Thứ Năm, 9 tháng 2, 2017
Thứ Năm, 8 tháng 9, 2016
TACACS - Terminal Access Controller Access Control System
TACACS là giao thức được chuẩn hóa sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49.Bản thân TACACS+ là một giao thức non-standard, hay chính xác hơn, proprietary protocol, phát triển dựa trên hai giao thức TACACS và enhance TACACS.
TACACS có các ưu điểm sau :
•Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền.
•TCP là giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi. Nó có thể tương thích để phát triển cũng như làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại.
•Toàn bộ payload được mã hóa với TACACS+ bằng cách sử dụng một khóa bí mật chung (shared secret key). TACACS+ đánh dấu một trường trong header để xác định xem thử có mã hóa hay không.
•TACACS+ mã hóa toàn bộ gói bằng việc sử dụng khóa bí mật chung nhưng bỏ qua header TACACS chuẩn. Cùng với header là một trường xác định body có được mã hóa hay không.
•TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting). Với cách tiếp cận theo module, ta có thể sử dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền và tính cước.
•TACACS+ hỗ trợ nhiều giao thức.
•Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user :
+Phương pháp thứ nhất là tạo một mức phân quyền (privilege) với một số câu lệnh giới hạn và user đã xác thực bởi router và TACACS server rồi thì sẽ được cấp cho mức đặc quyền xác định nói trên.
+Phương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server để cho phép một user hay một nhóm sử dụng.
Tương tự như một cơ sở dữ liệu bảo mật nội bộ, trợ TACACS+ hỗ trợ ba tính năng yêu cầu của một hệ thống bảo mật tốt:
Chứng thực.
Các giao thức TACACS+ chuyển tiếp nhiều loại tên người dùng và thông tin mật khẩu.Thông tin này được mã hóa trên mạng với MD5.
Cấp quyền.
TACACS cung cấp một cơ chế một máy chủ truy cập mà danh sách người dùng được truy cập được kết nối đến 1 cổng để sử dụng.TACACS server và vị trí của các tên người dùng và thông tin mật khẩu xác định danh sách truy cập thông qua đó người dùng sẽ được lọc.Danh sách truy cập nằm trên máy chủ truy cập.Các máy chủ TACACS sẽ đáp ứng cho tên người dùng với một thông báo chấp nhận và số danh sách truy cập với lý do mà danh sách đó được áp dụng.
Tính cước.
TACACS cung cấp thông tin tính cước cho cơ sở dữ liệu thông qua giao thức TCP để đảm bảo một bản ghi tính cước an toàn hơn và đầy đủ.Phần tính cước của giao thức TACACS+ chứa các địa chỉ mạng của người sử dụng, tên người sử dụng, các dịch vụ đính kèm, giao thức được sử dụng, thời gian và ngày tháng.Các thông tin thanh toán bao gồm thời gian kết nối, ID người sử dụng, vị trí kết nối, thời gian bắt đầu, và kết thúc.Nó xác định các giao thức mà người dùng đang sử dụng và có thể chứa các lệnh được chạy nếu người sử dụng được kết nối thông qua Telnet.Các thông tin kiểm toán mà nó bao gồm các lệnh và đối số được sử dụng và các kết nối, các lệnh đến từ đâu.Giao thức này cung cấp đủ thông tin để có một máy chủ có thểphát hiện kẻ đột nhập, báo cáo thống kê, số lượng các gói dữ liệu, và số lượng byte.
Cấu trúc gói tin Tacacs+ :
Version number (1 bit): bao gồm major_version và minor_version
- major_version: số phiên bản của Tacacs+
- minor_version: số phiên bản phụ của Tacacs+ trường này được thiết kế để cho phép sửa đổi các giao thức TACACS + trong khi duy trì tính tương thích ngược. Type (1 bit): cho biết loại gói tin, có các giá trị sau
Seq-no(1 bit): số thứ tự của các gói tin hiện tại trong phiên làm việc
Flags:(1 bit):
TAC_PLUS_UNENCRYPTED_FLAG: nếu cờ này được thiết lập, gói tin sẽ không được mã hoá, ngược lại gói tin sẽ được mã hoá từ phần data trở đi
TAC_PLUS_SINGLE_CONNECT_FLAG: nếu NAS bật cờ này, nó sẽ hỗ trợ đa phiên Tacacs+ trên 1 kết nối TCP duy nhất
Session_ID: ID của phiên làm việc, nó được cấp ngẫu nhiên và không thay đổi trong suốt phiên làm việc.
