Preguntas frecuentes sobre BACnet/SC - Metasys - LIT-12013959 - 12.0

Boletín técnico de flujos de trabajo de BACnet/SC

Brand
Metasys
Document type
Technical Bulletin
Document number
LIT-12013959
Version
12.0
Revision date
2023-03-07
Product status
Active
Language
Español (España)

¿Qué es BACnet/SC?

BACnet Secure Connect (BACnet/SC) es un nuevo enlace de datos BACnet ASHRAE 135-2020 Anexo AB que proporciona un transporte de mensajes seguro. BACnet/SC utiliza el protocolo de aplicación IP estándar, Secure WebSocket, que es una extensión de HTTPS y se ejecuta sobre Transport Layer Security (TLS). De este modo, BACnet/SC proporciona un mecanismo seguro para autenticar y autorizar a un dispositivo a utilizar la red. Además, BACnet/SC elimina la necesidad de direcciones IP estáticas y de mensajes de difusión de red. BACnet/SC funciona fácilmente con los dispositivos cortafuegos habituales en la infraestructura informática y es totalmente compatible con los sistemas y dispositivos BACnet IP existentes.

En la versión 12.0 de Metasys, la compatibilidad con BACnet/SC utiliza conexiones WebSocket mutuamente autenticadas y protegidas mediante TLS. La autenticación mutua significa que dos dispositivos, el par iniciador y el par aceptador, que desean comunicarse utilizando BACnet/SC, deben validar lo siguiente:
  • Valide que el certificado operativo del par esté bien formado.
  • Valide que el certificado operativo del par esté activo en la fecha actual y no haya caducado.
  • Valide que el certificado operativo del par no esté revocado, si dispone de esa información.
  • Valide que el certificado operativo del par esté firmado directamente por uno de los certificados CA configurados localmente.

¿Somos compatibles con el apéndice CD de la norma 135-2020 de BACnet?

Sí, la versión 12.0 de Metasys es compatible con el perfil de aplicación TLS v1.3 Cipher Suite de BACnet Addendum CD para BACnet/SC, que cubre los conjuntos de cifrado mínimos que BACnet/SC admite para la interoperabilidad con otros dispositivos BACnet/SC. Para conocer más detalles sobre la compatibilidad de conjuntos de cifrado, consulte la sección 9.1 de RFC8446 sobre conjuntos de cifrado de implementación obligatoria: https://datatracker.ietf.org/doc/html/rfc8446#section-9.1

¿Utiliza BACnet/SC dispositivos de gestión de emisión (BBMD)?

No. BACnet/SC elimina los BBMD y su configuración.

¿Qué versión de TLS es compatible?

Las implementaciones de BACnet/SC admiten TLS versión 1.3 para establecer conexiones de comunicación entre dispositivos. La compatibilidad con otras versiones de TLS o suites de cifrado más allá de las requeridas por TLS 1.3 es un asunto local. Para obtener más información sobre las versiones y suites de cifrado TLS adicionales admitidas, consulte:
  • BACnet/IP Advanced Application Field Equipment Controllers and VAV Modular Assembly Protocol Implementation Conformance Statement (LIT-12012572)
  • Metasys General Purpose Application Controllers Protocol Implementation Conformance Statement (LIT-12013102)
  • Metasys VAV Box Controllers Protocol Implementation Conformance Statement (LIT-12013104)

¿Qué son los certificados BACnet/SC?

Para establecer una conexión, cada dispositivo necesita determinar que confía en el dispositivo con el que intenta establecer una conexión. Por ejemplo, si el dispositivo A y el dispositivo B quieren establecer una conexión entre ellos, cada dispositivo envía su certificado operativo al otro dispositivo para autenticarse.

Un certificado operativo es un término que BACnet utiliza para el certificado que un dispositivo utiliza para la comunicación BACnet/SC. Los certificados operativos también se conocen como certificados TLS o certificados de identidad. El certificado operativo es simplemente un archivo de información sobre el dispositivo, junto con la clave pública del mismo y una firma digital de la Autoridad de Certificación (CA) que emitió el certificado. El certificado operativo que contiene la clave pública se empareja con una clave privada que solo se conserva de forma segura en el dispositivo que lo generó. El dispositivo crea un nuevo par de claves pública-privada cuando se le solicita que genere una solicitud de firma de certificado. Debe solicitar un certificado operativo para todos sus dispositivos de la red BACnet/SC.

BACnet/SC también exige que todos los dispositivos tengan asociado al menos un certificado de firma . Normalmente, un sitio utiliza un certificado de firma, pero BACnet/SC admite un segundo certificado de firma para cada dispositivo con el fin de facilitar el cambio a un certificado de firma diferente para el sitio. Un dispositivo utiliza los certificados de firma para determinar si puede confiar en el certificado operativo que le presentan otros dispositivos que quieren conectarse a él. Todos los dispositivos del sitio tienen una copia del mismo o de dos certificados de firma, de modo que pueden confiar mutuamente.

¿Cómo puedo gestionar mis certificados BACnet/SC?

