平面组件接口,并且其中多个数据平面组件包括真实或虚拟化网络设备和工业设备,其中虚拟化网络设备和工业设备在由虚拟化管理控制器管理的虚拟化管理平台上执行。
实施例38:如实施例36所描述的方法,其中所述一个或多个网络级别服务包括提供所述多个数据平面组件中的至少一些数据平面组件之间的连接。
实施例39:如实施例36所描述的方法,其中,所述一个或多个网络级别服务包括网络安全服务、负载平衡器或流量分析器。
实施例40:如实施例36所描述的方法,其中使用网络功能虚拟化按需实例化所述一个或多个网络级别服务。
实施例41:如实施例36所描述的方法,其中所述一种或多种网络级别服务由ISDNA与SDN控制器和虚拟化管理控制器协调来实例化。
实施例42:如实施例36所描述的方法,其中所述一种或多种网络级别服务由ISDNA与至少SDN控制器和网络安全控制器协调来实例化。
实施例43:如实施例36所描述的方法,其中按需实例化所述一个或多个网络级别服务包括使用服务功能链接来连接至少两个网络级别服务以实现由网络安全控制器管理的一个或多个网络安全策略。
实施例44:如实施例36所描述的方法,其中所述一个或多个网络级别服务包括部署在工业网络中的虚拟防火墙,并且其中SDN控制器基于由网络安全控制器定义的一个或多个网络安全策略通过虚拟防火墙来定向与一个或多个准则匹配的流量以用于处理。
实施例45:如实施例36所描述的方法,其中按需实例化工业网络中的所述一个或多个网络级别服务包括ISDNP、SDN控制器、虚拟化管理控制器和网络安全控制器之间的协调。
实施例46:如实施例36所描述的方法,其中控制平面中的控制器中的每一个是在分布式计算环境执行的逻辑集中实体。
实施例47:一种用于可操作的工业网络的集中监视和报告的方法,包括:
在可操作的工业网络的每个级别处收集和处理网络事件信息;
将每个级别处的网络事件信息中的至少一些网络事件信息传播到后续级别,使得每个后续级别具有从所有先前级别合并的网络事件信息;
在每个级别根据在该级别可用的合并的网络事件信息,生成与在该级别操作的一个或多个用户组的用户相关的、级别特定的网络事件信息;
向用户提供与用户在可操作的工业网络中操作的级别相对应的级别特定的网络事件信息。
实施例48:如实施例47所描述的方法,其中,可操作的工业网络包括物理级别、逻辑级别、流量级别、功能级别和业务级别。
实施例49:如实施例48所描述的方法,其中:
物理级别与工程、维护和安全用户组的用户相关联,
逻辑级别和流量级别各自与工程用户组和安全用户组的用户相关联,
功能级别与操作用户组的用户相关联,
业务级别与管理用户组的用户相关联。
实施例50:如实施例47所描述的方法,其中可操作的工业网络是部署在工业领域中的软件定义的工业网络(SDN)。
实施例51:如实施例50所描述的方法,其中,可操作的工业网络包括与SDN控制器接口的工业软件定义的网络应用(ISDNA),其中所述ISDNA监视可操作的工业网络的当前状态并执行收集和处理、传播、生成和预备步骤。
实施例52:如实施例48所描述的方法,其中物理级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:网络统计、设备特定的信息、位置信息、网络连接、物理连接或连接策略。
实施例53:如实施例48所描述的方法,其中逻辑级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:网络统计、设备特定的信息、逻辑连接、连接参数、网络行为、逻辑网络分段、网络访问策略或配置。
实施例54:如实施例48所描述的方法,其中流量级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:连接运行状况、连接状态、协议统计、设备生成的流量的量和类型、流量和设备能力、通信策略或传输类型。
实施例55:如实施例48所描述的方法,其中功能级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:工业功能、连接、通信运行状况、应用响应时间(ART)或通信策略。
实施例56:如实施例48所描述的方法,其中业务级别处的网络事件信息包括以下中的至少一个或者从以下中的至少一个导出:操作成本、维护成本、与生产障碍相关联的成本、或与网络事件相关联的成本。
实施例57:如实施例51所描述的方法,其中网络事件信息与ISDNA在级别处检测的网络事件相关联。
实施例58:如实施例57所描述的方法,其中网络事件是以下中的至少一个:连接丢失、未授权活动或网络设备故障。
实施例59:一种非暂时性计算机可读介质,其上存储有指令,当指令由一个或多个机器执行时,使得机器:
由工业软件定义的网络应用(ISDNA)接收用于自动化系统部署的至少一个用户定义的通信准则,用户定义的通信准则是从工业应用接收的,其中自动化系统部署包括连接到工业软件定义的网络(SDN)的至少第一工业设备和第二工业设备;
与SDN控制器协调以确定自动化系统部署的第一工业设备和第二工业设备之间的通信路径,该通信路径是基于至少一个用户定义的通信准则确定的;以及
与一个或多个网络设备交互以定义用于实现第一工业设备和第二工业设备之间的通信的通信路径。
实施例60:一种非暂时性计算机可读介质,其上存储有指令,当指令由一个或多个机器执行时,通过以下方式使机器简化工业网络的管理:
检测工业网络中新的工业设备的存在;
由认证服务确定新的工业设备被授权参与工业网络;
确定新的工业设备的属性及其工业功能;
基于新的工业设备的属性识别新的工业设备执行其工业功能所需的至少一个资源;以及
预备到至少一个资源的网络路径,以使新的工业设备能够在工业网络中执行其工业功能。
实施例61:一种非暂时性计算机可读介质,其上存储有指令,当指令由一个或多个机器执行时,使得机器通过以下方式执行工业网络的集中管理:
从应用平面中的工业应用接收指令,工业应用经由ISDNA暴露的应用编程接口与平台平面中的工业软件定义的网络应用(ISDNA)接口;
响应于来自工业应用的输入,按需实例化工业网络中的一个或多个网络级别服务,其中实例化由ISDNA与控制平面中的至少一个软件定义的网络(SDN)控制器协调来执行,其中平台平面经由应用编程接口通信地耦合到控制平面,并且其中控制平面还包括虚拟化管理控制器和网络安全控制器。
实施例62:一种非暂时性计算机可读介质,其上存储有指令,当指令由一个或多个机器执行时,使得机器通过以下方式执行对可操作的工业网络的集中监视和报告:
收集和处理可操作的工业网络的每个级别处的网络事件信息;
将每个级别处的网络事件信息中的至少一些网络事件信息传播到后续级别,使得每个后续级别具有从所有先前级别合并的网络事件信息;
在每个级别处,根据在该级别处可用的合并的网络事件信息,生成与在该级别处操作的一个或多个用户组的用户相关的级别特定的网络事件信息;以及
向用户提供与用户在可操作的工业网络中操作的级别相对应的级别特定的网络事件信息。
14、计算机系统化
图18是根据一些实施例的可以执行各种操作并存储由这些操作生成和/或使用的各种信息的示例性机器/计算机/设备的框图。计算机1800旨在示出硬件设备,在该硬件设备上可以实现图1A-图13A的示例中描绘的任何实体、组件或服务、以及图14-17的示例中描述的方法,诸如服务器、客户端设备、计算节点、控制器节点(诸如雾控制器(335、435、550、750、850)、网络控制器(例如,456)、SDN控制器(例如,555、755a、755、855、1155)、CS控制器(例如,445、560、860)、存储设备/节点、数据库、工业设备(例如,PLC、PAC)、网络设备等。计算机1800包括耦合到互连的一个或多个处理器1805和存储器1810。互连可以表示任何一个或多个单独的物理总线、点对点连接、或通过适当的桥接器、适配器或控制器连接。
处理器1805是计算机的中央处理单元(CPU),因此控制计算机的整体操作。在某些实施例中,处理器通过执行存储在存储器中的软件或固件来实现这一点。处理器可以是或可以包括一个或多个可编程通用或专用微处理器,数字信号处理器(DSP)、可编程控制器、专用集成电路(ASIC)、可编程逻辑器件(PLD)、可信平台模块(TPM)等、或这些设备的组合。
