As organizações divididas em multisites estão se tornando cada vez mais populares, e a necessidade de um sistema de BMS (building management system) centralizado, que garanta o comissionamento, alterações de parâmetros, monitoramento e execução de diagnósticos é um anseio do mercado. Considerado um sistema vital para o bom funcionamento de uma edificação, uma opção de solução segura é a utilização de VPN (Virtual Private Network) em conjunto com o protocolo BACnet.
De acordo com pesquisas conduzidas pela BSRIA (Building Services Research and Information Association), o BACnet detém uma fatia de 60% do mercado de protocolos de comunicação. Os dispositivos BACnet são facilmente encontrados por outros dispositivos ou sistemas supervisórios quando estão na mesma sub-rede. No caso de dispositivos seriais, o uso de um roteador BACnet/MSTP para BACnet/IP os coloca igualmente habilitados a enviar uma mensagem Who-Is e receber sua resposta. A mensagem Who-Is é uma mensagem de broadcast, e desta forma atravessa todos os dispositivos na mesma sub-rede, que consequentemente irão responder I-Am (processo de discovery), habilitando os dispositivos a trocarem mensagens entre si. Integrar um sistema BMS que opera em redes distintas envolve o uso de diferentes sub-redes através de roteadores IP. As mensagens de broadcast que trafegam facilmente por uma única sub-rede são bloqueadas por outro switch, pois os broadcasts não são propagados entre sub-redes, restringindo a comunicação a sub-rede da origem da mensagem.
Em virtude disto, o BACnet resolveu o problema dos bloqueios de mensagem de broadcast através de sub-redes utilizando a função BACnet/IP Broadcast Management Device (BBMD). Para o BACnet/IP se comunicar através de outras sub-rede, um dispositivo BBMD precisa existir em cada uma delas. Cada um dos dispositivos BBMD precisa ser configurado com o IP do dispositivo parceiro, chamado de Broadcast Distribution Table (BDT). Ao receber uma mensagem, o dispositivo BBMD envia um unicast ou uma mensagem direta ao seu dispositivo parceiro, contendo a mensagem original. O dispositivo BBMD que recebe essa mensagem é responsável por decodificar e gerar um broadcast em sua própria rede, alcançando o dispositivo BACnet local, que responde essa mensagem de volta ao device BBMD, e que ainda envia essa mensagem por unicast através das sub-redes ao equipamento BBMD inicial.
O dispositivo BBMD inicial faz o mesmo processo e gera um broadcast em sua rede local, e isto encerra o processo de discovery. O conceito de Foreign Device Registration (FDR) também é suportado, neste caso precisando de somente um device BBMD em umas das sub-redes, mas neste caso não implementando todas as funções do BBMD.
Configurar a comunicação utilizando BBMD ou FDR, especialmente através da internet, pode se tornar um tanto complexo devido aos roteadores e firewalls que bloqueiam o tráfego entrante. Regras de encaminhamento precisarão ser criadas para redirecionar todo o tráfego BACnet, na porta padrão 47808, ao dispositivo alvo. Para o uso de BBMD ou FDR remoto, o endereço que deverá ser configurado nos dispositivos parceiro, serão os IPs públicos, e desta forma ficará a cargo dos firewalls e roteadores entregaram as mensagens em suas redes internas.
Configurar a comunicação utilizando BBMD ou FDR, especialmente através da internet, pode se tornar um tanto complexo devido aos roteadores e firewalls que bloqueiam o tráfego entrante. Regras de encaminhamento precisarão ser criadas para redirecionar todo o tráfego BACnet, na porta padrão 47808, ao dispositivo alvo. Para o uso de BBMD ou FDR remoto, o endereço que deverá ser configurado nos dispositivos parceiro, serão os IPs públicos, e desta forma ficará a cargo dos firewalls e roteadores entregaram as mensagens em suas redes internas.
Criar regras de redirecionamento em firewalls ou setar IP público em dispositivos BBMD pode se tornar confuso. E se uma solução, além de proporcionar segurança, pudesse oferecer um ambiente em que seu servidor de BMS operasse como se estivesse em uma rede interna e única? Firewalls e roteadores possuem uma funcionalidade chamada de Virtual Private Network (VPN), que permite conectar duas redes distintas de forma segura através da internet. Existem muitos tipos de VPNs, mas neste caso o ideal seria o modo bridge, para garantir a segurança e a facilidade de envio de BACnet broadcasts. Bridges Ethernet situam-se na camada 2 do modelo OSI (Open System Interconnection), e permitem o tráfego de forma transparente de mensagens. Uma vez que as mensagens do BACnet podem transitar de forma transparente, não se faz necessário o uso de BBMD, FDR ou múltiplos redirecionamentos de porta (pode haver a necessidade de um redirecionamento, caso o servidor da VPN esteja atrás de um Firewall).
A segurança deste modelo é garantida devido as VPNs serem baseadas no protocolo TLS (Transport Layer Security), onde os dados são criptografados. Como a ideia básica da VPN é conectar duas redes distintas, a interligação de dois prédios, por exemplo, se torna simples devido a não necessidade de configurações adicionais. Através da VPN duas sub-redes se fundem, mantendo inclusive os IPs, e por este motivo é preciso e ter um cuidado extra com o conflito de IPs entre as duas redes. Um ou mais roteadores serão os servidores da VPN, enquanto o servidor do BMS rodará um cliente da mesma. Assim que a conexão for estabelecida, o roteador fornecerá um IP da sua sub-rede, esta é a mesma sub-rede da qual os dispositivos BACnet fazem parte. Então os clientes VPN, podem se comunicar com todo o laço de forma transparente.
Os custos da infraestrutura IP com roteadores capazes de criarem VPNs estão cada vez mais acessíveis, não sendo este um fator limitante para a aplicação de redes únicas. Além do mais, a utilização de VPNs reduz a utilização de equipamentos dedicados para este tipo de comunicação, acelera o comissionamento e permite que um mesmo servidor gerencie redes de automação em diferentes sites. As VPNs têm como principais vantagens a encriptação dos dados, simplicidade na elaboração e a facilidade de permitir ou restringir o acesso de dispositivos a rede. Com o aumento na procura por acesso remoto e redes de automação unificadas, as VPNs aparecem como uma ótima solução.
No portfólio Mercato o MRB, MJACE e o PowerB possuem a funcionalidade de BDT (broadcast distribution table), desta forma, essa arquitetura pode ser construída utilizando esses equipamentos.
Este artigo foi útil?
Que bom!
Obrigado pelo seu feedback
Desculpe! Não conseguimos ajudar você
Obrigado pelo seu feedback
Feedback enviado
Agradecemos seu esforço e tentaremos corrigir o artigo