관리형 이더넷 스위치를 사용하여 IIoT를 위한 시간 민감형 네트워크를 안전하게 구현하는 방법

산업용 사물 인터넷(IIoT)에는 다양한 장치를 위한 안전한 실시간 고대역폭 연결이 필요합니다. Industry 4.0 자동화, 수자원 관리, 석유 및 가스 처리, 운송, 유틸리티 전력 관리 및 이와 유사한 주요 응용 분야의 IIoT 네트워크에는 장치에 전력을 공급하는 효율적이고 유연한 방법이 필요하며, 최소한의 공간에서 많은 수의 장치를 지원하기 위해 높은 포트 밀도를 갖춘 연결 솔루션이 필요합니다. 차세대 관리형 이더넷 스위치는 이러한 요구 사항과 그외 필요한 사항을 충족시킬 수 있습니다.

관리형 이더넷 스위치는 원격으로 구성 및 제어할 수 있어 네트워크 구축 및 업데이트 과정을 간소화해 줍니다. 또한 고가용성 자동화 네트워크에 적용되는 IEC 62439-1을 준수하는 등 이중화 작동을 통해 스타 및 라인 토폴로지와 같은 다양한 네트워크 아키텍처를 지원합니다. 시간 민감형 네트워킹(TSN)을 위한 IEEE 802.1 표준과 이더넷을 통한 전력 공급(PoE) 및 PoE+를 위한 IEEE 802.3 표준을 지원하는 스위치입니다.

관리형 이더넷 스위치는 국제자동화학회/국제전기기술자협회(ISA/IEC) 62443 시리즈 표준을 기반으로 하는 상용 자동화 및 제어 시스템에 대한 ISASecure 프로그램 인증을 받았습니다. 구리 인터커넥트용 10/100BASE TX/RJ45 슬롯과 100Mb/s, 1Gb/s, 및 2.5Gb/s의 속도로 조절할 수 있는 3중 속도 광섬유 소형 폼 팩터 플러그형(SFP) 슬롯을 조합하여 구성할 수 있습니다.

이 기사에서는 Industry 3.0의 자동화 피라미드에서 Industry 4.0의 자동화 기둥으로의 전환을 간략하게 살펴보고, 긴급 트래픽과 비긴급 트래픽을 모두 전송하기 위해 네트워크를 배포하는 몇 가지 옵션을 검토하며, TSN이 어떻게 적합하고 구현될 수 있는지를 알아봅니다. 그런 다음 PoE 및 PoE+를 통해 IIoT의 센서, 제어 및 기타 장치에 전원을 공급하는 방법을 살펴보고, ISASecure 인증과 유선 속도 액세스 제어 목록(ACL) 및 자동 서비스 거부(DoS) 방지와 같은 고급 보안 기능을 비롯한 보안의 중요성을 제시합니다. 마지막으로 관리형 이더넷 스위치 사용의 이점을 설명하고 Hirschmann의 대표적인 BOBCAT 관리형 스위치를 몇 가지 살펴봅니다.

피라미드에서 기둥으로

Industry 3.0의 피라미드형 공장 아키텍처에서 Industry 4.0의 기둥형 아키텍처로의 전환은 TSN 개발의 원동력입니다. 피라미드 구조는 공장의 기능을 공장 현장부터 중앙 집중식 제어 및 관리 기능까지 계층 구조로 분리했습니다. 실시간 통신은 주로 센서 데이터가 제조 공정을 제어하는 공장 현장의 최하위 레벨에서 필요했는데 Industry 4.0에서 이러한 변화가 일어납니다.

Industry 4.0의 자동화 기둥은 현장 레벨과 공장 백본의 두 가지 레벨로 축소하며, 현장 레벨에는 센서의 수가 증가하고 컨트롤러의 종류가 늘어납니다. 일부 컨트롤러는 피라미드의 제어/프로그램 가능 논리 제어기(PLC) 레벨에서 현장 레벨로 내려가고 있습니다. 동시에 제어/PLC 레벨에 있던 다른 기능들이 공장 백본으로 올라가 제조 실행 시스템(MES), 감독 제어 및 데이터 수집(SCADA) 기능, 전사적 자원 관리(ERP)와 함께 가상 PLC가 되고 있습니다.

