如果你问一个工业物联网(IIoT)运维团队,他们最头疼的电话是什么,答案很少是某台设备离线。真正的麻烦始于整个站点瘫痪、常规工具无能为力,而有人必须迅速判断问题能否远程解决,还是需要派技术人员前往现场。
此时,安全的远程访问就显得至关重要。这不仅仅是为了在办公桌前进行系统更新,更是在网络中断、操作员不在现场、客户要求更新进展,且下一步操作可能解决问题或导致故障加剧的情况下,确保能够保持对情况的掌握和控制。
Digi Remote Reach 正是为应对此类情况而设计的。它是一项基于浏览器的远程访问功能,位于 Digi Remote Manager (DRM) 中的浏览器远程访问功能,可让您连接到位于 Digi 蜂窝路由器后方的任何设备。
无论您是在对服务器、工作站、平板电脑还是工业控制器进行故障排除, Digi Remote Reach 都能为您提供直连设备的便捷通道。例如,通过 Digi Remote Reach,您可以使用 SSH 连接 Linux 服务器、通过 RDP 连接 Windows 计算机、使用 VNC 连接面板电脑、访问 HTTP/S 管理页面,或打开串行控制台连接 PLC、RTU 以及任何不使用 IP 的控制器。
无需在笔记本电脑上安装代理程序,无需额外的客户端,也无需额外许可证。您只需使用已在 Digi RM 中打开的浏览器标签页即可。
Digi Remote Reach 背后有三个关键的架构设计。这些设计各自解决了不同的问题。正是它们的协同作用,使得在站点宕机、连接中断且时间至关重要时,仍能实现远程访问。
获取我们的解决方案简介
了解一种无需人工干预的安全修复方法
下载 PDF
一条真正独立的道路
Digi蜂窝路由器可为站点提供一条独立于主广域网(WAN)的备用连接。即使光纤被切断、防火墙死机或运营商线路故障,蜂窝连接仍能正常工作。
正是这种韧性,是企业部署Digi蜂窝路由器的主要原因。远程访问同样基于这一基础,使运营商能够通过现有的网络路径安全地访问设备。
在某些部署场景中,这种连接充当备用路径。然而,在许多工业环境中,Digi路由器才是主要的网络连接。在提升站、变电站或中转场等场所,通常没有光纤。在这些情况下,蜂窝网络不仅仅是备用方案,而是唯一的连接方式。因此,确保蜂窝网络路径及其管理系统的持续运行,便成为了保障系统韧性的关键。
正因如此,我们的设备配备了 eSIM 引导配置文件。如果客户的主运营商出现故障或断网,Digi RM 仍可通过该引导配置文件联系到 Digi 设备。这一功能往往在需要时才被注意到。
连接必须在事件发生前就准备就绪,而不是事后才建立。Digi Remote Reach 已集成到Digi Remote Manager 中。无需单独的产品、控制台或额外购买。如果您的设备已接入 Digi RM,您便已拥有 带外访问。
一个控制台,管理网络及其上的所有设备
许多管理分布式基础设施的人员同时使用两到三种不同的管理工具——一种用于蜂窝网络,另一种用于其他设备,有时还需第三种工具来处理特定协议。每种工具都有各自的登录方式和审计流程,且信息往往已过时。这种分散管理在日常工作中并不明显,但在发生故障时,其带来的负担会成倍增加。
DRM 已经负责管理网络——包括路由器、固件、配置和连接。Digi Remote Reach 将设备管理整合到了同一控制台中。同一浏览器标签页、同一身份认证、同一审计日志。我们还加入了串行控制台支持,因为如果无法连接到不使用 IP 的 PLC 或 RTU,您实际上只能管理网络中原本就正常运行的部分。
工厂里最新的控制系统往往已有十年历史,而最老的系统甚至可能比操作它的工程师还要年长。能够在一个平台上同时管理新旧系统,这才是一台真正统一的控制台,而不仅仅是两个共享菜单的产品。
有意识地采用点对点模式
第三种选择是架构本身:点对点连接。当操作员在 Digi Remote Reach 中建立会话时,安全连接会通过蜂窝路由器直接在其浏览器与设备之间建立。Digi 并不位于数据路径中。Digi RM 负责验证操作员身份并促成连接建立,随后便不再参与其中。一旦会话建立,数据便在两个端点之间传输,而这两个端点均非 Digi。
这与大多数远程访问产品的运作方式恰恰相反。该市场的标准模式是将每个会话都通过供应商的云端进行代理,因此从操作员到设备的整个过程中,诊断流量、RDP帧和串行数据都必须经过供应商的基础设施。
采用直接方法会带来两点结果。
- 性能难以预测。通过某供应商云端中转的连接,会继承该云端的负载曲线。当您的运营商最需要该会话保持响应时——例如多个站点宕机、客户等待更新、卡车还有两小时才到达——恰恰也是其他所有客户都在通过该供应商的基础设施传输流量的日子。共享的基础设施意味着共享糟糕的日子。 而直连路径则不存在这一问题,因为除了您已拥有的路由器之外,您与终端设备之间没有任何共享资源。
- 安全边界就是您已经信任的那个。数据路径与信任路径相吻合:从您的运维人员出发,经过您的路由器,最终到达您的设备。没有任何第三方会记录会话内容。在事件审查过程中,无需考虑共享租户边界的问题。对于必须遵守 NERC CIP、IEC 62443 或内部 OT 分段政策的组织而言,这正是决定一款工具能否被实际使用,还是仅获批通过的关键所在。 我参加过足够多的审计审查,深知哪些架构能一次通过,哪些架构会被退回并附带三十页的后续问题清单。
“糟糕的一天”产品
当站点出现故障、运维人员不在现场且技术支持需数小时才能抵达时,细节至关重要。正因如此,Digi Remote Reach 的设计围绕三大核心原则展开:独立连接、统一控制台,以及仅使用客户自有基础设施的会话。
在演示过程中,远程访问可能看起来只是众多功能之一,但当你真正需要它时,它便会成为一项至关重要的架构决策。
应对糟糕日子的最佳时机,是在它发生之前。了解 Digi Remote Reach 如何在网络连接和控制至关重要时,提供安全的基于浏览器的访问服务。
关于远程管理的常见问题——路由器之外
什么是适用于 IT 和 OT 环境的远程管理解决方案?
