作者：Jeff Shepard

　　工業(yè)物聯(lián)網(wǎng) (IIoT) 需要為各種設(shè)備提供安全、實(shí)時(shí)和高帶寬的連接。工業(yè) 4.0 自動(dòng)化、水管理、石油和天然氣處理、運(yùn)輸、公用電源管理和類似關(guān)鍵應(yīng)用中的 IIoT 網(wǎng)絡(luò)也需要一種高效靈活的方式來(lái)為設(shè)備供電，并且需要具有高端口密度的連接解決方案來(lái)支持在最小的空間內(nèi)容納大量設(shè)備。下一代托管以太網(wǎng)交換機(jī)可以滿足這些需求以及更多需求。

　　托管以太網(wǎng)交換機(jī)可以遠(yuǎn)程配置和控制，從而簡(jiǎn)化網(wǎng)絡(luò)部署和更新。它們支持各種網(wǎng)絡(luò)架構(gòu)，例如具有冗余操作的星形和線形拓?fù)?，包括符合適用于高可用性自動(dòng)化網(wǎng)絡(luò)的 IEC 62439-1。它們支持時(shí)間敏感網(wǎng)絡(luò) (TSN) 的 IEEE 802.1 標(biāo)準(zhǔn)以及以太網(wǎng)供電 (PoE) 和 PoE+ 的 IEEE 802.3 標(biāo)準(zhǔn)。

　　這些開(kāi)關(guān)已通過(guò) ISASecure 計(jì)劃認(rèn)證，適用于基于國(guó)際自動(dòng)化協(xié)會(huì)/國(guó)際電工協(xié)會(huì) (ISA/IEC) 62443 系列標(biāo)準(zhǔn)的現(xiàn)成自動(dòng)化和控制系統(tǒng)。它們可以配置用于銅互連的 10/100BASE TX / RJ45 插槽和速度可調(diào)為 100 Mb/秒的三速光纖小型可插拔 (SFP) 插槽的組合。 (Mb/秒)，1 Gb/秒。 (Gb/s) 和 2.5 Gb/s。

　　本文首先簡(jiǎn)要介紹了從工業(yè) 3.0 的自動(dòng)化金字塔到工業(yè) 4.0 的自動(dòng)化支柱的轉(zhuǎn)變，回顧了部署網(wǎng)絡(luò)以承載緊急和非緊急流量的幾種選項(xiàng)，并考慮了 TSN 如何適應(yīng)并可以實(shí)施的。然后，它考慮了 PoE 和 PoE+ 如何簡(jiǎn)化 IIoT 上傳感器、控制器和其他設(shè)備的供電，并介紹了安全的重要性，包括 ISASecure 認(rèn)證和高級(jí)安全功能，如線速訪問(wèn)控制列表 (ACL) 和自動(dòng)拒絕服務(wù) (DoS) 預(yù)防。最后，它描述了使用托管以太網(wǎng)交換機(jī)的優(yōu)勢(shì)，并介紹了Hirschmann的幾種示例性BOBCAT 托管交換機(jī)。

　　金字塔到柱子

　　從工業(yè)3.0的金字塔工廠架構(gòu)轉(zhuǎn)向工業(yè)4.0的支柱架構(gòu)，是TSN發(fā)展的原動(dòng)力。金字塔將工廠職能劃分為從工廠車間到集中控制和管理職能的層次結(jié)構(gòu)。實(shí)時(shí)通信主要需要在工廠底層，其中傳感器數(shù)據(jù)控制制造過(guò)程。工業(yè) 4.0 改變了這一情況。

　　工業(yè) 4.0 的自動(dòng)化支柱將層級(jí)數(shù)量從四個(gè)減少到兩個(gè)：現(xiàn)場(chǎng)層和工廠骨干層。現(xiàn)場(chǎng)級(jí)包括越來(lái)越多的傳感器和越來(lái)越多的控制器。一些控制器正在從金字塔的控制/可編程邏輯控制器 (PLC) 級(jí)別向下移動(dòng)到現(xiàn)場(chǎng)級(jí)別。與此同時(shí)，以前控制/PLC級(jí)別的其他功能正在向工廠主干移動(dòng)，與制造執(zhí)行系統(tǒng)(MES)、監(jiān)控和數(shù)據(jù)采集(SCADA)功能以及企業(yè)資源規(guī)劃(ERP)一起成為虛擬PLC )。

　　連接層將現(xiàn)場(chǎng)層和骨干層連接在一起。連接層和現(xiàn)場(chǎng)級(jí)網(wǎng)絡(luò)必須提供高速、低延遲通信，并能夠承載低優(yōu)先級(jí)流量和時(shí)間關(guān)鍵型流量的組合。 TSN 通過(guò)在標(biāo)準(zhǔn)以太網(wǎng)上啟用實(shí)時(shí)確定性網(wǎng)絡(luò) (DetNet) 流量來(lái)支持該要求(圖 1)。

　　圖 1：從自動(dòng)化金字塔過(guò)渡到自動(dòng)化支柱需要具有 TSN 功能的連接鏈路。 (圖片：貝爾登)

　　三種 TSN 配置

　　IEEE 802.1 以太網(wǎng)標(biāo)準(zhǔn)詳細(xì)介紹了 TSN 的三種配置：集中式、分散式(也稱為完全分布式)以及集中式網(wǎng)絡(luò)和分布式用戶的混合配置。在每種情況下，配置都是高度自動(dòng)化的，以簡(jiǎn)化 TSN 部署，并首先識(shí)別網(wǎng)絡(luò)中支持的 TSN 功能并激活所需的功能。此時(shí)，講話者發(fā)送設(shè)備可以發(fā)送有關(guān)要發(fā)送的數(shù)據(jù)流的信息。這三種方法的不同之處在于如何在網(wǎng)絡(luò)中處理設(shè)備和數(shù)據(jù)流要求。

　　在集中式配置中，發(fā)話者和聽(tīng)者通過(guò)集中式用戶配置(CUC)邏輯設(shè)備進(jìn)行通信。 CUC 根據(jù)發(fā)送者和接收者信息創(chuàng)建數(shù)據(jù)流需求，并將其發(fā)送到集中式網(wǎng)絡(luò)配置 (CNC) 設(shè)備。 CNC 根據(jù)網(wǎng)絡(luò)拓?fù)浜唾Y源可用性等因素確定下一個(gè)數(shù)據(jù)流的時(shí)隙，并將所需的配置信息發(fā)送到交換機(jī)(圖 2)。

　　圖 2：集中式 TSN 架構(gòu)使用 CUC 與發(fā)送方和接收方連接，并使用 CNC 將配置信息發(fā)送到交換機(jī)。 (圖片來(lái)源：百通)

　　在分散配置中，消除了 CUC 和 CNC，并且設(shè)備需求根據(jù)每個(gè)設(shè)備內(nèi)的信息通過(guò)網(wǎng)絡(luò)傳播。在混合配置中，CNC 用于 TSN 配置，發(fā)送方和接收方設(shè)備通過(guò)網(wǎng)絡(luò)共享其需求(圖 3)。集中式和混合式方法使網(wǎng)絡(luò)交換機(jī)能夠集中配置(管理)。

　　圖 3：分散式(頂部)和混合式(底部)TSN 配置示例。 (圖片來(lái)源：百通)

　　PoE 和 PoE+

　　以太網(wǎng)供電 (PoE) 是工業(yè) 4.0 自動(dòng)化支柱中 TSN 的重要補(bǔ)充。工業(yè) 4.0 的驅(qū)動(dòng)力之一是由許多傳感器、執(zhí)行器和控制器組成的 IIoT。 PoE 的開(kāi)發(fā)是為了解決為整個(gè)工廠或其他設(shè)施的 IIoT 設(shè)備供電的挑戰(zhàn)。

　　PoE 支持通過(guò)單根網(wǎng)線同時(shí)傳輸高速數(shù)據(jù)(包括 TSN)和電力。例如，48-Vdc 電源可通過(guò)使用 PoE 的 CAT 5/5e 電纜分配最遠(yuǎn) 100 m 的距離。除了簡(jiǎn)化網(wǎng)絡(luò)安裝之外，PoE 還簡(jiǎn)化了不間斷電源和冗余電源的實(shí)施，并可以提高工業(yè)流程和設(shè)備的可靠性。