存储器1810是或包括计算机的主存储器。存储器表示任何形式的随机存取存储器(RAM)、只读存储器(ROM)、三元内容可寻址存储器(TCAM)、闪存等、或这些设备的组合。在使用中,存储器可以包含代码。在一个实施例中,代码包括通用编程模块,其被配置为识别经由计算机总线接口接收的通用程序,并准备通用程序以在处理器处执行。在另一个实施例中,通用编程模块可以使用诸如ASIC、PLD或现场可编程门阵列(FPGA)的硬件电路来实现。
通过互联连接到处理器的是网络适配器1825、存储设备1815和I/O设备1820。网络适配器为计算机提供了通过网络与远程设备进行通信的能力,例如,以太网适配器或光纤通道适配器或无线广播。网络适配器还可以为计算机提供与集群内其它计算机通信的能力。在一些实施例中,计算机可以使用多个网络适配器分别处理集群内部和外部的通信。
I/O设备可以包括例如键盘、鼠标或其它指向设备、磁盘驱动器、打印机、扫描仪和包括显示设备的其它输入和/或输出设备。显示设备可以包括例如阴极射线管(CRT)、液晶显示器(LCD)/或其它一些已知或便捷的显示设备。
存储在存储器中的代码可以实现为软件和/或固件,以编程处理器来执行上述操作。在某些实施例中,这种软件或固件最初可以通过计算机(例如经由网络适配器)从远程系统下载到计算机。在一些实施例中,存储器1810和存储设备1815可以是一个单独的实体。
本文介绍的组件可以通过可编程电路(例如,一个或多个微处理器)来实现,它的程序包括软件和/或固件,或者完全在专用的硬连线(非可编程)电路中,或者是这种形式的组合。特殊用途的硬连线电路可能以一种或多种ASIC、PLD、FPGA等形式存在。
用于本文介绍的SDN/TsSDN系统的软件或固件可以存储在机器可读存储器上,并且可以由一个或多个通用或专用可编程微处理器执行。这里使用的术语“机器可读存储介质”包括可以以机器可访问的形式存储信息的任何机制。
计算机还可以是服务器计算机、客户端计算机、个人计算机(PC)、平板PC、膝上型计算机、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、智能手机、平板电脑、平板手机、处理器、电话、网络设备、网络路由器、交换机或网桥、控制器(例如PLC、PAC)或任何能够执行指令集合的机器(顺序或其它方式)指定该机器要采取的操作。
机器可访问的存储介质或存储设备包括例如可记录/不可记录的介质(例如,ROM;RAM;磁盘存储介质;光学存储介质;闪存设备等)等、或其任何组合。存储介质通常可以是非暂时性的或包括非暂时性设备。在此上下文中,非暂时性存储介质可以包括有形的设备,意味着该设备具有具体的物理形状,尽管该设备可以改变其物理状态。因此,例如,非暂时性是指尽管状态发生这种变化仍然保持有形的设备。
本文使用的术语“逻辑”可以包括例如用特定软件和/或固件编程的可编程电路、专用硬连线电路或其组合。
15、结论
除非上下文明确要求,否则在整个说明书和权利要求中,词语“包括”、“包含”等应被解释为包含性的,而不是排他性的或穷尽性的;也就是说,在“包括但不限于”的意义上。如本文所用,术语“连接”、“耦合”或其任何变体表示两个或多个元件之间的任何直接或间接连接或耦合;元件之间连接的耦合可以是物理的、逻辑的或者它们的组合。此外,当在本申请中使用时,词语“这里”、“上面”、“下面”和具有类似含义的词语将指代整个申请,而不是本申请的任何特定部分。在上下文允许的情况下,上述详细描述中使用单数或复数的词语也可以分别包括复数或单数。“或”一词指的是两个或多个项目的列表,涵盖了该词的所有以下解释:列表中的任何项目、列表中的所有项目以及列表中项目的任何组合。
本公开实施例的上述详细描述并不旨在穷举或将教导限制在上述公开的精确形式。虽然上文出于说明性目的描述了本公开的具体实施例和示例,但是相关领域的技术人员将认识到,在本公开的范围内,各种等效修改是可能的。例如,虽然过程或框以给定顺序呈现,但是替代实施例可以执行具有步骤的例程,或者采用具有不同顺序的框的系统,并且一些过程或框可以被删除、移动、添加、细分、组合和/或修改以提供替代或子组合。这些过程或框中的每一个可以以各种不同的方式实现。此外,虽然过程或框有时被示为串联执行,但是这些过程或框可以替代地并行执行,或者可以在不同的时间执行。此外,本文中提到的任何具体数字仅是示例:替代实施方式可以采用不同的值或范围。
这里提供的公开内容的教导可以应用于其它系统,不一定是上述系统。上述各种实施例的元件和行为可以被组合以提供进一步的实施例。
以上提到的任何专利和申请以及其它参考文献,包括可能在随附的提交文件中列出的任何专利和申请,均通过引用并入本文。如果需要,可以修改本公开的方面,以采用上述各种参考文献的系统、功能和概念,从而提供本公开的又一实施例。
根据上述详细描述,可以对本公开内容进行这些改变和其它改变。尽管以上描述描述了本公开的某些实施例,并且描述了所设想的最佳模式,但是无论以上内容在文本中有多详细,这些教导都可以以多种方式实践。该系统的细节在其实现细节上可以有很大的变化,同时仍被本文公开的主题所涵盖。如上所述,在描述本公开的某些特征或方面时使用的特定术语不应该被认为意味着术语在此被重新定义为限于与该术语相关联的本公开的任何特定特征、特征或方面。一般来说,以下权利要求中使用的术语不应被解释为将本公开限于说明书中公开的特定实施例,除非以上详细描述部分明确定义了这些术语。因此,本公开的实际范围不仅包括所公开的实施例,还包括在权利要求下实践或实现本公开的所有等效方式。
从前述内容中,将会理解,为了说明的目的,这里已经描述了所公开的系统/技术的具体实施例,但是在不偏离实施例的精神和范围的情况下,可以进行各种修改。因此,除了所附权利要求之外,实施例不受限制。
Claims (24)
1.一种用于工业网络的集中和简化管理的工业网络架构,包括:
基础设施平面,包括连接到工业网络的物理设备和虚拟设备;
控制平面,包括用于控制和管理基础设施平面中的物理设备和虚拟设备的多个控制器,多个逻辑集中控制器包括网络控制器、虚拟化管理控制器和网络安全控制器;
应用平面,包括一个或多个最终用户工业应用;以及
平台平面,包括软件服务和应用编程接口(API)的集合,用于定义到应用平面到北和控制平面到南的通信接口,以在应用平面中提供工业应用来可编程地访问控制平面中的所述多个控制器中的一个或多个控制器,以用于工业网络的简化和集中管理。
2.如权利要求1所述的工业网络架构,其中,所述网络安全控制器通信地耦合到网络控制器和虚拟化管理控制器,其中网络安全控制器通过网络控制器控制基础设施平面中的物理设备和虚拟设备所处理的通信的可访问性、使用和内容。
3.如权利要求1所述的工业网络架构,其中,所述平台平面中的服务集合包括工业软件定义的网络应用(ISDNA)、虚拟化管理服务和网络安全服务,其中ISDNA通信地耦合到虚拟化管理服务和网络安全服务两者。
4.如权利要求3所述的工业网络架构,其中,所述平台平面的ISDNA、虚拟化管理服务和网络安全服务分别耦合到控制平面的网络控制器、虚拟化管理控制器和网络安全控制器。
5.如权利要求1所述的工业网络架构,其中,所述工业网络包括真实网络和虚拟网络,并且其中真实网络由网络控制器控制,而虚拟网络由虚拟化管理控制器控制,所述网络控制器通信耦合到虚拟化管理控制器。
6.如权利要求3所述的工业网络架构,其中,所述ISDNA能够经由用于网络控制器的网络控制器代理与任何网络控制器接口。
7.如权利要求6所述的工业网络架构,其中,所述ISDNA包括与基础设施平面中的传统网络设备接口的设备代理。
8.如权利要求1所述的工业网络架构,其中工业网络的简化和集中管理包括连接到工业网络的设备的安全和快速预备。
9.如权利要求8所述的工业网络架构,其中所述安全和快速预备包括:
通过认证服务确定连接到工业网络的设备被授权参与工业网络;
确定设备的属性;
基于设备的属性识别设备执行其工业功能所需的资源;
