基于以太网的OT(操作技术)网络现在很常见,但在许多情况下,交换机选择和网络拓扑设计仍然是事后才考虑的问题。在过去,基于TCP/ ip的控制网络与基于串行的网络相似。传统串行网络通常涉及线性拓扑、无源节点和共享寻址空间。尽管这些设计通常适用于现代以太网控制网络,但它们并不是最优的,而且通常包含无法管理的网络基础设施设备。
基于以太网的OT网络的核心是以太网交换机。这些设备有很多种,从没有用户可配置设置的非托管设备,到需要复杂配置才能实现最佳使用的设备。虽然前者似乎是简单的选择,但考虑到托管交换机必须提供的工具和功能时,托管交换机通常是最佳选择。
可伸缩性和冗余性
托管网络交换是支持可扩展网络背后的可配置性的关键,可扩展网络可以在不进行重大重新配置的情况下增长。最大也是最常用的特性是网络分割,它使用vlan在逻辑上分离流量,并保持工厂单元和区域区域彼此分离。通过将工厂车间组织成相关的组,可以更容易地在整个拓扑中进行垂直和水平的增长。此外,托管网络交换机可以支持冗余技术,如REP、DLR和端口通道。这些允许更好地使用冗余链路,保持网络性能良好,即使在硬件或链路故障的情况下。
先进的故障诊断
当制造由于网络问题而停止时,故障排除连接并使制造过程重新联机是关键任务。即使是简单的网络拓扑结构通常也比它们最初看起来要复杂得多,它携带隐藏的协议和控制数据,可以深入了解可能导致网络问题的原因。托管交换提供了对这些协议的可见性,可以向用户指出问题的确切位置,并允许他们解决问题。例如,在许多端点连接的网络中,重复的IP地址可能会造成严重破坏,并且难以追踪。使用托管交换机,用户可以检查交换机上的ARP(地址解析协议)表,以识别共享相同IP的硬件地址,并遵循MAC(媒体访问控制)地址表,以找到错误配置的端点插入的确切端口。用户甚至可以立即采取措施,暂时关闭端口,直到问题得到解决。所有这些都可以远程完成,不需要工程师亲自站在网络交换机前。
安全
当今工业控制系统(ICS)网络中的网络安全由ISA/IEC 62443等全球公认的标准驱动,托管网络交换机提供了允许可见性和控制的基础,加强了OT的整体安全态势。但随着信息安全部门在确保OT安全方面发挥更积极的作用,对工业自动化设备特有漏洞进行更全面监测和洞察的需求也随之出现。现代ICS安全和可见性工具使用称为“连续数据包捕获”的技术。这些工具侦听网络上的所有通信,并识别数据包级别的趋势和偏差。这可以通过配置交换机端口镜像来实现,或者将网络数据包的副本发送到监控和分析流量的目的地。可以灵活地将端口镜像直接添加到生成流量的位置,这为信息安全专业人员提供了他们所需的数据,以协助OT同行保护工厂车间。
工业网络的未来
IT/OT融合是真实存在的,许多IT技术在OT领域正变得越来越相关。例如,网络自动化在OT网络中开始变得越来越普遍。在此上下文中,自动化指的是诸如计划的配置备份和更新、自修复网络拓扑以及基础设施中物理和虚拟设备的高效管理等项目。甚至一些大型ICS供应商也在推动客户利用基础设施作为代码),这意味着通过代码来管理和配置基础设施,而不是像在许多OT环境中那样通过手动流程来完成。
随着客户的目标是实现传统ICS网络的现代化,选择正确的托管交换平台对于成功的智能制造之旅至关重要。虽然访问机器数据进行高级分析的主题往往会获得所有的荣誉,但同样重要的是要认识到,管理工业交换是这些信息驱动计划的基础,因此值得关注。
科里·肖夫是一名高级网络和安全工程师在Malisko工程公司.,是 的认证会员控制系统集成商协会 (相)。欲了解更多关于Malisko Engineering的信息,请访问 上的个人资料工业自动化交易所.
