fbpx

¿CÓMO ORGANIZAR LAS CONEXIONES ETHERNET EN UN ÁREA INDUSTRIAL?

En Bisnext construimos no solo redes para las oficinas de nuestros clientes, sino también para zonas industriales. La realidad de estas últimas es bastante particular y con este post intento mostrarles qué se debe tomar en cuenta cuando hay necesidad de organizar una interconexión robusta y segura en una fábrica o depósito.

La primera opción que viene a la mente es instalar los switches Ethernet comunes para los niveles del Core, Distribución y Acceso; interconectarlos con dobles enlaces de fibra óptica (la famosa doble estrella) y luego conectar por cables UTP los dispositivos finales a los switches de acceso.

Aquí surge la primera dificultad y diferencia entre las redes industriales y las de oficina: en una zona industrial la mayor parte de los switches no se instalan en salas técnicas ni en datacenters, sino en tableros repartidos en la zona de producción.

Llevar una doble conexión de fibra del Core de la red a cada uno de los switches de acceso por dos caminos diferentes es extremadamente costoso. La única opción es construir los anillos.

Con este tipo de topología llega otro problema: para prevenir las tormentas de broadcast se usa el protocolo Spanning-Tree (STP) y este funciona muy mal en este escenario. En caso de falla de un enlace en un anillo con 7-8 switches y STP, el tiempo de convergencia de la red puede llegar a 30 segundos, lo que puede ser inaceptable para los procesos tecnológicos de una línea de producción. Este tiempo aumenta si aumentamos la cantidad de switches (diámetro de la red) a más de 14, en este caso, es posible que la red no se recupere nunca ante la falla de un enlace.

¿Qué podemos hacer al respecto? En caso de los switches Cisco la solución más sencilla es utilizar Resilient Ethernet Protocol (REP) y su modificación REP Fast en lugar de STP. Este protocolo está diseñado específicamente para topologías en anillo y asegura la convergencia de la red en un máximo de 50-100 ms para todo tipo de fallas y entamaños de anillo de hasta 50 switches.

REP es compatible no solo con los switches industriales, sino también con los de la serie Campus, en particular los Catalyst 9000, que pueden servir como switches de agregación en una red industrial. Otros fabricantes de los switches industriales tienen sus análogos del REP.

Para los procesos tecnológicos que no toleran ninguna pérdida de datos en casos de falla,  existen los protocolos PRP y HSR. Su funcionamiento implica una duplicación completa del tráfico a lo largo de dos caminos en la red. Si una de las rutas falla, ningún paquete se pierde. Hay que tomar en cuenta que el costo de construir una red con tal nivel de disponibilidad es mayor. El protocolo está disponible únicamente en modelos superiores y en los switches Ethernet industriales (IE3400, IE4000, IE4010, IE5000). Los requisitos para la disponibilidad y la convergencia de una red industrial, generalmente están estrictamente determinados por el propio proceso de producción al que servirá esta red. Un tiempo de interrupción de por ejemplo 50 ms, a veces, puede costar más que un buen switch.

La fiabilidad del hardware

Como regla general, los requisitos de fiabilidad y tolerancia a fallas para el segmento industrial de la red son más altos que para el segmento de oficinas. Los equipos de redes industriales se construyen y prueban para cumplir con estos requisitos. En el caso de los switches Cisco, el diseño industrial significa:

  • Instalación en gabinetes compactos o tableros en un carril DIN.
  • Fuente de alimentación de corriente continua.
  • Protección de chips y puertos contra descargas electrostáticas hasta 4000 kV.
  • Ausencia de ventiladores: enfriamiento únicamente por convección (fanless)
  • La capacidad de soportar picos de tensión de acuerdo con los requisitos de las certificaciones IEC 61000-4-11, IEC 61850: los switches de Cisco siguen funcionando durante un corte de energía un máximo de 50 ms, y cuando se apagan, pueden enviar una señal llamada “Dying Gasp”.
  • Reloj interno de alta precisión.
  • La capacidad de reemplazar rápidamente un switch defectuoso simplemente instalando la tarjeta SD del mismo a un equipo nuevo. El nuevo equipo se levanta con la configuración del anterior y también con la misma versión del firmware.
  • Arranque rápido (aproximadamente 80 segundos).
  • Pruebas rigurosas para el cumplimiento de las certificaciones de la industria.