为所识别的资源预备网络路径,以使设备能够访问所述资源。
10.如权利要求9所述的工业网络架构,其中,设备的属性包括设备类型、设备能力和设备的工业功能。
11.一种用于简化工业领域中网络基础设施部署和维护的方法,包括:
由工业软件定义的网络应用(ISDNA)接收用于自动化系统部署的至少一个用户定义的通信准则,所述用户定义的通信准则是从工业应用接收的,其中自动化系统部署包括连接到工业软件定义的网络(SDN)的至少第一工业设备和第二工业设备;
与SDN控制器协调以确定自动化系统部署的第一工业设备和第二工业设备之间的通信路径,所述通信路径是基于所述至少一个用户定义的通信准则确定的;以及
与一个或多个网络设备交互来定义通信路径,以实现第一工业设备和第二工业设备之间的通信。
12.如权利要求11所述的方法,其中,所述至少一个用户定义的通信准则包括负载、服务质量、网络设备能力或时间敏感性。
13.如权利要求11所述的方法,其中,所述通信路径通过在虚拟化平台中的一个或多个计算节点中执行的至少一个虚拟化网络设备。
14.如权利要求11所述的方法,其中,所述ISDNA经由SDN控制器代理与SDN控制器接口。
15.一种用于简化工业网络的管理的方法,包括:
检测工业网络中新的工业设备的存在;
由认证服务确定新的工业设备被授权参与工业网络;
确定新的工业设备的属性及其工业功能;
基于新的工业设备的属性识别新的工业设备执行其工业功能所需的至少一个资源;以及
预备到所述至少一个资源的网络路径,以使新的工业设备能够在工业网络中执行其工业功能。
16.如权利要求15所述的方法,其中当工业网络中的网络设备不具有用于处理来自新的工业设备的消息的规则时,由软件定义的网络(SDN)控制器检测工业网络中新的工业设备的存在。
17.如权利要求15所述的方法,还包括由网络安全控制器确定适用于新的工业设备的至少一个网络安全策略,其中所述至少一个网络安全策略要求由认证服务认证新的工业设备。
18.如权利要求17所述的方法,还包括由软件定义的网络(SDN)控制器预备从新的工业设备到认证服务的网络路径。
19.如权利要求15所述的方法,其中新的工业设备所需的所述至少一种资源包括连接到工业网络或外部存储的其它工业设备中的一个或多个工业设备。
20.如权利要求19所述的方法,还包括由虚拟化管理控制器在虚拟化管理平台中实例化存储节点,并提供存储节点的软件定义的网络(SDN)控制器位置,以使SDN控制器能够预备从新的工业设备到提供外部存储的存储节点的新路径。
21.如权利要求15所述的方法,其中基于至少一个用户定义的准则提供网络路径。
22.如权利要求21所述的方法,其中所述用户定义的准则包括服务质量要求、负载、网络设备能力或时间敏感性要求。
23.如权利要求15所述的方法,还包括:响应于去调试事件,将网络路径从新的工业设备去调试到所述至少一个资源。
24.如权利要求23所述的方法,其中,所述去调试事件包括用户指令、网络安全策略更新、沿着网络路径的故障的自动检测、重新优化网络路径的机会的检测、负载条件的变化、或服务质量的变化。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662370686P | 2016-08-03 | 2016-08-03 | |
| US62/370,686 | 2016-08-03 | ||
| US201662376470P | 2016-08-18 | 2016-08-18 | |
| US62/376,470 | 2016-08-18 | ||
| PCT/EP2017/069606 WO2018024809A1 (en) | 2016-08-03 | 2017-08-03 | Industrial software defined networking architecture for deployment in a software defined automation system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109716732A true CN109716732A (zh) | 2019-05-03 |
| CN109716732B CN109716732B (zh) | 2021-07-27 |
Family
ID=59520907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780056280.XA Active CN109716732B (zh) | 2016-08-03 | 2017-08-03 | 用于软件定义的自动化系统中的部署的工业软件定义的网络架构 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US11134010B2 (zh) |
| EP (2) | EP3494687B1 (zh) |
| CN (1) | CN109716732B (zh) |
| AU (2) | AU2017307345B2 (zh) |
| CA (1) | CA3032323A1 (zh) |
| ES (1) | ES2908461T3 (zh) |
| RU (1) | RU2737480C2 (zh) |
| WO (1) | WO2018024809A1 (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111917689A (zh) * | 2019-05-08 | 2020-11-10 | 创升益世(东莞)智能自控有限公司 | 一种应用于工业互联网的虚拟主机系统 |
| CN112068498A (zh) * | 2019-06-10 | 2020-12-11 | 费希尔-罗斯蒙特系统公司 | 用于实时模拟和过程控制的工业控制系统架构 |
| CN112114563A (zh) * | 2019-06-19 | 2020-12-22 | 霍尼韦尔国际公司 | 基于容器的控制执行的高可用性 |
| CN112511462A (zh) * | 2020-12-17 | 2021-03-16 | 上海交通大学 | 一种软件定义工业异构时间敏感网络系统及资源调度方法 |
| CN112578755A (zh) * | 2020-12-17 | 2021-03-30 | 上海通群科技有限公司 | 可编程智能控制器及基于可编程智能控制器的应用系统 |
| CN112994994A (zh) * | 2019-12-16 | 2021-06-18 | 中国科学院沈阳自动化研究所 | 基于工业以太网协议在工业sdn中的接入方法 |
| CN113037731A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn架构和蜜网的网络流量控制方法及系统 |
| US11169510B2 (en) * | 2018-09-28 | 2021-11-09 | Siemens Aktiengesellschaft | Engineering system and method for planning an automation system |
| CN113835399A (zh) * | 2020-06-23 | 2021-12-24 | Abb瑞士股份有限公司 | 用于工业设备的编排的工程设计系统 |
| CN114124650A (zh) * | 2021-12-08 | 2022-03-01 | 中国电子科技集团公司第三十四研究所 | 一种sptn网络控制器主从部署方法 |
| CN114258514A (zh) * | 2019-08-23 | 2022-03-29 | 西门子股份公司 | 基于面向方面编程的可编程逻辑控制器(plc)模拟 |
| CN114296405A (zh) * | 2020-09-22 | 2022-04-08 | 罗克韦尔自动化技术公司 | 使用容器编排系统和操作技术设备实现无服务器功能 |
