4. Sử dụng TCP Keep-Alive thay vì mở/đóng kết nối liên tục

4.1 Vấn đề khi liên tục mở/đóng kết nối TCP trong Modbus TCP

Trong thực tế, một số hệ thống SCADA hoặc gateway cấu hình sai thường:

• Mở kết nối TCP → gửi lệnh → đóng kết nối
• Lặp lại quy trình này cho mỗi chu kỳ đọc dữ liệu

Cách làm này gây ra nhiều vấn đề:

4.2 Quy trình “bắt tay 3 bước” của TCP (Three-Way Handshake)

Client                         Server
   | ----------- SYN ----------> |
   | <--------- SYN-ACK -------- |
   | ----------- ACK ----------> |
  

Giải thích từng bước:

Thời gian tiêu tốn: trung bình 5–50 ms tùy độ trễ mạng; với mạng phức tạp có thể lớn hơn.

4.3 Vấn đề khi áp dụng cách này vào Modbus TCP

Nếu mỗi lần đọc dữ liệu đều phải:

1. Mở TCP connection
2. Handshake (SYN → SYN-ACK → ACK)
3. Gửi Modbus Request
4. Nhận Response
5. Đóng TCP

→ Tổng thời gian bị đội lên không cần thiết, đặc biệt khi polling nhanh (100–500 ms) hoặc số lượng thiết bị lớn.

4.4 Cơ chế TCP Keep-Alive là gì?

TCP Keep-Alive là cơ chế giữ kết nối TCP luôn mở, cho phép nhiều request/response đi qua cùng một session mà không phải thực hiện handshake lại mỗi lần.

Client                         Server
   | ----- Modbus Request ----> |
   | <---- Modbus Response ----- |
   |        (Giữ kết nối)        |
   | ----- Modbus Request ----> |
   | <---- Modbus Response ----- |
  

Kết nối chỉ đóng khi:

• Timeout
• Mất kết nối vật lý
• Ứng dụng chủ động đóng

4.5 Lợi ích kỹ thuật của việc giữ kết nối TCP liên tục

4.6 Ví dụ so sánh thực tế

Giả sử hệ thống:

• Polling time: 200 ms
• Mỗi lần handshake TCP: 10 ms

Chênh lệch này tăng theo số lượng PLC và điểm dữ liệu.

4.7 Khuyến nghị cấu hình thực tế

• Trên SCADA / PLC / Gateway:
  • Enable TCP Keep-Alive
  • Tăng TCP session timeout (nếu khả dụng)
• Trên Switch công nghiệp:
  • Không can thiệp vào TCP session
  • Không cấu hình timeout quá ngắn (tránh đóng session trước thời điểm cần)

4.8 Khi nào KHÔNG nên giữ kết nối liên tục?

4.9 Kết luận

Giữ kết nối TCP (Keep-Alive) giúp loại bỏ handshake (SYN/SYN-ACK/ACK) mỗi lần truyền, giảm độ trễ, giảm tải PLC và tăng độ ổn định. Kích hoạt Keep-Alive trên SCADA/Gateway và tăng session timeout là bước tối ưu đơn giản nhưng hiệu quả.

5. Tối ưu kiến trúc mạng Ethernet công nghiệp

Thiết kế mạng Ethernet cho hệ thống công nghiệp (PLC, RTU, HMI, SCADA, Gateway) khác biệt rõ với mạng IT thông thường. Mục tiêu là độ trễ thấp, độ tin cậy cao, khả năng khôi phục nhanh và bảo mật. Dưới đây BKAII sẽ phân tích chi tiết và đưa các khuyến nghị thực tế để các bạn tham khảo nhé

5.1 Vì sao không nên dùng Hub; tại sao cần Switch công nghiệp?

Hub hoạt động ở lớp vật lý (layer 1) — phát tán tất cả frames tới mọi cổng → gây collision trên mạng half-duplex, băng thông chia sẻ và độ trễ không dự đoán được. Trong môi trường công nghiệp, hub hiếm khi chấp nhận được.

Switch hoạt động ở lớp liên kết (layer 2): chuyển tiếp frame theo MAC, tách collision domain, hỗ trợ full-duplex và giảm đáng kể độ trễ cũng như jitter. Các switch công nghiệp thường có thêm tính năng quản lý, QoS, VLAN, RSTP/ERPS, bảo vệ quá áp, hoạt động ở dải nhiệt độ rộng và vỏ kim loại.