Las siguientes imágenes muestran una serie de pruebas realizadas en laboratorio a switches Cisco con el fin de determinar su cumplimiento del standard:

Simulación del proceso de enfriamiento del switch por convección.

Prueba de inmunidad electromagnética del switch.

Pruebas con exposición al agua.

Soporte de protocolos industriales

En ciertos casos, las redes Ethernet industriales requieren utilizar versiones Ethernet especiales con varios protocolos industriales: PROFINET, CCLINK, CIP, etc. Como regla general, se requiere que el equipo de red soporte dichos protocolos de una forma u otra. Por ejemplo, con el protocolo PROFINET es posible gestionar no sólo los PLC o los sensores, sino también los propios switches que forman la red. Para ello, en los modelos de switches industriales de Cisco, a partir de la línea IE3000, se implementa el funcionamiento del switch como un dispositivo de entrada/salida PROFINET.

Otro ejemplo de una familia de estándares industriales es Time-Sensitive Networking (TSN). Con esos estándares se asegura la entrega de las tramas Ethernet con una latencia predecible e invariable en el tiempo, algo que no es posible con Ethernet común debido a su forma asíncrona de procesar los datos. La funcionalidad TSN está implementada en los switches Cisco IE3400, IE4000, IE4010 e IE5000.

Seguridad

Muchos estándares y recomendaciones para la construcción de redes industriales contemplan la implementación de una zona desmilitarizada (DMZ) entre la red industrial y la Enterprise. En esta zona se pueden ubicar los concentradores de VPN y las máquinas utilizadas para el acceso remoto a los componentes industriales por parte de los proveedores.

Existen una serie de recomendaciones para construir una DMZ de este tipo, por ejemplo:

  • Ningún tipo de tráfico debe pasar directamente entre la oficina y las redes industriales.
  • Cualquier tipo de tráfico permitido entre la DMZ y el segmento industrial debe estar explícitamente prohibido entre la DMZ y el segmento Enterprise.
  • El segmento industrial de la red no debe ser accesible desde Internet, aún siendo a través de un firewall.

En un escenario ideal, la DMZ debe diseñarse de tal manera que en caso de estar desconectada físicamente del resto de la red, el segmento industrial siga funcionando.

Los segmentos industriales, de oficina y DMZ se separan con firewalls. En caso de Cisco los firewalls pueden reconocer y controlar los protocolos industriales y sus comandos:

En algunos casos, existe la necesidad de separar los segmentos dentro de la zona industrial. Al igual que para los switches, existen firewalls diseñados para esto:

Cisco Industrial Security Appliance (ISA):

Fortigate Rugged de Fortinet:

Acceso remoto

Prácticamente en todas las implementaciones de las redes industriales existe la necesidad de proporcionar acceso remoto a proveedores que proporcionan soporte a las líneas de producción. Es muy importante controlar bien a quién y dónde se otorga dicho acceso y proteger la red contra el acceso no autorizado.

En estos casos, además de los firewalls Cisco Firepower, la solución Cisco Identity Services Engine puede ser de gran ayuda. Los firewalls brindan conexión mediante AnyConnect VPN o publicando los escritorios remotos, mientras ISE permite identificar claramente la persona que obtiene acceso y el objeto en la red a la que se proporciona este acceso, así como definir políticas para el ingreso en forma de un tipo de matriz:

Además, el sistema de prevención de ataques del firewall permite detectar y bloquear ataques contra los dispositivos industriales.

Aquí no se trata únicamente de una situación en la que un técnico del proveedor realiza algunas acciones intencionalmente maliciosas en la red del cliente, sino también del hecho de que la computadora del dicho técnico o el servidor de acceso remoto que él utiliza pueden estar infectados con un virus que intenta proporcionar acceso no autorizado a terceros.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *