Zarządzalne switche Ethernet do zastosowań przemysłowych

W dobie integracji sieci OT i IT (Przemysł 4.0, IIoT) coraz częściej potrzebujemy infrastruktury, która jednocześnie zapewnia wysoką dostępność, kontrolę ruchu i odporność na incydenty cyberbezpieczeństwa. Dlatego w projektach automatyki przemysłowej w Polsce rośnie rola zarządzalnych switchy brzegowych. Szczególnie tam, gdzie pracują systemy SCADA, monitoring wizyjny, VLAN-y, komunikacja multicast lub topologie pierścieniowe. W ofercie CSI S.A. można znaleźć switche Antaira Technologies z serii LMX i LMP. Te switche przemysłowe łączą funkcje klasy enterprise (m.in. VLAN, QoS, IGMP, ACL, mechanizmy bezpieczeństwa i redundancji) z przemysłową wytrzymałością. Ułatwiają budowę stabilnej i bezpiecznej sieci dla maszyn, linii produkcyjnych i infrastruktury krytycznej.

Switch. Budowa

Wymagania stawiane przed systemami komunikacyjnymi dla automatyki przemysłowej zasadniczo różnią się od tych stawianych sieciom teleinformatycznym. W automatyce najważniejszymi kryteriami są stabilność, ciągłość działania i  integralność. W przeszłości w celu zapewnienia niezawodności działania systemu układy automatyki były separowane od sieci LAN/WAN. Jednak coraz częściej mamy do czynienia z jedną dużą siecią LAN dla całego przedsiębiorstwa. W niej obszary operacyjny (OT)  i informatyczny (IT) są zintegrowane.

Bezpośrednia wymiana danych daje szereg korzyści pozwalając na szybszą optymalizację procesów produkcyjnych, logistycznych i sprzedażowych. Jednak połączenie tak różnych światów niesie ze sobą również szereg wyzwań związanych z  bezpieczeństwem i przepustowością sieci.  W tego typu aplikacjach należy stosować rozwiązania pozwalające na zaawansowaną kontrolę ruchu w sieci, wyposażone w mechanizmy redundancji i auto diagnozowania. Jednym z istotnych elementów infrastruktury sieciowej są brzegowe switche zarządzalne. Serie switchy LMX i LMP pozwalają na zarządzanie siecią przy użyciu zaawansowanych funkcji. Warto zwrócić uwagę na innowacyjne funkcje istotne dla efektywnego i bezpiecznego zarządzania siecią.

Sieci wirtualne VLAN

Sieć można podzielić na mniejsze segmenty i indywidualnie zoptymalizować każdy z segmentów do innych zadań. Jednym ze sposobów na podział sieci są wirtualne sieci VLAN, które pozwalają na logiczny podział sieci, bez ingerencji w fizyczną infrastrukturę. VLAN można zastosować do ograniczenia domeny rozgłoszeniowej, zwiększając tym samym bezpieczeństwo i wydajność całej sieci. W ramach poszczególnych podsieci administratorzy mają do dyspozycji szereg mechanizmów do optymalizacji sieci. Przykładowo, jeśli w jednej podsieci przesyłane są dane o różnym priorytecie, korzystne jest użycie funkcji Quality of Service (QoS) pozwalającej na przypisanie odpowiedniego priorytetu danym krytycznym. Jeśli przesyłane informacje mają charakter poufny lub z innego powodu chcemy ograniczyć dostęp do sieci, switch zarządzalny pozwala na wyłączenie nieużywanych portów, a na pozostałych portach adresy MAC będą filtrowane. 

Protokół IGMP

Pomaga efektywnie zarządzać ruchem w sieci TCIP, gdzie występuje duża ilość danych o różnym stopniu ważności. W obrębie jednej maszyny, przy niewielkiej ilości urządzeniach wpiętych do switcha, nikt nie zauważy, że switch niezarządzalny zmienia ruch multicast w broadcast. Problem ujawnia się, gdy podłączymy maszynę do sieci. Wtedy cały ruch broadcast wysyłany jest z maszyny do zewnętrznej sieci powodując przeciążenie i znaczne opóźnienia w transmisji. Dobrze skonfigurowana funkcja IGMP rozwiązuje ten problem. 