연결 계층은 현장 레벨과 백본 레벨을 하나로 묶습니다. 연결 계층과 현장 레벨 네트워크는 고속, 저지연 통신을 제공하고 우선순위가 낮은 트래픽과 시간이 중요한 트래픽의 조합을 전송할 수 있어야 합니다. TSN은 표준 이더넷 네트워크를 통해 실시간 결정론적 네트워크(DetNet) 트래픽을 활성화하여 이러한 요구 사항을 지원합니다(그림 1).

그림 1: 자동화 피라미드에서 자동화 기둥으로 전환하려면 TSN 기능을 갖춘 연결 링크가 필요합니다. (이미지: Belden)

세 가지 TSN 구성

IEEE 802.1 이더넷 표준은 중앙 집중식, 분산식(완전 분산이라고도 함), 중앙 집중식 네트워크와 분산된 사용자가 있는 하이브리드 구성 등 세 가지 TSN 구성에 대해 자세히 설명합니다. 각 경우의 구성은 고도로 자동화되어 TSN 배포를 간소화하며, 네트워크에서 지원되는 TSN 기능을 식별하고 필요한 기능을 활성화하는 것으로 시작됩니다. 이 시점에서 토커 전송 장치는 전송할 데이터 스트림에 대한 정보를 전송할 수 있습니다. 세 가지 접근 방식은 네트워크에서 장치 및 데이터 스트림 요구 사항이 처리되는 방식이 모두 다릅니다.

중앙 집중식 구성에서 발신자와 수신자는 중앙 집중식 사용자 구성(CUC) 논리 장치를 통해 통신합니다. CUC는 발신자 및 수신자 정보를 기반으로 데이터 스트림 요구 사항을 생성하여 중앙 집중식 네트워크 구성(CNC) 장치로 보냅니다. CNC는 네트워크 토폴로지 및 리소스 가용성과 같은 요소를 기반으로 다음 데이터 스트림의 시간 슬롯을 결정하고 필요한 구성 정보를 스위치로 보냅니다(그림 2).

그림 2: 중앙 집중식 TSN 아키텍처는 CUC를 사용하여 발신자 및 수신자와 연결하고 CNC를 사용하여 구성 정보를 스위치로 전송합니다. (이미지 출처: Belden)

분산형 구성에서는 CUC와 CNC가 제거되고 각 장치 내의 정보를 기반으로 장치 요구 사항이 네트워크를 통해 전파됩니다. 하이브리드 구성에서는 CNC가 TSN 구성에 사용되며, 발신자 및 수신자 장치가 네트워크를 통해 요구 사항을 공유합니다(그림 3). 중앙 집중식 및 하이브리드 접근 방식을 통해 네트워크 스위치를 중앙에서 구성(관리)할 수 있습니다.

그림 3: 분산형(위) 및 하이브리드(아래) TSN 구성의 예. (이미지 출처: Belden)

PoE 및 PoE+

이더넷을 통한 전력 공급(PoE)은 Industry 4.0 자동화 기둥에서 TSN을 훌륭하게 보완합니다. Industry 4.0의 원동력 중 하나는 수많은 센서, 액추에이터, 컨트롤러로 구성된 IIoT입니다. PoE는 공장이나 기타 시설 전역의 IIoT 장치에 전력을 공급하는 문제를 해결하기 위해 개발되었습니다.

PoE는 단일 네트워크 케이블을 통해 고속 데이터(TSN 포함)와 전력을 동시에 전송할 수 있도록 지원합니다. 예를 들어, PoE를 사용하면 48-Vdc 전력을 CAT 5/5e 케이블을 통해 최대 100m까지 분배할 수 있습니다. 네트워크 설치를 간소화할 뿐만 아니라 PoE는 무정전 전원 및 중복 전원의 구현을 간소화하고 산업 프로세스 및 장비의 신뢰성을 향상시킬 수 있습니다.