5.2 Chọn Switch Layer 2 hoặc Layer 3 — ưu tiên có QoS

• Layer 2 Managed Switch: đủ cho hầu hết hệ SCADA nhỏ → hỗ trợ VLAN, IGMP snooping, QoS cơ bản, port-security.
• Layer 3 Switch: cần khi có nhiều subnet, định tuyến nội bộ giữa VLAN, hoặc muốn offload routing cho switch (giảm tải cho router trung tâm).
• QoS (Quality of Service): cần để ưu tiên gói Modbus/real-time (mark DSCP/802.1p). QoS giúp giảm latency khi mạng bị tải.

5.3 Tách VLAN cho mạng điều khiển — nguyên tắc và ví dụ

Phân chia mạng theo vai trò giảm rủi ro và giúp kiểm soát lưu lượng:

• VLAN 10 – Control: PLC, RTU, I/O
• VLAN 20 – SCADA: SCADA server, HMI, historian
• VLAN 30 – Engineering: Workstation kỹ sư, cấu hình
• VLAN 40 – Office/IT: Không cho phép truy cập trực tiếp tới thiết bị Control

Ưu tiên:

• Chỉ cho phép các port cụ thể (access ports) tham gia VLAN tương ứng.
• Tag trunk ports cho uplink giữa switch (802.1Q).
• Sử dụng ACL (on Layer 3) để giới hạn lưu lượng giữa VLAN (ví dụ: chỉ cho SCADA đọc Modbus tới PLC trên cổng 502).

5.4 Tính năng switch công nghiệp cần ưu tiên

5.5 Thiết kế vật lý và topologies đề xuất

Các topology phổ biến và ưu/nhược:

• Star (Hub-and-Spoke): đơn giản, dễ quản lý; backbone dùng fiber, edge dùng copper.
• Ring (vòng) với ERPS/RSTP: khôi phục nhanh khi đường bị đứt; phù hợp nhà máy dài, nhiều cell.
• Hierarchical (Core–Distribution–Access): phù hợp nhà máy lớn; core layer dùng Layer-3 switch, distribution dùng Layer-2/3 managed, access là industrial edge switches.

Vật lý & bài học hiện trường:

• Dùng fiber cho backbone giữa tủ điều khiển và phòng server để giảm nhiễu điện và tăng khoảng cách.
• Cat6/Cat6A cho cáp copper, tuân thủ chuẩn công nghiệp, dùng shielded cable nếu gần nguồn công suất cao.
• Bảo vệ chống sét/surge cho uplink và cổng PoE.

5.6 Cấu hình mẫu (ví dụ cơ bản)

Dưới đây là ví dụ lệnh khởi tạo VLAN, trunk, QoS và port-security trên switch đời phổ biến để tham khảo, bạn hãy điều chỉnh theo hãng bạn dùng.

!-- Tạo VLAN
vlan 10 name CONTROL
vlan 20 name SCADA
vlan 30 name ENGINEER
vlan 40 name OFFICE

!-- Gán access port cho PLC
interface Gig1/0/1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast

!-- Trunk uplink giữa switch access & distribution
interface Gig1/0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

!-- LACP cho uplink tới server
interface Port-channel1
 description UPLINK-SERVER
 switchport mode trunk
!
interface Gig1/0/23
 channel-group 1 mode active
interface Gig1/0/22
 channel-group 1 mode active

!-- QoS mẫu: ưu tiên Modbus (TCP/502) bằng DSCP
class-map match-any MODBUS
 match access-group name ACL_MODBUS
!
policy-map QOS_POLICY
 class MODBUS
  set dscp af41
!
interface Gig1/0/24
 service-policy output QOS_POLICY

!-- Port security: khoá MAC
interface Gig1/0/1
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict
 switchport port-security mac-address sticky
  

Lưu ý: ACL_MODBUS là access-list để match TCP port 502 (ví dụ: permit tcp any any eq 502).

5.7 Giám sát, Logging & Time Sync

• SNMP / Syslog: bật SNMPv2/v3 và gửi syslog tới server để giám sát trạng thái port, cảnh báo link down, lỗi CRC.
• NTP: đồng bộ thời gian cho tất cả thiết bị (để log chính xác khi phân tích sự cố).
• Netflow / sFlow: nếu switch hỗ trợ, bật để phân tích traffic patterns.

5.8 Bảo mật mạng công nghiệp cơ bản

• Tách VLAN Control/SCADA và chặn truy cập trực tiếp từ VLAN Office.
• Dùng ACL để giới hạn chỉ các host cần thiết mới có thể gửi Modbus tới PLC.
• Kích hoạt port security / 802.1X nếu hạ tầng hỗ trợ.
• Đóng hoặc giám sát broadcast storm, ARP spoofing (dùng Dynamic ARP Inspection trên switch hỗ trợ).

