如何使用托管型以太網(wǎng)交換機(jī)為 IIoT 實(shí)現(xiàn)安全的時(shí)間敏感網(wǎng)絡(luò)

作者：Jeff Shepard

工業(yè)物聯(lián)網(wǎng) (IIoT) 需要為各種設(shè)備提供安全、實(shí)時(shí)和高帶寬的連接。工業(yè) 4.0 自動(dòng)化、水管理、油氣處理、運(yùn)輸、公用事業(yè)電力管理以及類似關(guān)鍵應(yīng)用中的 IIoT 網(wǎng)絡(luò)也需要一種高效靈活的方式為設(shè)備供電，而且需要一種端口密度高的連接解決方案，以便在最小的空間內(nèi)支持大量設(shè)備。下一代托管型以太網(wǎng)交換機(jī)可以滿足這些需求以及其他更多需求。

托管型以太網(wǎng)交換機(jī)可進(jìn)行遠(yuǎn)程配置和控制，簡化了網(wǎng)絡(luò)部署和更新。它們可以實(shí)現(xiàn)各種網(wǎng)絡(luò)架構(gòu)，如具有冗余運(yùn)行功能的星形和線形拓?fù)浣Y(jié)構(gòu)，包括符合適用于高可用性自動(dòng)化網(wǎng)絡(luò)的 IEC 62439-1。它們支持 IEEE 802.1 時(shí)間敏感網(wǎng)絡(luò) (TSN) 標(biāo)準(zhǔn)以及 IEEE 802.3 以太網(wǎng)供電 (PoE) 和 PoE+ 標(biāo)準(zhǔn)。

這些交換機(jī)通過了 ISASecure 計(jì)劃認(rèn)證，適用于基于國際自動(dòng)化學(xué)會(huì)/國際電工委員會(huì) (ISA/IEC) 62443 系列標(biāo)準(zhǔn)的現(xiàn)成即用型自動(dòng)化和控制系統(tǒng)。它們可進(jìn)行配置，將用于銅纜互連的 10/100BASE TX / RJ45 插槽與可調(diào)速度為 100 Mb/秒(Mb/s)、1 Gb/秒(Gb/s) 和 2.5 Gb/s 的三速光纖小型可插拔 (SFP) 插槽組合在一起。

本文首先簡要介紹了從工業(yè) 3.0 的自動(dòng)化金字塔到工業(yè) 4.0 的自動(dòng)化支柱的過渡，回顧了部署網(wǎng)絡(luò)以承載緊急和非緊急流量的幾種選擇，并探討了如何融入和實(shí)現(xiàn) TSN。然后，探討了 PoE 和 PoE+ 如何簡化 IIoT 上傳感器、控制裝置和其他設(shè)備的供電，并介紹了安全的重要性，包括 ISASecure 認(rèn)證以及線速訪問控制列表 (ACL) 和自動(dòng)拒絕服務(wù) (DoS) 防護(hù)等高級(jí)安全功能。最后，闡述了使用托管型以太網(wǎng)交換機(jī)的好處，并介紹了 [Hirschmann] 的幾款典型 [BOBCAT 托管型交換機(jī)]。

從金字塔到支柱

從工業(yè) 3.0 的金字塔工廠架構(gòu)到工業(yè) 4.0 的支柱架構(gòu)的轉(zhuǎn)換，就是 TSN 發(fā)展的動(dòng)力。金字塔將工廠的職能劃分為從車間到中央控制和管理職能的不同層次。實(shí)時(shí)通信主要需要在工廠車間的最底層進(jìn)行，因?yàn)?a target="_blank">傳感器數(shù)據(jù)控制著生產(chǎn)流程。工業(yè) 4.0 改變了這種情況。

工業(yè) 4.0 的自動(dòng)化支柱將層級(jí)從四個(gè)減少到兩個(gè)：現(xiàn)場層級(jí)和工廠骨干層級(jí)?，F(xiàn)場層級(jí)包括越來越多的傳感器和越來越豐富的控制器。一些控制器正從金字塔控制/可編程邏輯控制器 (PLC) 層向下移到現(xiàn)場層。與此同時(shí)，以前屬于控制/PLC 層的其他功能正在向工廠骨干網(wǎng)移動(dòng)，與制造執(zhí)行系統(tǒng) (MES)、監(jiān)控和數(shù)據(jù)采集 (SCADA) 功能以及企業(yè)資源規(guī)劃 (ERP) 一起組成虛擬 PLC。

連接層將現(xiàn)場層和骨干層聯(lián)系在一起。連接層和現(xiàn)場層網(wǎng)絡(luò)必須提供高速、低延遲的通信，并能同時(shí)傳輸?shù)蛢?yōu)先級(jí)流量和時(shí)間關(guān)鍵型流量。TSN 通過在標(biāo)準(zhǔn)以太網(wǎng)網(wǎng)絡(luò)上實(shí)現(xiàn)實(shí)時(shí)確定性網(wǎng)絡(luò) (DetNet) 流量來滿足這一要求（圖 1）。

圖 1：從自動(dòng)化金字塔過渡到自動(dòng)化支柱具有 TSN 功能的連接鏈路。（圖片：Belden）

三種 TSN 配置

IEEE 802.1 以太網(wǎng)標(biāo)準(zhǔn)詳細(xì)說明了 TSN 的三種配置：集中式、去中心化式（也稱為完全分布式），以及集中式網(wǎng)絡(luò)和去中心化用戶的混合配置。在每種情況下，配置都是高度自動(dòng)化的，以簡化 TSN 部署，首先要確定網(wǎng)絡(luò)中支持的 TSN 功能，然后激活所需的功能。此時(shí)，通話發(fā)送設(shè)備可發(fā)送有關(guān)要傳輸?shù)臄?shù)據(jù)流的信息。這三種方法在網(wǎng)絡(luò)中處理設(shè)備和數(shù)據(jù)流要求的方式上有所不同。

在集中式配置中，通話者和監(jiān)聽者通過集中式用戶配置 (CUC) 邏輯設(shè)備進(jìn)行通信。CUC 根據(jù)通話者和監(jiān)聽者信息創(chuàng)建數(shù)據(jù)流要求，并將其發(fā)送到集中式網(wǎng)絡(luò)配置 (CNC) 設(shè)備。CNC 根據(jù)網(wǎng)絡(luò)拓?fù)浜唾Y源可用性等因素確定下一個(gè)數(shù)據(jù)流的時(shí)隙，并向交換機(jī)發(fā)送所需的配置信息（圖 2）。

圖 2：集中式 TSN 架構(gòu)使用 CUC 連接通話方和監(jiān)聽方，并使用 CNC 向交換機(jī)發(fā)送配置信息。（圖片來源：Belden）

在去中心化配置中，取消了 CUC 和 CNC，設(shè)備要求根據(jù)每個(gè)設(shè)備內(nèi)部的信息通過網(wǎng)絡(luò)傳播。在混合配置中，CNC 用于 TSN 配置，通話設(shè)備和監(jiān)聽設(shè)備通過網(wǎng)絡(luò)共享其需求（圖 3）。集中式和混合式方法可對網(wǎng)絡(luò)交換機(jī)進(jìn)行集中配置（托管式）。

圖 3：去中心化（上）和混合式（下） TSN 配置示例。（圖片來源：Belden）

PoE 總和 PoE+

在工業(yè) 4.0 自動(dòng)化支柱中，以太網(wǎng)供電 (PoE) 是對 TSN 的有力補(bǔ)充。工業(yè) 4.0 的驅(qū)動(dòng)力之一是由許多傳感器、執(zhí)行器和控制器組成的 IIoT。PoE 的開發(fā)是為了應(yīng)對為整個(gè)工廠或其他設(shè)施的 IIoT 設(shè)備供電的挑戰(zhàn)。