| CN114363187A (zh) * | 2021-07-16 | 2022-04-15 | 网络通信与安全紫金山实验室 | 一种虚拟工业设备节点的部署方法及系统 |
| CN114586032A (zh) * | 2019-10-30 | 2022-06-03 | 国际商业机器公司 | 安全的工作负载配置 |
| CN115396495A (zh) * | 2022-08-22 | 2022-11-25 | 上海交通大学 | 一种sdn-fog环境下工厂微服务体系的故障应对方法 |
| TWI820717B (zh) * | 2022-05-20 | 2023-11-01 | 智連工控股份有限公司 | 去中心化之製造場域智慧型輔助系統及其橋接介面裝置 |
| US11960270B2 (en) | 2019-06-10 | 2024-04-16 | Fisher-Rosemount Systems, Inc. | Automatic load balancing and performance leveling of virtual nodes running real-time control in process control systems |
| US12019431B2 (en) | 2019-06-10 | 2024-06-25 | Fisher-Rosemount Systems, Inc. | Ease of node switchovers in process control systems |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11924322B2 (en) * | 2017-05-16 | 2024-03-05 | Arm Ltd. | Blockchain for securing and/or managing IoT network-type infrastructure |
| US11681568B1 (en) | 2017-08-02 | 2023-06-20 | Styra, Inc. | Method and apparatus to reduce the window for policy violations with minimal consistency assumptions |
| US11258824B1 (en) | 2017-08-02 | 2022-02-22 | Styra, Inc. | Method and apparatus for authorizing microservice APIs |
| EP4060481A1 (en) * | 2017-09-19 | 2022-09-21 | Huawei Technologies Co., Ltd. | Application deployment method, apparatus, and system |
| US11488692B2 (en) * | 2018-03-30 | 2022-11-01 | CurieHealth, Inc. | Emergency department communication system |
| WO2019193031A1 (de) * | 2018-04-04 | 2019-10-10 | Siemens Aktiengesellschaft | Datenübertragung in zeitsensitiven datennetzen |
| US11140019B2 (en) * | 2018-06-01 | 2021-10-05 | David M. Sherr | Software-defined network resource provisioning architecture |
| JP6973299B2 (ja) * | 2018-06-04 | 2021-11-24 | 日本電信電話株式会社 | 管理装置、および、管理方法 |
| US12028318B2 (en) * | 2018-06-18 | 2024-07-02 | Battelle Energy Alliance, Llc | Smart network switching systems and related methods |
| US10298329B1 (en) | 2018-06-28 | 2019-05-21 | At&T Intellectual Property I, L.P. | Multi-layer system self-optimization |
| US10719373B1 (en) | 2018-08-23 | 2020-07-21 | Styra, Inc. | Validating policies and data in API authorization system |
| US11853463B1 (en) | 2018-08-23 | 2023-12-26 | Styra, Inc. | Leveraging standard protocols to interface unmodified applications and services |
| US11080410B1 (en) | 2018-08-24 | 2021-08-03 | Styra, Inc. | Partial policy evaluation |
| CN108989134B (zh) * | 2018-09-04 | 2021-09-07 | 浪潮云信息技术股份公司 | 基于sdn的虚拟化网络数据平面配置恢复系统及方法 |
| EP3621244B1 (en) | 2018-09-10 | 2023-11-01 | Tata Consultancy Services Limited | System and method for enabling intelligent network services by cognitive sense-analyze-decide-respond framework |
| US11477238B1 (en) | 2018-10-16 | 2022-10-18 | Styra, Inc. | Viewing aggregate policies for authorizing an API |
| US10841509B2 (en) | 2018-10-22 | 2020-11-17 | At&T Intellectual Property I, L.P. | Camera array orchestration |
| US10785115B2 (en) | 2018-10-26 | 2020-09-22 | Illumio, Inc. | Allocating enforcement of a segmentation policy between host and network devices |
| TWI699136B (zh) * | 2018-12-12 | 2020-07-11 | 中華電信股份有限公司 | 用於軟體定義網路的動態串接系統及其方法 |
| EP3900263A1 (en) * | 2018-12-18 | 2021-10-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and controller for managing a microwave network |
| AU2019420582A1 (en) * | 2019-01-13 | 2021-09-02 | Strong Force IoT Portfolio 2016, LLC. | Methods, systems, kits and apparatuses for monitoring and managing industrial settings |
| TWI713384B (zh) * | 2019-02-12 | 2020-12-11 | 中華電信股份有限公司 | 虛擬公眾WiFi電路指配系統 |
