Hoe veilige tijdgevoelige netwerken voor het IIoT implementeren met behulp van beheerde Ethernet-switches

Het Industrial Internet of Things (IIoT) heeft veilige, realtime en hoge bandbreedte connectiviteit nodig voor verschillende apparaten. IIoT-netwerken in Industry 4.0-automatisering, waterbeheer, olie- en gasverwerking, transport, energiebeheer van nutsbedrijven en vergelijkbare kritieke toepassingen hebben ook een efficiënte en flexibele manier nodig om stroom te leveren aan apparaten, en ze hebben een connectiviteitsoplossing nodig met een hoge poortdichtheid om grote aantallen apparaten te ondersteunen in een minimale ruimte. Beheerde Ethernet-switches van de volgende generatie kunnen aan deze behoeften en meer voldoen.

Beheerde Ethernet-switches kunnen op afstand geconfigureerd en bestuurd worden, wat netwerkimplementaties en -updates vereenvoudigt. Ze maken verschillende netwerkarchitecturen mogelijk, zoals ster- en lijntopologieën met redundante werking, inclusief naleving van IEC 62439-1, die van toepassing is op automatiseringsnetwerken met hoge beschikbaarheid. Ze ondersteunen IEEE 802.1-standaarden voor Time Sensitive Networking (TSN) en IEEE 802.3-standaarden voor Power over Ethernet (PoE) en PoE+.

Deze switches zijn gecertificeerd volgens het ISASecure-programma voor kant-en-klare automatiserings- en besturingssystemen op basis van de normenreeks ISA/IEC 62443 van de International Society of Automation / International Electrotechnical Institute (ISA/IEC). Ze kunnen worden geconfigureerd met combinaties van 10/100BASE TX / RJ45-slots voor koperinterconnecties en tri-speed glasvezel small form factor pluggable (SFP) slots met instelbare snelheden van 100 Mb/sec. (Mb/s), 1 Gb/sec. (Gb/s) en 2,5 Gb/s.

Dit artikel begint met een korte blik op de overgang van de automatiseringspiramide in Industry 3.0 naar de automatiseringspijler in Industry 4.0, bespreekt verschillende opties voor het inzetten van netwerken om zowel urgent als niet-urgent verkeer te transporteren en bekijkt hoe TSN hierin past en kan worden geïmplementeerd. Vervolgens wordt bekeken hoe PoE en PoE+ de voeding van sensors, besturingselementen en andere apparaten in het IIoT kunnen vereenvoudigen, en wordt het belang van beveiliging gepresenteerd, inclusief ISASecure-certificering en geavanceerde beveiligingsfuncties zoals draad-snelle toegangscontrolelijsten (ACL's) en automatische preventie van denial-of-service (DoS). Tot slot worden de voordelen van het gebruik van beheerde Ethernet-switches uiteengezet en worden verschillende voorbeeld BOBCAT beheerde switches van Hirschmann gepresenteerd.

Piramide naar pilaar

De overgang van de piramidefabrieksarchitectuur van Industry 3.0 naar de zuilenarchitectuur van Industry 4.0 is de drijvende kracht achter de ontwikkeling van TSN. De piramide verdeelde fabrieksfuncties in een hiërarchie van de fabrieksvloer tot gecentraliseerde controle- en managementfuncties. Real-time communicatie is vooral nodig op het laagste niveau van de fabrieksvloer, waar sensorgegevens de productieprocessen besturen. Dat verandert in Industry 4.0.

De automatiseringspijler van Industry 4.0 brengt het aantal niveaus terug van vier naar twee: het veldniveau en de backbone van de fabriek. Het veldniveau omvat steeds meer sensors en een groeiend assortiment regelaars. Sommige besturingen gaan van het besturings-/programmeerbare logische controllerniveau (PLC) van de piramide naar het veldniveau. Tegelijkertijd verschuiven andere functies, die voorheen op het besturings-/PLC-niveau lagen, naar de backbone van de fabriek, waar ze virtuele PLC's worden, samen met MES-functies (Manufacturing Execution System), SCADA-functies (Supervision Control and Data Acquisition) en ERP (Enterprise Resource Planning).

