Данная сессия посвящена обзору архитектуры по построению технологических сетей связи на современном производственном объекте. В основе презентации лежит иерархический подход к построению сетевой архитектуры начиная от уровня ячейки технологического процесса и заканчивая уровнем корпоративных приложений. Описание решения включает в себя раздел по обеспечению информационной безопасности в технологической сети и на стыке технологической и корпоративной сети связи. Рекомендации по проектированию технологических систем будут дополнены краткой информацией по сетевым устройствам производства Cisco в промышленном исполнении.
2. Содержание
Технологические сети, их развитие
Эталонные дизайны:
Производство
Электроэнергетика
Нефтегаз
Сеть технологического и охранного видеонаблюдения
Инфраструктура умного города
Портфолио Cisco для технологических сетей
4. Изменения в технологической сети
От разделенных
систем…
От закрытых протоколов
и интерфейсов…
От подключенного
устройства…
…к решениям на основе
стандартов
… к объединенному и
безопасному решению
…до критичной части
корпоративной системы
5. Мультисервисная сеть
Конвергенция продолжается
Выделенная инфраструктура
для каждой подсистемы
Единая сеть на основе
стандартных протоколов и
интерфейсов
Конвергентная сеть на базе IP
Единая инфраструктура для приложений
АСУ ТП ВидеонаблюдениеТелемеханика
6. Содержание
Технологические сети, их развитие
Эталонные дизайны:
Производство
Электроэнергетика
Нефтегаз
Сеть технологического и охранного видеонаблюдения
Инфраструктура умного города
Портфолио Cisco для технологических сетей
7. Иерархическая модель управления в производстве
Enterprise Zone
MES, CRM, SCM, ERP
DMZ
Manufacturing Zone
SCADA
Cell/Area Zone
I/O, HMI, PAC/PLC
Demilitarized Zone — Shared Access
Enterprise Network Level 5
Site Business Planning and Logistics
Network Level 4
Site Manufacturing Operations and
Control
Level 3
Area Control Level 2
Basic Control Level 1
Process Level 0
Основана на модели Purdue https://en.wikipedia.org/wiki/Purdue_Enterprise_Reference_Architecture и
IEC 62443 https://en.wikipedia.org/wiki/Cyber_security_standards#ISA.2FIEC-62443_.28formerly_ISA-99.29
8. Демилитаризованная зона
9
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Terminal
Services
Patch Management AV
Server
Application Mirror Web Services Operations Application
Server
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
SCADA
Server
Active
Directory
Engineering
Workstation
Domain Controller
SCADA
Client
Operator
Interface
SCADA
Client
Engineering
Workstation
Operator
Interface
Batch
Control
Discrete Control Drive Control
Continuous
Process Control Safety
Control
Sensors Drives Actuators Robots
Корпоративная
сеть
ДМЗ
Операционная
Зона
Технологические
ячейки
Web
E-Mail
IA
Firewall
Firewall
Site Operations
and Control
Area Supervisory
Control
Basic Control
Process
11. Gbps Link for Failover
Detection
Firewall
(Active)
Firewall
(Standby)
FactoryTalk Application
Servers
Cisco
ASA 5500
Cisco Catalyst
6500/4500
Cisco Cat. 3750
Switch Stack
Patch Management
Terminal Services
Application Mirror
AV Server
Cell/Area #1
(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2
(Ring Topology)
Cell/Area #3
(Linear Topology)
Layer 2 Access Switch
Controller
