Hvordan implementere sikre tidssensitive nettverk for IIoT ved å bruke administrerte Ethernet-switcher

Det industrielle tingenes internett (IIoT) har behov for sikker sanntidstilkobling med høy båndbredde for ulike enheter. IIoT-nettverk i Industri 4.0-automatisering, vannstyring, olje- og gassbehandling, transport, strømstyring og lignende kritiske programmer trenger også en effektiv og fleksibel måte å levere strøm til enheter på, og de trenger en tilkoblingsløsning med høy porttetthet for å støtte et stort antall enheter på minimal plass. Neste generasjons administrerte Ethernet-switcher kan dekke disse behovene med mer.

Administrerte Ethernet-switcher kan konfigureres og styres eksternt, noe som forenkler nettverksutrulling (nettverksutbygging) og -oppdateringer. De muliggjør en rekke nettverksarkitekturer som stjerne- og linjetopologier med redundant drift, inkludert samsvar med IEC 62439-1, som gjelder for automatiseringsnettverk med høy tilgjengelighet. De støtter IEEE 802.1-standarder for Time Sensitive Networking (TSN) og IEEE 802.3-standarder for Power over Ethernet (PoE) og PoE+.

Disse switchene er sertifisert i henhold til ISASecure-programmet for standardiserte (off-the-shelf) automasjons- og styringsystemer basert på standardserien International Society of Automation / International Electrotechnical Institute (ISA/IEC) 62443. De kan konfigureres med kombinasjoner av 10/100BASE TX /RJ45-spor for kobberkoblinger og trehastighets fiberoptiske SFP-spor (small form factor pluggable) med justerbare hastigheter på 100 Mb/sek. (Mb/s), 1 Gb/sek. (Gb/s) og 2,5 Gb/s.

Denne artikkelen begynner med en kort titt på overgangen fra automatiseringspyramiden i Industri 3.0 til automatiseringspelaren i Industri 4.0, gjennomgår flere alternativer for distribusjon av nettverk for å transportere både presserende og ikke-hastende trafikk, og vurderer hvordan TSN passer inn og kan implementeres. Den vurderer deretter hvordan PoE og PoE+ kan forenkle strømforsyningen til sensorer, styringer og andre enheter på IIoT, og den presenterer viktigheten av sikkerhet, inkludert ISASecure-sertifisering og avanserte sikkerhetsfunksjoner som tilgangskontrollister (access control lists – ACL) og automatisk forebyggende DoS (denial-of-service). Den avsluttes med å avgrense fordelene ved å bruke administrerte Ethernet-switcher og presenterer flere eksemplariskeBOBCAT-administrerte switcher fra Hirschmann.

Pyramide til søyle

Overgangen fra pyramidefabrikkarkitekturen i Industri 3.0 til søylearkitekturen i Industri 4.0 er pådriveren for utviklingen av TSN. Pyramiden separerte fabrikkfunksjoner i et hierarki fra fabrikkgulvet til sentraliserte styrings- og administrasjonsfunksjoner. Sanntidskommunikasjon er hovedsakelig nødvendig på fabrikkgulvets laveste nivå, hvor sensordata styrer produksjonsprosesser. Det endrer seg i Industri 4.0.

Automatiseringssøylen i Industri 4.0 reduserer antall nivåer fra fire til to: feltnivået og fabrikkens «ryggrad» i lokalt nettverk. Feltnivået inkluderer økende antall sensorer og et voksende utvalg av styringer (styreenheter). Noen styringer beveger seg ned til feltnivået fra pyramidens PLS-nivå (programmerbar logisk styring). Samtidig beveger andre funksjoner som tidligere var i styring/PLS-nivået seg opp til fabrikkens «ryggrad» i lokalt nettverk, og blir virtuelle PLS-er sammen med MES-funksjoner (manufacturing execution system), SCADA-funksjoner (supervision control and data acquisition) og ERP (enterprise resource planning).

Tilkoblingslaget forbinder nivåene i feltnettverk og «ryggraden» i lokalt nettverk. Tilkoblingslaget og nettverkene på feltnivå må levere høyhastighetskommunikasjon med lav ventetid og kunne bære kombinasjoner av lavprioritert trafikk og tidskritisk trafikk. TSN støtter dette kravet ved å aktivere sanntids deterministisk nettverkstrafikk (DetNet-trafikk) over standard Ethernet-nettverk (figur 1).

Figur 1: Overgang fra automatiseringspyramiden til automatiseringsstøtten krever tilkoblingskobling med TSN-funksjonalitet. (Bilde: Belden)

Tre TSN-konfigurasjoner

IEEE 802.1 Ethernet-standarden inneholder tre konfigurasjoner for TSN: sentralisert, desentralisert (også kalt fullt distribuert) og en hybridkonfigurasjon med et sentralisert nettverk og distribuerte brukere. I hvert tilfelle er konfigurasjonen svært automatisert for å forenkle TSN-distribusjoner og begynner med å identifisere TSN-funksjonene som støttes i et nettverk og aktivere den nødvendige funksjonaliteten. På dette tidspunktet kan taleoverføringsenheten sende informasjon om datastrømmen som skal overføres. De tre tilnærmingene er forskjellige med hensyn til hvordan kravene til enheten og datastrømmen håndteres i nettverket.

