Notícias

O Uso de VPN para integração de redes remotas

18/01/2020
As organizações divididas em multisites estão se tornando cada vez mais populares, e a necessidade de um sistema de BMS (building management system) centralizado, que garanta o comissionamento, alterações de parâmetros, monitoramento e execução de diagnósticos é um anseio do mercado. Considerado um sistema vital para o bom funcionamento de uma edificação, uma opção de solução segura é a utilização de VPN (Virtual Private Network) em conjunto com o protocolo BACnet.
 
De acordo com pesquisas conduzidas pela BSRIA (Building Services Research and Information Association), o BACnet detém uma fatia de 60% do mercado de protocolos de comunicação. Os dispositivos BACnet são facilmente encontrados por outros dispositivos ou sistemas supervisórios quando estão na mesma sub-rede. No caso de dispositivos seriais, o uso de um roteador BACnet/MSTP para BACnet/IP os coloca igualmente habilitados a enviar uma mensagem Who-Is e receber sua resposta. A mensagem Who-Is é uma mensagem de broadcast, e desta forma atravessa todos os dispositivos na mesma sub-rede, que consequentemente irão responder I-Am (processo de discovery), habilitando os dispositivos a trocarem mensagens entre si. Integrar um sistema BMS que opera em redes distintas envolve o uso de diferentes sub-redes através de roteadores IP. As mensagens de broadcast que trafegam facilmente por uma única sub-rede são bloqueadas por outro switch, pois os broadcasts não são propagados entre sub-redes, restringindo a comunicação a sub-rede da origem da mensagem.
 
Em virtude disto, o BACnet resolveu o problema dos bloqueios de mensagem de broadcast através de sub-redes utilizando a função BACnet/IP Broadcast Management Device (BBMD). Para o BACnet/IP se comunicar através de outras sub-rede, um dispositivo BBMD precisa existir em cada uma delas. Cada um dos dispositivos BBMD precisa ser configurado com o IP do dispositivo parceiro, chamado de Broadcast Distribution Table (BDT). Ao receber uma mensagem, o dispositivo BBMD envia um unicast ou uma mensagem direta ao seu dispositivo parceiro, contendo a mensagem original. O dispositivo BBMD que recebe essa mensagem é responsável por decodificar e gerar um broadcast em sua própria rede, alcançando o dispositivo BACnet local, que responde essa mensagem de volta ao device BBMD, e que ainda envia essa mensagem por unicast através das sub-redes ao equipamento BBMD inicial. O dispositivo BBMD inicial faz o mesmo processo e gera um broadcast em sua rede local, e isto encerra o processo de discovery. O conceito de Foreign Device Registration (FDR) também é suportado, neste caso precisando de somente um device BBMD em umas das sub-redes, mas neste caso não implementando todas as funções do BBMD.
 
Configurar a comunicação utilizando BBMD ou FDR, especialmente através da internet, pode se tornar um tanto complexo devido aos roteadores e firewalls que bloqueiam o tráfego entrante. Regras de encaminhamento precisarão ser criadas para redirecionar todo o tráfego BACnet, na porta padrão 47808, ao dispositivo alvo. Para o uso de BBMD ou FDR remoto, o endereço que deverá ser configurado nos dispositivos parceiro, serão os IPs públicos, e desta forma ficará a cargo dos firewalls e roteadores entregaram as mensagens em suas redes internas.
Criar regras de redirecionamento em firewalls ou setar IP público em dispositivos BBMD pode se tornar confuso. E se uma solução, além de proporcionar segurança, pudesse oferecer um ambiente em que seu servidor de BMS operasse como se estivesse em uma rede interna e única? Firewalls e roteadores possuem uma funcionalidade chamada de Virtual Private Network (VPN), que permite conectar duas redes distintas de forma segura através da internet. Existem muitos tipos de VPNs, mas neste caso o ideal seria o modo bridge, para garantir a segurança e a facilidade de envio de BACnet broadcasts. Bridges Ethernet situam-se na camada 2 do modelo OSI (Open System Interconnection), e permitem o tráfego de forma transparente de mensagens. Uma vez que as mensagens do BACnet podem transitar de forma transparente, não se faz necessário o uso de BBMD, FDR ou múltiplos redirecionamentos de porta (pode haver a necessidade de um redirecionamento, caso o servidor da VPN esteja atrás de um Firewall). A segurança deste modelo é garantida devido as VPNs serem baseadas no protocolo TLS (Transport Layer Security), onde os dados são criptografados. Como a ideia básica da VPN é conectar duas redes distintas, a interligação de dois prédios, por exemplo, se torna simples devido a não necessidade de configurações adicionais. Através da VPN duas sub-redes se fundem, mantendo inclusive os IPs, e por este motivo é preciso e ter um cuidado extra com o conflito de IPs entre as duas redes. Um ou mais roteadores serão os servidores da VPN, enquanto o servidor do BMS rodará um cliente da mesma. Assim que a conexão for estabelecida, o roteador fornecerá um IP da sua sub-rede, esta é a mesma sub-rede da qual os dispositivos BACnet fazem parte. Então os clientes VPN, podem se comunicar com todo o laço de forma transparente.
 
Os custos da infraestrutura IP com roteadores capazes de criarem VPNs estão cada vez mais acessíveis, não sendo este um fator limitante para a aplicação de redes únicas. Além do mais, a utilização de VPNs reduz a utilização de equipamentos dedicados para este tipo de comunicação, acelera o comissionamento e permite que um mesmo servidor gerencie redes de automação em diferentes sites. As VPNs têm como principais vantagens a encriptação dos dados, simplicidade na elaboração e a facilidade de permitir ou restringir o acesso de dispositivos a rede. Com o aumento na procura por acesso remoto e redes de automação unificadas, as VPNs aparecem como uma ótima solução.

Rafael de Moura- Coordenador do conhecimento e inovação

Notícias Relacionadas

Matriz Canoas

Rua Capistrano de Abreu, 89. Bairro Niterói
Canoas, RS - Brasil | Cep 92120-130
Fone: +55 [51] 3115.9850
Fone: +55 [51] 3032.1777
Fone: +55 [51] 3478.MERC
Atendimento: Seg à Sex 8:00 às 18:00
comercial@mercatoautomacao.com.br

Escritório São Paulo

Av. Paulista, 726, 17º Andar, Cj 1727. Bela Vista
São Paulo, SP - Brasil | Cep: 01310-910
Fone:+55 [11] 4506-3237
Atendimento: Somente com hora marcada.

Escritório Estados Unidos

501, Metroplex Drive, suite 111
Nashville, TN - US, ZIP 37211
Fone:+1 [615] 918 1036
Atendimento: 8 AM - 5 PM