　　PoE 使用兩種類型的設(shè)備：向網(wǎng)絡(luò)注入電力的供電設(shè)備 (PSE) 和提取并使用電力的受電設(shè)備 (PD)。 PoE 有兩種類型?；?PoE 最多可為 PD 提供 15.4 W 的功率。 PoE+ 是一項(xiàng)最新開(kāi)發(fā)成果，可為 PD 提供高達(dá) 30 W 的功率。

　　網(wǎng)絡(luò)安全

　　ISA 和 IEC 制定了一系列工業(yè)自動(dòng)化和控制系統(tǒng) (IACS) 標(biāo)準(zhǔn)。 ISA/IEC 62443 系列包括四個(gè)部分。第 4 節(jié)適用于設(shè)備供應(yīng)商。 IEC 62443-4-2 認(rèn)證設(shè)備經(jīng)過(guò)獨(dú)立評(píng)估，采用安全設(shè)計(jì)，包括網(wǎng)絡(luò)安全最佳實(shí)踐。 IACS 安全的兩個(gè)重要工具是訪問(wèn)控制列表 (ACL) 和拒絕服務(wù) (DoS) 攻擊保護(hù)。在這兩種情況下，網(wǎng)絡(luò)工程師都可以采用多種方法。

　　ACL 用于允許或拒絕進(jìn)出網(wǎng)絡(luò)接口的流量。使用 ACL 的好處是它們以網(wǎng)絡(luò)速度運(yùn)行并且不會(huì)影響數(shù)據(jù)吞吐量，這是 TSN 實(shí)現(xiàn)中的一個(gè)重要考慮因素。 Hirschmann 的 HiOS 將 ACL 分為三類：

　　TCP/IP 流量的基本 ACL 具有最少數(shù)量的配置選項(xiàng)，用于設(shè)置權(quán)限規(guī)則，例如“設(shè)備 A 只能與這組設(shè)備通信”或“設(shè)備 A 只能向設(shè)備 B 發(fā)送特定類型的信息”或“設(shè)備 A 無(wú)法與設(shè)備 B 通信?！笔褂没?ACL 可以簡(jiǎn)化并加速部署。

　　TCP/IP 流量的高級(jí) ACL 也可用，并提供更精細(xì)的控制。可以根據(jù)流量的優(yōu)先級(jí)、標(biāo)頭中設(shè)置的標(biāo)志以及其他標(biāo)準(zhǔn)來(lái)允許或拒絕流量。有些規(guī)則只能在一天中的特定時(shí)間應(yīng)用。流量可以鏡像到另一個(gè)端口以進(jìn)行監(jiān)控或分析。無(wú)論其原始目的地如何，都可以將特定類型的流量強(qiáng)制發(fā)送到定義的端口。

　　某些 IACS 設(shè)備不使用 TCP/IP，并且 HiOS 還允許基于媒體訪問(wèn)控制 (MAC) 尋址在以太網(wǎng)幀級(jí)別設(shè)置 ACL。這些 MAC 級(jí) ACL 可以根據(jù)一系列標(biāo)準(zhǔn)啟用過(guò)濾，包括流量類型、一天中的時(shí)間、源或目標(biāo) MAC 地址等(圖 4)。

　　圖 4：MAC 級(jí) ACL 可用于不使用 TCP/IP 的設(shè)備。 (圖片來(lái)源：百通)

　　雖然必須配置 ACL，但 DoS 防護(hù)通常會(huì)嵌入到設(shè)備中并自動(dòng)實(shí)施。它可以處理 TCP/IP、傳統(tǒng) TCP/UDP 和互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP) 上的攻擊。對(duì)于TCP/IP和TCP/UDP情況，DoS攻擊采取與協(xié)議棧相關(guān)的各種形式，即向受攻擊設(shè)備發(fā)送不符合標(biāo)準(zhǔn)的數(shù)據(jù)包?；蛘?，可以使用設(shè)備的 IP 地址將數(shù)據(jù)包發(fā)送到受到攻擊的設(shè)備，從而可能導(dǎo)致無(wú)限循環(huán)的回復(fù)。以太網(wǎng)交換機(jī)可以自我保護(hù)，并可以通過(guò)自動(dòng)過(guò)濾掉惡意數(shù)據(jù)包來(lái)保護(hù)網(wǎng)絡(luò)上的舊設(shè)備。