I den sentraliserte konfigurasjonen kommuniserer talere og lyttere gjennom den logiske enheten for sentralisert brukerkonfigurasjon (CUC). CUC oppretter datastrømkravene basert på taler- og lytterinformasjonen og sender dem til enheten for sentralisert nettverkskonfigurasjon (CNC). CNC-systemet bestemmer tidsluken for neste datastrøm basert på faktorer som nettverkstopologi og ressurstilgjengelighet, og sender den nødvendige konfigurasjonsinformasjonen til switchene (figur 2).

Figur 2: En sentralisert TSN-arkitektur bruker CUC til å koble til taleren og lytteren og CNC-en for å sende konfigurasjonsinformasjon til switchene. (Bildekilde: Belden)

I den desentraliserte konfigurasjonen elimineres CUC og CNC, og enhetskravene forplantes gjennom nettverket basert på informasjon innenfor hver enhet. I hybridkonfigurasjonen brukes CNC-maskinen til TSN-konfigurasjon, og taler- og lytterenhetene deler sine krav gjennom nettverket (figur 3). De sentraliserte og hybride tilnærmingene gjør at nettverksswitchene kan konfigureres (administreres) sentralt.

Figur 3: Eksempler på desentraliserte (topp) og hybride (bunn) TSN-konfigurasjoner. (Bildekilde: Belden)

PoE og PoE+

Strøm over Ethernet (Power over Ethernet – PoE) er et flott supplement til TSN i Industri 4.0 automatiseringssøyle. En av drivkreftene i Industri 4.0 er IIoT som består av mange sensorer, aktuatorer og styringer. PoE ble utviklet for å takle utfordringene ved å drive IIoT-enheter gjennom en fabrikk eller et annet anlegg.

PoE støtter samtidig overføring av høyhastighetsdata (inkludert TSN) og strøm over én enkelt nettverkskabel. For eksempel kan 48 V likestrøm (VDC) distribueres opptil 100 meter gjennom en CAT 5/5E-KABEL ved hjelp av PoE. I tillegg til å forenkle nettverksinstallasjoner, forenkler PoE implementeringen av avbruddsfri kraft og redundante strømkilder, og kan forbedre påliteligheten til industrielle prosesser og utstyr.

PoE bruker to typer enheter: strømforsyningsutstyr (power sourcing equipment, PSE) som injiserer strøm i nettverket, og drevne enheter (power devices, PD) som trekker ut og bruker strøm. Det er to typer PoE. Basic PoE kan levere maksimalt 15,4 W til en PD. PoE+ er en nyere utvikling som kan levere opptil 30 W til en PD.

Nettverkssikkerhet

ISA og IEC har utviklet en serie standarder for industriell automatisering og styringsystemer (IACS). ISA/IEC 62443-serien inneholder fire deler. Del 4 gjelder for enhetsleverandører. IEC 62443-4-2-sertifiserte enheter er uavhengig evaluert og er sikre ved utforming, inkludert anbefalt fremgangsmåte for cybersikkerhet. To viktige verktøy for IACS-sikkerhet er tilgangskontrollister (ACL-er) og angrepsbeskyttelse mot tjenestenekt (DoS). I begge tilfeller har nettverksingeniører flere mulige tilnærminger.

Tilgangskontrollister (ACL-er) brukes til å tillate eller nekte trafikk som kommer inn i eller forlater nettverksgrensesnitt. En fordel med å bruke tilgangskontrollister (ACL-er) er at de opererer med nettverkshastighet og ikke påvirker datagjennomstrømming, et viktig hensyn i TSN-implementeringer. Hirschmanns HiOS deler tilgangskontrollister (ACL-er) inn i tre kategorier:

Grunnleggende tilgangskontrollister (ACL-er) for TCP/IP-trafikk har et minimum antall konfigurasjonsalternativer for å sette opp tillatelsesregler som «enhet A kan bare kommunisere med denne gruppen av enheter» eller «enhet A kan bare sende bestemte typer informasjon til enhet B» eller «enhet A kan ikke kommunisere med enhet B.» Bruk av grunnleggende tilgangskontrollister (ACL-er) kan forenkle og øke hastigheten på implementeringer.

Avanserte tilgangskontrollister (ACL-er) for TCP/IP-trafikk er også tilgjengelige, og gir mer detaljert styring. Trafikk kan tillates eller avvises basert på prioritet, flagg angitt i topptekstene og andre kriterier. Noen regler kan bare brukes på bestemte tider av dagen. Trafikk kan speiles til en annen port for overvåking eller analyse. Spesifikke typer trafikk kan tvinges til en definert port uavhengig av opprinnelig destinasjon.