Utilice la función Administración de BACnet/SC que forma parte de la IU de Metasys o de la herramienta de configuración de sistemas de Johnson Controls (JCT ). Además de este documento, consulte también la sección Administración de BACnet/SC de Metasys UI Help (LIT-12011953) o Johnson Controls System Configuration Tool (JCT) Help (LIT-12012116) .

Figura 1. Función Administración de BACnet/SC en la IU de Metasys

¿Cuál es la diferencia entre los certificados BACnet/SC y los certificados Metasys ?

En ambos casos, los certificados se utilizan como parte de una comunicación estándar y segura entre dispositivos. Sin embargo, existen diferencias entre los certificados BACnet/SC y los certificados Metasys . La siguiente tabla resume estas diferencias:
Tabla 1. Diferencias entre los certificados BACnet/SC y los certificados Metasys
Área de comparación Certificado BACnet/SC CertificadoMetasys
Comunicación Los certificados BACnet/SC se utilizan para asegurar la comunicación BACnet entre los dispositivos de supervisión y los controladores de equipos basados en IP.
Los certificados Metasys se utilizan para asegurar la comunicación propietaria de Metasys en las siguientes áreas:
  • Comunicación entre el Director de sitio y los dispositivos del sitio para tráfico como alarmas, datos de tendencias, valores y similares.
  • Comunicación entre la herramienta de configuración del sistema (SCT) y los dispositivos con los que interactúa la SCT.
  • Comunicación entre el Portal de administración de centros (SMP) y el dispositivo conectado al SMP.
  • Comunicación entre el navegador que ejecuta la interfaz de usuario de Metasys y el servidor.
Opción autofirmada Los certificados BACnet/SC no admiten la opción autofirmada. Los certificadosMetasys admiten una opción autofirmada.
CA pública

La CA firmante está controlada por el sitio y puede ser una CA raíz o una CA intermedia.

Esto significa que una CA pública no es una opción para BACnet/SC, debe utilizarse una CA privada.

Mientras que los certificados operativos para BACnet/SC utilizan el cifrado por criptografía de curva elíptica (ECC), el certificado CA puede utilizar el cifrado ECC o Rivest-Shamir-Adleman (RSA).

Los certificadosMetasys pueden ser firmados opcionalmente por una CA pública.
Administración de certificados Los certificados BACnet/SC se gestionan mediante la función de administración de BACnet/SC en JCT o la IU de Metasys, pero el par de claves pública-privada lo genera el dispositivo en el que residirá el certificado. Los certificadosMetasys los gestiona la SCT. El par de claves pública-privada de un certificado las genera la SCT para cada dispositivo para el que gestiona certificados.
Persistencia del certificado El par de claves pública-privada solo persiste en el dispositivo al que se le pidió que lo generara. El par solo puede borrarse empleando la operación de reinicio a los valores predeterminados de fábrica, como se describe en Reinicio al estado predeterminado de fábrica. Las actualizaciones del firmware o la reinstalación del software del servidor no las borran. El par de claves pública-privada forma parte del archivo de seguridad de un dispositivo gestionado por JCT/SCT, y se descarga en un dispositivo.
Cifrado Los certificados BACnet/SC utilizan el cifrado ECC. El cifrado ECC se considera más eficaz. Los certificadosMetasys utilizan el cifrado RSA.

¿Qué es una clave pública?

Una clave pública es la parte pública del par de claves asimétricas pública-privada de un sistema criptográfico. Las claves pública y privada están vinculadas matemáticamente entre sí, de modo que un dispositivo (A) puede dar a otro dispositivo (B) su clave pública si quiere comunicarse con él a través de una comunicación segura. El dispositivo B puede entonces cifrar los mensajes para enviarlos al dispositivo A con la clave pública de A. Solo el dispositivo A puede descifrar el mensaje, para lo que necesita la clave privada correspondiente que solo el dispositivo A conoce y mantiene en secreto. Cualquier dispositivo que observe la comunicación no podrá entender el mensaje porque no dispone de la clave privada secreta del dispositivo A para descifrar los mensajes enviados desde el dispositivo B al dispositivo A.

¿Qué es una autoridad de certificación (CA) y cómo firma el certificado?

Una CA es una entidad que emite los certificados operativos a utilizar para la comunicación en un sitio. Antes de poder completar el proceso de importación de certificados para los dispositivos de un sitio, debe decidir cuál será la autoridad de certificación utilizada para generar los certificados operativos.
Nota: En la versión 12.0 de Metasys, existen dos opciones para la CA. Se puede solicitar al departamento de TI del cliente que actúe como la CA, o puede adquirir una CA y certificados de un tercero a través de Johnson Controls, en cuyo caso, Johnson Controls actúa como la CA respaldada por el tercero. Si desea más información, consulte también Adquisición de una CA para el sitio.
Importante: No recibirá certificados operativos inmediatamente después de adquirir una CA a través de Johnson Controls, ya que la CA debe crearse y configurarse primero para uso del cliente. Sin embargo, cuando se configura una CA de Johnson Controls para el cliente, este puede solicitar certificados operativos en cualquier momento a través de la sucursal.