5.9 Checklist triển khai & kiểm thử

1. Xác định VLAN & mapping port trước khi triển khai.
2. Cấu hình QoS để ưu tiên traffic Modbus/real-time.
3. Thử stress test: tạo traffic cao để kiểm tra latency và packet loss.
4. Kiểm tra failover: rút cáp backbone để đo thời gian khôi phục (RSTP/ERPS).
5. Bật SNMP & syslog, kiểm tra log khi sự cố giả lập.
6. Đo thực tế: latency (round-trip) giữa SCADA ↔ PLC, packet retransmission, CPU util của PLC.

5.10 Kết luận ngắn

Thiết kế mạng công nghiệp tốt không chỉ là chọn switch đắt tiền mà là chọn đúng tính năng (QoS, VLAN, redundancy), sắp xếp topology phù hợp (ring/star/hierarchical), và kiểm thử cẩn thận trong điều kiện tải thực tế. Những bước này giúp hệ Modbus TCP hoạt động nhanh, ổn định và an toàn hơn trong môi trường nhà máy.

6. Ưu tiên gói tin Modbus TCP bằng QoS (Quality of Service)

Trong mạng nhà máy quy mô lớn, khi có đồng thời traffic điều khiển (Modbus TCP), video giám sát, backup, và traffic IT thông thường, gói Modbus dễ bị chậm hoặc mất ưu tiên. QoS cho phép bạn phân loại, đánh dấu (mark), và ưu tiên xử lý các gói Modbus để giảm độ trễ (latency) và jitter (độ giao động không đồng đều của các gói tin khi truyền qua mạng, tức độ trễ có ổn định không hay lúc nhanh - lúc chậm), đảm bảo hoạt động real-time ổn định cho SCADA/PLC.

6.1 Khái niệm chính

• Classification – phát hiện gói Modbus (thường là TCP port 502) và gán vào lớp (class).
• Marking – đặt giá trị ưu tiên trên frame/packet: 802.1p (CoS) cho Ethernet layer; DSCP cho IP layer.
• Queuing – phân loại thành hàng đợi (priority queue, expedited queue, assured queue) để xử lý theo thứ tự ưu tiên.
• Shaping/Policing – giới hạn tốc độ gửi (shape) hoặc bỏ bớt gói vượt ngưỡng (police) để tránh quá tải link.
• Trust Boundary – nơi router/switch “tin” các giá trị DSCP/CoS từ client; cần cấu hình đúng để tránh marking không mong muốn.

6.2 CoS (802.1p) vs DSCP – chọn gì và khi nào

Khuyến nghị thực tế: kết hợp cả hai: mark DSCP tại đầu nguồn (SCADA hoặc gateway) và map sang 802.1p tại switch access/trunk để giữ ưu tiên trong LAN.

6.3 Chiến lược đánh dấu (Marking) & mapping

Thông thường ta dùng:

• Modbus TCP (critical control) → DSCP: AF41 (DSCP 34) hoặc CS5 (DSCP 40) tùy chính sách; 802.1p → Priority 6.
• HMI/SCADA UI → DSCP: AF31 hoặc CS3; 802.1p → Priority 4.
• Video/Camera → DSCP: AF42/EF; 802.1p → Priority 5.
• Office/Backup → DSCP: CS0 (best-effort); 802.1p → Priority 0–1.

Lưu ý: giá trị cụ thể có thể khác tùy chính sách mạng; điều quan trọng là nhất quán trên toàn hệ thống và có bảng mapping rõ ràng.

6.4 Quy trình triển khai QoS cho Modbus TCP (step-by-step)

1. Classify – tạo ACL/ACL match để nhận diện Modbus: match tcp any any eq 502 (hoặc nguồn/đích cụ thể).
2. Mark – set ip dscp (ví dụ: af41) và/hoặc set cos 6 cho frame.
3. Queue – cấu hình hàng đợi ưu tiên (strict priority hoặc Low-Latency Queueing) dành cho class Modbus.
4. Policing / Shaping – nếu cần giới hạn băng thông không để Modbus chiếm toàn bộ link; ưu tiên latency hơn throughput.
5. Map – map DSCP → CoS trên switch trunk; map CoS → DSCP nếu cần khi đi từ layer2 lên layer3.
6. Trust – xác định port trust (edge ports không nên trust incoming DSCP/CoS trừ khi từ thiết bị tin cậy).
7. Test – mô phỏng tải (video/backup), đo latency, jitter, packet loss cho Modbus flow.

