如何使用網管型乙太網路交換器為 IIoT 實作安全的時效型網路

工業物聯網 (IIoT) 的眾多裝置都需要安全、即時且大頻寬的連線。工業 4.0 自動化、水管理、石油天然氣加工、運輸、市電管理以及類似關鍵應用中的 IIoT 網路，也需具備高效靈活的方式來供應電力給裝置，且需要具有高連接埠密度的連接解決方案，以在最小的空間內支援大量裝置。新一代的網管型乙太網路交換器可滿足這些需求甚至更多。

網管型乙太網路交換器可以遠端配置和控制，進而簡化網路部署和更新。可促成多種網路架構，如具有備援操作的星形和線形拓撲，更具有 IEC 62439-1 標準合規性，可應用到高可用性的自動化網路。。可支援時效型網路 (TSN) 的 IEEE 802.1 標準，以及用於乙太網路供電 (PoE) 和 PoE+ 的 IEEE 802.3 標準。

這些交換器已通過 ISASecure 計畫認證，可用於以國際自動化學會／國際電工協會 (ISA/IEC) 62443 系列標準為基礎所打造的現成自動化和控制系統。可進行配置，搭配 10/100BASE TX / RJ45 插槽達到銅纜互連，並具有三速光纖小型可插拔 (SFP) 插槽，可調整速度包括每秒 100 Mb(Mb/s)、每秒 1 Gb(Gb/s) 和每秒 2.5 Gb/s。

本文首先會簡單介紹從工業 3.0 的自動化金字塔轉換到工業 4.0 的自動化支柱，接著回顧幾個網路部署的選項，以因應緊急和非緊急流量，並考量 TSN 如何適應和實施。接著會考量 PoE 和 PoE+ 如何簡化對 IIoT 上感測器、控制元件和其他裝置的供電，並且說明安全的重要性，包括 ISASecure 認證和進階安全功能，如線速存取控制清單 (ACL) 和自動阻斷服務 (DoS) 的防範。最後會說明使用網管型乙太網路交換器的優勢，並介紹 Hirschmann 的幾款 BOBCAT 網管型交換器當作範例。

從金字塔到支柱

從工業 3.0 的金字塔工廠架構轉向工業 4.0 的支柱架構，正是 TSN 發展的原動力。金字塔將工廠職能切割成階層結構，包括從廠區到集中式控制和管理的職能。即時通訊主要是在廠區的最低階層才需要，因為此處由感測器數據控制製程。在工業 4.0 中有所轉變。

工業 4.0 的自動化支柱將階層數量從四個減少成兩個：現場層和工廠骨幹。現場層中的感測器數量越來越多，控制器的種類也逐漸增加。有些控制器更從金字塔的控制／可編程邏輯控制器 (PLC) 層級向下移動到現場層級。與此同時，以前在控制／PLC 層級的其他功能正向上移動到工廠主幹，並成為虛擬 PLC，且具有製造執行系統 (MES)、監督控制和數據採集 (SCADA) 功能以及企業資源規劃 (ERP) 能力。

連接層可將現場和主幹層級相連。連接層和現場層級的網路必須提供高速、低延遲的通訊，且能承載低優先順序流量和時間急迫流量的組合。TSN 可在標準乙太網路上啟用即時確定性網路 (DetNet) 流量，因此可支援上述要求 (圖 1)。

圖 1：從自動化金字塔轉移到自動化支柱架構需有 TSN 能力的連接鏈路。(圖片： Belden)

三種 TSN 配置

IEEE 802.1 乙太網路標準詳細說明了 TSN 的三種配置：集中式、去中心式 (也稱為全分散式)，以及具有集中式網路和分散式使用者的混合式配置。在各種情況下，配置都高度自動化，因此可簡化 TSN 的部署，且一開始會先識別網路中支援的 TSN 功能並啟動必要的功能。此時，發話方發射裝置可以傳送與要傳輸之數據流的相關資訊。這三種作法的差異在於，在網路中處理裝置和數據流的要求方式各有不同。

在集中式配置中，發話方和偵聽方會透過集中式使用者配置 (CUC) 邏輯裝置進行通訊。CUC 會依據發話方和偵聽方的資訊建立數據流要求，並將此要求傳送到集中式網路配置 (CNC) 裝置。CNC 會依據網路拓撲和資源可用性等因素，來判定下一個數據流的時槽，並將所需的配置資訊傳送到交換器 (圖 2)。

圖 2：集中式 TSN 架構採用 CUC 來連結發話方和偵聽方，並由 CNC 將配置資訊傳送到交換器。(圖片來源：Belden)

在去中心式配置中，則未使用 CUC 和 CNC，會依據各個裝置內的資訊，在網路中傳遞裝置要求。在混合式配置中，CNC 會用於 TSN 配置，發話方和偵聽方裝置會在網路上共用需求 (圖 3)。集中式和混合式作法可讓網路交換器達到集中化配置 (管理)。

圖 3：去中心式 (頂端) 和混合式 (底部) TSN 配置的範例。(圖片來源：Belden)

PoE 和 PoE+

乙太網路供電 (PoE) 在工業 4.0 自動化支柱架構中是 TSN 的重要輔助要件。工業 4.0 的驅動力之一是 IIoT，由許多感測器、致動器和控制器組成。PoE 的開發是為了因應在整個工廠或其他設施中為 IIoT 裝置供電的挑戰。

PoE 可支援通過單條網路線同時傳輸高速數據 (包括 TSN) 和電力。例如，可使用 PoE 透過 CAT 5/5e 纜線將 48 Vdc 電力輸送到最遠 100 m 外的地方。除了簡化網路架設外，PoE 還可簡化不斷電系統和備援電源的實作，並可以提高工業製程和設備的可靠性。

PoE 使用兩種類型的裝置：對網路注入電力的供電設備 (PSE) 和提取和使用電力的受電裝置 (PD)。PoE 分為兩種。基本 PoE 可為 PD 提供最大 15.4 W 的功率。PoE+ 在最近開發，可為 PD 提供高達 30 W。

網路安全性

ISA 和 IEC 已針對工業自動化和控制系統 (IACS) 制定一系列標準。ISA/IEC 62443 系列包括四節內容。第 4 節適用於裝置供應商。IEC 62443-4-2 認證的裝置皆經過獨立評估，並且採用安全設計，包括網路安全的最佳實務。有兩個重要工具可達到 IACS 安全性，分別是存取控制清單 (ACL) 和阻斷服務 (DoS) 攻擊防護。無論是哪一個工具，網路工程師都有多種作法可用。

ACL 可用來允許或拒絕進出網路介面的流量。使用 ACL 有個優點在於能以網路速度運作，而且不會影響數據輸送量，這對 TSN 實作來說是重要的考量之一。Hirschmann 的 HiOS 將 ACL 分為三類：

TCP/IP 流量的基本 ACL 僅有最少的配置選項，可用來設定許可規則，例如「裝置 A 只能與這組裝置通訊」或「設備 A 只能向裝置 B 傳送特定類型的資訊」或「裝置 A 無法與裝置 B 通訊」。使用基本 ACL 可以簡化和加快部署。

此外，還有提供 TCP/IP 流量的進階 ACL，可提供更精細的控制。可依據流量的優先順序、標頭中設定的旗標和其他條件來允許或拒絕流量。某些規則只能在一天中的特定時間套用。流量可以鏡像到另一個埠以進行監測或分析。特定類型的流量可以強制流向指定埠，無論其原始目的地如何。

某些 IACS 裝置並未使用 TCP/IP，但 HiOS 亦允許依據中介存取控制 (MAC) 定址在乙太網路訊框層級設定 ACL。這些 MAC 層級的 ACL 可依據一系列條件來啟用過濾，包括流量類型、一天中的時間、來源或目標 MAC 位址等等 (圖 4)。