　　另一種常見(jiàn)的 DoS 攻擊是通過(guò) ICMP ping 進(jìn)行的。 Ping 旨在識(shí)別網(wǎng)絡(luò)中的設(shè)備可用性和響應(yīng)時(shí)間，但也可用于 DoS 攻擊。例如，攻擊者可以發(fā)送有效負(fù)載足夠大的 ping，從而導(dǎo)致接收設(shè)備中的緩沖區(qū)溢出，從而使協(xié)議棧崩潰。當(dāng)今的托管以太網(wǎng)交換機(jī)可以自動(dòng)保護(hù)自己免受基于 ICMP 的 DoS 攻擊。

　　管理型交換機(jī)

　　Hirschmann 的 BOBCAT 托管以太網(wǎng)交換機(jī)支持 TSN，并通過(guò)將 SFP 從 1 Gb/s 調(diào)整到 2.5 Gb/s 來(lái)擴(kuò)展帶寬功能，而無(wú)需更改交換機(jī)。它們具有高端口密度，單個(gè)單元中最多有 24 個(gè)端口，并提供 SFP 或銅上行鏈路端口選項(xiàng)(圖 5)。其他功能包括：

　　ISASecure CSA / IEC 62443-4-2 認(rèn)證，包括 ACL 和自動(dòng) DoS 防護(hù)

　　在 8 個(gè) PoE/PoE+ 端口上支持高達(dá) 240 W 的功率，無(wú)需負(fù)載共享

　　標(biāo)準(zhǔn)環(huán)境工作溫度范圍為 0°C 至 +60°C，擴(kuò)展溫度型號(hào)工作溫度范圍為 -40°C 至 +70°C

　　經(jīng) ISA12.12.01 批準(zhǔn)可在危險(xiǎn)場(chǎng)所使用的型號(hào)

　　圖 5：BOBCAT 管理型以太網(wǎng)交換機(jī)有多種配置可供選擇。 (圖片來(lái)源：赫希曼)

　　Hirschmann BOBCAT 開(kāi)關(guān)的示例包括：

　　BRS20-4TX具有四個(gè) 10/100 BASE TX / RJ45 端口，額定環(huán)境溫度為 0°C 至 +60°C

　　BRS20-4TX/2FX具有四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mbit/s 光纖端口，額定環(huán)境溫度為 0°C 至 +60°C

　　BRS20-4TX/2SFP-EEC-HL，具有四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mbit/s 光纖端口，額定環(huán)境溫度為 -40°C 至 +70°C，并經(jīng) ISA12.12.01 批準(zhǔn)使用在危險(xiǎn)場(chǎng)所

　　BRS20-4TX/2SFP-HL具有四個(gè) 10/100 BASE TX / RJ45 端口和兩個(gè) 100 Mbit/s 光纖端口，額定環(huán)境溫度為 0°C 至 +60°C，并經(jīng) ISA12.12.01 批準(zhǔn)，可在危險(xiǎn)場(chǎng)所使用

　　BRS30-12TX具有八個(gè) 10/100 BASE TX / RJ45 端口和四個(gè) 100 Mbit/s 光纖端口，額定環(huán)境溫度為 0°C 至 +60°C

　　BRS30-16TX/4SFP，具有 16 個(gè) 10/100 BASE TX / RJ45 端口和 4 個(gè) 100 Mbit/s 光纖端口，額定環(huán)境溫度為 0°C 至 +60°C

　　概括

　　托管以太網(wǎng)交換機(jī)支持 TSN、PoE 和 PoE+，提供高水平的網(wǎng)絡(luò)安全，并提供 IIoT 和工業(yè) 4.0 支柱網(wǎng)絡(luò)結(jié)構(gòu)所需的高帶寬連接。這些交換機(jī)易于配置，具有高端口密度，具有擴(kuò)展的工作溫度能力，并且提供經(jīng) ISA12.12.01 批準(zhǔn)用于危險(xiǎn)場(chǎng)所的版本。