De connectiviteitslaag verbindt het veldniveau en het backboneniveau. De connectiviteitslaag en de netwerken op veldniveau moeten snelle communicatie met lage latentie leveren en combinaties van verkeer met lage prioriteit en tijdskritisch verkeer kunnen vervoeren. TSN ondersteunt die eis door real-time deterministisch netwerkverkeer (DetNet) over standaard Ethernet-netwerken mogelijk te maken (Afbeelding 1).

Afbeelding 1: De overgang van de automatiseringspiramide naar de automatiseringspijler vereist de connectiviteitsverbinding met TSN-capaciteit. (Afbeelding: Belden)

Drie TSN-configuraties

De IEEE 802.1 Ethernet-standaard beschrijft drie configuraties voor TSN: gecentraliseerd, gedecentraliseerd (ook wel volledig gedistribueerd genoemd) en een hybride configuratie met een gecentraliseerd netwerk en gedistribueerde gebruikers. In elk geval is de configuratie sterk geautomatiseerd om TSN-implementaties te vereenvoudigen en begint met het identificeren van de TSN-functies die worden ondersteund in een netwerk en het activeren van de benodigde functionaliteit. Op dat moment kan het sprekende zendapparaat informatie over de te verzenden gegevensstroom verzenden. De drie benaderingen verschillen wat betreft de manier waarop de vereisten voor apparaten en gegevensstromen worden afgehandeld in het netwerk.

In de gecentraliseerde configuratie communiceren de sprekers en luisteraars via het logische apparaat van de gecentraliseerde gebruikersconfiguratie (CUC). De CUC creëert de vereisten voor de gegevensstroom op basis van de informatie van de spreker en luisteraar en stuurt deze naar het apparaat voor centrale netwerkconfiguratie (CNC). De CNC bepaalt het tijdslot voor de volgende gegevensstroom op basis van factoren zoals de netwerktopologie en de beschikbaarheid van bronnen en stuurt de vereiste configuratie-informatie naar de switches (Afbeelding 2).

Afbeelding 2: Een gecentraliseerde TSN-architectuur gebruikt de CUC om verbinding te maken met de spreker en luisteraar en de CNC om configuratie-informatie naar de switches te sturen. (Bron afbeelding: Belden)

In de gedecentraliseerde configuratie worden de CUC en CNC geëlimineerd en worden de apparaatvereisten door het netwerk verspreid op basis van informatie binnen elk apparaat. In de hybride configuratie wordt de CNC gebruikt voor TSN-configuratie en delen de pratende en luisterende apparaten hun vereisten via het netwerk (Afbeelding 3). Met de gecentraliseerde en hybride aanpak kunnen de netwerkswitches centraal geconfigureerd (beheerd) worden.

Afbeelding 3: Voorbeelden van gedecentraliseerde (boven) en hybride (onder) TSN-configuraties. (Bron afbeelding: Belden)

PoE en PoE+

Power over Ethernet (PoE) is een geweldige aanvulling op TSN in de Industry 4.0-automatiseringspijler. Een van de drijvende krachten achter Industry 4.0 is het IIoT dat bestaat uit vele sensors, actuators en controllers. PoE is ontwikkeld om IIoT-apparaten in een fabriek of andere faciliteit van stroom te voorzien.

PoE ondersteunt de gelijktijdige overdracht van hogesnelheidsgegevens (inclusief TSN) en voeding via een enkele netwerkkabel. Bijvoorbeeld, 48-Vdc stroom kan tot 100 m gedistribueerd worden via een CAT 5/5e kabel met PoE. PoE vereenvoudigt niet alleen netwerkinstallaties, maar vereenvoudigt ook de implementatie van ononderbreekbare voeding en redundante stroombronnen en kan de betrouwbaarheid van industriële processen en apparatuur verbeteren.