圖 4：MAC 層級 ACL 可用於未使用 TCP/IP 的裝置。(圖片來源：Belden)

雖然 ACL 必須配置，但 DoS 防護通常是燒錄在裝置中且會自動實作。此防護可處理透過 TCP/IP、傳統 TCP/UDP 和網際網路控制訊息協定 (ICMP) 進行的攻擊。若是 TCP/IP 和 TCP/UDP，DoS 攻擊會採取與協定堆疊相關的多種形式，即向受攻擊的裝置傳送不符合標準的封包。或者，會使用設備的 IP 位址將數據封包傳送到受攻擊的裝置，這可能會導致無止盡的回覆迴圈。乙太網路交換器可以自我保護，並透過自動過濾惡意數據封包，藉此保護網路上的傳統裝置。

另一種常見的 DoS 攻擊是透過 ICMP ping 進行。Ping 的用意是識別網路上裝置的可用性和回應時間，但也可用於 DoS 攻擊。舉例而言，攻擊者可以發送有效負載大到足以導致接收裝置緩衝區溢出的 ping，進而讓協定堆疊崩潰。如今的網管型乙太網路交換器可自動保護自身以免受到 ICMP 型的 DoS 攻擊。

網管型交換器

Hirschmann 的 BOBCAT 網管型乙太網路交換器支援 TSN，且具有擴充頻寬能力，可在不更換交換器的情況下，將 SFP 從 1 Gb/s 調整成 2.5 Gb/s。連接埠密度高，單一裝置具有最多有 24 個埠，並提供 SFP 或銅纜上行鏈路埠選項 (圖 5)。其他特點包括：

• ISASecure CSA / IEC 62443-4-2 認證，包括 ACL 和自動 DoS 防範
• 在 8 個 PoE/PoE+ 連接埠上支援高達 240 W 功率，且無需分擔負載
• 標準環境工作溫度介於 0°C 至 +60°C，延伸溫度機型的工作溫度介於 -40°C 至 +70°C
• 有提供符合 ISA12.12.01 的型號，可用於危險場所

圖 5：BOBCAT 網管型乙太網路交換器有多種配置可供選擇。(圖片來源：Hirschmann)

Hirschmann 的 BOBCAT 交換器範例包括：

• BRS20-4TX 具有 4 個 10/100 BASE TX / RJ45 連接埠，額定環境溫度為 0°C 至 +60°C
• BRS20-4TX/2FX 具有 4 個 10/100 BASE TX / RJ45 連接埠和 2 個 100 Mbit/s 光纖埠，額定環境溫度為 0°C 至 +60°C
• BRS20-4TX/2SFP-EEC-HL 具有 4 個 10/100 BASE TX / RJ45 連接埠和 2 個 100 Mbit/s 光纖埠，額定環境溫度為 -40°C 至 +70°C，並符合 ISA12.12.01，可用於危險場所
• BRS20-4TX/2SFP-HL 具有 4 個 10/100 BASE TX / RJ45 連接埠和 2 個 100 Mbit/s 光纖埠，額定環境溫度為 0°C 至 +60°C，並符合 ISA12.12.01，可用於危險場所
• BRS30-12TX 具有 8 個 10/100 BASE TX/RJ45 連接埠和 4 個 100 Mbit/s 光纖埠，額定環境溫度為 0°C 至 +60°C
• BRS30-16TX/4SFP 具有 16 個 10/100 BASE TX/RJ45 連接埠和 4 個 100 Mbit/s 光纖埠，額定環境溫度為 0°C 至 +60°C

結論

網管型乙太網路交換器可支援 TSN、PoE 和 PoE+，提供高水準的網路安全，並具有 IIoT 和工業 4.0 支柱網路結構所需的大頻寬連接。這些交換器容易配置，連接埠密度高，具有延伸工作溫度能力，並且提供符合 ISA12.12.01 的款式，可用於危險場所。