Cuando la CA crea el certificado operativo para cada dispositivo del sitio, coloca información en el certificado operativo sobre la CA, o emisor. Todos los dispositivos BACnet/SC de un sitio deben tener el certificado de la CA (una o varias) en la que confían. BACnet/SC requiere que todos los dispositivos puedan confiar en un máximo de dos certificados CA.

Cuando el dispositivo A recibe una solicitud del dispositivo B para conectarse a él, a A se le presenta el certificado operativo de B. El dispositivo A puede entonces examinar el certificado operativo del dispositivo B para determinar qué CA lo emitió. El dispositivo A comprueba si se trata de una de las CA que conoce y en la que confía. El intercambio se produce de forma bidireccional porque BACnet/SC utiliza la autenticación mutua.

Todos los dispositivos de un sitio que se comunican a través de BACnet/SC deben tener un certificado firmado por una de las dos CA en las que confían los demás dispositivos del sitio.

¿Cuál es la diferencia entre una cadena de certificados o cadena de confianza y un certificado de firma?

Cuando una CA genera cada certificado operativo, es probable que incluya todos los certificados que componen una cadena de certificados, empezando por un ancla de confianza o certificado raíz. Por ejemplo, una CA tiene una cadena de certificados que comienza con MiRaízCA y esta se utiliza para firmar MiIntermedioA, que a su vez se utiliza para firmar MiIntermedioB. MiIntermedioB se utiliza entonces para firmar todos los certificados operativos BACnet/SC. En este ejemplo, MiIntermedioB se considera la CA firmante de cada certificado operativo BACnet/SC y es la CA que se cargaría en cada dispositivo. El resto de certificados de la cadena de confianza serían ignorados.

Cada certificado operativo emitido contiene el nombre común del emisor o CA firmante. Puede descodificar un certificado operativo con diferentes herramientas disponibles para ver la información del emisor. De este modo, puede distinguir el certificado emisor o firmante de los posibles certificados múltiples CA que componen una cadena.

¿Qué debe contener el archivo .zip de importación de certificados operativos?

Cuando reciba los certificados operativos del departamento de TI es posible que no estén empaquetados de forma que le permitan utilizar directamente la funcionalidad de importación en la función Administración de BACnet/SC. Los requisitos básicos son que los certificados estén en formato .pem y que el certificado emisor o firmante que los ha firmado esté presente en el archivo .zip . Puede reunir los certificados operativos en el archivo .zip para garantizar el éxito de la importación:
  • Si cada certificado operativo se encuentra en un archivo .pem que incluye la cadena de confianza del certificado (el certificado operativo debe ser el primero en el archivo, seguido de su emisor y de cada certificado emisor posterior hasta la raíz), puede colocar estos archivos de certificados operativos directamente en el archivo .zip que desea importar. La funcionalidad de importación determina automáticamente cuál es la CA firmante y la carga en cada dispositivo junto con su certificado operativo. El resto de la cadena de confianza se ignora.
  • Si los certificados operativos están en un archivo .pem por sí mismos, puede colocar estos archivos de certificados operativos directamente en el archivo .zip, pero también deberá añadir al archivo .zip un archivo .pem que contenga la CA firmante. Por ejemplo, un archivo .zip podría contener cinco archivos .pem para cinco certificados operativos y un archivo .pem para la CA firmante. Si también se incluyen los certificados que componen el resto de la cadena de confianza, no bloquearán nada, sino que serán ignorados.

¿Qué es una solicitud de firma de certificado (CSR)?

Un dispositivo genera una solicitud de firma de certificado como primer paso para obtener un nuevo certificado operativo. La CSR contiene información sobre el dispositivo y la clave pública de un par de claves pública-privada recién generado. La información de la CSR pasa a formar parte del certificado operativo, junto con la información sobre la CA que creó el certificado operativo. Una vez emitido el certificado operativo y guardado en el dispositivo, la CSR que se utilizó ya no será necesaria.

¿Cómo se conservan los certificados?

