วิธีการใช้เครือข่ายที่ละเอียดอ่อนด้านเวลาที่ปลอดภัยสำหรับ IIoT โดยใช้แมเนจสวิตช์อีเธอร์เน็ต

Internet of Things ระดับอุตสาหกรรม (IIoT) ต้องการการเชื่อมต่อที่ปลอดภัย แบบเรียลไทม์ และมีแบนด์วิธสูงสำหรับอุปกรณ์ต่างๆ เครือข่าย IIoT ในระบบอัตโนมัติในอุตสาหกรรม 4.0 การจัดการน้ำ การประมวลผลน้ำมันและก๊าซ การขนส่ง การจัดการพลังงานสาธารณูปโภค และการใช้งานที่สำคัญที่คล้ายกัน ยังต้องการวิธีที่มีประสิทธิภาพและยืดหยุ่นในการจ่ายพลังงานให้กับอุปกรณ์ และพวกเขาต้องการโซลูชั่นการเชื่อมต่อที่มีความหนาแน่นของพอร์ตสูงเพื่อรองรับ อุปกรณ์จำนวนมากในพื้นที่น้อยที่สุด แมเนจสวิตช์อีเธอร์เน็ตสำหรับยุคถัดไปสามารถตอบสนองความต้องการเหล่านั้นและอื่นๆ อีกมากมาย

แมเนจสวิตช์อีเธอร์เน็ตสามารถกำหนดค่าและควบคุมได้จากระยะไกล ทำให้ปรับใช้และอัปเดตเครือข่ายได้ง่ายขึ้น ช่วยให้สถาปัตยกรรมเครือข่ายที่หลากหลาย เช่น โทโพโลยีแบบสตาร์และไลน์ที่มีการดำเนินการซ้ำซ้อน รวมถึงการปฏิบัติตาม IEC 62439-1 ซึ่งใช้กับเครือข่ายอัตโนมัติที่มีความพร้อมใช้งานสูง รองรับมาตรฐาน IEEE 802.1 สำหรับ Time Sensitive Networking (TSN) และมาตรฐาน IEEE 802.3 สำหรับ Power over Ethernet (PoE) และ PoE+

สวิตช์เหล่านี้ได้รับการรับรองโปรแกรม ISASecure สำหรับระบบอัตโนมัติและระบบควบคุมที่มีจำหน่ายทั่วไป ตามมาตรฐานชุดมาตรฐาน International Society of Automation / International Electrotechnical Institute (ISA/IEC) 62443 สามารถกำหนดค่าได้ด้วยการรวมกันของสล็อต 10/100BASE TX / RJ45 สำหรับการเชื่อมต่อระหว่างกันด้วยทองแดงและสล็อต SFP แบบปลั๊กไฟเบอร์ออปติกขนาดเล็กที่มีความเร็วสามระดับพร้อมความเร็วที่ปรับได้ 100 Mb/วินาที (Mb/s), 1 Gb/sec (Gb/s), และ 2.5 Gb/s

บทความนี้เริ่มต้นด้วยการกล่าวถึงการเปลี่ยนแปลงจากพีระมิดของระบบอัตโนมัติในอุตสาหกรรม 3.0 ไปสู่เสาหลักของระบบอัตโนมัติในอุตสาหกรรม 4.0 ทบทวนตัวเลือกต่างๆ สำหรับการปรับใช้เครือข่ายเพื่อรับส่งข้อมูลทั้งแบบเร่งด่วนและไม่เร่งด่วน และพิจารณาว่า TSN เหมาะสมและสามารถนำไปปฏิบัติได้อย่างไร จากนั้นจะพิจารณาว่า PoE และ PoE+ สามารถลดความซับซ้อนในการจ่ายไฟให้กับเซ็นเซอร์ การควบคุม และอุปกรณ์อื่นๆ บน IIoT ได้อย่างไร และนำเสนอความสำคัญของความปลอดภัย รวมถึงการรับรอง ISAsecure และคุณสมบัติความปลอดภัยขั้นสูง เช่น รายการควบคุมการเข้าถึงความเร็วด้วยสาย (ACL) และอัตโนมัติ การป้องกันการปฏิเสธการให้บริการ (DoS) ปิดท้ายด้วยการอธิบายประโยชน์ของการใช้แมเนจสวิตช์อีเธอร์เน็ต และนำเสนอตัวอย่างหลายรายการจาก สวิตช์ที่ได้รับการจัดการ BOBCAT Hirschmann