PoE maakt gebruik van twee soorten apparaten: stroomvoorzieningsapparatuur (PSE) die stroom injecteert in het netwerk en gevoede apparaten (PD's) die de stroom onttrekken en gebruiken. Er zijn twee soorten PoE. Basic PoE kan maximaal 15,4 W leveren aan een PD. PoE+ is een recente ontwikkeling die tot 30 W kan leveren aan een PD.

Netwerkbeveiliging

De ISA en IEC hebben een reeks standaarden ontwikkeld voor industriële automatiserings- en besturingssystemen (IACS). De ISA/IEC 62443-serie omvat vier secties. Sectie 4 is van toepassing op leveranciers van hulpmiddelen. IEC 62443-4-2 gecertificeerde apparaten zijn onafhankelijk geëvalueerd en zijn secure-by-design, inclusief best practices voor cyberbeveiliging. Twee belangrijke hulpmiddelen voor de beveiliging van IACS zijn toegangscontrolelijsten (ACL's) en bescherming tegen Denial of Service-aanvallen (DoS). In beide gevallen zijn er meerdere benaderingen beschikbaar voor netwerktechnici.

ACL's worden gebruikt om verkeer toe te staan of te weigeren dat netwerkinterfaces binnenkomt of verlaat. Een voordeel van het gebruik van ACL's is dat ze werken op netwerksnelheid en geen invloed hebben op de doorvoer van gegevens, een belangrijke overweging in TSN implementaties. Hirschmann's HiOS verdeelt ACL's in drie categorieën:

Basis ACL's voor TCP/IP-verkeer hebben een minimaal aantal configuratie-opties voor het instellen van toestemmingsregels zoals "apparaat A kan alleen communiceren met deze groep apparaten", of "apparaat A kan alleen specifieke soorten informatie naar apparaat B sturen", of "apparaat A kan niet communiceren met apparaat B". Het gebruik van Basic ACLs kan implementaties vereenvoudigen en versnellen.

Geavanceerde ACL's voor TCP/IP-verkeer zijn ook beschikbaar en bieden meer granulaire controle. Verkeer kan worden toegelaten of geweigerd op basis van prioriteit, vlaggen in de headers en andere criteria. Sommige regels kunnen alleen op bepaalde momenten van de dag worden toegepast. Verkeer kan gespiegeld worden naar een andere poort voor monitoring of analyse. Specifieke types verkeer kunnen naar een bepaalde poort gedwongen worden, ongeacht de oorspronkelijke bestemming.

Sommige IACS-apparaten gebruiken geen TCP/IP en HiOS staat ook toe dat ACL's op Ethernet-frameniveau worden ingesteld, gebaseerd op mediale toegangscontrole (MAC) adressering. Deze ACL's op MAC-niveau kunnen filteren mogelijk maken op basis van een reeks criteria, waaronder verkeerstype, tijd van de dag, het MAC-adres van de bron of bestemming, enzovoort (Afbeelding 4).

Afbeelding 4: ACL's op MAC-niveau kunnen gebruikt worden op apparaten die geen TCP/IP gebruiken. (Bron afbeelding: Belden)

Terwijl ACL's geconfigureerd moeten worden, is DoS-preventie vaak ingebakken in apparaten en automatisch geïmplementeerd. Het kan aanvallen via TCP/IP, legacy TCP/UDP en internet control message protocol (ICMP) afhandelen. Voor TCP/IP en TCP/UDP nemen DoS-aanvallen verschillende vormen aan die gerelateerd zijn aan de protocolstack, dat wil zeggen, het aangevallen apparaat pakketten sturen die niet voldoen aan de standaard. Of er kan een gegevenspakket naar het aangevallen apparaat worden gestuurd met het IP-adres van het apparaat, wat een eindeloze lus van antwoorden kan veroorzaken. Ethernet-switches kunnen zichzelf en oudere apparaten in een netwerk beschermen door automatisch kwaadaardige gegevenspakketten uit te filteren.