PoE 支持通過單根網(wǎng)線同時(shí)傳輸高速數(shù)據(jù)（包括 TSN）和電力。例如，使用 PoE 技術(shù)，48 伏直流電源可通過 CAT 5/5e 電纜傳輸長達(dá) 100 米。除了簡化網(wǎng)絡(luò)安裝外，PoE 還能簡化不間斷電源和冗余電源的實(shí)現(xiàn)，提高工業(yè)流程和設(shè)備的可靠性。

PoE 使用兩類設(shè)備：向網(wǎng)絡(luò)注入電力的電源設(shè)備 (PSE) 和提取并使用電力的用電設(shè)備 (PD)。PoE 有兩種類型。基本 PoE 可為 PD 提供最大 15.4 W 的功率。PoE+ 是最近發(fā)展起來的，可為 PD 提供最高 30 W 的功率。

網(wǎng)絡(luò)安全

ISA 和 IEC 已制定了一系列工業(yè)自動(dòng)化和控制系統(tǒng) (IACS) 標(biāo)準(zhǔn)。ISA/IEC 62443 系列包括四個(gè)部分。第 4 部分適用于設(shè)備供應(yīng)商。IEC 62443-4-2 認(rèn)證設(shè)備經(jīng)過獨(dú)立評估，采用安全設(shè)計(jì)，納入了針對網(wǎng)絡(luò)安全的最佳實(shí)踐。IACS 安全的兩個(gè)重要工具是訪問控制列表 (ACL) 和拒絕服務(wù) (DoS) 攻擊保護(hù)。在這兩種情況下，網(wǎng)絡(luò)工程師都可以采用多種方法。

ACL 用于允許或拒絕流量進(jìn)入或離開網(wǎng)絡(luò)接口。使用 ACL 的一個(gè)好處是，它們以網(wǎng)絡(luò)速度運(yùn)行，不會(huì)影響數(shù)據(jù)吞吐量，這是 TSN 實(shí)現(xiàn)中的一個(gè)重要考慮因素。Hirschmann 的 HiOS 將 ACL 分成三類：

針對 TCP/IP 流量的基本 ACL，配置選項(xiàng)最少，只可設(shè)置權(quán)限規(guī)則，如“設(shè)備 A 只能與這組設(shè)備通信”，或“設(shè)備 A 只能向設(shè)備 B 發(fā)送特定類型的信息”，或“設(shè)備 A 不能與設(shè)備 B 通信”。使用基本 ACL 可以簡化和加快部署。

針對 TCP/IP 流量的高級(jí) ACL，除了上述配置選項(xiàng)外，還提供更精細(xì)的控制?？梢愿鶕?jù)流量的優(yōu)先級(jí)、報(bào)頭中設(shè)置的標(biāo)志和其他準(zhǔn)則來允許或拒絕流量。有些規(guī)則只能在一天中的某些時(shí)間適用?？蓪⒘髁跨R像到另一個(gè)端口進(jìn)行監(jiān)控或分析?？梢詫⑻囟愋偷牧髁繌?qiáng)制傳輸?shù)街付ǖ亩丝?，而不管其原來的目的地是哪里?/p>

有些 IACS 設(shè)備不使用 TCP/IP，而 HiOS 還允許根據(jù)媒體訪問控制 (MAC) 尋址在以太網(wǎng)幀級(jí)別設(shè)置 ACL。這些 MAC 級(jí) ACL 可根據(jù)一系列準(zhǔn)則進(jìn)行過濾，包括流量類型、時(shí)間、源或目標(biāo) MAC 地址等（圖 4）。

圖 4：MAC 級(jí) ACL 可用于不使用 TCP/IP 的設(shè)備。（圖片來源：Belden）

雖然 ACL 必須配置，但 DoS 防護(hù)通常已嵌入設(shè)備并自動(dòng)實(shí)現(xiàn)。它可以處理通過 TCP/IP、傳統(tǒng) TCP/UDP 和互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP) 發(fā)起的攻擊。在 TCP/IP 和 TCP/UDP 情形下，DoS 攻擊采取與協(xié)議棧相關(guān)的各種形式，即向受攻擊設(shè)備發(fā)送不符合標(biāo)準(zhǔn)的數(shù)據(jù)包?；蛘呤褂檬芄粼O(shè)備的 IP 地址向該設(shè)備發(fā)送數(shù)據(jù)包，從而可能導(dǎo)致無休止的循環(huán)回復(fù)。以太網(wǎng)交換機(jī)可以通過自動(dòng)過濾惡意數(shù)據(jù)包來保護(hù)自己和網(wǎng)絡(luò)上的傳統(tǒng)設(shè)備。

