在不同產業發酵中的物聯網應用模式,正驅動連網裝置與IP流量逐年攀升。根據思科視覺化網路指數(VNI)年度統計報告中指出,全球各產業在數位轉型的策略發展下,預估到2021年,所有接取網路的裝置中將有50%以上為支援物聯網應用,可想而知,底層網路架構環境的穩定性、可管理性、安全性,亦勢必將成為應用模式成功與否的關鍵因素。
在發展中的物聯網世界,無線網路傳輸已是必備能力,只是未必都採取IT人所熟知的Wi-Fi傳輸技術。思科大中華區數據中心事業部首席技術顧問錢小山指出,就物聯網世界中的通訊協定標準規範來看,整個連網裝置接取的區域,思科稱之為用戶端場域網路(FAN),在實體層包含許多種類型通訊協定,其中可區分為有線與無線。
他進一步說明,有線環境不外乎RS-232、RS-485、乙太網路等傳輸介面,以及整合供電源的電力線通訊(PLC);無線通訊技術通常區分為近距離少量傳輸與長距離大量傳輸。在物聯網應用場域中,強調以低耗電無線網路達到遠距離傳輸,例如近年來服務運營商相繼提供的NB-IoT,以及不少企業環境採用的LoRa與歐洲推展多年的Sigfox,此三種類型都是屬於低功耗廣域網路(LPWAN),也就是可長距離傳輸卻具有低功耗特性,但是封包的位元組寬度較短;至於近距離傳輸協定則相當多,常見的藍牙、ZigBee等皆屬於此範疇。Wi-Fi傳輸則是被定位在場域中的閘道器上行(Uplink)傳輸,連網裝置直接接取的應用場景較少見,畢竟Wi-Fi功耗較高,物聯網感測器須有固接電源才能搭配使用。
Ruckus顧問工程師孫志方亦提到,連網裝置的設計通常會以成本、供電能力為主要考量,少量資料傳輸可搭配較為省電的技術,例如藍牙、ZigBee等。若距離較遠,資料傳輸率高,勢必也較為耗電,僅由電池供電的裝置恐無法支應太久。針對高頻寬傳輸應用,主要常選用LTE行動通訊或Wi-Fi傳輸,兩相比較之下,Wi-Fi可說是最具成本效益的快速部署方式。
P2P架構實現智慧電表應用
現階段物聯網發展制定的通訊協定從傳輸層到應用層,資料格式皆必須一致,在不同產業各自發展下,大多已有專屬應用場域。近年來在3GPP(第三代合作夥伴計畫)標準化機構推動下,針對機器對機器的溝通模式,在歐美國家已建立統一的端到端架構,儘管尚未成為全球標準,已可藉此建立P2P(Peer-to-peer)環境。只是在P2P環境中,IPv4將不足以支應眾多連網裝置,若仍舊採用NAT方式勢必無法實現,必須得搭配IPv6才得以運行。
錢小山以思科實際建置智慧電表案例說明,思科與Itron聯合在加拿大部署超過三百萬個智慧電表,其中思科提供的是通訊模組,提供IPv6協議,基於IEEE 802.15.4傳輸到CGR(電網連接路由器)接取網際網路,實現P2P架構。「只是要在感測器中納入IPv6通訊協議,其實不容易,因為IPv6規範最大傳輸單元(MTU)至少要1,280位元組,但是現階段的用戶端場域網路傳輸通常不超過200位元組,若改採用IPv6,只有200位元組的問題勢必得先解決,因此思科大力投入6LoWPAN低功耗無線區網標準的制定,藉此協助切割封包以符合IPv6協定規範。這可說是思科在智慧電表應用場域的創新。」
此外,在用戶端場域網路環境中常見Mesh無線網路架構,須先行釐清主從關係,例如路由器所管轄的電表範圍,以及彼此間如何溝通與路由運行方式。在前述的智慧電表案例中,採用的路由技術,並非為IT人員熟知的OSPF或IS-IS通訊協定,在IPv4環境下運行的路由通訊協定是RPL,此技術是採用ICMPv4實作,與傳統IPv4溝通模式不同。
當物件開始逐漸被賦予IP連網能力後,進一步需要確保在安全無虞環境下穩定運行,不同技術領域的IT與OT(操作技術)勢必得協同合作,運用工具輔助提升維運效率。
依據應用分段網路專屬通道點對點傳輸
廣義來說,傳統園區網路環境與企業內部環境亦可歸類為物聯網應用範疇,包含學校、飯店業、醫療院所、生產線機台、機器人搬運等場域,採以Wi-Fi為主要傳輸媒介的環境,正是發展相當成熟的企業級有線/無線網路整合控管供應商可發揮之處。其中飯店業近年來更是積極地結合新科技,來提升使用者體驗,進而建立顧客忠誠度。
 |
| ▲用戶端場域發展通訊協定標準規範,整合建構有線與無線通訊技術,實踐物聯網新應用。(資料來源:思科) |
Ruckus總經理許慧嫻舉例,許多國際級飯店已經開始提供手機App操作入住登記與退房,根據Ruckus內部統計,大約有55%消費顧客喜好行動化操作入住登記,57%則是希望具有行動化退房功能,主要原因即在於節省排隊等待的時間。只要顧客到達飯店附近時,透過手機App操作執行入住登記,完成後自動派發房號與行動化鑰匙,手機直接掃描即可打開房門。並且可增設門鎖偵測機制,自動觸發電燈等設施,營造賓至如歸的消費體驗。
至於整合控管以確保安全性方面,主要是以無線網路廠商所設計的控制器為核心,只要基地台等連網裝置上線,即與控制器連接,以便認證裝置身分與套用預先設定的權限,才有能力建置大量部署的應用。進而蒐集來自存取層所產生的資料,運用大數據分析平台,抑或是搭配雲端服務,為不同應用場域的網路建立可視化能力,協助降低問題排除的複雜度,同時也藉此偵測異常流量。
為了降低連網裝置的脆弱性,避免易遭滲透攻擊釀成災害,眾家網通大廠開始把原本用於資料中心核心網路的分段(Segmentation)技術也應用到存取層,藉由加密通道建立應用架構。Aruba台灣區資深技術經理陳清淵說明,連網裝置可先由ClearPass自動指紋識別與建立描述檔,在認證的同時可指派必須透過通道(Tunnel)方式連線到控制器,動態且彈性地達到分段隔離的效果。
Extreme台灣首席技術顧問陳瑞建指出,Extreme基於Fabric Connect技術實作的Hyper-Segmentation,在連網裝置通過辨識後配置VLAN ID,並且指定VPN傳輸編號到所屬應用場域,目的即是把不同廣播網域依據應用需求予以切分,可確保整體應用安全,同時也將事故限縮在特定區域,最大程度降低風險。