Een andere veel voorkomende DoS-aanval komt binnen via een ICMP-ping. Pings zijn bedoeld om de beschikbaarheid van apparaten en reactietijden over een netwerk te identificeren, maar kunnen ook gebruikt worden voor DoS aanvallen. De aanvaller kan bijvoorbeeld een ping sturen met een payload die groot genoeg is om een buffer overflow in het ontvangende apparaat te veroorzaken, waardoor de protocolstack crasht. De huidige beheerde Ethernet-switches kunnen zichzelf automatisch beschermen tegen ICMP-gebaseerde DoS-aanvallen.

Beheerde switches

BOBCAT beheerde Ethernet-switches van Hirschmann ondersteunen TSN en beschikken over uitgebreide bandbreedtemogelijkheden door de SFP's aan te passen van 1 naar 2,5 Gb/s zonder de switch te wijzigen. Ze hebben een hoge poortdichtheid met maximaal 24 poorten in een enkele unit en SFP- of koperen uplink-poortopties beschikbaar (Afbeelding 5). Andere functies zijn onder andere:

• ISASecure CSA / IEC 62443-4-2-gecertificeerd, inclusief ACL's en automatische DoS-preventie
• Ondersteuning tot 240 W voor 8 PoE/PoE+-poorten zonder gedeelde belasting
• Standaard omgevingstemperatuurbereik van 0 °C tot +60 °C en modellen voor hogere temperaturen die werken van -40 °C tot +70 °C
• Modellen met goedkeuring volgens ISA12.12.01 voor gebruik op gevaarlijke locaties

Afbeelding 5: BOBCAT beheerde Ethernet-switches zijn verkrijgbaar in verschillende configuraties. (Bron afbeelding: Hirschmann)

Voorbeelden van Hirschmann BOBCAT-switches zijn onder andere:

• BRS20-4TX met vier 10/100 BASE TX / RJ45-poorten geschikt voor omgevingstemperaturen van 0 °C tot +60 °C
• BRS20-4TX/2FX met vier 10/100 BASE TX / RJ45-poorten en twee 100 Mbit/s glasvezelpoorten, geschikt voor omgevingstemperaturen van 0 °C tot +60 °C
• BRS20-4TX/2SFP-EEC-HL met vier 10/100 BASE TX / RJ45-poorten en twee 100 Mbit/s glasvezelpoorten, geschikt voor omgevingstemperaturen van -40 °C tot +70 °C en goedkeuring volgens ISA12.12.01 voor gebruik op gevaarlijke locaties
• BRS20-4TX/2SFP-HL met vier 10/100 BASE TX / RJ45-poorten en twee 100 Mbit/s glasvezelpoorten, geschikt voor omgevingstemperaturen van 0 °C tot +60 °C en goedkeuring volgens ISA12.12.01 voor gebruik op gevaarlijke locaties
• BRS30-12TX met acht 10/100 BASE TX / RJ45-poorten en vier 100 Mbit/s glasvezelpoorten, geschikt voor omgevingstemperaturen van 0 °C tot +60 °C
• BRS30-16TX/4SFP met zestien 10/100 BASE TX / RJ45-poorten en vier 100 Mbit/s glasvezelpoorten, geschikt voor omgevingstemperaturen van 0 °C tot +60 °C

Samenvatting

Er zijn beheerde Ethernet-switches beschikbaar die TSN, PoE en PoE+ ondersteunen, een hoog niveau van cyberbeveiliging bieden en de connectiviteit met hoge bandbreedte leveren die nodig is voor het IIoT en de netwerkstructuur van de Industry 4.0-pijler. Deze switches zijn eenvoudig te configureren, hebben een hoge poortdichtheid, uitgebreide mogelijkheden voor bedrijfstemperaturen en zijn verkrijgbaar in versies die zijn goedgekeurd voor ISA12.12.01 voor gebruik in gevaarlijke locaties.