另一種常見的 DoS 攻擊來自 ICMP ping。Ping 的目的是確定整個(gè)網(wǎng)絡(luò)上設(shè)備的可用性和響應(yīng)時(shí)間，但也可用于 DoS 攻擊。例如，攻擊者可以發(fā)送一個(gè)有效載荷足夠大的 ping，導(dǎo)致接收設(shè)備的緩沖區(qū)溢出，使協(xié)議棧崩潰。如今的托管型以太網(wǎng)交換機(jī)可以自動(dòng)防止基于 ICMP 的 DoS 攻擊。

托管型交換機(jī)

Hirschmann 的 BOBCAT 托管型以太網(wǎng)交換機(jī)支持 TSN，通過將 SFP 從 1 Gb/s 調(diào)整到 2.5 Gb/s，無需更換交換機(jī)即可擴(kuò)展帶寬能力。其端口密度很高，單個(gè)設(shè)備最多可容納 24 個(gè)端口，并提供 SFP 或銅纜上行鏈路端口選擇（圖 5）。其他特性包括：

• ISASecure CSA / IEC 62443-4-2 認(rèn)證，包括 ACL 和自動(dòng) DoS 防護(hù)
• 8 個(gè) PoE/PoE+ 端口無需負(fù)載分擔(dān)即可支持最高 240 W 的功率
• 標(biāo)準(zhǔn)環(huán)境工作溫度范圍為 0°C 至 +60°C，擴(kuò)展溫度型號(hào)的工作溫度范圍為 -40°C 至 +70°C
• 通過 ISA12.12.01 危險(xiǎn)場所使用認(rèn)證的型號(hào)

圖 5：BOBCAT 托管型以太網(wǎng)交換機(jī)有多種配置可供選擇。（圖片來源：Hirschmann）

Hirschmann BOBCAT 交換機(jī)實(shí)例包括：

• [BRS20-4TX] 配有四個(gè) 10/100 BASE TX / RJ45 端口，額定環(huán)境溫度為 0°C 至 +60°C
• [BRS20-4TX/2FX]配備四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mb/s 光纖端口，額定環(huán)境溫度為 0°C 至 +60°C
• [BRS20-4TX/2SFP-EEC-HL]配有四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mb/s 光纖端口，額定環(huán)境溫度為 -40°C 至 +70°C，通過 ISA12.12.01 危險(xiǎn)場所使用認(rèn)證
• [BRS20-4TX/2SFP-HL] 配有四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mb/s 光纖端口，額定環(huán)境溫度為 0°C 至 +60°C，通過 ISA12.12.01 危險(xiǎn)場所使用認(rèn)證
• [BRS30-12TX]配備 8 個(gè) 10/100 BASE TX / RJ45 端口和 4 個(gè) 100 Mb/s 光纖端口，額定環(huán)境溫度為 0°C 至 +60°C
• [BRS30-16TX/4SFP]配有十六個(gè) 10/100 BASE TX / RJ45 端口和四個(gè) 100 Mb/s 光纖端口，額定環(huán)境溫度為 0°C 至 +60°C

結(jié)語

托管型以太網(wǎng)交換機(jī)一般支持 TSN、PoE 和 PoE+，能夠提供高水平的網(wǎng)絡(luò)安全，并提供 IIoT 和工業(yè) 4.0 支柱網(wǎng)絡(luò)結(jié)構(gòu)所需的高帶寬連接。這些交換機(jī)易于配置、端口密度高、工作溫度范圍廣，并提供通過 ISA12.12.01 危險(xiǎn)場所使用認(rèn)證的版本。

審核編輯 黃宇