Cell/Area Zone
Levels 0–2
Layer 2 Access
Manufacturing Zone
Level 3
Distribution and Core
Demilitarized Zone
(DMZ) Firewalls
Enterprise Network
Levels 4–5
Web Apps DNS FTP
Internet
Connected Factory 3.0
http://www.cisco.com/c/en/us/td/docs/s
olutions/Verticals/CPwE/CPwE_DIG.ht
ml
12. Gbps Link for Failover
Detection
Firewall
(Active)
Firewall
(Standby)
FactoryTalk Application
Servers
Cisco
ASA 5500
Cisco Catalyst
6500/4500
Cisco Cat. 3750
Switch Stack
Patch Management
Terminal Services
Application Mirror
AV Server
Cell/Area #1
(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2
(Ring Topology)
Cell/Area #3
(Linear Topology)
Layer 2 Access Switch
Controller
Cell/Area Zone
Levels 0–2
Layer 2 Access
Manufacturing Zone
Level 3
Distribution and Core
Demilitarized Zone
(DMZ) Firewalls
Enterprise Network
Levels 4–5
Web Apps DNS FTP
Internet
Connected Factory 3.0
http://www.cisco.com/c/en/us/td/docs/s
olutions/Verticals/CPwE/CPwE_DIG.ht
ml
13. Controller
HMI
I/O I/O
WGB
I/O
Drive
WGB
Controller
I/O I/O
A P
A P
WGB
X
WGB
Roaming I/OCell/Area #
(Wireless Topology)
A P
A P
Gbps Link for Failover
Detection
Firewall
(Active)
Firewall
(Standby)
FactoryTalk Application
Servers
Cisco
ASA 5500
Cisco Catalyst
6500/4500
Cisco Cat. 3750
Switch Stack
Patch Management
Terminal Services
Application Mirror
AV Server
Manufacturing Zone
Level 3
Distribution and Core
Demilitarized Zone
(DMZ) Firewalls
Enterprise Network
Levels 4–5
Web Apps DNS FTP
Internet
Connected Factory 3.5.0
http://www.cisco.com/c/en/us/td/docs/s
olutions/Verticals/CPwE/NovCVD/CPw
E_WLAN_CVD.html
Беспроводная
сеть на
производстве
Cell/Area Zone
Levels 0–2
Layer 2 Access
14. Содержание
Технологические сети, их развитие
Эталонные дизайны:
Производство
Электроэнергетика
Нефтегаз
Сеть технологического и охранного видеонаблюдения
Инфраструктура умного города
Портфолио Cisco для технологических сетей
16. Основные компоненты решения
Распределительная сеть
Автоматизированный
учет
Магистральные электрические
сети
ЦУС/ЦОД
Управление и защита
технологической и
мультсервисной
сетей передачи данных
20. Мобильные
бригады
Автоматизация распределительной сети
Мультисервисная сеть связи
Удаленное
управление и
контроль
Полевая сеть на базе
RF-Mesh или PLC-mesh
Ethernet/WiMax
сеть
2G/3G/LTE
сеть
Приборы
учета
Интеллектуальны
е приборы учета
Мониторинг
оборудования
Удаленное
управление
Приборы
учета
Распределенная
генерация
Сеть
АСУТП
Контроль
нагрузки
Управление
освещением
Управление
оборудованием
Управление сетевым
оборудованием
Управление мобильными
бригадами
Сбор данных и управление технологическими
процессами
Центр управления сетью
21. Распределенная обработка данных
Скорость
Некоторые приложения
критичны к задержкам
Надежность
Безопасность
Объем информации
Количество данных растет
быстрее чем полоса
пропускания каналов
Традиционная модель
Бесконечная полоса
пропускания и
низкая задержка
ЦОД
Облако
Клиент
Новая модель для IoT
Ограниченная полоса
пропускания, различная
задержка и нестабильные
каналы связи
ЦОД
Облако
Устройство
Туман
Ограниченная полоса
пропускания, различная
задержка и нестабильные
каналы связи
22. Гостевая операционная система
Возможность запуска сторонних приложений независимо от Cisco IOS:
Гостевая операционная система полностью независима от Cisco IOS
