Przemysłowe switche Ethernet dla aplikacji IIoT

W przeszłości, w celu zapewnienia niezawodności działania systemu, układy automatyki były separowane od sieci LAN/WAN. Jednak coraz częściej mamy do czynienia z jedną dużą siecią LAN dla całego przedsiębiorstwa, w której obszary operacyjny (OT) i informatyczny (IT) są zintegrowane. Bezpośrednia wymiana danych daje szereg korzyści, pozwalając na szybszą optymalizację procesów produkcyjnych, logistycznych i sprzedażowych. Jednak połączenie tak różnych światów niesie ze sobą również szereg wyzwań związanych z bezpieczeństwem i przepustowością sieci. W tego typu aplikacjach należy stosować rozwiązania pozwalające na zaawansowaną kontrolę ruchu w sieci, wyposażone w mechanizmy redundancji i autodiagnozy. Jednym z istotnych elementów infrastruktury sieciowej są brzegowe switche zarządzalne.

Firma Antaira Technologies ma w ofercie serię przełączników brzegowych umożliwiających zarządzanie siecią przy użyciu zaawansowanych funkcji, m.in. istotnych dla efektywnego i bezpiecznego zarządzania.

Sieci wirtualne VLAN

Sieć można podzielić na mniejsze segmenty i indywidualnie zoptymalizować każdy z nich do innych zadań. Jednym ze sposobów podziału sieci są wirtualne sieci VLAN, które pozwalają na logiczny podział, bez ingerencji w fizyczną infrastrukturę. VLAN można zastosować do ograniczenia domeny rozgłoszeniowej, zwiększając tym samym bezpieczeństwo i wydajność całej sieci.

W ramach poszczególnych podsieci administratorzy mają do dyspozycji szereg mechanizmów do optymalizacji sieci. Przykładowo, jeśli w jednej podsieci przesyłane są dane o różnych priorytetach, korzystne jest użycie funkcji Quality of Service (QoS), która umożliwia przypisanie odpowiedniego priorytetu danym krytycznym. Jeśli przesyłane informacje mają charakter poufny lub z innego powodu chcemy ograniczyć dostęp do sieci, switch zarządzalny pozwala na wyłączenie nieużywanych portów, a na pozostałych portach adresy MAC będą filtrowane.

Protokół IGMP

Protokół IGMP pomaga efektywnie zarządzać ruchem w sieci TCP/IP, gdzie występuje duża ilość danych o różnym stopniu ważności. W obrębie jednej maszyny, przy niewielkiej liczbie urządzeń wpiętych do switcha, nikt nie zauważy, że switch niezarządzalny zmienia ruch multicast w broadcast. Problem ujawnia się, gdy podłączymy maszynę do sieci – wówczas cały ruch broadcast wysyłany jest z maszyny do zewnętrznej sieci, powodując przeciążenie i znaczne opóźnienia w transmisji. Dobrze skonfigurowana funkcja IGMP rozwiązuje ten problem.

Protokół ERPS

Istotne jest utrzymanie sieci w ruchu, nawet przy jednoczesnym wystąpieniu kilku awarii. W tym celu stosuje się redundantne połączenia między poszczególnymi urządzeniami i segmentami. Sieci Ethernet nie wolno zapętlić, dlatego konieczne jest użycie protokołu, który zapobiega powstawaniu pętli. Najbardziej popularny i uniwersalny jest protokół Ethernet Ring Protection Switching (ERPS), będący otwartym standardem obsługiwanym przez switche szkieletowe, komercyjne, jak również przemysłowe. ERPS w sposób logiczny blokuje nadmiarowe połączenia, a w przypadku awarii umożliwia rekonfigurację sieci w czasie poniżej 50 ms.

DHCP Snooping

Głównym zadaniem DHCP jest automatyczne przydzielanie adresacji IP urządzeniom pracującym w sieci. DHCP to usługa bazująca na transmisji rozgłoszeniowej, w związku z czym narażona jest na różnego rodzaju ataki. Korzystając z odpowiednich narzędzi, można doprowadzić do zablokowania serwera komunikatami DHCP-discover.

Funkcjonalność DHCP snooping pozwala zablokować możliwość wysyłania komend DHC-discover i przypisania do konkretnego portu zaufanego serwera DHCP. Co za tym idzie, uniemożliwia podłączenie jakiegokolwiek innego serwera do któregoś z innych portów.

IP Source Guard

Przełączniki Ethernet LAN są podatne na ataki polegające na podszywaniu się (fałszowaniu) źródłowych adresów IP lub źródłowych adresów MAC. Funkcja IP Source Guard kontroluje każdy pakiet wysyłany z hosta podłączonego do niezaufanego interfejsu dostępu na przełączniku, sprawdzając takie parametry, jak adres IP, adres MAC, sieć VLAN i interfejs powiązany z hostem. Jeśli nagłówek pakietu nie pasuje do poprawnego wpisu w bazie danych snooping DHCP, przełącznik blokuje pakiet.

Ports Security Limit Control

Ports Security Limit Control umożliwiają ograniczenie liczby dopuszczonych adresów MAC na port, co pozwala zapobiec dostępowi przez urządzenia z nieautoryzowanymi adresami MAC. Umożliwia również konfigurację maksymalnej liczby bezpiecznych adresów MAC dla portów trunkingowych dla sieci VLAN.

ACL (Access Control Lists)

Listy kontroli dostępu (ACL) pozwalają na tworzenie reguł ruchu w sieci. Podczas konfigurowania list ACL można selektywnie przyjmować lub odrzucać ruch przychodzący, kontrolując w ten sposób dostęp do sieci lub określonych zasobów w sieci. Każda lista ACL zawiera zestaw reguł mających zastosowanie do ruchu przychodzącego.

Uwierzytelnianie

16 poziomów uprawnień i uwierzytelnianie za pomocą RADIUS lub TACACS+ umożliwia kontrolę adresu IP i MAC operatora i pozwala na weryfikację użytkowników. Mechanizm automatycznego wylogowania użytkowników nieaktywnych zabezpiecza przed nieautoryzowanym dostępem.

Dodatkowe informacje

Rosnący stopień integracji sieci przemysłowych i coraz większe wymagania dotyczące bezpieczeństwa skutkują koniecznością stosowania coraz bardziej zaawaansowanych funkcji. Współczesne brzegowe przełączniki sieciowe do zastosowań przemysłowych łączą w sobie bogatą funkcjonalność switchy stosowanych w korporacyjnych sieciach LAN z jednoczesną możliwością pracy w trudnych warunkach środowiskowych. Nie jesteśmy w stanie przybliżyć bogatej funkcjonalności nowoczesnych przemysłowych przełączników zarządzalnych w tak krótkim artykule, dlatego zapraszamy do kontaktu z naszą firmą.

ANTAIRA TECHNOLOGIES Sp. z o.o.
ul. K. Kieślowskiego 3/U6, 02-962 Warszawa
tel. 22 862 88 81, fax 22 862 88 82
e-mail: info@antaira.eu 
www.antaira.pl

source: Automatyka 9/2019