远程管理解决方案是一种平台,可让 IT 和 OT 团队从中央位置对联网设备进行监控、访问、故障排除、配置和维护。这些解决方案有助于组织管理路由器、工业控制器、服务器、工作站、面板电脑及其他联网设备,而无需派人现场操作。
如今,大多数此类解决方案在可访问和控制的设备方面都存在局限。Digi Remote Reach改变了这一现状,将控制范围从路由器扩展到了所有连接到路由器的设备。
IT 和 OT 团队如何远程管理连接到路由器的设备?
IT 和 OT 团队可以通过使用像Digi Remote Reach这样安全的远程访问解决方案,远程管理连接到路由器的设备。该解决方案通过路由器为下游设备提供连接。这种方法使管理员能够通过集中式管理平台,使用 SSH、RDP、VNC、HTTP、HTTPS 以及串行通信等协议访问设备。
远程访问为何对工业和分布式运营至关重要?
远程访问之所以重要,是因为它使团队能够快速诊断和解决问题,即使人员不在现场也不例外。安全的远程访问可以减少停机时间、最大限度地减少现场上门服务、提高运营效率,并使组织能够对分散的地点保持可视性和控制力。
当主网络连接出现故障时,远程管理解决方案能否仍能提供访问?
是的,像Digi Remote Reach这样的远程管理解决方案利用蜂窝网络连接,可在主广域网连接中断时提供访问通道。蜂窝路由器能够维持一条独立的通信路径,使管理员能够继续远程管理设备并排查问题。
通过单一平台管理路由器和连接设备有哪些优势?
通过单一平台管理路由器和连接设备,可提供统一的界面用于监控、配置、故障排除和审计,从而简化运维工作。统一平台能降低复杂性、提高可视性,并帮助团队更高效地应对事件。
远程设备管理如何减少现场服务的需求?
远程设备管理使技术人员和管理员无需亲临现场,即可诊断问题、更新配置、重启服务以及访问设备控制台。这不仅降低了运营成本、缩短了响应时间,还能最大限度地减少对业务运营的影响。
远程管理是否适用于 IT 和 OT 团队?
是的,远程管理解决方案旨在同时支持 IT 和 OT 团队。它们为网络基础设施和工业设备提供安全的访问通道,使跨职能团队能够在保持适当安全控制的同时,更有效地开展协作。
企业在选择远程管理解决方案时,应关注哪些安全功能?
组织应关注以下功能:强身份验证、加密通信、基于角色的访问控制、审计日志记录以及安全的远程访问架构。这些功能有助于保护关键系统,同时确保授权人员在需要时能够访问设备。
点对点远程访问如何提升安全性和性能?
点对点远程访问允许用户与受管设备之间建立直接连接,而非通过第三方云服务转发会话流量。这种架构通过降低延迟来提升性能,并通过将会话数据保留在组织的可信基础设施内来增强安全性。
远程管理解决方案能否支持老旧的工业设备?
是的,许多远程管理解决方案支持通过串行控制台访问及其他工业通信方式来管理老旧的工业设备。这一功能使企业能够在无需对基础设施进行重大调整的情况下,同时管理老旧设备与新型IP连接设备。
哪些行业最能从远程管理解决方案中获益?
制造业、公用事业、能源、交通运输、水务与污水处理、智慧城市以及关键基础设施等行业,都能从远程管理解决方案中获益匪浅。这些机构通常运营着分布式资产,需要可靠的远程监控与控制能力。
远程管理如何有助于减少停机时间?
远程管理有助于减少停机时间,因为它能让团队更快地发现、诊断和解决问题。通过即时访问路由器和连接设备,企业可以在问题升级为长时间中断之前及时处理。
企业在选择远程管理解决方案时应考虑哪些因素?
企业应评估网络连接的韧性、安全架构、设备兼容性、集中管理能力、部署便捷性、可审计性,以及对 IT 和 OT 环境的支持情况。选择一款能够为所有连接到路由器的设备提供安全访问的解决方案,有助于提高运营效率并保障业务连续性。
下一步工作