ЖУРНАЛ «СТА» 1/2019

ция, то можно констатировать, что бу- дет теряться весь смысл идеологии про- токола: время доставки существенно возрастёт, особенно при программной реализации. GOOSE E NFORCER LSM GOOSE Enforcer – это очередной за- гружаемый модуль, который предна- значен для инспекции GOOSE-трафи- ка в реальном времени. Скорость рабо- ты достигает 2000 пакетов в секунду. При этом Tofino Xenon c установлен- ным модулем поддерживает возмож- ность работы в сети с несколькими ве- дущими и ведомыми устройствами. По умолчанию любой пакет GOOSE с MAC-адресом назначения, не входя- щим в диапазон широковещательной или многоадресной рассылки, автома- тически блокируется с последующим информированием. Также все GOOSE- пакеты с исходным MAC-адресом, ко- торый не находится в списке разрешён- ных, автоматически блокируются. Для каждого настраиваемого соеди- нения могут быть установлены следую- щие параметры DPI-фильтра: ● проверка правильности протокола на предмет соответствия стандарту МЭК 61850-8-1; ● первичная проверка пакета данных на предмет наличия отправителя; ● проверка последовательности паке- тов с одинаковым ID. Настроив необходимые правила, можно обеспечить защиту протокола, временныˆе задержки при этом будут в рамках штатной работы протокола. DNP3 Протокол DNP3 был разработан ком- паниейWestronic, Inc. (сейчас GEHarris) ещё в начале 1990-х годов. На данный момент протокол также является доста- точно популярным в сфере электро- энергетики и в нефтегазовой промыш- ленности. Фактически протокол опре- деляет правила, по которым промыш- ленные устройства общаются между со- бой. DNP3 – это удобный инструмент передачи данных из одной точки в дру- гую, для обмена данными команд и про- цессов. Более подробно о протоколе на- писано в [7]. С точки зрения организации взаимо- действия между устройствами, в специ- фикации протокола DNP3 описана поддержка трёх режимов связи между ведущим устройством (Master Unit) и удалёнными устройствами (Outstation Devices) [8]. Первый режим – это одноадресная транзакция, когда ведущее устройство отправляет сообщение с запросом на удалённое устройство с конкретным ад- ресом. Например, ведущее устройство отправляет запрос на считывание ве- личины силы тока или управляющее сообщение на переключение реле. Уда- лённое устройство, в свою очередь, от- правляет ответ. Следующий режим взаимодействия – это широковещательные запросы, когда ведущее устройство отправляет сооб- щение всем удалённым устройствам в сети, например, сообщение Write, кото- рое сбрасывает показания всех датчи- ков силы тока. Устройства Outstation не отвечают на широковещательные за- просы. Третий режим связи – это незапраши- ваемые ответы от удалённых устройств. Подобные ответы обычно используют- ся для предоставления периодических обновлений или предупреждений. Обозначенные режимы позволяют, с одной стороны, построить гибкую структуру обмена информацией, но с другой стороны, добавить «прозрачно- сти» в обмен данных, ведь изначально такие инструменты, как авторизация и аутентификация, также не были опре- делены для протокола. Протокол DNP3 поддерживает мно- жество сетевых конфигураций. Три об- щих конфигурации показаны на рис. 5. В конфигурации «один к одному» ве- дущее и удалённое устройства совмест- но используют выделенное соедине- ние. Конфигурация «один ко многим» строится по схеме, когда одно ведущее устройство обменивается данными с не- сколькими удалёнными устройствами. Каждое из удалённых устройств получа- ет все запросы от ведущего устройства, но отвечает только на сообщения, адре- сованные непосредственно ему. Также протоколом предусмотрена иерархиче- ская конфигурация, когда устройство действует как удалённое в одном сег- менте и ведущее в другом сегменте. Сетевое взаимодействие строится из нескольких уровней, которые позво- ляют обеспечить гибкость и контроли- ровать не только значимые данные, но и состояние соединения и потока дан- ных. При создании протокола DNP3 в качестве основы была взята модель OSI, но с учётом специфики было выделено три значимых уровня, не включая фи- зический. Это канальный уровень (Data ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И СТА 1/2019 38 www.cta.ru Один к одному (One-to-one) Один ко многим (Multi-Drop) Иерархическая конфигурация (Hierarchical) Ведущее устройство Ведущее устройство Ведущее устройство Промежуточное ведущее устройство Удалённое устройство I/O I/O I/O Удалённое устройство I/O I/O I/O Удалённое устройство I/O I/O I/O Удалённое устройство I/O I/O I/O Удалённое устройство I/O I/O I/O I/O I/O I/O Условное обозначение: I/O – модули ввода-вывода. Рис. 5. Базовые сетевые конфигурации протокола DNP3