6.5 Cấu hình mẫu (Cisco-like) — phân loại, mark, policy

!-- 1. Tạo access-list để nhận diện Modbus TCP (port 502)
ip access-list extended ACL_MODBUS
 permit tcp any any eq 502

!-- 2. Class-map để phân lớp
class-map match-any CLASS_MODBUS
 match access-group name ACL_MODBUS

!-- 3. Policy-map để mark DSCP và ưu tiên
policy-map PM_MODBUS
 class CLASS_MODBUS
  set ip dscp af41
  bandwidth percent 20
  priority percent 10

!-- 4. Áp policy vào interface (outbound)
interface Gig1/0/24
 service-policy output PM_MODBUS

!-- 5. Trên switch access port: map DSCP -> CoS và trust tại uplink
mls qos map dscp-to-coq 34 6   ! (ví dụ mapping AF41(34) -> CoS 6)
interface Gig1/0/1
 switchport mode access
 switchport access vlan 10
 mls qos trust cos
  

Ghi chú: cú pháp sẽ thay đổi theo các nhà sản xuất khác nhau (Cisco/Irongate/Hirschmann/Moxa...). "priority percent" (low-latency queue) dành cho traffic rất nhạy latency; "bandwidth percent" dùng đảm bảo tối thiểu băng thông.

6.6 Queueing models & khi nào dùng strict priority

• Strict Priority (PQ): Modbus luôn được xử lý trước hết — tốt cho control traffic nhưng cần guard-band để tránh starvation cho các lớp khác.
• Weighted Fair Queuing / CBWFQ: phân chia băng thông theo tỷ lệ (weights) — phù hợp khi nhiều lớp cùng cần băng thông nhưng vẫn muốn ưu tiên.
• Low-Latency Queuing (LLQ): kết hợp strict priority cho critical traffic và CBWFQ cho phần còn lại — là lựa chọn thường dùng cho môi trường công nghiệp.

6.7 Trust boundary & security considerations

Không nên tin (trust) DSCP/CoS giá trị từ port không xác thực (ví dụ port Office). Thiết lập:

• Edge access port (thiết bị không tin cậy) → set untrusted, rewrite marking theo chính sách access.
• Port kết nối SCADA/Gateway → set trusted để giữ mark do nguồn đặt.
• Áp ACL để chỉ cho phép host được đánh dấu gửi Modbus tới PLC.

6.8 Giám sát & kiểm thử QoS

• Sử dụng SNMP hoặc switch telemetry để theo dõi queue depth, drops, và buffer high-watermark.
• Dùng iPerf để tạo traffic tải nặng (TCP/UDP) và đo latency Modbus khi tải tăng cao.
• Kiểm tra packet capture (Wireshark) để xem DSCP và 802.1p values xuyên suốt path.
• Thực hiện stress test theo kịch bản: video streaming + file backup + modbus polling và đo R-TT, jitter, retransmission.

6.9 Các lỗi phổ biến khi triển khai QoS

1. Không nhất quán mapping DSCP ↔ CoS giữa switch → dẫn tới mất ưu tiên tại một số hop.
2. Trust boundary bị cấu hình sai → office host gắn DSCP cao gây ưu tiên trái phép.
3. Đặt priority quá lớn không có guard-band → starvation cho traffic khác (ví dụ camera).
4. QoS áp lên trunk nhưng không áp lên uplink ISP/VPN → ưu tiên không end-to-end.

6.10 Checklist triển khai nhanh

• ✅ Xác định flows Modbus (source/dest/port)
• ✅ Quyết định DSCP & CoS value cho Modbus
• ✅ Triển khai classification & marking tại nguồn
• ✅ Map DSCP ↔ CoS nhất quán trên toàn mạng
• ✅ Tạo LLQ/priority queue cho Modbus trên core/distribution
• ✅ Thiết lập trust boundaries (edge ports untrusted)
• ✅ Test stress và kiểm tra packet capture
• ✅ Giám sát queue drops & latency sau khi vận hành

6.11 Kết luận

Áp dụng QoS cho Modbus TCP là bước thiết yếu khi hệ thống chia sẻ hạ tầng mạng với nhiều loại traffic khác. Thực hiện theo nguyên tắc: classify → mark → queue → monitor, đồng thời đảm bảo mapping và chính sách trust nhất quán trên toàn domain để đạt mục tiêu giảm trễ, giảm jitter và tăng độ ổn định cho các giao dịch điều khiển quan trọng.