| EP3703340A1 (de) * | 2019-02-26 | 2020-09-02 | Siemens Aktiengesellschaft | Verfahren zum betreiben von netzwerkgeräten in einem netzwerk, recheneinrichtung sowie netzwerk |
| DE102019106543A1 (de) * | 2019-03-14 | 2020-09-17 | Anapur Ag | Verfahren und Kommunikationssteuersystem zur Steuerung von Kommunikation in einem Kommunikationsnetzwerk |
| US11418399B2 (en) * | 2019-04-30 | 2022-08-16 | Cisco Technology, Inc. | Multi-fabric deployment and management platform |
| US11593525B1 (en) | 2019-05-10 | 2023-02-28 | Styra, Inc. | Portable policy execution using embedded machines |
| DE102019120103A1 (de) * | 2019-07-25 | 2021-01-28 | Beckhoff Automation Gmbh | Verfahren zur Datenkommunikation zwischen Feldbusgeräten und einem Leitstand eines Automatisierungssystems und Automatisierungssystem |
| US10979309B2 (en) * | 2019-08-07 | 2021-04-13 | Schweitzer Engineering Laboratories, Inc. | Automated convergence of physical design and configuration of software defined network |
| US11411843B2 (en) * | 2019-08-14 | 2022-08-09 | Verizon Patent And Licensing Inc. | Method and system for packet inspection in virtual network service chains |
| US11057348B2 (en) | 2019-08-22 | 2021-07-06 | Saudi Arabian Oil Company | Method for data center network segmentation |
| US11516086B1 (en) * | 2019-09-04 | 2022-11-29 | Cisco Technology, Inc. | Method and apparatus for automated spanning-tree loop detection in networks |
| EP3800864B1 (de) * | 2019-10-01 | 2022-11-23 | Siemens Aktiengesellschaft | Verfahren zum konfigurieren eines opc ua pubsub teilnehmers, automatisierungssystem, computerprogramm und computerlesbares medium |
| US20210218772A1 (en) * | 2020-01-14 | 2021-07-15 | Saudi Arabian Oil Company | Security configuration assessment of newly commissioned network hardware devices |
| US11502992B1 (en) | 2020-01-27 | 2022-11-15 | Styra, Inc. | Local controller and local agent for local API authorization |
| US11494518B1 (en) | 2020-03-02 | 2022-11-08 | Styra, Inc. | Method and apparatus for specifying policies for authorizing APIs |
| US11316736B2 (en) * | 2020-05-04 | 2022-04-26 | Cisco Technology, Inc. | Intent-based networking using device administrative shell |
| CN111600754B (zh) * | 2020-05-11 | 2022-02-25 | 重庆邮电大学 | 一种面向tsn和非tsn互联的工业异构网络调度方法 |
| US12003543B1 (en) | 2020-07-24 | 2024-06-04 | Styra, Inc. | Method and system for modifying and validating API requests |
| US11513778B1 (en) | 2020-08-14 | 2022-11-29 | Styra, Inc. | Graphical user interface and system for defining and maintaining code-based policies |
| US11593363B1 (en) | 2020-09-23 | 2023-02-28 | Styra, Inc. | Comprehension indexing feature |
| US11520579B1 (en) | 2020-11-30 | 2022-12-06 | Styra, Inc. | Automated asymptotic analysis |
| US11463326B2 (en) * | 2021-02-24 | 2022-10-04 | Cisco Technology, Inc. | Lightweight ring manager with distributed policies |
| US11310146B1 (en) | 2021-03-27 | 2022-04-19 | Netflow, UAB | System and method for optimal multiserver VPN routing |
| US11716305B2 (en) | 2021-06-29 | 2023-08-01 | Cisco Technology, Inc. | Control embedded data packet for efficient ARP query in SDA environment |
| NL2028737B1 (en) * | 2021-07-15 | 2023-01-20 | Axite Intelligence Services B V | A method, a monitoring system and a computer program product for monitoring a network connected controller |
| WO2023003812A1 (en) * | 2021-07-19 | 2023-01-26 | Cisco Technology, Inc. | Automated provisioning of endpoint devices with management connectivity |