Length: chiều dài gói tin Tacacs+ (không bao gồm phần header)
Data: chứa thông tin liên lạc giữa Tacacs+ client (Network Access Server) và Tacacs+ Server(AAA server)
Cơ chế hoạt động:
Hình bên dưới mô tả quá trình hoạt động của Tacacs+ khi người dùng truy cập vào mạng thông qua NAS
1. NAS (Network Access Server) có được thông tin về username/pass từ người dùngvà gởi gói tin'Authentication(start)' đến Tacacs+ server
2. Khi user và pass hợp lệ và Server không cần biết thêm thông tin gì nữa thì nó sẽ trả lời với gói tin 'Reply(finnished)'
3. NAS yêu cầu một số thông tin xác thực từ người dùng và gỏi tiếp gói tin 'Authorization(request)' đến Server
4. Server sẽ trả lời với gói tin 'Response(Pass)' mà nó bao gồm các thông tin yêu cầu phân quyền (timeout, allowed idletime, etc)
5. NAS gởi gói tin 'Accounting(start)' để báo cho biết người dùng được bắt đầu đăng nhập vào mạng.
6. TACACS+ server gởi tiếp gói tin 'Reply(Success)’ cho biết quá trình tính cước được ghi nhận thành công
7. Khi người dùng logoff thì NAS sẽ gỏi gói tin ‘Accounting(Stop)' với các thông tin sau :
1. Thời gian bắt đầu
2. Thời gian kết thúc
3. Thời gian đã qua, thời gian hoàn thành phiên làm việc
4. Múi giờ
5. Tổng số byte mà người dùng đã gởi và nhận
6. Số byte người dùng đã nhận
7. Số byte người dùng đã gởi
8. Tổng số gói tin mà người dùng gởi và nhận
9. Số gói tin người dùng đã nhận
10. Số gói tin người dùng đã gởi
11. Lý do người dùng ngắt kết nối
8. TACACS+ server sẽ gởi gói tin 'Reply(Success) cho biết quá trình tính cước được ghi nhận thành công
Sản phẩm tham khảo:
 |
EKI-9312 |
ADVANTECH Industrial-Class 12 Port Full Gigabit Managed DIN Rail Switch
- - All Gigabit connections support dual-ring protection and non-blocking traffic forwarding
- - X-Ring+: recovery time within 20ms for 250 node connections
- - STP, RSTP, MSTP for better redundancy
- - Super security mechanism includes SSL,SSH, 802.1X, MAC, IP filtering,RADIUS, TACACS+, VLAN for access protection
- - Dual power input, dual image for system reliability
- - Operating temperature: -40 ~ 75° C
Hình ảnh _ Cấu trúc kết nối Switch mạng công nghiệp trong hệ thống giám sát giao thông
Thứ Tư, 23 tháng 3, 2016
Switch công nghiệp Advantech Proview Ethernet cho hệ thống SCADA - EKI-5000 series
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tại sao lại nên sử dụng Ethernet switch công nghiệp?
Lợi ích của Ethernet Switch công nghiệp so với switch thông thường. Ethernet Switch công nghiệp được thiết kế để làm việc trong môi trường nhà máy, sản xuất công nghiệp, và những môi trường khắc nghiệt.
Những đặc tính quan trọng của Ethernet Switch công nghiệp như (nhiệt độ, Shock, rung, va chạm v.v) đều đáp ứng hoặc vượt trên những yêu cầu trong việc kết nối tới các thiết bị như PCL, Ethernet I/O, HMI, v.v. phần lớn các loại Ethernet switch thông thường có nhiệt độ làm việc từ 0-40C và không đáp ứng các tiêu chuẩn về chống rung, Shock. Nhưng phần lớn các Ethernet Switch công nghiệp đáp ứng nhiệt độ làm việc từ 0-75C có thể lên tới 85C, và chịu đựng khả năng rung shock cực tốt. Hơn nữa các Ethernet Switch công nghiệp được thiết kế rất chắc chắn và tất cả được làm bằng vỏ kim loại sử dụng phù hợp với Din-Rail hoặc Panel mounting, những thiết kế mà hầu hết các IT switch không có được. Hầu hết các loại Switch thông thường và bộ chuyển tín hiệu thông thường không thiết kế sẵn các phương án gá lắp hợp lý.