Protokół ERPS

Istotne jest utrzymanie sieci w ruchu, nawet przy jednoczesnym wystąpieniu kilku awarii. W tym celu stosuje się redundantne połączenia pomiędzy poszczególnymi urządzeniami i segmentami. Sieci Ethernet nie wolno zapętlić, dlatego konieczne jest użycie protokołu, który zapobiega powstawaniu pętli. Najbardziej popularny i uniwersalny jest protokół Ethernet Ring Protection Switching (ERPS). To otwarty standard obsługiwany zarówno przez switche szkieletowe, komercyjne jak i przemysłowe. ERPS w sposób logiczny blokuje nadmiarowe połączenia, a w przypadku awarii umożliwia rekonfigurację sieci w czasie poniżej 50ms. 

DHCP Snooping

Głównym zadaniem DHCP jest automatyczne przydzielanie adresacji IP dla urządzeń pracujących w sieci. DHCP to usługa bazująca na transmisji rozgłoszeniowej. W związku z tym narażona jest na różnego rodzaju ataki. Korzystając z odpowiednich narzędzi można doprowadzić do zablokowania serwera komunikatami DHCP-discover. Funkcjonalność DHCP snooping, pozwala zablokować możliwość wysłania komend DHC-discover  i przypisaniu do konkretnego portu zaufanego serwera DHCP. Co za tym idzie, uniemożliwia podłączenie jakiegokolwiek innego serwera, do któregoś z innych portów. 

IP Source Guard

Jest to funkcja zabezpieczeń, która ogranicza ruch IP na niezaufanych portach warstwy 2 poprzez filtrowanie ruchu w sieci. Pozwala zapobiegać atakom na podszywanie się pod IP, gdy host próbuje podszyć się pod inny adres i użyć adresu IP innego hosta. Dowolny ruch IP wchodzący do interfejsu ze źródłowym adresem IP innym niż przydzielony (przez DHCP lub statyczną konfigurację) zostanie odfiltrowany na niezaufanych portach warstwy 2.

Ports Security Limit Control

Umożliwiają ograniczenie liczby dopuszczonych adresów MAC  na port, co pozwala zapobiec dostępowi przez urządzenia z nieautoryzowanymi adresami MAC. Pozwala również na konfigurację maksymalna liczba bezpiecznych adresów MAC dla portów trunkingowych dla sieci VLAN.

ACL (Access Control Lists)

Listy kontroli dostępu (ACL) pozwalają na tworzenie reguł ruchu w sieci. Podczas konfigurowania list ACL można selektywnie przyjmować lub odrzucać ruch przychodzący, kontrolując w ten sposób dostęp do sieci lub określonych zasobów w sieci. Każda lista ACL zawiera zestaw reguł mających zastosowanie do ruchu przychodzącego. 

Uwierzytelnianie

16 poziomów uprawnień i uwierzytelnianie za pomocą RADIUS lub TACACS+. Kontrola adresu IP i MAC operatora pozwala na weryfikację użytkowników. Mechanizm automatycznego wylogowania użytkowników nieaktywnych zabezpiecza przed nieautoryzowanym dostępem.

Zwiększający się stopień integracji sieci przemysłowych i coraz większe wymagania dotyczące bezpieczeństwa powodują konieczność stosowania coraz bardziej zaawansowanych funkcji. Współczesne switche do zastosowań przemysłowych łączą w sobie bogatą funkcjonalność switchy stosowanych w korporacyjnych sieciach LAN z jednoczesną możliwością pracy w trudnych warunkach środowiskowych. Budowa i wymagania stawiane przed systemami komunikacyjnymi dla automatyki przemysłowej zasadniczo różnią się od tych stawianych sieciom teleinformatycznym.