Para proporcionar mayor seguridad, los certificados BACnet/SC y su clave privada correspondiente solo persisten en el dispositivo que generó el par de claves pública-privada durante el paso CSR. La inclusión de la dirección MAC de un dispositivo en el nombre común del certificado lo vincula aún más a un único dispositivo físico. Para mantener la seguridad de la clave privada, no existe ningún mecanismo que permita recuperarla del dispositivo. El certificado y la clave privada pasan a formar parte del dispositivo y no se ven afectados por las actualizaciones del firmware ni por la reinstalación del software del servidor. Cambiar el modo de comunicación del dispositivo tampoco tiene ningún impacto en los certificados que puedan estar presentes. El certificado y la clave privada solo pueden eliminarse mediante la operación Reinicio a los valores de fábrica, documentada en Reinicio al estado predeterminado de fábrica.
Nota: Dado que un certificado y su clave privada están vinculados a un dispositivo físico, la sustitución de un dispositivo por otro nuevo requiere un nuevo certificado que le permita comunicarse a través de BACnet/SC.
La siguiente tabla proporciona ejemplos de situaciones en las que los certificados operativos BACnet/SC persisten o no persisten, respectivamente.
Tabla 2. Situaciones en las que persisten los certificados operativos BACnet/SC
Dispositivo Metasys Situación El certificado persiste
Controladores de equipo Cambio entre los modos Solo Ethernet IP y Solo Conexión Segura
Descarga de una aplicación
Descarga/actualización del código de arranque/principal, incluida la aplicación
Descarga/actualización del código de arranque/principal sin aplicación, es decir, volver a la aplicación predeterminada de fábrica
Emisión de la secuencia 999/979/989 No, esta operación borra los certificados
Sustitución del controlador No, los certificados están vinculados al dispositivo físico
Motores Conmutación entre los Modos de solo Ethernet IP, solo conexión segura y dual SC e IP
Descarga de un archivo
Descarga de un archivo que incluya código o dispositivo de reflash dentro de la misma versión o compilación de Metasys
Actualización del motor a una versión anterior de Metasys y vuelta a Metasys 12.0
Reinicio del motor SNx mediante el botón de recuperación con o sin intercambio de particiones No
Sustitución del motor No, los certificados están vinculados al dispositivo físico
Servidores Conmutación entre los Modos solo Ethernet IP, solo conexión segura y dual SC e IP
Descarga de un archivo
Desinstalación del servidor sin la opción Eliminar las bases de datos seleccionada
Desinstalación del servidor con la opción Eliminar las bases de datos seleccionada
Desinstalación del servidor y limpieza de la carpeta C:\ProgramData\Johnson Controls\MetasysIII y bases de datos SQL No
Actualización del SO
Actualización de SQL Server
Sustitución del servidor No
Sustitución de la tarjeta Ethernet

¿Necesita una licencia para BACnet/SC?

Necesita una licencia para BACnet/SC (M4-BACNETSC-0) si utiliza BACnet/SC en un sitio servidor. No necesita licencia para los sitios de solo motor. Si se utilizan dos dispositivos Metasys de clase servidor, como ADS y NAE85, como concentrador principal y concentrador de conmutación por error respectivamente, se necesitarán dos licencias.

¿Cuál es el aspecto del topología BACnet/SC?

BACnet/SC utiliza una topología de centro y radios. La función de elemento central realiza el reenvío de mensajes para todos los mensajes de difusión y para los mensajes punto a punto de los dispositivos que no admitan conexiones directas más eficientes. Todos los dispositivos Metasys admiten conexiones directas. La siguiente figura esboza la topología de centro y radios para BACnet/SC.

Figura 2. Topología de red BACnet/SC
Número Nombre Definición
1 Función de centro o concentrador La función de centro analiza el tráfico para determinar si puede dirigirse a otro nodo o reenviarse a todos los nodos conectados. La propia función de centro es también un nodo. La función de centro también es responsable de reenviar las difusiones. Las difusiones deben enviarse desde un nodo a la función concentradora, que a su vez las reenvía a todos los demás nodos conectados. Si desea más información, consulte también ¿Qué es un concentrador principal? y ¿Qué es un concentrador de conmutación por error?
2 Nodo Puede tratarse de un dispositivo sencillo, de un dispositivo más sofisticado que se dirija a un sistema BACnet existente o de la estación de trabajo principal para todo el sitio.

Los nodos inician una conexión WebSocket con un concentrador principal o un concentrador de conmutación por error. Los nodos pueden, opcionalmente, iniciar o aceptar conexiones directas con otros nodos.

Los radios están representados por las flechas con la línea llena. Las conexiones directas opcionales están representadas por las flechas con la línea discontinua.

¿Qué es un concentrador principal?

Un dispositivo concentrador principal tiene tanto una función de nodo como de concentrador. El nodo del dispositivo concentrador principal se conecta a la función de concentrador, como si fuera un dispositivo diferente. Se espera que el concentrador principal realice la función de concentrador cuando esté accesible y siempre acepte conexiones WebSocket. Un sitio BACnet/SC solo admite un concentrador principal.

La siguiente figura ilustra el escenario normal de la red BACnet/SC, donde cada nodo está conectado al centro principal.

Figura 3. Escenario de red BACnet/SC normal

¿Qué es un concentrador de conmutación por error?

Un dispositivo concentrador de conmutación por error tiene tanto una función de nodo como de concentrador. El nodo del concentrador de conmutación por error se conecta a la función del concentrador principal. Si la función de concentrador principal está desconectada, todos los nodos, incluido el del concentrador de conmutación por error, se conectan a la función de concentrador de conmutación por error. La función del concentrador de conmutación por error siempre se ejecuta en el sitio y siempre acepta conexiones WebSocket, aunque el nodo del concentrador de conmutación por error esté conectado a la función del concentrador principal. Así, si algunos nodos no pueden conectarse a la función de concentrador principal, se conectan a la función de concentrador de conmutación por error, aunque otros nodos puedan conectarse a la función de concentrador principal. Un sitio BACnet/SC solo admite un concentrador de conmutación por error. Aunque es opcional disponer de un concentrador de conmutación por error, es una buena práctica configurarlo para no dejar un sitio con un único punto de fallo.