| US11522755B1 (en) | 2021-07-19 | 2022-12-06 | Cisco Technology, Inc. | Automated provisioning of endpoint devices with management connectivity |
| US20230123074A1 (en) * | 2021-10-15 | 2023-04-20 | Hewlett Packard Enterprise Development Lp | Machine learning-based approaches for service function chain selection |
| CN115037762B (zh) * | 2022-05-26 | 2023-04-07 | 清华大学 | 一种基于控制和传输融合交换机的工业网络系统 |
| CN115102777A (zh) * | 2022-07-11 | 2022-09-23 | 上海磐御网络科技有限公司 | 一种网络流量的隔离引导方法及系统 |
| CN115102862B (zh) * | 2022-07-22 | 2024-03-12 | 烽火通信科技股份有限公司 | 一种用于sdn设备的自动同步方法及装置 |
| US20240039813A1 (en) * | 2022-07-27 | 2024-02-01 | Vmware, Inc. | Health analytics for easier health monitoring of a network |
| WO2024081670A1 (en) * | 2022-10-10 | 2024-04-18 | Schneider Electric USA, Inc. | Management system for infrastructure of an industrial system |
| IL298056B2 (en) * | 2022-11-08 | 2024-04-01 | Be Broadband Tech Bbt Live Ltd | A system and method for managing and optimizing software defined networks |
| US12040955B2 (en) | 2022-11-08 | 2024-07-16 | Be Broadband Technologies (Bbt.Live) Ltd. | System and method for the management and optimization of software defined networks |
| US20240163295A1 (en) * | 2022-11-14 | 2024-05-16 | Rockwell Automation Technologies, Inc. | Facilitating direct device-to-cloud communications within a secure deployment management system |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050114474A1 (en) * | 2003-11-20 | 2005-05-26 | International Business Machines Corporation | Automatic configuration of the network devices via connection to specific switch ports |
| US20140211615A1 (en) * | 2012-12-18 | 2014-07-31 | Juniper Networks, Inc. | Aggregation network with centralized control |
| CN104582004A (zh) * | 2015-01-13 | 2015-04-29 | 成都西加云杉科技有限公司 | 基于sdn的wlan分层组网系统及方法 |
| CN105340241A (zh) * | 2013-11-27 | 2016-02-17 | 华为技术有限公司 | 用于均衡在sdn网络中的负载的方法和系统 |
| CN105406992A (zh) * | 2015-10-28 | 2016-03-16 | 浙江工商大学 | 一种面向sdn的业务需求转化和部署方法 |
| CN105430688A (zh) * | 2015-11-13 | 2016-03-23 | 重庆邮电大学 | 一种基于软件定义网络的wlan架构 |
| US20160085971A1 (en) * | 2014-09-22 | 2016-03-24 | Infosys Limited | System and method for tokenization of data for privacy |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8676219B2 (en) * | 2007-04-13 | 2014-03-18 | Hart Communication Foundation | Combined wired and wireless communications with field devices in a process control environment |
| US8918835B2 (en) * | 2010-12-16 | 2014-12-23 | Futurewei Technologies, Inc. | Method and apparatus to create and manage virtual private groups in a content oriented network |
| US10644950B2 (en) * | 2014-09-25 | 2020-05-05 | At&T Intellectual Property I, L.P. | Dynamic policy based software defined network mechanism |
| CN106411820B (zh) * | 2015-07-29 | 2019-05-21 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| US10355969B2 (en) * | 2015-12-25 | 2019-07-16 | KN Install Solutions (N.IRE) Limited | Data driven orchestrated network using a light weight distributed sdn controller |
| US10257100B2 (en) * | 2016-05-04 | 2019-04-09 | University of Conneticut | Enabling resilient microgrid through ultra-fast programmable network |
-
2017
- 2017-08-03 EP EP17748474.8A patent/EP3494687B1/en active Active
- 2017-08-03 RU RU2019105709A patent/RU2737480C2/ru active
- 2017-08-03 US US16/322,864 patent/US11134010B2/en active Active