จากรูปแบบพีระมิดสู่รูปแบบเสาหลัก

การย้ายจากสถาปัตยกรรมโรงงานแบบพีระมิดของอุตสาหกรรม 3.0 ไปสู่สถาปัตยกรรมแบบเสาหลักของอุตสาหกรรม 4.0 ถือเป็นแรงผลักดันเบื้องหลังการพัฒนา TSN รูปแบบพีระมิดแยกการทำงานของโรงงานออกเป็นลำดับชั้นจากพื้นโรงงานไปจนถึงฟังก์ชันการควบคุมและการจัดการแบบรวมศูนย์ การสื่อสารแบบเรียลไทม์เป็นสิ่งจำเป็นเป็นหลักที่ระดับต่ำสุดของโรงงาน ซึ่งข้อมูลเซ็นเซอร์จะควบคุมกระบวนการผลิต การเปลี่ยนแปลงนั้นในอุตสาหกรรม 4.0

รูปแบบเสาหลักของระบบอัตโนมัติของอุตสาหกรรม 4.0 ช่วยลดจำนวนระดับจากสี่เหลือสอง: ระดับภาคสนามและกระดูกสันหลังของโรงงาน ระดับภาคสนามประกอบด้วยจำนวนเซ็นเซอร์ที่เพิ่มขึ้นและชุดควบคุมที่เพิ่มมากขึ้น ตัวควบคุมบางตัวกำลังเลื่อนลงไปที่ระดับภาคสนามจากระดับตัวควบคุม/ตัวควบคุมโลจิกแบบตั้งโปรแกรมได้ (PLC) ของพีระมิด ในเวลาเดียวกัน ฟังก์ชันอื่นๆ ที่ก่อนหน้านี้อยู่ในระดับการควบคุม/PLC กำลังขยับขึ้นสู่แกนหลักของโรงงาน กลายเป็น PLC เสมือนพร้อมกับระบบดำเนินการผลิต (MES) ฟังก์ชันการควบคุมดูแลและการเก็บข้อมูล (SCADA) และการวางแผนทรัพยากรองค์กร (ERP)

เลเยอร์การเชื่อมต่อเชื่อมโยงระดับภาคสนามและแกนหลักเข้าด้วยกัน ชั้นการเชื่อมต่อและเครือข่ายระดับภาคสนามจะต้องส่งมอบการสื่อสารความเร็วสูง เวลาแฝงต่ำ และสามารถรองรับการรับส่งข้อมูลที่มีลำดับความสำคัญต่ำและการรับส่งข้อมูลตามเวลาที่สำคัญได้ TSN สนับสนุนข้อกำหนดดังกล่าวโดยเปิดใช้งานการรับส่งข้อมูลเครือข่ายที่กำหนดแบบเรียลไทม์ (DetNet) ผ่านเครือข่ายอีเธอร์เน็ตมาตรฐาน (รูปที่ 1)

รูปที่ 1: การเปลี่ยนจากรูปแบบพีระมิดระบบอัตโนมัติไปสู่รูปแบบเสาหลักระบบอัตโนมัติจำเป็นต้องมีลิงก์การเชื่อมต่อที่มีความสามารถ TSN (ภาพ: Belden)

