IT和OT在行业4.0背景下的融合导致了一个拥挤的安全解决方案市场,针对商店地板的不同层面。虽然遗留的安全性IT系统是这些系统初始规划的一部分,但行业现在面临挑战以将安全解决方案集成在遗留OT系统中。
图1:使用PROFINET的典型自动化系统的层
至少在行业4.0基础设施的较低层次,(控制和设备级别)安全解决方案供应商倾向于使用网络交换机提供的镜像/跨度端口将其解决方案集成到基础架构中。
在这里,我将探讨为什么不应该将这些镜像端口用于构建安全解决方案。基于工业网络常用的硬件,我们将特别查看:
- 这一切都有效
- 为什么镜像端口会丢失帧,即使链路没有饱和
> Download now: Learn why SPAN Ports should not be used in industrial security solutions"}" data-sheets-userformat="{"2":9089,"3":{"1":0},"10":1,"11":4,"12":0,"16":9}">>>现在下载:了解为什么不应该在工业安全解决方案中使用SPAN端口
饱和过载
我发现了一些加兰德发布的研究数据从数据包先驱所述镜子端口将丢弃高达8%的框架。
我深吸了一口气,因为8%的损失是很大的,特别是如果您要在使用Profinet的不同类型(配置、实时和警报IO)的系统的镜像网络流量之上构建安全应用程序。
我继续阅读,冷静下来,在他们的研究中,他们使用iperf来饱和一个同时反映的链接。饱和意味着系统处于过载状态,所以下降是可以接受的。每个网络工程师都会同意,使用超过80%的以太网链路带宽在某些时候会导致奇怪的行为。
But I couldn’t get past these questions, ‘What happens, if only small frames are transmitted?’ The average frame size in industrial networks is ~130 bytes, (calculated from a sampling of shop floor traces containing mostly Profinet) but the aforementioned test was done using 1500 byte frames (iperf usually uses TCP and that will send the data in chunks of MTU size). ‘What if we use more than one link?’ On the process level usually one controller talks to a number of IO-devices via one switch.
图2:过程级别- Profinet master和IO-Devices
在工业自动化系统的上下文中,使用运行1500字节帧的一对一连接的测试设置不能反映常见的场景。至于自动化系统,如果这些多条链路上的流量显示不同的带宽模式怎么办?
测试设置
请记住这些问题,我基于开源网络流量生成器和分析仪OSTINATO建立了一个小型测试设置。此工具提供了一个很好的界面,可以在同时拦截流量时为多个网络接口创建良好的以太网帧流。
这不是一个硬件帧生成器,但能够处理多个100 Mbps的流与相对低技术的网络接口卡。100mbps对于在网络上运行测试是绝对足够的常用于车间自动化环境中较低级别的开关,因为这是那里通常使用的网络速度。
希望看到测试细节和结果?阅读Thomas关于工业网络中全双工捕获的技术笔记要了解工业4.0安全应用程序中使用网络抽头的最佳实践。