Những ưu điểm khác của Ethernet switch công nghiệp
Đó là được trang bị nguồn cấp dự phòng đảm bảo cho thiết bị hoạt động liên tục trong khi đó tất cả switch thông thường chỉ được trang bị một nguồn cấp duy nhất và sử dụng các adapter thông thường.
Ethernet Switch công nghiệp đạt tiêu chuẩn Class I Div 2 (một tiêu chuẩn quan trọng trong điều kiện phòng nổ) trong khi Switch thông thường không bao giờ có. Tiêu chuẩn này cho phép các Ethernet Switch công nghiệp có thể làm việc được trong các môi trường dễ cháy nổ như oil/Gas hoặc môi trường có hóa chất gâycháy nổ.
Ethernet Switch công nghiệp có thay thế được Switch thông thường?
Ethernet được sử dụng nhiều và thường xuyên trong các văn phòng trước khi Ethernet Switch công nghiệp được biết tới. Thiết bị switch thông thường được biết đến với các yếu tố như khả năng làm việc đơn giản, giá thành rẻ. Khá thường xuyên, khi các công ty đánh giá về công nghệ lại không kiểm tra về khả năng thay thế của Ethernet Switch công nghiệp so với các loại Ethernet switch và Router thông thường.
May mắn là Ethernet Switch công nghiệp cung cấp nhiều lợi ích hơn so với 4 tiêu chí chính để có thể thay thế vị trí của những Ethernet switch thông thường đang được sử dụng. Tất cả các tính năng thay thế của Switch và hub thông thường được liệt kê ra dưới đây:
• Dây kết nối tới môi trường điều khiển không khí
Trong trường hợp này, khách hàng sẽ để thiết bị mạng thương mại trong môi trường điều khiển khí hậu và chạy cáp tới mọi node Ethernet công nghiệp. Điều này không những tốn kém mà còn giảm độ tin cậy. Ethernet Switch công nghiệp cung cấp cơ hội để loại bỏ đáng kể về các chi phí cho các loại dây đắt tiền khi so sánh với
• Xây dựng môi trường điều khiển khí hậu ở khu vực khắc nghiệt
Trong trường hợp này, khách hàng, để giảm chi phí dây điện, sẽ xây dựng một môi trường kiểm soát khí hậu cho các thiết bị quanh ngôi nhà trong một môi trường khắc nghiệt (tức là 4 enclosures với Peltier làm mát và vách ngăn gắn kết nối).Giải pháp này rất tốn kém và có thể tăng nguy cơ thất bại. Do đó loại trừ sự cần thiết cho thiết bị kiểm soát không khí đắt tiền.
• Sử dụng đơn giản với thiết bị thương mại mà không liên quan đến sự không phù hợp của môi trường
Đây là một sự thay thế, nhưng không phải là một điều quá hữu ích. Trong trường hợp này, khách hàng sử dụng thiết bị thương mại trong môi trường khắc nghiệt.Thiết bị này không phải là để cho những môi trường đó và sẽ có thể thất bại hoặc giảm độ tin cậy của hệ thống. Trong các cuộc thảo luận của chúng tôi với khách hàng sử dụng thay thế này, nó chỉ thực hiện vì họ không nhận thức được rằng các thiết bị công nghiệp đã có sẵn. Họ rất mở để sử dụng Ethernet Switch công nghiệp.
Mặt khác, nhiều switches thương mại sử dụng công nghệ cut- through nên rất dễ bị nhiễm các gói tin xấu trên mạng. Tuy nhiên, Switches công nghiệp sử dụng công nghệ lưu trữ và công nghệ forward thực hiện CRC (cyclic redundancy checks) và đảm bảo sự toàn vẹn của bất kỳ gói dữ liệu forward nào.
• Sử dụng Hubs thay vì switches?
Trong ki Hub rẻ hơn Switches, nhưng chúng không loại bỏ được những xung đột, vì vậy mà tạo ra các vấn đề liên quan đến Ethernet networks. Thảo luận sau đây sẽ minh họa sự khác biệt giữa Switches và hubs.
Hub cũng được biết đến như một bộ lặp, là một thiết bị đơn giản để kết nối các node Ethernet.