- 2017-08-03 ES ES17748474T patent/ES2908461T3/es active Active
- 2017-08-03 AU AU2017307345A patent/AU2017307345B2/en active Active
- 2017-08-03 WO PCT/EP2017/069606 patent/WO2018024809A1/en unknown
- 2017-08-03 CA CA3032323A patent/CA3032323A1/en active Pending
- 2017-08-03 EP EP21214521.3A patent/EP3985938A3/en not_active Withdrawn
- 2017-08-03 CN CN201780056280.XA patent/CN109716732B/zh active Active
-
2021
- 2021-08-23 US US17/408,825 patent/US11888739B2/en active Active
-
2022
- 2022-05-24 AU AU2022203513A patent/AU2022203513A1/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050114474A1 (en) * | 2003-11-20 | 2005-05-26 | International Business Machines Corporation | Automatic configuration of the network devices via connection to specific switch ports |
| US20140211615A1 (en) * | 2012-12-18 | 2014-07-31 | Juniper Networks, Inc. | Aggregation network with centralized control |
| CN105340241A (zh) * | 2013-11-27 | 2016-02-17 | 华为技术有限公司 | 用于均衡在sdn网络中的负载的方法和系统 |
| US20160085971A1 (en) * | 2014-09-22 | 2016-03-24 | Infosys Limited | System and method for tokenization of data for privacy |
| CN104582004A (zh) * | 2015-01-13 | 2015-04-29 | 成都西加云杉科技有限公司 | 基于sdn的wlan分层组网系统及方法 |
| CN105406992A (zh) * | 2015-10-28 | 2016-03-16 | 浙江工商大学 | 一种面向sdn的业务需求转化和部署方法 |
| CN105430688A (zh) * | 2015-11-13 | 2016-03-23 | 重庆邮电大学 | 一种基于软件定义网络的wlan架构 |
Non-Patent Citations (3)
| Title |
|---|
| GYÖRGY KÁLMÁN: "Applicability of Software Defined Networking in industrial Ethernet", 《2014 22ND TELECOMMUNICATIONS FORUM TELFOR (TELFOR)》 * |
| GYÖRGY KÁLMÁN: "security implications of software defined networking in industrial control systems", 《PROCEEDINGS OF THE TENTH INTERNATIONAL MULTI-CONFERENCE ON COMPUTING IN THE GLOBAL INFORMATION TECHNOLOGY》 * |
| OMID GIVEHCHI, HENNING TRSEK, JUERGEN JASPERNEITE: "Cloud computing for industrial automation systems — A comprehensive overview", 《2013 IEEE 18TH CONFERENCE ON EMERGING TECHNOLOGIES & FACTORY AUTOMATION (ETFA)》 * |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11169510B2 (en) * | 2018-09-28 | 2021-11-09 | Siemens Aktiengesellschaft | Engineering system and method for planning an automation system |
| CN111917689A (zh) * | 2019-05-08 | 2020-11-10 | 创升益世(东莞)智能自控有限公司 | 一种应用于工业互联网的虚拟主机系统 |
| CN112068498A (zh) * | 2019-06-10 | 2020-12-11 | 费希尔-罗斯蒙特系统公司 | 用于实时模拟和过程控制的工业控制系统架构 |
| CN112068498B (zh) * | 2019-06-10 | 2024-04-05 | 费希尔-罗斯蒙特系统公司 | 用于实时模拟和过程控制的工业控制系统和方法 |
| US11960270B2 (en) | 2019-06-10 | 2024-04-16 | Fisher-Rosemount Systems, Inc. | Automatic load balancing and performance leveling of virtual nodes running real-time control in process control systems |
| US12019431B2 (en) | 2019-06-10 | 2024-06-25 | Fisher-Rosemount Systems, Inc. | Ease of node switchovers in process control systems |
| CN112114563A (zh) * | 2019-06-19 | 2020-12-22 | 霍尼韦尔国际公司 | 基于容器的控制执行的高可用性 |
| CN114258514A (zh) * | 2019-08-23 | 2022-03-29 | 西门子股份公司 | 基于面向方面编程的可编程逻辑控制器(plc)模拟 |
| CN114586032B (zh) * | 2019-10-30 | 2023-03-21 | 国际商业机器公司 | 安全的工作负载配置 |
| CN114586032A (zh) * | 2019-10-30 | 2022-06-03 | 国际商业机器公司 | 安全的工作负载配置 |
| CN112994994A (zh) * | 2019-12-16 | 2021-06-18 | 中国科学院沈阳自动化研究所 | 基于工业以太网协议在工业sdn中的接入方法 |
| CN112994994B (zh) * | 2019-12-16 | 2022-09-06 | 中国科学院沈阳自动化研究所 | 基于工业以太网协议在工业sdn中的接入方法 |
| CN113835399A (zh) * | 2020-06-23 | 2021-12-24 | Abb瑞士股份有限公司 | 用于工业设备的编排的工程设计系统 |
| CN114296405A (zh) * | 2020-09-22 | 2022-04-08 | 罗克韦尔自动化技术公司 | 使用容器编排系统和操作技术设备实现无服务器功能 |