La siguiente figura ilustra el escenario de conmutación por error de la red BACnet/SC, donde el centro principal está fuera de línea y los nodos se redirigen al centro de conmutación por error.

Figura 4. Escenario de red BACnet/SC de conmutación por error

¿Qué dispositivos Metasys admiten BACnet/SC?

En la versión 12.0 de Metasys, los siguientes dispositivos son compatibles con BACnet/SC:
  • Servidor de aplicaciones y datos (ADS), ADS Lite-A, ADS Lite-E y servidor extendido de aplicación y datos (ADX) solo como concentrador
  • Servidor abierto de aplicaciones (OAS), servidor de control LonWorks® (LCS) 85, motor de automatización de red (NAE) 85, SNC, SNE y NAE55xx-3x como dispositivos de supervisión
  • M4-CGE04060-0, M4-CGE09090-0, M4-CGE09090-0H, M4-CVE03050-0P, MS-FAC4911-0 y MS-VMA1930-0 como controladores de equipos IP
    Nota: Se pueden actualizar las unidades VMA 1930 existentes en el campo para que sean compatibles con BACnet/SC, pero este modelo ya no se fabrica.

¿Qué significa el atributo Número de conexiones WebSocket activas del objeto Puerto de red SC?

El atributo Número de conexiones WebSocket activas indica el número de conexiones WebSocket que están activas actualmente. Una conexión WebSocket se considera activa, si se dan las siguientes condiciones:
  • la conexión ha quedado establecida
  • la conexión se ha creado, pero no ha alcanzado el estado establecido, como cuando se está negociando el apretón de manos de la conexión
  • la conexión se está desconectando, pero aún no se ha destruido

El número de conexiones activas incluye todos los puntos finales WebSocket que son atendidos actualmente por el enlace de datos. En dispositivos que admiten la función de concentrador, si el nodo está conectado a la función de concentrador interna, el enlace de datos da servicio a dos puntos finales para esa conexión, a saber, el punto final en el nodo y el punto final en la función de concentrador. En consecuencia, esta conexión de concentrador interno se cuenta dos veces.

Nota: Esto no significa que todas las conexiones estén en el estado conectado de la máquina de estado de conexión BACnet/SC. Es posible que aún deban intercambiarse los mensajes Conectar-Solicitar/Aceptar o que se estén intercambiando mensajes Desconectar-Solicitar/Reconocer.

¿El tráfico de comunicación pasa a través del concentrador o directamente de dispositivo a dispositivo?

Un dispositivo utiliza el concentrador inicialmente para obtener información sobre otro dispositivo con el que desea comunicarse. Aunque la especificación BACnet/SC admite el enrutamiento de toda la comunicación entre dos dispositivos a través del concentrador, para obtener el mejor rendimiento, todos los dispositivos Metasys admiten el uso de conexiones directas para la comunicación entre pares y no enrutan la comunicación entre pares a través del concentrador. Los mensajes de difusión siempre pasan por la función de concentrador.

¿Cómo elijo un concentrador principal y un concentrador de conmutación por error para mi sistema Metasys ?

  1. Revise su sistema actual y confirme el tipo de Director de sitio, el número de motores y el número de controladores.
  2. Confirme si dispone de dispositivos BACnet/SC de terceros.
  3. Compruebe la siguiente tabla para saber si su Director de sitio puede actuar como concentrador principal o concentrador de conmutación por error.
    1. Concentrador principal: Confirme el número de conexiones IP que necesita admitir y compárelo con la columna denominada Conexiones máximas del concentrador principal o de conmutación por error cuando se cargan en la tabla siguiente. Si el número de motores más el número de controladores IP en BACnet/SC más el concentrador de conmutación por error es igual o inferior al número indicado en Conexiones máximas del concentrador principal o de conmutación por error cuando se cargan, puede utilizar su Director de sitio como concentrador principal.
      Nota: Si tiene integraciones IP como Modbus, KNX, M-Bus, por ejemplo, deberá añadirlas al recuento de conexiones IP.
      Nota: Incluya el concentrador de conmutación por error en el recuento de conexiones IP del posible concentrador principal.
    2. Concentrador de conmutación por error: Si el número de motores más el número de los controladores IP es igual o inferior al número de la columna denominada Conexiones máximas del concentrador principal o de conmutación por error cuando se descargan, es inferior o igual al número indicado para un motor, utilícelo como concentrador de conmutación por error. Si no es así, considere la posibilidad de utilizar un NAE8500 como concentrador de conmutación por error.
      Nota: Para obtener el mejor rendimiento en algunos casos, puede utilizar el NAE8500 como concentrador principal y el ADS o ADX como concentrador de conmutación por error, ya que el ADS o ADX puede estar ya muy ocupado con su función de Director de sitio. Si hace que el NAE8500 sea el concentrador principal, se encargará de todas las tareas de un concentrador principal, y el ADS o ADX tendrá que actuar ocasionalmente como concentrador de conmutación por error, además de sus tareas como Director de sitio.
      Nota: No incluya el concentrador principal en el recuento de conexiones IP para el posible concentrador de conmutación por error, porque está desconectado cuando el concentrador de conmutación por error está activo.

