如何使用托管型以太网交换机为 IIoT 实现安全的时间敏感网络
投稿人:DigiKey 北美编辑
2024-01-16
工业物联网 (IIoT) 需要为各种设备提供安全、实时和高带宽的连接。工业 4.0 自动化、水管理、油气处理、运输、公用事业电力管理以及类似关键应用中的 IIoT 网络也需要一种高效灵活的方式为设备供电,而且需要一种端口密度高的连接解决方案,以便在最小的空间内支持大量设备。下一代托管型以太网交换机可以满足这些需求以及其他更多需求。
托管型以太网交换机可进行远程配置和控制,简化了网络部署和更新。它们可以实现各种网络架构,如具有冗余运行功能的星形和线形拓扑结构,包括符合适用于高可用性自动化网络的 IEC 62439-1。它们支持 IEEE 802.1 时间敏感网络 (TSN) 标准以及 IEEE 802.3 以太网供电 (PoE) 和 PoE+ 标准。
这些交换机通过了 ISASecure 计划认证,适用于基于国际自动化学会/国际电工委员会 (ISA/IEC) 62443 系列标准的现成即用型自动化和控制系统。它们可进行配置,将用于铜缆互连的 10/100BASE TX / RJ45 插槽与可调速度为 100 Mb/秒(Mb/s)、1 Gb/秒(Gb/s) 和 2.5 Gb/s 的三速光纤小型可插拔 (SFP) 插槽组合在一起。
本文首先简要介绍了从工业 3.0 的自动化金字塔到工业 4.0 的自动化支柱的过渡,回顾了部署网络以承载紧急和非紧急流量的几种选择,并探讨了如何融入和实现 TSN。然后,探讨了 PoE 和 PoE+ 如何简化 IIoT 上传感器、控制装置和其他设备的供电,并介绍了安全的重要性,包括 ISASecure 认证以及线速访问控制列表 (ACL) 和自动拒绝服务 (DoS) 防护等高级安全功能。最后,阐述了使用托管型以太网交换机的好处,并介绍了 Hirschmann 的几款典型 BOBCAT 托管型交换机。
从金字塔到支柱
从工业 3.0 的金字塔工厂架构到工业 4.0 的支柱架构的转换,就是 TSN 发展的动力。金字塔将工厂的职能划分为从车间到中央控制和管理职能的不同层次。实时通信主要需要在工厂车间的最底层进行,因为传感器数据控制着生产流程。工业 4.0 改变了这种情况。
工业 4.0 的自动化支柱将层级从四个减少到两个:现场层级和工厂骨干层级。现场层级包括越来越多的传感器和越来越丰富的控制器。一些控制器正从金字塔控制/可编程逻辑控制器 (PLC) 层向下移到现场层。与此同时,以前属于控制/PLC 层的其他功能正在向工厂骨干网移动,与制造执行系统 (MES)、监控和数据采集 (SCADA) 功能以及企业资源规划 (ERP) 一起组成虚拟 PLC。
连接层将现场层和骨干层联系在一起。连接层和现场层网络必须提供高速、低延迟的通信,并能同时传输低优先级流量和时间关键型流量。TSN 通过在标准以太网网络上实现实时确定性网络 (DetNet) 流量来满足这一要求(图 1)。
图 1:从自动化金字塔过渡到自动化支柱具有 TSN 功能的连接链路。(图片:Belden)
三种 TSN 配置
IEEE 802.1 以太网标准详细说明了 TSN 的三种配置:集中式、去中心化式(也称为完全分布式),以及集中式网络和去中心化用户的混合配置。在每种情况下,配置都是高度自动化的,以简化 TSN 部署,首先要确定网络中支持的 TSN 功能,然后激活所需的功能。此时,通话发送设备可发送有关要传输的数据流的信息。这三种方法在网络中处理设备和数据流要求的方式上有所不同。
在集中式配置中,通话者和监听者通过集中式用户配置 (CUC) 逻辑设备进行通信。CUC 根据通话者和监听者信息创建数据流要求,并将其发送到集中式网络配置 (CNC) 设备。CNC 根据网络拓扑和资源可用性等因素确定下一个数据流的时隙,并向交换机发送所需的配置信息(图 2)。
图 2:集中式 TSN 架构使用 CUC 连接通话方和监听方,并使用 CNC 向交换机发送配置信息。(图片来源:Belden)
在去中心化配置中,取消了 CUC 和 CNC,设备要求根据每个设备内部的信息通过网络传播。在混合配置中,CNC 用于 TSN 配置,通话设备和监听设备通过网络共享其需求(图 3)。集中式和混合式方法可对网络交换机进行集中配置(托管式)。
图 3:去中心化(上)和混合式(下) TSN 配置示例。(图片来源:Belden)
PoE 和 PoE+
在工业 4.0 自动化支柱中,以太网供电 (PoE) 是对 TSN 的有力补充。工业 4.0 的驱动力之一是由许多传感器、执行器和控制器组成的 IIoT。PoE 的开发是为了应对为整个工厂或其他设施的 IIoT 设备供电的挑战。
PoE 支持通过单根网线同时传输高速数据(包括 TSN)和电力。例如,使用 PoE 技术,48 伏直流电源可通过 CAT 5/5e 电缆传输长达 100 米。除了简化网络安装外,PoE 还能简化不间断电源和冗余电源的实现,提高工业流程和设备的可靠性。
PoE 使用两类设备:向网络注入电力的电源设备 (PSE) 和提取并使用电力的用电设备 (PD)。PoE 有两种类型。基本 PoE 可为 PD 提供最大 15.4 W 的功率。PoE+ 是最近发展起来的,可为 PD 提供最高 30 W 的功率。
