如何使用托管型以太網(wǎng)交換機為 IIoT 實(shí)現安全的時(shí)間敏感網(wǎng)絡(luò )

發(fā)布時(shí)間:2024-1-31 10:52    發(fā)布者:eechina
來(lái)源:DigiKey
作者:Jeff Shepard

工業(yè)物聯(lián)網(wǎng) (IIoT) 需要為各種設備提供安全、實(shí)時(shí)和高帶寬的連接。工業(yè) 4.0 自動(dòng)化、水管理、油氣處理、運輸、公用事業(yè)電力管理以及類(lèi)似關(guān)鍵應用中的 IIoT 網(wǎng)絡(luò )也需要一種高效靈活的方式為設備供電,而且需要一種端口密度高的連接解決方案,以便在最小的空間內支持大量設備。下一代托管型以太網(wǎng)交換機可以滿(mǎn)足這些需求以及其他更多需求。

托管型以太網(wǎng)交換機可進(jìn)行遠程配置和控制,簡(jiǎn)化了網(wǎng)絡(luò )部署和更新。它們可以實(shí)現各種網(wǎng)絡(luò )架構,如具有冗余運行功能的星形和線(xiàn)形拓撲結構,包括符合適用于高可用性自動(dòng)化網(wǎng)絡(luò )的 IEC 62439-1。它們支持 IEEE 802.1 時(shí)間敏感網(wǎng)絡(luò ) (TSN) 標準以及 IEEE 802.3 以太網(wǎng)供電 (PoE) 和 PoE+ 標準。

這些交換機通過(guò)了 ISASecure 計劃認證,適用于基于國際自動(dòng)化學(xué)會(huì )/國際電工委員會(huì ) (ISA/IEC) 62443 系列標準的現成即用型自動(dòng)化和控制系統。它們可進(jìn)行配置,將用于銅纜互連的 10/100BASE TX / RJ45 插槽與可調速度為 100 Mb/秒(Mb/s)、1 Gb/秒(Gb/s) 和 2.5 Gb/s 的三速光纖小型可插拔 (SFP) 插槽組合在一起。

本文首先簡(jiǎn)要介紹了從工業(yè) 3.0 的自動(dòng)化金字塔到工業(yè) 4.0 的自動(dòng)化支柱的過(guò)渡,回顧了部署網(wǎng)絡(luò )以承載緊急和非緊急流量的幾種選擇,并探討了如何融入和實(shí)現 TSN。然后,探討了 PoE 和 PoE+ 如何簡(jiǎn)化 IIoT 上傳感器、控制裝置和其他設備的供電,并介紹了安全的重要性,包括 ISASecure 認證以及線(xiàn)速訪(fǎng)問(wèn)控制列表 (ACL) 和自動(dòng)拒絕服務(wù) (DoS) 防護等高級安全功能。最后,闡述了使用托管型以太網(wǎng)交換機的好處,并介紹了 Hirschmann 的幾款典型 BOBCAT 托管型交換機。

從金字塔到支柱

從工業(yè) 3.0 的金字塔工廠(chǎng)架構到工業(yè) 4.0 的支柱架構的轉換,就是 TSN 發(fā)展的動(dòng)力。金字塔將工廠(chǎng)的職能劃分為從車(chē)間到中央控制和管理職能的不同層次。實(shí)時(shí)通信主要需要在工廠(chǎng)車(chē)間的最底層進(jìn)行,因為傳感器數據控制著(zhù)生產(chǎn)流程。工業(yè) 4.0 改變了這種情況。

工業(yè) 4.0 的自動(dòng)化支柱將層級從四個(gè)減少到兩個(gè):現場(chǎng)層級和工廠(chǎng)骨干層級,F場(chǎng)層級包括越來(lái)越多的傳感器和越來(lái)越豐富的控制器。一些控制器正從金字塔控制/可編程邏輯控制器 (PLC) 層向下移到現場(chǎng)層。與此同時(shí),以前屬于控制/PLC 層的其他功能正在向工廠(chǎng)骨干網(wǎng)移動(dòng),與制造執行系統 (MES)、監控和數據采集 (SCADA) 功能以及企業(yè)資源規劃 (ERP) 一起組成虛擬 PLC。

連接層將現場(chǎng)層和骨干層聯(lián)系在一起。連接層和現場(chǎng)層網(wǎng)絡(luò )必須提供高速、低延遲的通信,并能同時(shí)傳輸低優(yōu)先級流量和時(shí)間關(guān)鍵型流量。TSN 通過(guò)在標準以太網(wǎng)網(wǎng)絡(luò )上實(shí)現實(shí)時(shí)確定性網(wǎng)絡(luò ) (DetNet) 流量來(lái)滿(mǎn)足這一要求(圖 1)。


圖 1:從自動(dòng)化金字塔過(guò)渡到自動(dòng)化支柱具有 TSN 功能的連接鏈路。(圖片:Belden)