Revise los ejemplos de la tabla para obtener más información sobre cómo aplicar estas reglas.

Tabla 3. Dispositivos Metasys, su rol en la topología BACnet/SC y conexiones máximas admitidas
Dispositivo Metasys Concentrador principal o de conmutación por error Conexiones máximas del concentrador principal o de conmutación por error cuando está cargado 1 Conexiones máximas del concentrador principal o de conmutación por error cuando está descargado 2
ADX 3 1.000 1.000
ADS, ADS Lite-A o ADS Lite-E 3 750 750
NAE85 o LCS85 3 150 750
OAS 3 150 200
Todos los modelos SNE Sí. Puede utilizar el SNE1100 para ahorrar costes. 4 150 200
Todos los modelos SNC Sí. 5 50 50
NAE55xx-3x Sí. 6 150 200

M4 -CGE04060-0,

M4 -CGE09090-0,

M4 -CGE09090-0H,

M4 -CVE03050-0P,

MS-FAC 4911-0 y

MS-VMA 1930-0

No. Estos dispositivos son solo nodos, ya que no pueden actuar como concentrador principal o de conmutación por error. N/D N/D
Nota: Las conexiones BACnet/SC Direct no se tienen en cuenta por simplicidad y ya se contabilizan con el número reducido de conexiones máximas de concentrador principal o de conmutación por error cuando se carga el dispositivo. Los motores deben estar en la versión 12.0 con BACnet/SC habilitado para actuar como nodos BACnet/SC. Los controladores de equipos deben estar en la versión de firmware 10.0 o superior con BACnet/SC habilitado para actuar como nodos BACnet/SC.
Ejemplo 1: Se trata de un sistema Metasys ADS Director de sitio que admite BACnet/SC. El ADS de este ejemplo tiene cuatro conexiones de concentrador principal BACnet/SC, lo que es inferior al límite de 750 conexiones de concentrador BACnet/SC para el ADS. Puede nombrar al SNE 3 como concentrador de conmutación por error, porque las tres conexiones del concentrador de conmutación por error BACnet/SC son inferiores al límite permitido de 150 conexiones para el SNE cuando tiene algún dispositivo asignado bajo cualquiera de sus integraciones.
Figura 5. Ejemplo 1: Configuración compatible con un ADS y controladores MS/TP
Nota: Todos los motores funcionan con BACnet/SC. El ADS está actuando como concentrador principal, pero no es un dispositivo BACnet/SC nativo. En el ejemplo 1 no hay conexiones directas BACnet/SC de nodo a nodo.
Ejemplo 2: Se trata de un sistema Metasys ADS Director de sitio que admite BACnet/SC. El ADS puede ser el concentrador principal BACnet/SC en este ejemplo y tiene 140 conexiones de concentrador principal BACnet/SC, lo que es inferior al límite permitido de 750 conexiones de concentrador BACnet/SC para el ADS. Puede nombrar al NAE 1 como concentrador de conmutación por error, porque las 139 conexiones del concentrador de conmutación por error BACnet/SC son inferiores al límite permitido de 150 conexiones de concentrador BACnet/SC cuando el NAE tiene algún dispositivo asignado bajo cualquiera de sus integraciones. El NAE 1 es elegido para ser el concentrador de conmutación por error por encima de los otros motores, porque tiene el menor número de dispositivos asignados bajo sus integraciones.
Figura 6. Ejemplo 2: Configuración compatible con un ADS y controladores IP
Nota: Todos los motores funcionan con BACnet/SC. El ADS está actuando como concentrador principal, pero no es un dispositivo BACnet/SC nativo. En el ejemplo 2, y con fines de demostración, no hay conexiones directas BACnet/SC de nodo a nodo. Consulte Tabla 3 para ver los números de modelo de los controladores.
Ejemplo 3: Se trata de un sistema Metasys ADS Director de sitio que admite BACnet/SC, pero el SNE2 no puede ser el concentrador de conmutación por error. El ADS puede nombrarse concentrador principal BACnet/SC en este ejemplo ya que tiene 199 conexiones de concentrador principal BACnet/SC, lo que es inferior al límite permitido de 750 conexiones de concentrador BACnet/SC para el ADS. Sin embargo, aunque el SNE 2 tiene el número más bajo de dispositivos asignados bajo cualquiera de sus integraciones, y por lo tanto, podría nombrarse concentrador de conmutación por error, no es compatible con este sitio BACnet/SC, porque 198 conexiones de concentrador de conmutación por error es superior al límite permitido de 150 conexiones de concentrador BACnet/SC cuando el SNE tiene cualquier dispositivo asignado bajo cualquiera de sus integraciones. El ADS tiene que ser el Director del sitio Metasys, por lo tanto, recomendamos que sea el concentrador de conmutación por error, y que el motor basado en servidor autónomo NAE8500 sea el concentrador primario.
Figura 7. Ejemplo 3: Configuración no compatible con un ADS
La solución se representa en la siguiente figura:
Figura 8. Posible solución al ejemplo 3:

¿Puedo añadir otros protocolos y servicios a los sitios que utilizan BACnet/SC?

