Bagaimana cara mengatur koneksi Ethernet di kawasan industri?
Opsi pertama dan tampaknya jelas yang terlintas dalam pikiran adalah meletakkan sakelar Ethernet, menghubungkannya, jika mungkin, dengan optik, dan merentangkan kabel pasangan terpilin darinya ke perangkat yang terhubung.
Di sinilah kesulitan pertama dan perbedaan pertama antara jaringan industri dan jaringan kantor muncul: sebagian besar sakelar dipasang bukan di ruang server, tetapi di lemari perakitan yang tersebar di seluruh bengkel atau di wilayah fasilitas. Sangat mahal dan sulit untuk menarik dua garis optik dari setiap selungkup di sepanjang jalur yang berbeda, yang membuatnya lebih sulit untuk mengatur topologi bintang yang familiar dan andal. Saya harus menggunakan cincin. Siapa pun yang telah membenamkan diri dalam membangun jaringan Ethernet ingat bahwa cincin sakelar itu jahat. Dalam kasus Spanning-Tree, memang demikian halnya. Protokol dalam topologi ring ini dapat berjalan hingga 30 detik, yang seringkali tidak dapat diterima untuk jaringan yang melayani proses industri. Lebih buruk lagi, tingkat konvergensi STP turun karena jumlah hop dari sakelar root ke sakelar terluar meningkat, dan sebagai aturan,dianjurkan untuk tidak melebihi jarak 7 hop. Ini berarti bahwa tidak boleh ada lebih dari 14 sakelar di dalam ring.
Apa yang dapat Anda lakukan? Dalam kasus switch Cisco, solusi paling sederhana adalah menggunakan Resilient Ethernet Protocol - REP alih-alih STP dan modifikasinya REP Fast. Protokol ini dirancang khusus untuk topologi ring dan menyediakan konvergensi jaringan dalam maksimum 50-100ms untuk semua jenis kesalahan dan ukuran ring hingga 50 sakelar. Selain itu, 50 sakelar dalam satu cincin bukanlah batas untuk protokol semacam itu. Waktu konvergensi dengan pertumbuhan cincin pasti akan meningkat, tetapi Pohon Rentang yang sama pada cincin dengan ukuran ini tidak akan pernah bertemu sama sekali. REP didukung tidak hanya di sakelar industri, tetapi juga di sakelar kantor, khususnya di seri Catalyst 9000, yang dapat berfungsi sebagai sakelar agregasi.
Protokolnya sangat mudah diatur, berikut contohnya:
Untuk kasus yang lebih kompleks, tersedia protokol PRP dan HSR. Mereka mengasumsikan duplikasi penuh lalu lintas di sepanjang dua jalur dalam jaringan. Jika salah satu jalur gagal, tidak ada kehilangan transmisi data sama sekali. Namun, biaya penerapan stabilitas tersebut lebih tinggi - protokol hanya didukung pada model lama dan hanya pada sakelar Ethernet industri (IE3400, IE4000, IE4010, IE5000). Namun, persyaratan untuk keandalan dan konvergensi jaringan industri, sebagai suatu peraturan, ditentukan secara kaku oleh sifat proses produksi yang akan dilayani oleh jaringan ini. Satu downtime, bahkan 50 milidetik, terkadang dapat menghabiskan biaya lebih dari peralatan jaringan yang baik.
Bagaimana memastikan keandalan operasional yang dibutuhkan?
Sebagai aturan, persyaratan untuk keandalan dan toleransi kesalahan untuk segmen jaringan industri lebih tinggi daripada untuk kantor. Peralatan jaringan industri dibuat dan diuji untuk memenuhi persyaratan ini. Dalam kasus sakelar Cisco, desain industri berarti:
β’ pemasangan di lemari kompak pada rel DIN, bertenaga DC;
β’ perlindungan sirkuit mikro dan port dari pelepasan muatan listrik statis hingga 4000 kV;
β’ tanpa kipas - pendinginan konveksi yang sangat efisien meskipun unit berukuran kecil;
β’ Kemampuan untuk menahan lonjakan daya sesuai dengan persyaratan sertifikasi IEC 61000-4-11, IEC 61850 - Sakelar Cisco terus beroperasi jika terjadi pemadaman listrik untuk jangka waktu hingga 50 ms, dan mengirim pesan βMati Sinyal terkesiap saat terputus;
β’ jam internal presisi tinggi;
β’ kemampuan untuk dengan cepat mengganti sakelar yang rusak hanya dengan memindahkan kartu SD ke yang baru (sakelar baru akan naik tidak hanya dengan konfigurasi yang sama dengan yang lama, tetapi juga dengan gambar IOS yang sama);
β’ pemuatan cepat (dalam 80 detik);
β’ pengujian ketat untuk kepatuhan dengan sertifikasi industri.
Gambar 1. Simulasi pendinginan sakelar secara konveksi
Gambar 2. Pengujian sakelar untuk kekebalan terhadap pengaruh elektromagnetik
Gambar 3. Pengujian dengan paparan air pada sakelar dengan tingkat perlindungan IP67
Sering terjadi bahwa sakelar industri terhubung ke sakelar kantor biasa, seperti sakelar agregasi, dan jika yang terakhir gagal, segmen industri berhenti bekerja. Untuk mencegah hal ini, perlu untuk memastikan agregasi sakelar industri yang terletak di bengkel atau di wilayah perusahaan industri pada sakelar agregasi industri khusus. Cisco menawarkan switch seri Cisco IE5000 untuk tujuan ini:
Mereka dipasang di kabinet 19 inci, dapat ditenagai oleh daya DC dan AC, memberikan kepadatan port tinggi, kinerja tinggi, tetapi pada saat yang sama keandalan industri dan dukungan untuk protokol industri seperti PTP, PRP, HSR, PROFINET MRP . Seperti sakelar lain di lini industri, Cisco IE5000 dapat menerima alarm dari perangkat otomatisasi, misalnya, perangkat kontrol iklim atau sensor pintu ruangan, dan mengirimkannya - misalnya, untuk menyalakan sirene dan pemberitahuan lampu, di samping itu, tentu saja, pesan status SNMP dan Syslog-switch dikirim ke sistem pemantauan. Selain itu, sakelar ini mendukung penumpukan di atas port 10G. Berikut adalah contoh membangun jaringan menggunakan cincin REP dan sakelar IE5000 sebagai agregator:
Dukungan protokol industri
Jaringan Ethernet Industri menggunakan versi Ethernet dari berbagai protokol industri: PROFINET, CCLINK, CIP, dll. Pada saat yang sama, sebagai suatu peraturan, peralatan jaringan diperlukan untuk mendukung protokol tersebut dalam satu atau lain bentuk. Misalnya, saat menggunakan PROFINET, kontrol yang menggunakan protokol ini tidak hanya pengontrol, sensor, atau aktuator, tetapi juga sakelar itu sendiri yang membentuk jaringan. Untuk ini, dalam model sakelar industri Cisco mulai dari IE3000, dukungan untuk bekerja melalui PROFINET sebagai perangkat input-output diimplementasikan. Selain itu, beberapa model sakelar Cisco dapat dikelola menggunakan portal TIA Siemens.
Contoh lain dari standar industri yang sering dibutuhkan untuk mendukung adalah Time-Sensitive Networking (TSN). Ini adalah seperangkat standar Ethernet yang memungkinkan pengiriman frame Ethernet dengan penundaan yang dapat diprediksi dan konstan dari waktu ke waktu. Ethernet yang familier, izinkan saya mengingatkan Anda, bekerja secara asinkron dan bingkai di dalamnya mencapai penerima "secepat mungkin." Fungsionalitas protokol TSN didukung di sakelar Cisco IE3400, IE4000, IE4010 dan IE5000.
Bagaimana cara melindungi jaringan industri?
Banyak standar dan rekomendasi untuk membangun jaringan industri menyediakan penerapan zona demiliterisasi DMZ antara jaringan kantor dan industri. Di area ini, stasiun kerja dapat ditempatkan untuk akses jarak jauh ke komponen industri. Ada beberapa rekomendasi untuk membangun DMZ seperti ini, misalnya:
β’ lalu lintas tidak boleh melewati antara jaringan kantor dan industri;
β’ protokol apa pun yang diizinkan antara DMZ dan segmen industri harus secara tegas dilarang antara DMZ dan segmen perkantoran;
β’ segmen jaringan industri tidak boleh memiliki akses dari Internet, bahkan melalui firewall;
β’ Dan tentu saja tidak ada "Any" di kolom untuk alamat IP, port, dan protokol dalam kebijakan firewall.
Idealnya, DMZ harus diatur sehingga jika secara fisik terputus dari jaringan, segmen industri akan tetap bekerja.
Segmen industri, kantor dan DMZ dipisahkan satu sama lain oleh firewall. Di sini Cisco memiliki keunggulan yang jelas - Anda dapat membangun jaringan yang aman di dalam dan di luar produk-produknya.
Firewall Cisco dapat mengenali tidak hanya protokol jaringan industri:
tetapi juga perangkat industri yang terhubung ke jaringan:
Dan juga mendeteksi, mengizinkan, atau melarang tindakan tertentu dalam protokol ini:
Ini memungkinkan Anda untuk membangun kebijakan firewall tidak hanya berdasarkan alamat IP dan port TCP / UDP, tetapi juga berdasarkan nama model perangkat tertentu dan protokol komunikasi di antara mereka. Untuk sebagian besar situasi, firewall memiliki aturan yang telah ditentukan sebelumnya yang dapat Anda gunakan dengan parameter Anda sendiri. Aturan semacam itu dapat melindungi tidak hanya dari serangan yang disengaja, tetapi juga "dari orang bodoh" - perintah yang salah dikirim ke perangkat industri.
Firewall menyediakan apa yang disebut segmentasi makro jaringan - pembagian menjadi beberapa bagian besar, lalu lintas di antaranya dilarang atau disaring melalui aturan firewall. Dengan demikian, tidak hanya DMZ, segmen jaringan industri dan kantor yang terpisah satu sama lain, tetapi juga, misalnya, bengkel dan jalur produksi yang berbeda di segmen industri. Untuk tugas terakhir, firewall Cisco Industrial Security Appliance (ISA) dapat berguna - firewall industri lengkap.
Bagaimana cara menyediakan akses jarak jauh dengan benar?
Sebagai aturan, dalam jaringan industri, diperlukan untuk menyediakan akses jarak jauh untuk organisasi yang melayani peralatan ICS. Pada saat yang sama, penting untuk mengontrol dengan baik siapa dan di mana akses tersebut diberikan dan untuk melindungi dari akses yang tidak sah. Akses jarak jauh dilakukan melalui DMZ yang dijelaskan di atas.
Di sini, selain firewall Cisco Firepower, Cisco Identity Services Engine dapat sangat membantu. Firewall menyediakan koneksi menggunakan AnyConnect VPN atau proxy lalu lintas desktop jarak jauh, dan ISE memungkinkan Anda untuk mengidentifikasi dengan jelas orang yang mendapatkan akses dan objek di jaringan yang menyediakan akses ini, serta menentukan kebijakan untuk akses tersebut dalam bentuk jenis matriks:
Selain itu, Cisco Firewall Intrusion Prevention System dapat mendeteksi dan memblokir serangan protokol industri. Kami berbicara di sini tidak hanya tentang situasi ketika spesialis pabrikan melakukan beberapa tindakan jahat di jaringan pelanggan, tetapi juga tentang fakta bahwa komputer spesialis pabrikan dan server akses jarak jauh yang ia gunakan mungkin terinfeksi virus yang mencoba membuka akses tidak sah ke pihak ketiga - penyusup.
Bagaimana cara mematuhi persyaratan peraturan?
Standar internasional dan dokumen Cisco Validated Design hanya memberikan rekomendasi "apa yang terbaik". Namun selain rekomendasi, ada juga persyaratan badan pengatur yang harus dipenuhi dalam membangun jaringan industri. Di Rusia, ini termasuk Pesanan No. 239 dari FSTEC "Tentang Persetujuan Persyaratan untuk Memastikan Keamanan Objek Signifikan Infrastruktur Informasi Kritis Federasi Rusia" Ini berisi daftar solusi arsitektur untuk fungsionalitas yang harus diimplementasikan.
Beberapa persyaratan pesanan, seperti keberadaan firewall dan IPS yang diperbarui pada perimeter segmen industri, segmentasi jaringan, organisasi DMZ, ditutup oleh firewall Cisco Firepower yang dijelaskan di atas. Persyaratan Otentikasi dan Otorisasi - Cisco ISE. Selanjutnya, seluruh rangkaian persyaratan yang terkait dengan pemantauan jaringan industri dicakup oleh solusi Cisco CyberVision.
Solusi Cisco CyberVision dapat mengumpulkan data dari jaringan industri dalam bentuk lalu lintas SPAN atau dari sensor khusus di perangkat jaringan dan menyajikan gambaran tentang apa yang terjadi kepada administrator, serta mengirimkan informasi yang diperlukan ke sistem manajemen konfigurasi dan SIEM. Administrator jaringan dapat memperoleh daftar lengkap perangkat yang terhubung ke segmen jaringan industri (tidak hanya sakelar Ethernet, tetapi juga perangkat otomasi industri), memeriksa kerentanan yang diketahui dan melacak perilakunya.
Gambar 4. Contoh menampilkan kerentanan yang diketahui untuk perangkat industri
Kami akan membahas topik jaringan industri kabel lebih detail di webinar tanggal 22 Juni, jika Anda ingin mendaftar, Anda dapat mendaftar di sini