三種 TSN 配置

IEEE 802.1 以太網(wǎng)標準詳細說(shuō)明了 TSN 的三種配置:集中式、去中心化式(也稱(chēng)為完全分布式),以及集中式網(wǎng)絡(luò )和去中心化用戶(hù)的混合配置。在每種情況下,配置都是高度自動(dòng)化的,以簡(jiǎn)化 TSN 部署,首先要確定網(wǎng)絡(luò )中支持的 TSN 功能,然后激活所需的功能。此時(shí),通話(huà)發(fā)送設備可發(fā)送有關(guān)要傳輸的數據流的信息。這三種方法在網(wǎng)絡(luò )中處理設備和數據流要求的方式上有所不同。

在集中式配置中,通話(huà)者和監聽(tīng)者通過(guò)集中式用戶(hù)配置 (CUC) 邏輯設備進(jìn)行通信。CUC 根據通話(huà)者和監聽(tīng)者信息創(chuàng )建數據流要求,并將其發(fā)送到集中式網(wǎng)絡(luò )配置 (CNC) 設備。CNC 根據網(wǎng)絡(luò )拓撲和資源可用性等因素確定下一個(gè)數據流的時(shí)隙,并向交換機發(fā)送所需的配置信息(圖 2)。


圖 2:集中式 TSN 架構使用 CUC 連接通話(huà)方和監聽(tīng)方,并使用 CNC 向交換機發(fā)送配置信息。(圖片來(lái)源:Belden)

在去中心化配置中,取消了 CUC 和 CNC,設備要求根據每個(gè)設備內部的信息通過(guò)網(wǎng)絡(luò )傳播。在混合配置中,CNC 用于 TSN 配置,通話(huà)設備和監聽(tīng)設備通過(guò)網(wǎng)絡(luò )共享其需求(圖 3)。集中式和混合式方法可對網(wǎng)絡(luò )交換機進(jìn)行集中配置(托管式)。


圖 3:去中心化(上)和混合式(下) TSN 配置示例。(圖片來(lái)源:Belden)

PoE 和 PoE+

在工業(yè) 4.0 自動(dòng)化支柱中,以太網(wǎng)供電 (PoE) 是對 TSN 的有力補充。工業(yè) 4.0 的驅動(dòng)力之一是由許多傳感器、執行器和控制器組成的 IIoT。PoE 的開(kāi)發(fā)是為了應對為整個(gè)工廠(chǎng)或其他設施的 IIoT 設備供電的挑戰。

PoE 支持通過(guò)單根網(wǎng)線(xiàn)同時(shí)傳輸高速數據(包括 TSN)和電力。例如,使用 PoE 技術(shù),48 伏直流電源可通過(guò) CAT 5/5e 電纜傳輸長(cháng)達 100 米。除了簡(jiǎn)化網(wǎng)絡(luò )安裝外,PoE 還能簡(jiǎn)化不間斷電源和冗余電源的實(shí)現,提高工業(yè)流程和設備的可靠性。

PoE 使用兩類(lèi)設備:向網(wǎng)絡(luò )注入電力的電源設備 (PSE) 和提取并使用電力的用電設備 (PD)。PoE 有兩種類(lèi)型; PoE 可為 PD 提供最大 15.4 W 的功率。PoE+ 是最近發(fā)展起來(lái)的,可為 PD 提供最高 30 W 的功率。

網(wǎng)絡(luò )安全

ISA 和 IEC 已制定了一系列工業(yè)自動(dòng)化和控制系統 (IACS) 標準。ISA/IEC 62443 系列包括四個(gè)部分。第 4 部分適用于設備供應商。IEC 62443-4-2 認證設備經(jīng)過(guò)獨立評估,采用安全設計,納入了針對網(wǎng)絡(luò )安全的最佳實(shí)踐。IACS 安全的兩個(gè)重要工具是訪(fǎng)問(wèn)控制列表 (ACL) 和拒絕服務(wù) (DoS) 攻擊保護。在這兩種情況下,網(wǎng)絡(luò )工程師都可以采用多種方法。

ACL 用于允許或拒絕流量進(jìn)入或離開(kāi)網(wǎng)絡(luò )接口。使用 ACL 的一個(gè)好處是,它們以網(wǎng)絡(luò )速度運行,不會(huì )影響數據吞吐量,這是 TSN 實(shí)現中的一個(gè)重要考慮因素。Hirschmann 的 HiOS 將 ACL 分成三類(lèi):

針對 TCP/IP 流量的基本 ACL,配置選項最少,只可設置權限規則,如“設備 A 只能與這組設備通信”,或“設備 A 只能向設備 B 發(fā)送特定類(lèi)型的信息”,或“設備 A 不能與設備 B 通信”。使用基本 ACL 可以簡(jiǎn)化和加快部署。