Sí, BACnet/SC admite la adición de protocolos y servicios de mensajería estándar, como el transporte de telemetría MQ (MQTT).

¿Por qué necesito BACnet/SC en un ADS/ADX?

Necesita BACnet/SC en un ADS/ADX si desea que el ADS/ADX realice la función de concentrador. El ADS/ADX no utiliza BACnet/SC para otros fines.

¿Tengo que utilizar BACnet/SC para todo el sitio?

No, puede elegir selectivamente qué dispositivos se comunican a través de BACnet/SC, por lo que puede integrar los dispositivos BACnet/SC gradualmente. Sin embargo, BACnet/IP sí requiere BBMD en cada subred, por lo que debe asegurarse de que los dispositivos que se comunican a través de BACnet/IP tengan los BBMD configurados para admitirlos.
Nota: Utilice BACnet/SC para todo el sitio con el fin de salvaguardar la seguridad del mismo.

¿Puedo utilizar BACnet/SC y BACnet/IP en la misma subred?

Sí, pero los dispositivos que se comunican a través de BACnet/SC no pueden comunicarse con dispositivos que solo lo hacen a través de BACnet/IP, independientemente de la subred en la que se encuentren. Los dispositivos de supervisión Metasys admiten un modo de comunicación dual en el que pueden comunicarse tanto a través de BACnet/IP como de BACnet/SC al mismo tiempo.

Importante: Si mezcla SC e IP en un sitio, debe hacerlo con cuidado, especialmente a nivel de supervisión. Desde el punto de vista de BACnet puede considerarse como dos sitios diferentes. Todos los dispositivos que hablan BACnet/IP son un único sitio y pueden comunicarse entre sí, así como emitir entre sí, si los BBMD están configurados correctamente. Asimismo, todos los dispositivos BACnet/SC pueden comunicarse entre sí y ver las emisiones de los demás. Los dispositivos de supervisión que están en modo de comunicación dual participan en estos dos sitios diferentes, pero no se enrutan entre ellos. Si tiene un controlador de equipos IP en Modo de solo conexión segura, puede hablar con su supervisor si este está en Modo dual SC e IP, o en Modo de solo conexión segura. Un controlador de equipos IP en Modo de solo conexión segura solo puede hablar con controladores de equipos iguales que estén en Modo de solo conexión segura. Un dispositivo de supervisión en Modo de solo conexión segura sólo puede hablar con otros dispositivos de supervisión en Modo de solo conexión segura o en Modo dual SC e IP. Esto incluye las emisiones.
Nota: Desde el punto de vista de la ciberseguridad, una red con solo dispositivos BACnet/SC es la más segura. Mezclar dispositivos BACnet/IP y BACnet/SC en la misma red puede comprometer la seguridad de la red. Una persona malintencionada podría enviar comandos a través de BACnet/IP y hacer que se ejecutaran en los controladores BACnet/SC.

¿Pueden distribuirse los dispositivos BACnet/SC a través de subredes/VLAN?

Sí, siempre que la red esté configurada para enrutar los mensajes entre las subredes/VLAN, los nodos y los concentradores BACnet/SC pueden residir en subredes/VLAN diferentes. Colocamos los concentradores BACnet/SC, junto con los motores, en la subred informática asignada al BAS (en adelante, subred BAS). La red informática proporciona el enrutamiento, de modo que cualquier nodo BACnet/SC de la red informática pueda llegar a los concentradores BACnet/SC de la subred BAS. Los conmutadores proporcionan el enrutamiento, de modo que los nodos BACnet/SC del espacio privado BAS, es decir, los controladores de equipos, puedan llegar a los concentradores BACnet/SC y a los motores de la subred BAS.

¿Puedo conectar redes BACnet/SC entre sí?

Sí, puede conectar redes BACnet/SC con un router BACnet/SC de terceros a BACnet/SC. No hay límite en el número de routers que puede utilizar para conectar redes BACnet/SC entre sí.

¿Dónde se conecta el técnico de campo a la red para instalar los certificados en los dispositivos BACnet/SC?

Para utilizar la función de administración de BACnet/SC, debe conectarse al Director del sitio para instalar certificados para todos los dispositivos Metasys compatibles de un sitio, o conectarse a un motor para instalar certificados en el motor y en sus controladores de equipos integrados.

¿Puedo utilizar el sistema de nombres de dominio (DNS) para especificar el identificador uniforme de recursos (URI) del concentrador principal y del concentrador de conmutación por error?

Sí, pero no puede utilizar un URI con el nombre DNS completo de los dispositivos como URI del concentrador principal o del de conmutación por error. Si utiliza el nombre DNS completo, el dispositivo destinado a ser el concentrador falla en la comparación de cadenas y se convierte en un nodo en lugar de un concentrador. Asegúrese de que el servidor DNS esté configurado para permitir que se utilice el nombre de host corto.

Asegúrese siempre de que el nombre DNS puedan resolverlo todos los dispositivos que utilizan BACnet/SC, en particular los controladores de equipos IP, ya que pueden estar en su propia subred.