PoE는 네트워크에 전력을 주입하는 전원 소싱 장비(PSE)와 전력을 추출하여 사용하는 전원 장치(PD)라는 두 가지 유형의 장치를 사용합니다. PoE에는 두 가지 유형이 있는데, 기본 PoE는 PD에 최대 15.4W를 공급할 수 있으며 최근 개발된 PoE+는 PD에 최대 30W까지 공급할 수 있습니다.

네트워크 보안

ISA와 IEC는 산업 자동화 및 제어 시스템(IACS)을 위한 일련의 표준을 마련했습니다. ISA/IEC 62443 시리즈는 4개의 섹션으로 구성되어 있는데, 섹션 4는 장치 공급업체에 적용됩니다. IEC 62443-4-2 인증을 받은 장치는 독립적인 평가를 거쳤으며 사이버 보안 모범 사례를 포함하여 설계부터 안전합니다. IACS 보안을 위한 두 가지 중요한 도구는 액세스 제어 목록(ACL)과 서비스 거부(DoS) 공격 방지인데, 두 경우 모두 네트워크 엔지니어가 사용할 수 있는 여러 접근 방식을 제공합니다.

ACL은 네트워크 인터페이스에 들어오고 나가는 트래픽을 허용하거나 거부하는 데 사용됩니다. ACL 사용의 장점은 네트워크 속도로 작동하며 TSN 구현에서 중요한 고려 사항인 데이터 처리량에 영향을 미치지 않는다는 것입니다. Hirschmann의 HiOS는 ACL을 세 가지 카테고리로 나눕니다.

TCP/IP 트래픽에 대한 기본 ACL에는 '장치 A는 이 장치 그룹과만 통신할 수 있음', '장치 A는 특정 유형의 정보만 장치 B로 보낼 수 있음', '장치 A는 장치 B와 통신할 수 없음'과 같은 권한 규칙을 설정하기 위한 최소한의 구성 옵션이 있습니다. 기본 ACL을 사용하면 배포를 간소화하고 가속화할 수 있습니다.

TCP/IP 트래픽에 대한 고급 ACL도 사용할 수 있으며 보다 세분화된 제어를 제공합니다. 트래픽의 우선순위, 헤더에 설정된 플래그 및 기타 기준에 따라 트래픽을 허용하거나 거부할 수 있습니다. 일부 규칙은 하루 중 특정 시간에만 적용할 수 있습니다. 모니터링 또는 분석을 위해 트래픽을 다른 포트로 미러링할 수 있으며 특정 유형의 트래픽은 원래 목적지에 관계없이 정의된 포트로 강제 전송할 수 있습니다.

일부 IACS 장치는 TCP/IP를 사용하지 않으며, HiOS에서는 MAC(매체 액세스 제어) 주소 지정을 기반으로 이더넷 프레임 수준에서 ACL을 설정할 수 있습니다. 이러한 MAC 수준 ACL을 사용하면 트래픽 유형, 시간, 소스 또는 대상 MAC 주소 등 다양한 기준에 따라 필터링할 수 있습니다(그림 4).

그림 4: TCP/IP를 사용하지 않는 장치에서 MAC 수준 ACL 사용 가능 (이미지 출처: Belden)

ACL을 구성해야 하지만 DoS 방지는 장치에 베이크되어 자동으로 구현되는 경우가 많습니다. TCP/IP, 레거시 TCP/UDP, ICMP(인터넷 제어 메시지 프로토콜)를 통한 공격을 처리할 수 있습니다. TCP/IP 및 TCP/UDP의 경우 DoS 공격은 프로토콜 스택과 관련된 다양한 형태, 즉 표준을 준수하지 않는 패킷을 공격 대상 장치로 전송하는 방식을 취합니다. 또는 장치의 IP 주소를 사용하여 공격 대상 장치로 데이터 패킷을 전송하여 무한 반복 응답을 유발할 수 있습니다. 이더넷 스위치는 악성 데이터 패킷을 자동으로 필터링하여 스스로를 보호하고 네트워크의 레거시 장치를 보호할 수 있습니다.