針對 TCP/IP 流量的高級 ACL,除了上述配置選項外,還提供更精細的控制?梢愿鶕髁康膬(yōu)先級、報頭中設置的標志和其他準則來(lái)允許或拒絕流量。有些規則只能在一天中的某些時(shí)間適用?蓪⒘髁跨R像到另一個(gè)端口進(jìn)行監控或分析?梢詫⑻囟(lèi)型的流量強制傳輸到指定的端口,而不管其原來(lái)的目的地是哪里。

有些 IACS 設備不使用 TCP/IP,而 HiOS 還允許根據媒體訪(fǎng)問(wèn)控制 (MAC) 尋址在以太網(wǎng)幀級別設置 ACL。這些 MAC 級 ACL 可根據一系列準則進(jìn)行過(guò)濾,包括流量類(lèi)型、時(shí)間、源或目標 MAC 地址等(圖 4)。


圖 4:MAC 級 ACL 可用于不使用 TCP/IP 的設備。(圖片來(lái)源:Belden)

雖然 ACL 必須配置,但 DoS 防護通常已嵌入設備并自動(dòng)實(shí)現。它可以處理通過(guò) TCP/IP、傳統 TCP/UDP 和互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP) 發(fā)起的攻擊。在 TCP/IP 和 TCP/UDP 情形下,DoS 攻擊采取與協(xié)議棧相關(guān)的各種形式,即向受攻擊設備發(fā)送不符合標準的數據包;蛘呤褂檬芄粼O備的 IP 地址向該設備發(fā)送數據包,從而可能導致無(wú)休止的循環(huán)回復。以太網(wǎng)交換機可以通過(guò)自動(dòng)過(guò)濾惡意數據包來(lái)保護自己和網(wǎng)絡(luò )上的傳統設備。

另一種常見(jiàn)的 DoS 攻擊來(lái)自 ICMP ping。Ping 的目的是確定整個(gè)網(wǎng)絡(luò )上設備的可用性和響應時(shí)間,但也可用于 DoS 攻擊。例如,攻擊者可以發(fā)送一個(gè)有效載荷足夠大的 ping,導致接收設備的緩沖區溢出,使協(xié)議棧崩潰。如今的托管型以太網(wǎng)交換機可以自動(dòng)防止基于 ICMP 的 DoS 攻擊。

托管型交換機

Hirschmann 的 BOBCAT 托管型以太網(wǎng)交換機支持 TSN,通過(guò)將 SFP 從 1 Gb/s 調整到 2.5 Gb/s,無(wú)需更換交換機即可擴展帶寬能力。其端口密度很高,單個(gè)設備最多可容納 24 個(gè)端口,并提供 SFP 或銅纜上行鏈路端口選擇(圖 5)。其他特性包括:

· ISASecure CSA / IEC 62443-4-2 認證,包括 ACL 和自動(dòng) DoS 防護
· 8 個(gè) PoE/PoE+ 端口無(wú)需負載分擔即可支持最高 240 W 的功率
· 標準環(huán)境工作溫度范圍為 0°C 至 +60°C,擴展溫度型號的工作溫度范圍為 -40°C 至 +70°C
· 通過(guò) ISA12.12.01 危險場(chǎng)所使用認證的型號


圖 5:BOBCAT 托管型以太網(wǎng)交換機有多種配置可供選擇。(圖片來(lái)源:Hirschmann)

Hirschmann BOBCAT 交換機實(shí)例包括:

· BRS20-4TX 配有四個(gè) 10/100 BASE TX / RJ45 端口,額定環(huán)境溫度為 0°C 至 +60°C
· BRS20-4TX/2FX 配備四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mb/s 光纖端口,額定環(huán)境溫度為 0°C 至 +60°C
· BRS20-4TX/2SFP-EEC-HL 配有四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mb/s 光纖端口,額定環(huán)境溫度為 -40°C 至 +70°C,通過(guò) ISA12.12.01 危險場(chǎng)所使用認證
· BRS20-4TX/2SFP-HL 配有四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mb/s 光纖端口,額定環(huán)境溫度為 0°C 至 +60°C,通過(guò) ISA12.12.01 危險場(chǎng)所使用認證
· BRS30-12TX 配備 8 個(gè) 10/100 BASE TX / RJ45 端口和 4 個(gè) 100 Mb/s 光纖端口,額定環(huán)境溫度為 0°C 至 +60°C
· BRS30-16TX/4SFP 配有十六個(gè) 10/100 BASE TX / RJ45 端口和四個(gè) 100 Mb/s 光纖端口,額定環(huán)境溫度為 0°C 至 +60°C

結語(yǔ)

托管型以太網(wǎng)交換機一般支持 TSN、PoE 和 PoE+,能夠提供高水平的網(wǎng)絡(luò )安全,并提供 IIoT 和工業(yè) 4.0 支柱網(wǎng)絡(luò )結構所需的高帶寬連接。這些交換機易于配置、端口密度高、工作溫度范圍廣,并提供通過(guò) ISA12.12.01 危險場(chǎng)所使用認證的版本。
本文地址:http://selenalain.com/thread-851075-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页