¿Quién es responsable del almacenamiento a largo plazo y de la conservación segura de los certificados?

Cada dispositivo BACnet/SC Metasys almacena de forma segura su propio certificado operativo y la clave privada correspondiente. El certificado se guarda en un lugar seguro de cada dispositivo y se mantiene aunque se modifique el firmware o el archivo del dispositivo. Por motivos de seguridad, no existe ningún mecanismo para cargar la clave privada de un dispositivo.

¿Cuál es el nivel de compatibilidad que ofrecemos a los dispositivos de terceros en una configuración BACnet/SC de Metasys?

El nivel de compatibilidad ofrecido es el mismo que ofrecemos a los dispositivos de terceros en una configuración BACnet/IP de Metasys. Además, los dispositivos de terceros deben utilizar su propia herramienta para ponerles un certificado, ya que no existe una forma estandarizada de hacerlo en BACnet hasta que los dispositivos sean compatibles con el apéndice CC de la norma de protocolo BACnet ASHRAE 135-2020.

¿Puedo utilizar dispositivos BACnet/SC Metasys en una configuración BACnet/SC de terceros?

Sí. Utilice la función de administración de BACnet/SC en la IU de Metasys o JCT para configurar un dispositivo de supervisión para su uso en un sistema de terceros. Los controladores de equipos Metasys también funcionan, pero para configurarlos deben estar conectados a un dispositivo de supervisión Metasys, como un M4-SNC, tener los certificados cargados a través de la IU de Metasys o JCT y, a continuación, estar conectados al sitio de terceros .

¿Continúa un ADS o ADX que realiza la función de concentrador realizando la gestión de la difusión para los dispositivos BACnet/IP?

Sí, un ADS o ADX que realiza la función de concentrador sigue realizando la gestión de difusión para los dispositivos BACnet/IP.

¿Cómo puedo determinar el estado de caducidad de mis certificados?

Tanto los certificados operativos como los certificados de firma de mayor duración pueden caducar. Puede utilizar la información que aparece en la pestaña Dispositivos de la función Administración de BACnet/SC para determinar el estado de sus certificados.

En el caso de los motores y los controladores de equipos IP, también puede abrir el objeto Dispositivo o el objeto Dispositivo asignador e ir al widget Detalle para ver información sobre el estado del certificado operativo.

¿Recibiré un recordatorio antes de que caduquen mis certificados?

Sí, recibirá recordatorios de caducidad de certificados que comienzan un número configurable de días antes de que caduque un certificado para un dispositivo, y después diariamente hasta que renueve el certificado. El recordatorio adopta la forma de una alarma en Actividad del sistema, Gestor de alarmas y Monitor de alarmas. Utilice la propiedad Periodo de renovación del certificado del widget Detalle del objeto Sitio para configurar el lanzamiento de los recordatorios.
Nota: Un cambio en la configuración se distribuye automáticamente a todos los dispositivos del sitio.

¿Funcionará BACnet/SC en el anillo del protocolo de redundancia de medios (MRP)?

Los controladores IP en modo BACnet/SC funcionarán en un anillo MRP aunque el asistente de red IP (IP Network Wizard) utilizado para configurar los conmutadores de Ring Manager (es decir, los conmutadores Cisco IE 2000) para BACnet/IP aún no es compatible con BACnet/SC. Por lo tanto, la herramienta del asistente no puede utilizarse actualmente para configurar los conmutadores de Ring Manager para BACnet/SC.

¿Qué debo hacer con un anillo MRP existente si quiero utilizar BACnet/SC?

Hasta que BACnet/SC sea compatible con la herramienta IP Network Wizard, es necesario realizar cambios manuales en la configuración de las listas de control de acceso (ACL) de los conmutadores de Ring Manager para permitir los protocolos relacionados con BACnet/SC, así como para dar cuenta de los concentradores BACnet/SC (principal y de conmutación por error). Para ello se requieren conocimientos específicos de configuración de conmutadores Cisco, por lo que se recomienda seguir utilizando BACnet/IP hasta que se publique oficialmente la compatibilidad con BACnet/SC en la herramienta IP Network Wizard.

1 Cargado significa que el dispositivo Metasys tiene al menos un dispositivo asignado bajo cualquiera de las integraciones del dispositivo Metasys, incluyendo IP, KNX, LON, M-Bus, Modbus, MQTT, MSTP y OPC UA.
2 Descargado significa que el dispositivo Metasys no tiene dispositivos asignados bajo ninguna de las integraciones del dispositivo Metasys, incluyendo IP, KNX, LON, M-Bus, Modbus, MQTT, MSTP y OPCUA.
3 Este dispositivo puede actuar como nodo BACnet/SC y como concentrador principal o de conmutación por error BACnet/SC.
4 Este dispositivo puede actuar como nodo BACnet/SC y como concentrador principal o de conmutación por error BACnet/SC.
5 Este dispositivo puede actuar como nodo BACnet/SC y como concentrador principal o de conmutación por error BACnet/SC.
6 Este dispositivo puede actuar como nodo BACnet/SC y como concentrador principal o de conmutación por error BACnet/SC.