Для обмена данными используется виртуальный Ethernet интерфейс
Подключение физических интерфейсов к гостевой ОС
Варианты использования:
Сетевой шлюз
Трансляция протоколов
Обработка данных
Распределенное управление
Шифрование данных на уровне приложения
Hypervisor
Cisco IOS Guest OS
23. Руководство по дизайну и внедрению
“Smart Grid Substation Automation Design
and Implementation Guide”
Рекомендации по дизайну и внедрению для
различных сценариев
Архитектура подстанционных сетей
Рекомендации по выбору оборудования
Рекомендации по конфигурации
Результаты тестирования ключевых параметров
решений
Design and Implementation Guide
распространяется в рамках NDA
24. Содержание
Технологические сети, их развитие
Эталонные дизайны:
Производство
Электроэнергетика
Нефтегаз
Сеть технологического и охранного видеонаблюдения
Инфраструктура умного города
Портфолио Cisco для технологических сетей
28. Содержание
Технологические сети, их развитие
Эталонные дизайны:
Производство
Электроэнергетика
Нефтегаз
Сеть технологического и охранного видеонаблюдения
Инфраструктура умного города
Портфолио Cisco для технологических сетей
29. Централизованное решение с единым ЦОД,
централизованное управление и доступ
Пользователи
Ограниченный
доступ
Полный
доступ
Доступ к видео
на основе политик
Централизованные
медиа-серверы,
управление и СХД
Виртуализированный ЦОД
Аналог
Аналог
H.264
IP-кодер
IP/H.26
4
Аналоговые системы DVR,
аналоговые камеры
IP-камеры, NVR
WAN
WAN
IP-кодер
30. Распределенная архитектура,
централизованное управление и доступ
Централизованный
серверы управления,
долговременный архив
Централизованная система
управленияАналог
IP-кодер
Медиа-сервер с локальным
хранилищем
Медиа-сервер с локальным
хранилищем
WAN
WAN
Аналог
IP-кодер
IP-поток
IP/H.264
Пользователи
Ограниченный
доступ
Полный
доступ
Доступ к видео
на основе политик
31. Федеративное объединение
систем управления
Распределенная архитектура,
распределенное управление и доступ
Основные пользователи
Ограниченный
доступ
Полный
доступ
Доступ к видео и архиву
от любого объекта на
основе ролей
WAN
Объектовые системы с
собственным управлением
Аналог
IP-кодер
IP
потоки
IP
потоки
Медиа-сервер и система
управления, локальные
пользователи
Медиа-сервер и система
управления на модуле
маршрутизатора, локальные
пользователи
WAN
WAN
IP
потоки
Медиа-сервер и система
управления, локальные
пользователи
32. Содержание
Технологические сети, их развитие
Эталонные дизайны:
Производство
Электроэнергетика
Нефтегаз
Сеть технологического и охранного видеонаблюдения
Инфраструктура умного города
Портфолио Cisco для технологических сетей
33. «Умный город»
Ситуационно-аналитический центр
Безопасный
город
Управление
трафиком
«Умные»
здания
Городская
инфраструктура
Цифровая реклама
«Умные» парки
«Умный» дом
Подземный транспорт (метро)
Водоснабжение/водоотведен
ие
Уличное освещение
Парковки
Управление светофорами
Информация о пробках
Нарушение правил парковки
RFID билеты
Информирование
туристов
Идентификация
Системы интеллектуального здания
Инфраструктура связи и СКС
Smart Office и бизнес-приложения
Видеонаблюдение
Сенсоры/детекторы
Интеллектуальное освещение
Умные приборы и
автоматизация
Безопасность
Киоски, цифровые табло, экраны,
проекторы, т.д.