Noen IACS-enheter bruker ikke TCP/IP, og HiOS tillater også at tilgangskontrollister (ACL-er) settes på Ethernet-rammenivå basert på MAC-adressering (medial access control). Disse tilgangskontrollistene (ACL-ene) på MAC-nivå kan aktivere filtrering basert på en rekke kriterier, inkludert trafikkstype, klokkeslett, kilde- eller mål-MAC-adresse osv. (figur 4).

Figur 4: tilgangskontrollistene (ACL-ene) på MAC-nivå kan brukes på enheter som ikke bruker TCP/IP. (Bildekilde: Belden)

Selv om tilgangskontrollister (ACL-er) må konfigureres, blir DoS-forebygging ofte bakt inn i enheter og automatisk implementert. Den kan håndtere angrep over TCP/IP, eldre TCP/UDP og ICMP (Internet Control Message Protocol). For TCP/IP- og TCP/UDP-tilfeller tar DoS-angrep ulike former relatert til protokollstakken, dvs. at enheten sendes under angrepspakker som ikke samsvarer med standarden. Eller en datapakke kan sendes til enheten under angrep ved hjelp av enhetens IP-adresse, noe som potensielt kan forårsake en endeløs sløyfe av svar. Ethernet-switcher kan beskytte seg selv og kan beskytte eldre enheter på et nettverk ved automatisk å filtrere ut ondsinnede datapakker.

Et annet vanlig DoS-angrep kommer inn gjennom et ICMP-ping. Ping er ment å identifisere enhetens tilgjengelighet og responstider på tvers av et nettverk, men kan også brukes til DoS-angrep. Angriperen kan for eksempel sende en ping med en datamengde som er stor nok til å forårsake en bufferoverflyt i mottakerenheten, noe som krasjer protokollstakken. Dagens administrerte Ethernet-switcher kan automatisk beskytte seg mot ICMP-baserte DoS-angrep.

Administrerte switcher

BOBCAT-administrerte Ethernet-switcher fra Hirschmann støtter TSN og har utvidede båndbreddefunksjoner ved å justere SFP-ene fra 1 til 2,5 Gb/s uten å endre switchen. De har høy porttetthet med opptil 24 porter i én enkelt enhet, og SFP- eller kobberportalternativer er tilgjengelige (figur 5). Andre funksjoner omfatter:

• ISASecure CSA / IEC 62443-4-2-sertifisert, inkludert tilgangskontrollister (ACL-er) og automatisk DoS-forebygging
• Støtte opptil 240 W over 8 PoE/PoE+-porter uten belastningsdeling
• Standard omgivelsestemperaturområde fra 0 °C til +60 °C og utvidede temperaturmodeller som opererer fra -40 °C til +70 °C
• Modeller som har godkjenning i henhold til ISA12.12.01 for bruk på farlige steder

Figur 5: BOBCAT-administrerte Ethernet-switcher er tilgjengelige i en rekke konfigurasjoner. (Bildekilde: Hirschmann)

Eksempler på BOBCAT-administrerte Ethernet-switcher fra Hirschmann innbefatter:

• BRS20-4TX med fire 10/100 BASE TX /RJ45-porter som er klassifisert for omgivelsestemperaturer fra 0 °C til +60 °C
• BRS20-4TX/2FX med fire 10/100 BASIS TX / RJ45-porter og to 100 Mbit/s fiberporter, klassifisert for omgivelsestemperaturer fra 0 °C til +60 °C
• BRS20-4TX/2SFP-EEC-HL med fire 10/100 BASE TX / RJ45-porter og to 100 Mbit/s fiberporter, klassifisert for omgivelsestemperaturer fra -40 °C til +70 °C og godkjenning til ISA12.12.01 for bruk på farlige steder
• BRS20-4TX/2SFP-HL med fire 10/100 BASE TX / RJ45-porter og to 100 Mbit/s fiberporter, klassifisert for omgivelsestemperaturer fra 0 °C til +60 °C og godkjenning til ISA12.12.01 for bruk på farlige steder
• BRS20-4TX/BRS30-12TX med fire 10/100 BASE TX / RJ45-porter og to 100 Mbit/s fiberporter, klassifisert for omgivelsestemperaturer fra 0 °C til +60 °C
• BRS30-16TX/4SFP med seksten 10/100 BASE TX / RJ45-porter og fire 100 Mbit/s fiberporter, klassifisert for omgivelsestemperaturer fra 0 °C til +60 °C

Sammendrag

Administrerte Ethernet-switcher er tilgjengelige som støtter TSN, PoE og PoE+, gir høye nivåer av cybersikkerhet og leverer den høye båndbredde-tilkoblingen som trengs for IIoT og Industry 4.0-nettverksstrukturen. Disse switchene er enkle å konfigurere, har høye porttettheter, har utvidede driftstemperaturfunksjoner og er tilgjengelige i versjoner som er godkjent for ISA12.12.01 for bruk på farlige steder.