网络安全
ISA 和 IEC 已制定了一系列工业自动化和控制系统 (IACS) 标准。ISA/IEC 62443 系列包括四个部分。第 4 部分适用于设备供应商。IEC 62443-4-2 认证设备经过独立评估,采用安全设计,纳入了针对网络安全的最佳实践。IACS 安全的两个重要工具是访问控制列表 (ACL) 和拒绝服务 (DoS) 攻击保护。在这两种情况下,网络工程师都可以采用多种方法。
ACL 用于允许或拒绝流量进入或离开网络接口。使用 ACL 的一个好处是,它们以网络速度运行,不会影响数据吞吐量,这是 TSN 实现中的一个重要考虑因素。Hirschmann 的 HiOS 将 ACL 分成三类:
针对 TCP/IP 流量的基本 ACL,配置选项最少,只可设置权限规则,如“设备 A 只能与这组设备通信”,或“设备 A 只能向设备 B 发送特定类型的信息”,或“设备 A 不能与设备 B 通信”。使用基本 ACL 可以简化和加快部署。
针对 TCP/IP 流量的高级 ACL,除了上述配置选项外,还提供更精细的控制。可以根据流量的优先级、报头中设置的标志和其他准则来允许或拒绝流量。有些规则只能在一天中的某些时间适用。可将流量镜像到另一个端口进行监控或分析。可以将特定类型的流量强制传输到指定的端口,而不管其原来的目的地是哪里。
有些 IACS 设备不使用 TCP/IP,而 HiOS 还允许根据媒体访问控制 (MAC) 寻址在以太网帧级别设置 ACL。这些 MAC 级 ACL 可根据一系列准则进行过滤,包括流量类型、时间、源或目标 MAC 地址等(图 4)。
图 4:MAC 级 ACL 可用于不使用 TCP/IP 的设备。(图片来源:Belden)
虽然 ACL 必须配置,但 DoS 防护通常已嵌入设备并自动实现。它可以处理通过 TCP/IP、传统 TCP/UDP 和互联网控制消息协议 (ICMP) 发起的攻击。在 TCP/IP 和 TCP/UDP 情形下,DoS 攻击采取与协议栈相关的各种形式,即向受攻击设备发送不符合标准的数据包。或者使用受攻击设备的 IP 地址向该设备发送数据包,从而可能导致无休止的循环回复。以太网交换机可以通过自动过滤恶意数据包来保护自己和网络上的传统设备。
另一种常见的 DoS 攻击来自 ICMP ping。Ping 的目的是确定整个网络上设备的可用性和响应时间,但也可用于 DoS 攻击。例如,攻击者可以发送一个有效载荷足够大的 ping,导致接收设备的缓冲区溢出,使协议栈崩溃。如今的托管型以太网交换机可以自动防止基于 ICMP 的 DoS 攻击。
托管型交换机
Hirschmann 的 BOBCAT 托管型以太网交换机支持 TSN,通过将 SFP 从 1 Gb/s 调整到 2.5 Gb/s,无需更换交换机即可扩展带宽能力。其端口密度很高,单个设备最多可容纳 24 个端口,并提供 SFP 或铜缆上行链路端口选择(图 5)。其他特性包括:
- ISASecure CSA / IEC 62443-4-2 认证,包括 ACL 和自动 DoS 防护
- 8 个 PoE/PoE+ 端口无需负载分担即可支持最高 240 W 的功率
- 标准环境工作温度范围为 0°C 至 +60°C,扩展温度型号的工作温度范围为 -40°C 至 +70°C
- 通过 ISA12.12.01 危险场所使用认证的型号
图 5:BOBCAT 托管型以太网交换机有多种配置可供选择。(图片来源:Hirschmann)
Hirschmann BOBCAT 交换机实例包括:
- BRS20-4TX 配有四个 10/100 BASE TX / RJ45 端口,额定环境温度为 0°C 至 +60°C
- BRS20-4TX/2FX 配备四个 10/100 BASE TX / RJ45 端口和两个 100 Mb/s 光纤端口,额定环境温度为 0°C 至 +60°C
- BRS20-4TX/2SFP-EEC-HL 配有四个 10/100 BASE TX / RJ45 端口和两个 100 Mb/s 光纤端口,额定环境温度为 -40°C 至 +70°C,通过 ISA12.12.01 危险场所使用认证
- BRS20-4TX/2SFP-HL 配有四个 10/100 BASE TX / RJ45 端口和两个 100 Mb/s 光纤端口,额定环境温度为 0°C 至 +60°C,通过 ISA12.12.01 危险场所使用认证
- BRS30-12TX 配备 8 个 10/100 BASE TX / RJ45 端口和 4 个 100 Mb/s 光纤端口,额定环境温度为 0°C 至 +60°C
- BRS30-16TX/4SFP 配有十六个 10/100 BASE TX / RJ45 端口和四个 100 Mb/s 光纤端口,额定环境温度为 0°C 至 +60°C
结语
托管型以太网交换机一般支持 TSN、PoE 和 PoE+,能够提供高水平的网络安全,并提供 IIoT 和工业 4.0 支柱网络结构所需的高带宽连接。这些交换机易于配置、端口密度高、工作温度范围广,并提供通过 ISA12.12.01 危险场所使用认证的版本。
免责声明:各个作者和/或论坛参与者在本网站发表的观点、看法和意见不代表 DigiKey 的观点、看法和意见,也不代表 DigiKey 官方政策。