Hub forward gói dữ liệu nhận được từ một trạm tới tất cae các port . Tất cả người dùng được kết nối tới một hub đơn hoặc các Hub được kết nối với nhau để chia sẻ cùng một băng thông. Như các nodes được thêm vào mạng, chúng cạnh tranh cho một số lượng hữu hạn các băng thông (điển hình là 10 or 100 Mbs). Vì vậy, va chạm dữ liệu được đảm bảo khi một hub được sử dụng và mạng định tuyến (khả năng để đảm bảo một gói dữ liệu được gửi/nhận trong một số lượng hữu hạn của thời gian) là không thể. Đây là lý do chính khiến Ethernet có lịch sử không được chấp nhận trong ứng dụng điều khiển. Hầu hết các hệ thống điều khiển có một yêu cầu thời gian nhất định để truyền gói tin (<100ms). Điều này không được đảm bảo với một Hub và đặc biệt là khi mạng đang bận. Bạn có thể tưởng tượng những vấn đề này có thể gây ra những lỗi trong các ứng dụng điều khiển.
Điều này tương tự như một làn đường duy nhất. Bạn không thể có được trên đường cho đến khi không có bất kỳ ai tham gia giao thông. Với một Hub, bạn không thể gửi một gói tin cho đến khi mạng lưới giao thông thông thoáng .Tương tự khác là một dòng điện thoại. Nếu bạn chia sẻ một đường dây điện thoại với 8 người, bất cứ lúc nào và bất kỳ người sử dụng nào đều nhận được cuộc gọi, điện thoại của bạn sẽ đổ chuông. Tất cả người dùng sẽ phải trả lời để xác định nếu các cuộc gọi được gọi cho họ. Ngoài ra, không có người dùng khác có thể sử dụng điện thoại trong khi một người nào khác đang sử dụng nó.
Một Ethernet Switch công nghiệp, là một thiết bị phức tạp hơn với trí thông minh để kết nối các nút Ethernet. Switches loại bỏ vấn đề của định mạng bằng cách cung cấp băng thông đầy đủ với lưu trữ đến từng nút hoặc một nhóm các nút. Switch loại bỏ tất cả các xung đột mà thường làm cho Ethernet không xác định. Một Switch sẽ chỉ gửi dữ liệu chỉ tới cổng mạng thích hợp hoặc segment, không phải toàn bộ mạng là một hub. Switch forward dữ liệu dựa trên địa chỉ MAC (duy nhất cho mỗi thiết bị phần cứng trên mạng) có trong các gói dữ liệu. Switch phải lưu trữ các địa chỉ MAC của mỗi thiết bị nó giao tiếp, đòi hỏi tốc độ cao dual ported SRAM (hub không có yêu cầu bộ nhớ). Switches xác định vị trí của mỗi nút và thiết lập kết nối tạm thời giữa chính nó với nút và chấm dứt khi gói tin được chuyển giao.
Sử dụng tương tự trong ứng dụng đường cao tốc , chúng tôi đã biến con đường duy nhất vào một làn đường cao tốc 8-lane. Một làn đường có thể được dành riêng cho các nút nhiệm vụ quan trọng bảo hiểm cho giao thông luôn luôn có thể có được thông qua trong một thời gian xác định trước.
Giống như điện thoại, điện thoại đổ chuông khi cuộc gọi cho bạn và bạn có thể sử dụng điện thoại khi người khác đang sử dụng nó.
Giống như điện thoại, điện thoại đổ chuông khi cuộc gọi cho bạn và bạn có thể sử dụng điện thoại khi người khác đang sử dụng nó.
Kết luận
Tóm lại, một Ethernet Switch công nghiệp giúp làm tăng băng thông mạng và cung cấp định mạng cho các ứng dụng điều khiển công nghiệp, và cung cấp các giải pháp với chi phí hoàn hảo nhất cho môi trường công nghiệp.
Thứ Ba, 22 tháng 3, 2016
Switch công nghiệp Advantech ethernet cho hệ thống CCTV và Trạm thu phí
| |||||||||||||||||||||||||||||||||||||||||||||||
 | |||||||||||||||||||||||||||||||||||||||||||||||
 | |||||||||||||||||||||||||||||||||||||||||||||||
 | |||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||
 | |||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||
Đăng ký:
Bài đăng (Atom)