MQTT тоннель, кроме отличия типа транспортного протокола, отличается от UA тоннеля однонаправленностью передачи данных - данные всегда идут от Master к Slave, тем самым исключается любое внешнее воздействие на данные из Master. Данный режим применяют при построении системы информационной безопасности, когда данные с нижнего уровня (АСУТП), нужно передать на верхний уровень через специальный сервер-посредник, также называемый ДМЗ (демилитаризированная зона). При этом, должна быть обеспечена невозможность обратной передачи данных, чтобы исключить возможность атак на системы АСУТП.
Построение системы MQTT тоннеля производится в следующем порядке:
1.На компьютере АСУТП производится настройка источник данных. Это может быть любой из представленных в MPS драйверов - OPC DA, HDA, UA, Siemens, Omron и т.д.
2.В элементе Server отключите все не нужные вам интерфейс - UA, HDA, DA, IEC104. Это снизит нагрузку на сервер, и повысит безопасность.
3.После настройки и проверки получения исходных данных, в конфигурации включается режим MQTT клиента, а настройка Режим работы из Regular переводится в режим Master.
4.Настраивается подключение к MQTT брокеру (он должен быть заранее развернут и настроен) - задается IP адрес, порт, UserID, имя пользователя и пароль, а также, если требуется - настройки шифрования. Как правило MQTT брокер разворачивается на стороне ДМЗ.
5.Рекомендуется запустить OPC сервер и, выделив элемент Server посмотреть журнал сообщений - там должна быть сообщение об успешном подключении к MQTT брокеру. Если подключение не проходит успешно - воспользуйтесь сторонним MQTT клиентом (MQTT-Lens, MQTT-Explorer).
6.Конфигурацию нужно скопировать перенести на компьютер ДМЗ, открыть ее в OPC сервере и изменить настройку Режим работы в режим Slave.
7.Большая часть настроек OPC сервера станет недоступным - в меню останется только кнопки сохранения и открытия конфигураций, настройка протоколов, устройств и тегов, а также их удаление будет заблокировано - структура переменных Slave части должна быть полностью идентичная Master части.
8.Измените настройки сервера. В разделе MQTT укажите параметры подключения к брокеру - как минимум будет отличаться ID пользователя, если для ДМЗ сделан другой пользователь и пароль - укажите его. Как правило ДМЗ часть, в отличие от АСУТП части, должна предоставлять данные по UA - включите данный режим и задайте нужные вам параметры (порт, аутентификацию).
9.Все настройки выполняемые на Slave части в элементе Server сохраняются в специальный файл, имеющий такое же имя, но расширение .slv.
10. После выполнения настроек запустите Master и Slave часть. Если настройки выполнены успешно, то Slave начнет получать данные приходящие из Master части.
Обновление конфигурации.
Если необходимо изменить конфигурацию (добавить или удалить какие-либо теги или протоколы), то выполните все нужные настройки в Master части и сохраните конфигурацию. Скопируйте и перенесите эту конфигурацию на Slave часть и положите в папку конфигураций (замените старую). После этого перезапустите OPC сервер - он загрузит актуальную конфигурацию, при этом настройки узла Server сохраняться настроенные ранее - потому что хранятся в отдельном файле. Таким образом после первичной настройки Slave части - настройки внешних подключений, никаких настроек в нем выполнять не нужно, при изменении конфигурации Master части - просто перенесите ее на Slave часть и перезапустите сервер.