또 다른 일반적인 DoS 공격은 ICMP 핑을 통해 들어옵니다. 핑은 네트워크에서 장치 가용성 및 응답 시간을 식별하기 위한 것이지만 DoS 공격에도 사용될 수 있습니다. 예를 들어, 공격자는 수신 장치의 버퍼 오버플로를 일으켜 프로토콜 스택을 다운시킬 수 있을 만큼 큰 페이로드가 포함된 핑을 보낼 수 있습니다. 오늘날의 관리형 이더넷 스위치는 ICMP 기반 DoS 공격으로부터 자동으로 자신을 보호할 수 있습니다.

관리형 스위치

Hirschmann의 BOBCAT 관리형 이더넷 스위치는 TSN을 지원하며, 스위치를 변경하지 않고도 1Gb/s에서 2.5Gb/s까지 SFP를 조정하여 대역폭을 확장할 수 있습니다. 단일 장치에 최대 24개의 포트가 있어 포트 밀도가 높으며, SFP 또는 구리 업링크 포트 옵션을 사용할 수 있습니다(그림 5). 기타 특징은 다음과 같습니다.

• ACL 및 자동 DoS 방지를 포함한 ISASecure CSA / IEC 62443-4-2 인증 획득
• 부하 공유 없이 8개의 PoE/PoE+ 포트에서 최대 240W 지원
• 0°C ~ +60°C의 표준 주변 작동 온도 범위와 -40°C ~ +70°C에서 작동하는 확장 온도 모델 제공
• 위험한 위치에서 사용할 수 있도록 ISA12.12.01 승인을 받은 모델

그림 5: 다양한 구성으로 제공되는 Hirschmann의 BOBCAT 관리형 이더넷 스위치 (이미지 출처: Hirschmann)

Hirschmann BOBCAT 스위치의 예는 다음과 같습니다.

• BRS20-4TX: 4개의 10/100 BASE TX/RJ45 포트, 0°C ~ +60°C의 주변 온도에 정격된 BRS20-4TX
• BRS20-4TX/2FX: 4개의 10/100 BASE TX/RJ45 포트와 2개의 100Mbit/s 파이버 포트, 0°C ~ +60°C의 주변 온도에 정격된 BRS20-4TX/2FX
• BRS20-4TX/2SFP-EEC-HL: 4개의 10/100 BASE TX/RJ45 포트와 2개의 100 Mbit/s 광 포트, -40°C ~ +70°C의 주변 온도에 정격, 위험 지역에서의 사용을 위한 ISA12.12.01 승인을 획득한 BRS20-4TX/2SFP-EEC-HL
• BRS20-4TX/2SFP-HL: 4개의 10/100 BASE TX/RJ45 포트와 2개의 100 Mbit/s 파이버 포트, 0°C ~ +60°C의 주변 온도에 정격, 방폭 지역 사용을 위한 ISA12.12.01 승인을 획득한 BRS20-4TX/2SFP-HL
• BRS30-12TX: 8개의 10/100 BASE TX/RJ45 포트와 4개의 100 Mbit/s 파이버 포트, 0°C ~ +60°C의 주변 온도에 정격된 BRS30-12TX
• BRS30-16TX/4SFP: 16개의 10/100 BASE TX/RJ45 포트와 4개의 100 Mbit/s 파이버 포트, 0°C ~ +60°C의 주변 온도에 정격된 BRS30-16TX/4SFP

요약

관리형 이더넷 스위치는 TSN, PoE 및 PoE+를 지원하고, 높은 수준의 사이버 보안을 제공하며, IIoT 및 Industry 4.0 기둥형 네트워킹 구조에 필요한 고대역폭 연결을 제공합니다. 구성이 쉽고, 포트 밀도가 높으며, 작동 온도 범위가 넓고, 위험한 장소에서 사용할 수 있도록 ISA12.12.01 승인을 받은 버전으로 제공됩니다.