การกำหนดค่า TSN สามแบบ

มาตรฐานอีเธอร์เน็ต IEEE 802.1 ให้รายละเอียดการกำหนดค่าสามแบบสำหรับ TSN: แบบรวมศูนย์ การกระจายอำนาจ (หรือที่เรียกว่าการกระจายแบบสมบูรณ์) และการกำหนดค่าแบบไฮบริดที่มีเครือข่ายแบบรวมศูนย์และผู้ใช้แบบกระจาย ในแต่ละกรณี การกำหนดค่าจะเป็นแบบอัตโนมัติขั้นสูงเพื่อลดความซับซ้อนในการปรับใช้ TSN และเริ่มต้นด้วยการระบุฟังก์ชัน TSN ที่รองรับในเครือข่ายและเปิดใช้งานฟังก์ชันที่จำเป็น ณ จุดนั้น อุปกรณ์ส่งสัญญาณของผู้พูดสามารถส่งข้อมูลเกี่ยวกับสตรีมข้อมูลที่จะส่งได้ แนวทางทั้งสามมีความแตกต่างกันเกี่ยวกับวิธีการจัดการข้อกำหนดของอุปกรณ์และสตรีมข้อมูลในเครือข่าย

ในการกำหนดค่าแบบรวมศูนย์ ผู้พูดและผู้ฟังจะสื่อสารผ่านอุปกรณ์โลจิคอลการกำหนดค่าผู้ใช้แบบรวมศูนย์ (CUC) CUC สร้างข้อกำหนดสตรีมข้อมูลตามข้อมูลของผู้พูดและผู้ฟัง และส่งไปยังอุปกรณ์การกำหนดค่าเครือข่ายส่วนกลาง (CNC) CNC กำหนดช่วงเวลาสำหรับสตรีมข้อมูลถัดไปตามปัจจัยต่างๆ เช่น โทโพโลยีเครือข่ายและความพร้อมของทรัพยากร และส่งข้อมูลการกำหนดค่าที่จำเป็นไปยังสวิตช์ (รูปที่ 2)

รูปที่ 2: สถาปัตยกรรม TSN แบบรวมศูนย์ใช้ CUC เพื่อเชื่อมต่อกับผู้พูดและผู้ฟัง และใช้ CNC เพื่อส่งข้อมูลการกำหนดค่าไปยังสวิตช์ (ที่มาของภาพ: Belden)

ในการกำหนดค่าแบบกระจายอำนาจ CUC และ CNC จะถูกกำจัด และข้อกำหนดของอุปกรณ์จะเผยแพร่ผ่านเครือข่ายตามข้อมูลภายในแต่ละอุปกรณ์ ในการกำหนดค่าแบบไฮบริด CNC ใช้สำหรับการกำหนดค่า TSN และอุปกรณ์ผู้พูดและผู้ฟังจะแบ่งปันความต้องการผ่านเครือข่าย (รูปที่ 3) แนวทางแบบรวมศูนย์และแบบไฮบริดช่วยให้สวิตช์เครือข่ายสามารถกำหนดค่า (จัดการ) จากส่วนกลางได้

รูปที่ 3: ตัวอย่างการกำหนดค่า TSN แบบกระจายอำนาจ (บน) และแบบไฮบริด (ล่าง) (ที่มาของภาพ: Belden)

PoE และ PoE+

Power over Ethernet (PoE) เป็นส่วนเสริมที่ยอดเยี่ยมของ TSN ในเสาหลักด้านระบบอัตโนมัติในอุตสาหกรรม 4.0 แรงผลักดันอย่างหนึ่งในอุตสาหกรรม 4.0 คือ IIoT ที่ประกอบด้วยเซ็นเซอร์ แอคชูเอเตอร์ และตัวควบคุมจำนวนมาก PoE ได้รับการพัฒนาขึ้นเพื่อรับมือกับความท้าทายในการจ่ายไฟให้กับอุปกรณ์ IIoT ทั่วทั้งโรงงานหรือโรงงานอื่นๆ