| CN114296405B (zh) * | 2020-09-22 | 2023-12-26 | 罗克韦尔自动化技术公司 | 使用容器编排系统和操作技术设备实现无服务器功能 |
| CN112578755A (zh) * | 2020-12-17 | 2021-03-30 | 上海通群科技有限公司 | 可编程智能控制器及基于可编程智能控制器的应用系统 |
| CN112511462A (zh) * | 2020-12-17 | 2021-03-16 | 上海交通大学 | 一种软件定义工业异构时间敏感网络系统及资源调度方法 |
| CN113037731A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn架构和蜜网的网络流量控制方法及系统 |
| CN113037731B (zh) * | 2021-02-27 | 2023-06-16 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn架构和蜜网的网络流量控制方法及系统 |
| CN114363187A (zh) * | 2021-07-16 | 2022-04-15 | 网络通信与安全紫金山实验室 | 一种虚拟工业设备节点的部署方法及系统 |
| CN114363187B (zh) * | 2021-07-16 | 2023-10-13 | 网络通信与安全紫金山实验室 | 一种虚拟工业设备节点的部署方法及系统 |
| CN114124650A (zh) * | 2021-12-08 | 2022-03-01 | 中国电子科技集团公司第三十四研究所 | 一种sptn网络控制器主从部署方法 |
| TWI820717B (zh) * | 2022-05-20 | 2023-11-01 | 智連工控股份有限公司 | 去中心化之製造場域智慧型輔助系統及其橋接介面裝置 |
| CN115396495B (zh) * | 2022-08-22 | 2023-12-12 | 上海交通大学 | 一种sdn-fog环境下工厂微服务体系的故障应对方法 |
| CN115396495A (zh) * | 2022-08-22 | 2022-11-25 | 上海交通大学 | 一种sdn-fog环境下工厂微服务体系的故障应对方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3985938A2 (en) | 2022-04-20 |
| US20210385159A1 (en) | 2021-12-09 |
| US11888739B2 (en) | 2024-01-30 |
| CA3032323A1 (en) | 2018-02-08 |
| EP3494687A1 (en) | 2019-06-12 |
| CN109716732B (zh) | 2021-07-27 |
| US11134010B2 (en) | 2021-09-28 |
| US20210029029A1 (en) | 2021-01-28 |
| RU2737480C2 (ru) | 2020-12-01 |
| RU2019105709A3 (zh) | 2020-09-28 |
| EP3494687B1 (en) | 2021-12-15 |
| WO2018024809A1 (en) | 2018-02-08 |
| ES2908461T3 (es) | 2022-04-29 |
| AU2022203513A1 (en) | 2022-06-09 |
| RU2019105709A (ru) | 2020-09-04 |
| EP3985938A3 (en) | 2022-07-06 |
| AU2017307345B2 (en) | 2022-02-24 |
| AU2017307345A1 (en) | 2019-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109716732A (zh) | 用于软件定义的自动化系统中的部署的工业软件定义的网络架构 | |
| Ahmad et al. | Scalability, consistency, reliability and security in SDN controllers: a survey of diverse SDN controllers | |
| CN110741603B (zh) | 拓扑探测器 | |
| CN105976031B (zh) | 多个语义推理引擎对数据的并行处理 | |
| Arzo et al. | A theoretical discussion and survey of network automation for IoT: Challenges and opportunity | |
| CN110785965B (zh) | 对结构中配置的正确部署执行网络保证检查的系统和方法 | |
| US10530740B2 (en) | Systems and methods for facilitating closed loop processing using machine learning | |
| US11909653B2 (en) | Self-learning packet flow monitoring in software-defined networking environments | |
| CN110521169A (zh) | 用于服务链的策略保证 | |
| US20210036916A1 (en) | Switch triggered traffic tracking | |
| CN110754064A (zh) | 网络结构中的路由信息的验证 | |
| JP2023504549A (ja) | 集中型知識リポジトリおよびデータマイニングシステム | |
| CN110521170A (zh) | 网络的静态网络策略分析 | |
| CN112470431A (zh) | 使用自动布尔学习的网络的模型的合成 | |
| KR20180001650A (ko) | IoT 기반의 공장 통합 관리 장치 | |
| CN110754063A (zh) | 验证节点之间的端点配置 | |
| CN112540572A (zh) | 用于安全的、可展示过程工厂数据传送的边缘网关系统 | |
| CN110800259B (zh) | 跨以应用为中心的维度的分布式故障代码聚合 | |
| Wijesekara et al. | A comprehensive survey on knowledge-defined networking | |
| US10554625B2 (en) | Integrated PCS functional competency assessment | |
| Gilbert | The role of artificial intelligence for network automation and security | |
| WO2020005475A1 (en) | Controlling communications between a plant network and a business network | |
| US20240232649A9 (en) | Network Machine Learning (ML) Model Feature Selection | |
| de Freitas | Network softwarization for IACS security applications | |
| Giannone | A framework for system requirements verification in Industrial Network Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |