Структура и требования к системам связи для промышленной автоматизации принципиально отличаются от требований к сетям ИКТ. В автоматизации наиболее важными критериями являются стабильность, непрерывность бизнеса и целостность. В прошлом системы автоматизации были отделены от сети LAN / WAN для обеспечения надежности системы. Однако все чаще мы имеем дело с одной большой сетью ЛВС для всего предприятия. Прямой обмен данными предлагает ряд преимуществ, позволяющих быстрее оптимизировать процессы производства, логистики и продаж. Однако сочетание таких разных миров также сопряжено с рядом проблем, связанных с безопасностью и пропускной способностью сети. В таких приложениях следует использовать решения, обеспечивающие расширенный контроль сетевого трафика, оснащенный механизмами резервирования и самодиагностики. Одним из важных элементов сетевой инфраструктуры являются ограниченные коммутаторы управления. Antaira Technologies выпустила серию новых граничных коммутаторов серий LMX и LMP, которые позволяют управлять сетью с помощью расширенных функций. Стоит отметить расширенные функции, которые важны для эффективного и безопасного управления сетью. VLAN можно разделить на более мелкие сегменты и индивидуально оптимизировать каждый сегмент для других задач. Одним из способов разделения сетей являются виртуальные сети VLAN, которые позволяют логически разделить сеть без вмешательства в физическую инфраструктуру. VLAN может использоваться для ограничения широковещательного домена, таким образом увеличивая безопасность и эффективность всей сети. В отдельных подсетях администраторы имеют в своем распоряжении ряд механизмов для оптимизации сети. Например, если данные с другим приоритетом отправляются в одной подсети, выгодно использовать функцию качества обслуживания (QoS), которая позволяет назначать соответствующий приоритет критическим данным. Если отправленная информация носит конфиденциальный характер или по другой причине мы хотим ограничить доступ к сети, управляемый коммутатор позволяет отключить неиспользуемые порты, а оставшиеся MAC-адреса будут отфильтрованы. Протокол IGMP помогает эффективно управлять трафиком в сети TCIP, где имеется большой объем данных с различной степенью важности. В пределах одной машины с небольшим количеством устройств, подключенных к коммутатору, никто не заметит что неуправляемый коммутатор изменяет многоадресный трафик на широковещательный. Проблема обнаруживается, когда мы подключаем аппарат к сети, а затем весь широковещательный трафик отправляется с аппарата во внешнюю сеть, вызывая перегрузку и значительную задержку передачи. Хорошо настроенная функция IGMP решает эту проблему.

Протокол ERPS
Важно поддерживать работоспособность сети, даже при одновременном возникновении нескольких сбоев. Для этого используются избыточные соединения между отдельными устройствами и сегментами. Сети Ethernet не должны быть зациклены, поэтому необходимо использовать протокол, который предотвращает образование петель. Самый популярный и универсальный протокол Ethernet Ring Protection Protection Switching (ERPS) — это открытый стандарт, поддерживаемый как платформой, так и коммерческими и промышленными коммутаторами. ERPS логически блокирует избыточные соединения и в случае сбоя позволяет реконфигурировать сеть менее чем за 50 мс. Основной задачей DHCP Snooping является автоматическое назначение IP-адресации устройствам, работающим в сети. DHCP — это сервис, основанный на широковещании, и поэтому подвергается различным типам атак. Используя соответствующие инструменты, вы можете заблокировать сервер с помощью DHCP-сообщений. Функциональность DHCP Snooping позволяет блокировать возможность отправки DHC-команд для обнаружения и назначения доверенного DHCP-сервера для определенного порта и, таким образом, — предотвращения подключения любого другого сервера к любому из других портов.

IP Source Guard
Ethernet Коммутаторы локальной сети уязвимы для атаки подделки (фальсификации) исходных IP-адресов или исходных MAC-адресов. Эта функция проверяет каждый пакет, отправленный с хоста, подключенного к интерфейсу ненадежного доступа на коммутаторе, путем проверки параметров, таких как IP-адрес, MAC-адрес, сеть VLAN и интерфейс, связанный с хостом. Если заголовок пакета не соответствует правильной записи в базе данных DHCP отслеживания, коммутатор блокирует пакет.

ACL (списки контроля доступа)
ACL)позволяют создавать правила трафика в сети. При настройке ACL вы можете выборочно принимать или отклонять входящий трафик, тем самым контролируя доступ к сети или определенным ресурсам в сети. Каждый ACL содержит набор правил, которые применяются к входящему трафику.

Оставить комментарий