PoE รองรับการส่งข้อมูลความเร็วสูงพร้อมกัน (รวมถึง TSN) และจ่ายไฟผ่านสายเคเบิลเครือข่ายเส้นเดียว ตัวอย่างเช่น สามารถจ่ายไฟ 48-Vdc ได้ไกลถึง 100 m ผ่านสาย CAT 5/5e โดยใช้ PoE นอกเหนือจากการทำให้การติดตั้งเครือข่ายง่ายขึ้นแล้ว PoE ยังช่วยลดความยุ่งยากในการใช้พลังงานสำรองและแหล่งพลังงานสำรอง อีกทั้งยังสามารถปรับปรุงความน่าเชื่อถือของกระบวนการและอุปกรณ์ทางอุตสาหกรรมอีกด้วย

PoE ใช้อุปกรณ์สองประเภท: อุปกรณ์จัดหาพลังงาน (PSE) ที่จ่ายพลังงานให้กับเครือข่ายและอุปกรณ์จ่ายไฟ (PD) ที่แยกและใช้พลังงาน PoE มีสองประเภท PoE พื้นฐานสามารถส่งพลังงานสูงสุด 15.4 W ไปยัง PD PoE+ คือการพัฒนาล่าสุดที่สามารถส่งกำลังสูงถึง 30 W ไปยัง PD

ความปลอดภัยของเครือข่าย

ISA และ IEC ได้พัฒนาชุดมาตรฐานสำหรับระบบอัตโนมัติทางอุตสาหกรรมและระบบควบคุม (IACS) ซีรี่ส์ ISA/IEC 62443 ประกอบด้วยสี่ส่วน ส่วนที่ 4 นำไปใช้กับซัพพลายเออร์อุปกรณ์ อุปกรณ์ที่ได้รับการรับรอง IEC 62443-4-2 ได้รับการประเมินโดยอิสระและได้รับการออกแบบให้มีความปลอดภัย รวมถึงแนวทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยทางไซเบอร์ เครื่องมือสำคัญสองประการสำหรับการรักษาความปลอดภัย IACS คือรายการควบคุมการเข้าถึง (ACL) และการป้องกันการโจมตีแบบปฏิเสธการให้บริการ (DoS) ในทั้งสองกรณี มีหลายวิธีสำหรับวิศวกรเครือข่าย

ACL ใช้เพื่ออนุญาตหรือปฏิเสธการรับส่งข้อมูลที่เข้าหรือออกจากอินเตอร์เฟสเครือข่าย ประโยชน์ของการใช้ ACL คือการทำงานที่ความเร็วเครือข่าย และไม่ส่งผลกระทบต่อปริมาณข้อมูล ซึ่งเป็นข้อพิจารณาที่สำคัญในการใช้งาน TSN HiOS ของ Hirschmann แบ่ง ACL ออกเป็นสามประเภท:

ACL พื้นฐานสำหรับการรับส่งข้อมูล TCP/IP มีตัวเลือกการกำหนดค่าขั้นต่ำสำหรับการตั้งค่ากฎการอนุญาต เช่น “อุปกรณ์ A สามารถสื่อสารกับอุปกรณ์กลุ่มนี้เท่านั้น” หรือ “อุปกรณ์ A สามารถส่งข้อมูลประเภทเฉพาะไปยังอุปกรณ์ B เท่านั้น” หรือ “อุปกรณ์ A ไม่สามารถสื่อสารกับอุปกรณ์ B” การใช้ ACL พื้นฐานช่วยลดความยุ่งยากและความเร็วในการปรับใช้

ACL ขั้นสูงสำหรับการรับส่งข้อมูล TCP/IP ยังมีให้ใช้งานได้และให้การควบคุมที่ละเอียดยิ่งขึ้น การรับส่งข้อมูลสามารถอนุญาตหรือปฏิเสธได้ตามลำดับความสำคัญ การตั้งค่าสถานะในส่วนหัว และเกณฑ์อื่นๆ กฎบางข้อสามารถใช้ได้เฉพาะบางช่วงเวลาของวันเท่านั้น การรับส่งข้อมูลสามารถสะท้อนไปยังพอร์ตอื่นเพื่อตรวจสอบหรือวิเคราะห์ได้ การรับส่งข้อมูลประเภทเฉพาะสามารถบังคับไปยังพอร์ตที่กำหนดได้โดยไม่คำนึงถึงปลายทางดั้งเดิม