«Умные» стадионы
34. Nexus DC SwitchWLC
Root AP
Mesh AP
Уровень ЦОД
Уровень города
Уровень улицы
(HSRP/VRRP)
Virtualization & Other Apps
REP 100
CAT 4500 X
ASA Firewall
Access Point
REP
200
vPC
ME 2600 X
IE 2000
Outside
Inside
MSE
Inside-
City
Internet Cloud
Video Surveillance -
VSOM/VSMS
Video Surveillance Client -
Operator/SASD
Cisco ACS
UCS Platform
ME 2600 X
Certification Server -
Microsoft
Bridged Bridged
DHCP Server
3rd party
Authentication
Server
Authentication /Policy
enforcement server
SP NETWORK
CITY Data
Center
ISG
Cisco Prime
CPIPE (DHCP
Server)
Root AP
Mesh AP
Access Point
Water Parking
Street
Lighting Waste Environment People
Street
Furniture TrafficTransportation
Архитектура «Умного города» 2.0
35. Содержание
Технологические сети, их развитие
Эталонные дизайны:
Производство
Электроэнергетика
Нефтегаз
Сеть технологического и охранного видеонаблюдения
Инфраструктура умного города
Портфолио Cisco для технологических сетей
38. Сетевое портфолио для целостной производственной архитектуры
Индустриальные сети АСУТП, ИТС, Безопасные города, Smart Grid
Data Center/Virtualization
Fog Computing
Энергетика Нефть и газПроизводство ГородаТранспортДобыча
IE 2k/3k
CGS
2520
1550 Series
Ruggedized
Wireless AP
819/809/829
CGR 1K
CGR 2K
IPICS, VSM,
Cameras
59XX ESR
2020 ESS
NMS
819 based FW
ASA5506H
w/Sourcefire
39. Cisco CGR 2010
Маршрутизаторы в промышленном исполнении
Маршрутизаторы в индустриальном исполнении
Соответствие требованиям индустриальных стандартов
Расширенный диапазон эксплуатационных температур
Работа под управлением Cisco IOS/IOS XE
Классический набор технологий (IP routing, Security, Multicast, QoS и т.д.)
Cisco ASR903 Cisco CGR 1000 Cisco ISR 819
40. Коммутаторы в промышленном
исполнении
10/100M 1G/10G
IE2000
IE3000 IE3010
CGS2520
IE2000U
IE4000
- L2
- Small Form Factor
- IP30, IP67
- L2 NAT
- IEEE1588 PTP
- PoE/PoE+
- L2 or L3 (IP
Services)
- Small Form Factor
- PRP
- IEEE1588 PTP
(Power Profile)
- PoE/PoE+
- L2 or L3 (IP Services)
- Modular
- Up to 24 ports
- IEEE1588 PTP
- PoE/PoE+
- L2 or L3 (IP Services)
- 1 RU
- Up to 24 ports
- 8 PoE + 16 SFP
or 24 Copper
- IEEE1588 PTP
(Power Profile*)
- PoE/PoE+
- L2 or L3 (IP Services)
- 4 port Gig uplinks
- Up to 20 ports Gig
- IEEE1588 PTP
(Power Profile)
- L2 NAT
- Up to 8 PoE/PoE+
- Dying Gasp
Возможности
Доступ
Агрегация
- L2 or L3 (IP Services)
- 4 port 1/10G uplinks
- 12 Gig SFP + 12 Gig
PoE/PoE+
- IEEE1588 PTP
(Power Profile)
- L2 NAT
- PoE/PoE+
IE5000
41. Межсетевой экран
Устройство в индустриальном исполнении ISA 3000
Поддерживаемые сервисы
Межсетевой экран
VPN-шлюз
Обнаружение вторжений
Трансляция сетевых адресов
Поддержка мультиконтекстного режима
Индустриальное исполнение
Два типа устройств: 4х10/100/1000 BaseT или 2х10/100/1000BaseT
+ 2х1Gb Fiber
Монтаж на DIN-рейку
Рабочий диапазон температур: -40оС – +70оС
Специальный функционал
Разрешен любой трафик
Работа в режиме L2
Байпас реле
Осень
2015
43. Технические средства обеспечения физической безопасности
Physical Security Operations Manager
Physical Security Information Managers (PSIM)
Сторонние приложения (SCADA, системы мониторинга)
Video Surveillance
Manager
End-to-end решение IP-сеть Medianet • Виртуализация • Безопасность • Управление
Видеонаблюдение
Система экстренной
связиIP камеры
Система контроля и
управления доступом
IPICSМегапиксельные камеры Контроллеры и система
управления (CPAM)