基于 TCP/IP 的控制网络的构建方式与基于串行的网络类似,传统串行网络通常涉及线性拓扑、被动节点和共享寻址空间,尽管这些设计适用于现代以太网控制网络,但它们并不是最优方案,比如会存在难以管理的网络基础设施。
基于以太网的OT网络的核心是以太网交换机。以太网交换机有多种类型,按管理方式分类的话,可分为无需配置的非网管型交换机和需要复杂配置的网管型交换机,网管交换机也包含了三层交换机。非网管型交换机不需要复杂的设置即可使用,看似最好的选择,但在考虑环境需求和交换机功能时,网管型交换机通常是最佳选择。
配置了网管型工业交换机的可扩展网络,可以对网络灵活扩展。最常用的功能是网络分段,它使用VLAN技术在逻辑上分离流量,并使工厂单元和区域彼此分开。通过将工厂车间组织成相关分组,它可以更顺利的在整个拓扑中垂直和水平增长。此外,网管型交换机往往可以支持STP、RSTP、ERPS等冗余技术,以便更好地使用冗余链路,即使在硬件或链路故障的情况下也能保持良好的网络性能。
当制造因网络问题而停止时,对连接进行故障排除并使制造流程重新上线是关键任务。即使是简单的网络拓扑结构,通常也比它们最初看起来要复杂得多,它携带隐藏的协议和控制数据,可以深入了解可能导致网络问题的原因。网管型交换机提供了对这些协议的可见性,并且可以向用户指出问题的确切位置,以便准确的解决问题。
例如,在许多端点连接的网络中,重复的 IP 地址可能会造成严重破坏,并且难以追踪。使用网管型交换机,用户可以检查工业交换机上的ARP(地址解析协议)表,以识别共享相同IP的硬件地址,并按照MAC地址表,找到错误配置的终端插入的确切端口。用户甚至可以立即采取措施,暂时关闭端口,直到问题得到解决。所有这些都可以远程完成,不需要工程师亲自在站在工业交换机前。
工业控制系统(ICS)网络中的网络安全由全球公认的标准(如 ISA/IEC 62443)驱动,而网管型交换机为加强整体 OT 安全态势的可见性和控制提供了基础。但是,随着信息安全部门在保护OT方面发挥更积极的作用,需要对工业自动化设备特有的漏洞进行更全面的监控和洞察。
现代 ICS 安全和可视性工具使用称为“连续数据包捕获”的技术。这些工具侦听网络上的所有通信,并识别数据包级别的趋势和偏差。这可以通过配置工业交换机端口镜像来实现,或者将网络数据包的副本发送到监控和分析流量的目的地。可以灵活地将端口镜像直接添加到生成流量的位置,这为信息安全专业人员提供了他们所需的数据,以协助OT同行保护工厂车间。
IT/OT融合势在必行,许多IT技术在OT领域变得越来越重要。例如,网络自动化在OT网络中开始变得越来越普遍。这里的自动化是指计划配置备份和更新、自我修复网络拓扑以及基础结构中物理和虚拟设备的高效管理等项目。甚至一些大型ICS供应商也在推动客户利用基础设施作为代码,这意味着通过代码来管理和配置基础设施,而不是像在许多OT环境中那样通过手动流程来完成。
智能制造的一个重要目标,是实现传统ICS网络的现代化,因此选择合适的网管型交换机对于成功的智能制造至关重要。往往谈论到智能制造,大多是访问机器数据如何进行高级分析和控制等话题,但作为信息驱动的基础,网管型工业交换机同样值得关注。