อุปกรณ์ IACS บางตัวไม่ได้ใช้ TCP/IP และ HiOS ยังอนุญาตให้ตั้งค่า ACL ที่ระดับเฟรมอีเธอร์เน็ตตามการกำหนดแอดเดรส Medial Access Control (MAC) ACL ระดับ MAC เหล่านี้สามารถเปิดใช้การกรองตามเกณฑ์ต่างๆ รวมถึงประเภทการรับส่งข้อมูล เวลาของวัน ที่อยู่ MAC ต้นทางหรือปลายทาง และอื่นๆ (รูปที่ 4)

รูปที่ 4: ACL ระดับ MAC สามารถใช้ได้กับอุปกรณ์ที่ไม่ได้ใช้ TCP/IP (ที่มาของภาพ: Belden)

แม้ว่าจะต้องกำหนดค่า ACL แต่การป้องกัน DoS มักจะรวมอยู่ในอุปกรณ์และนำไปใช้โดยอัตโนมัติ สามารถจัดการการโจมตีผ่าน TCP/IP, TCP/UDP ดั้งเดิม และโปรโตคอลข้อความควบคุมอินเทอร์เน็ต (ICMP) สำหรับกรณี TCP/IP และ TCP/UDP การโจมตี DoS จะใช้รูปแบบต่างๆ ที่เกี่ยวข้องกับสแต็กโปรโตคอล เช่น การส่งอุปกรณ์ภายใต้แพ็กเก็ตการโจมตีที่ไม่เป็นไปตามมาตรฐาน หรือสามารถส่งแพ็กเก็ตข้อมูลไปยังอุปกรณ์ที่ถูกโจมตีโดยใช้ที่อยู่ IP ของอุปกรณ์ ซึ่งอาจทำให้เกิดการวนซ้ำของการตอบกลับอย่างไม่มีที่สิ้นสุด สวิตช์อีเธอร์เน็ตสามารถป้องกันตัวเองและสามารถปกป้องอุปกรณ์รุ่นเก่าบนเครือข่ายได้โดยการกรองแพ็กเก็ตข้อมูลที่เป็นอันตรายออกโดยอัตโนมัติ

การโจมตี DoS ทั่วไปอีกรูปแบบหนึ่งเกิดขึ้นผ่านทาง ICMP ping การ Ping มีจุดประสงค์เพื่อระบุความพร้อมใช้งานของอุปกรณ์และเวลาตอบสนองทั่วทั้งเครือข่าย แต่ยังใช้สำหรับการโจมตี DoS ได้ด้วย ตัวอย่างเช่น ผู้โจมตีสามารถส่ง Ping ด้วยเพย์โหลดที่ใหญ่พอที่จะทำให้เกิดบัฟเฟอร์ล้นในอุปกรณ์ที่รับ ส่งผลให้สแต็กโปรโตคอลเสียหาย แมเนจสวิตช์อีเธอร์เน็ตในปัจจุบันสามารถป้องกันตนเองจากการโจมตี DoS ที่ใช้ ICMP ได้โดยอัตโนมัติ

แมเนจสวิตช์

แมเนจสวิตช์อีเทอร์เน็ตของ BOBCAT จาก Hirschmann รองรับ TSN และมีความสามารถแบนด์วิธที่ขยายได้โดยการปรับ SFP จาก 1 เป็น 2.5 Gb/s โดยไม่ต้องเปลี่ยนสวิตช์ มีความหนาแน่นของพอร์ตสูงโดยมีพอร์ตมากถึง 24 พอร์ตในยูนิตเดียว และมีตัวเลือกพอร์ต SFP หรือพอร์ตอัปลิงค์ทองแดง (รูปที่ 5) คุณสมบัติอื่นๆ ได้แก่:

• ได้รับการรับรอง ISAsecure CSA / IEC 62443-4-2 รวมถึง ACL และการป้องกัน DoS อัตโนมัติ
• รองรับสูงสุด 240 W ผ่านพอร์ต 8 PoE/PoE+ โดยไม่ต้องแบ่งโหลด
• ช่วงอุณหภูมิการทำงานโดยรอบมาตรฐาน 0°C ถึง +60°C และรุ่นอุณหภูมิขยายที่ทำงานตั้งแต่ -40°C ถึง +70°C
• รุ่นที่มีการอนุมัติตาม ISA12.12.01 สำหรับใช้ในสถานที่อันตราย

รูปที่ 5: แมเนจสวิตช์อีเธอร์เน็ต BOBCAT มีให้เลือกใช้งานหลายรูปแบบ (แหล่งรูปภาพ: Hirschmann)

ตัวอย่างของสวิตช์ Hirschmann BOBCAT ได้แก่:

• BRS20-4TX พร้อมพอร์ต 10/100 BASE TX / RJ45 สี่พอร์ตสำหรับอุณหภูมิแวดล้อมตั้งแต่ 0°C ถึง +60°C
• BRS20-4TX/2FX พร้อมพอร์ต 10/100 BASE TX / RJ45 สี่พอร์ต และพอร์ตไฟเบอร์ 100 Mbit/s สองพอร์ต ระดับสำหรับอุณหภูมิแวดล้อมตั้งแต่ 0°C ถึง +60°C
• BRS20-4TX/2SFP-EEC-HL พร้อมพอร์ต 10/100 BASE TX / RJ45 สี่พอร์ต และพอร์ตไฟเบอร์ 100 Mbit/s สองพอร์ต ระดับสำหรับอุณหภูมิแวดล้อมตั้งแต่ -40°C ถึง +70°C และได้รับการรับรองตาม ISA12.12.01 สำหรับใช้ในสถานที่อันตราย
• BRS20-4TX/2SFP-HL พร้อมพอร์ต 10/100 BASE TX / RJ45 สี่พอร์ต และพอร์ตไฟเบอร์ 100 Mbit/s สองพอร์ต ระดับสำหรับอุณหภูมิแวดล้อมตั้งแต่ 0°C ถึง +60°C และได้รับการรับรองตาม ISA12.12.01 สำหรับใช้ในสถานที่อันตราย
• BRS30-12TX พร้อมพอร์ต 10/100 BASE TX / RJ45 แปดพอร์ต และพอร์ตไฟเบอร์ 100 Mbit/s สี่พอร์ต ระดับสำหรับอุณหภูมิแวดล้อมตั้งแต่ 0°C ถึง +60°C
• BRS30-16TX/4SFP ด้วยพอร์ต 10/100 BASE TX / RJ45 สิบหกพอร์ต และพอร์ตไฟเบอร์ 100 Mbit/s สี่พอร์ต ระดับสำหรับอุณหภูมิแวดล้อมตั้งแต่ 0°C ถึง +60°C

สรุป

แมเนจสวิตช์อีเธอร์เน็ตพร้อมใช้งาน รองรับ TSN, PoE และ PoE+, ให้ความปลอดภัยทางไซเบอร์ในระดับสูง และมอบการเชื่อมต่อแบนด์วิธสูงที่จำเป็นสำหรับ IIoT และโครงสร้างเสาหลักของเครือข่ายอุตสหกรรม 4.0 สวิตช์เหล่านี้กำหนดค่าได้ง่าย มีความหนาแน่นของพอร์ตสูง เพิ่มขีดความสามารถด้านอุณหภูมิการทำงาน และมีจำหน่ายในเวอร์ชันที่ได้รับอนุมัติสำหรับ ISA12.12.01 สำหรับใช้ในสถานที่อันตราย