Zarządzalne switche Ethernet do zastosowań przemysłowych

Budowa i wymagania stawiane przed systemami komunikacyjnymi dla automatyki przemysłowej zasadniczo różnią się od tych stawianych sieciom teleinformatycznym. W automatyce najważniejszymi kryteriami są stabilność, ciągłość działania i  integralność. W przeszłości w celu zapewnienia niezawodności działania systemu układy automatyki były separowane od sieci LAN/WAN. Jednak coraz częściej mamy do czynienia z jedną dużą siecią LAN dla całego przedsiębiorstwa, w której obszary: operacyjny (OT)  i informatyczny (IT) są zintegrowane. Bezpośrednia wymiana danych daje szereg korzyści pozwalając na szybszą optymalizację procesów produkcyjnych, logistycznych i sprzedażowych. Jednak połączenie tak różnych światów niesie ze sobą również szereg wyzwań związanych z  bezpieczeństwem i przepustowością sieci.  W tego typu aplikacjach należy stosować rozwiązania pozwalające na zaawansowaną kontrolę ruchu w sieci, wyposażone w mechanizmy redundancji i auto diagnozowania. Jednym z istotnych elementów infrastruktury sieciowej są brzegowe switche zarządzalne. Wprowadzone do oferty CSI, a produkowane przez Firmę Antaira Technologies seria przełączników brzegowych LMX i LMP pozwala na zarządzanie siecią przy użyciu zaawansowanych funkcji. Warto zwrócić uwagę na innowacyjne funkcje istotne dla efektywnego i bezpiecznego zarządzania siecią.

Sieci wirtualne VLAN
Sieć można podzielić na mniejsze segmenty i indywidualnie zoptymalizować każdy z segmentów do innych zadań. Jednym ze sposobów na podział sieci są wirtualne sieci VLAN, które pozwalają na logiczny podział sieci, bez ingerencji w fizyczną infrastrukturę. VLAN można zastosować do ograniczenia domeny rozgłoszeniowej, zwiększając tym samym bezpieczeństwo i wydajność całej sieci. W ramach poszczególnych podsieci administratorzy mają do dyspozycji szereg mechanizmów do optymalizacji sieci. Przykładowo, jeśli w jednej podsieci przesyłane są dane o różnym priorytecie, korzystne jest użycie funkcji Quality of Service (QoS) pozwalającej na przypisanie odpowiedniego priorytetu danym krytycznym. Jeśli przesyłane informacje mają charakter poufny lub z innego powodu chcemy ograniczyć dostęp do sieci, switch zarządzalny pozwala na wyłączenie nieużywanych portów, a na pozostałych portach adresy MAC będą filtrowane. 

Protokół IGMP
Pomaga efektywnie zarządzać ruchem w sieci TCIP, gdzie występuje duża ilość danych o różnym stopniu ważności. W obrębie jednej maszyny, przy niewielkiej ilości urządzeniach wpiętych do switcha, nikt nie zauważy, że switch niezarządzalny zmienia ruch multicast w broadcast. Problem ujawnia się, gdy podłączymy maszynę do sieci, wtedy cały ruch broadcast wysyłany jest z maszyny do zewnętrznej sieci powodując przeciążenie i znaczne opóźnienia w transmisji.  Dobrze skonfigurowana funkcja IGMP rozwiązuje ten problem. 

Protokół ERPS
Istotne jest utrzymanie sieci w ruchu, nawet przy jednoczesnym wystąpieniu kilku awarii. W tym celu stosuje się redundantne połączenia pomiędzy poszczególnymi urządzeniami i segmentami. Sieci Ethernet nie wolno zapętlić, dlatego konieczne jest użycie protokołu, który zapobiega powstawaniu pętli. Najbardziej popularny i uniwersalny jest protokół Ethernet Ring Protection Switching (ERPS) będący otwartym standardem obsługiwanym zarówno przez switche szkieletowe, komercyjne jak i przemysłowe. ERPS w sposób logiczny blokuje nadmiarowe połączenia, a w przypadku awarii umożliwia rekonfigurację sieci w czasie poniżej 50ms, 

DHCP Snooping
Głównym zadaniem DHCP jest automatyczne przydzielanie adresacji IP dla urządzeń pracujących w sieci. DHCP to usługa bazująca na transmisji rozgłoszeniowej i w związku z tym narażona jest na różnego rodzaju ataki. Korzystając z odpowiednich narzędzi można doprowadzić do zablokowania serwera komunikatami DHCP-discover. Funkcjonalność DHCP snooping, pozwala zablokować możliwość wysłania komend DHC-discover  i przypisaniu do konkretnego portu zaufanego serwera DHCP, a co za tym idzie, uniemożliwia podłączenie jakiegokolwiek innego serwera, do któregoś z innych portów. 

IP Source Guard
Jest to funkcja zabezpieczeń, która ogranicza ruch IP na niezaufanych portach warstwy 2 poprzez filtrowanie ruchu w sieci. Pozwala zapobiegać atakom na podszywanie się pod IP, gdy host próbuje podszyć się pod inny adres i użyć adresu IP innego hosta. Dowolny ruch IP wchodzący do interfejsu ze źródłowym adresem IP innym niż przydzielony (przez DHCP lub statyczną konfigurację) zostanie odfiltrowany na niezaufanych portach warstwy 2.

Ports Security Limit Control.
Umożliwiają ograniczenie liczby dopuszczonych adresów MAC  na port, co pozwala zapobiec dostępowi przez urządzenia z nieautoryzowanymi adresami MAC. Pozwala również na konfigurację maksymalna liczba bezpiecznych adresów MAC dla portów trunkingowych dla sieci VLAN.

ACL (Access Control Lists)
Listy kontroli dostępu (ACL) pozwalają na tworzenie reguł ruchu w sieci. Podczas konfigurowania list ACL można selektywnie przyjmować lub odrzucać ruch przychodzący, kontrolując w ten sposób dostęp do sieci lub określonych zasobów w sieci. Każda lista ACL zawiera zestaw reguł mających zastosowanie do ruchu przychodzącego. 

Uwierzytelnianie
16 poziomów uprawnień i uwierzytelnianie za pomocą RADIUS lub TACACS+. Kontrola adresu IP i MAC operatora pozwala na weryfikację użytkowników. Mechanizm automatycznego wylogowania użytkowników nieaktywnych zabezpiecza przed nieautoryzowanym dostępem.

Zwiększający się stopień integracji sieci przemysłowych i coraz większe wymagania dotyczące bezpieczeństwa powodują konieczność stosowania coraz bardziej zawaansowanych funkcji. Współczesne brzegowe przełączniki sieciowe do zastosowań przemysłowych łączą w sobie bogatą funkcjonalność switchy stosowanych w korporacyjnych sieciach LAN z jednoczesną możliwością pracy w trudnych warunkach środowiskowych. Budowa i wymagania stawiane przed systemami komunikacyjnymi dla automatyki przemysłowej zasadniczo różnią się od tych stawianych sieciom teleinformatycznym.