Архитектура технологических сетей и индустриальные...

Архитектура технологических сетей и

индустриальные решения Cisco

Игорь Гиркин

менеджер по развитию новых технологий

06.10.2015 © 2015 Cisco and/or its affiliates. All rights reserved.

Содержание

Технологические сети, их развитие

Эталонные дизайны:

Производство

Электроэнергетика

Нефтегаз

Сеть технологического и охранного видеонаблюдения

Инфраструктура умного города

Портфолио Cisco для технологических сетей

Шина управления

Полевая шина

Технологическая Сеть Передачи Данных

Первичное оборудование Первичное оборудование

Контроллеры Контроллеры

АСУТПЧасы

ТСПД

Изменения в технологической сети

От разделенных

систем…

От закрытых протоколов

и интерфейсов…

От подключенного

устройства…

…к решениям на основе

стандартов

… к объединенному и

безопасному решению

…до критичной части

корпоративной системы

Мультисервисная сетьКонвергенция продолжается

Выделенная инфраструктура

для каждой подсистемыЕдиная сеть на основе

стандартных протоколов и

интерфейсов

Конвергентная сеть на базе IP

Единая инфраструктура для приложений

АСУ ТП ВидеонаблюдениеТелемеханика

Содержание

Технологические сети, их развитие

Эталонные дизайны:

Производство

Электроэнергетика

Нефтегаз

Сеть технологического и охранного видеонаблюдения

Инфраструктура умного города

Портфолио Cisco для технологических сетей

Иерархическая модель управления в производстве

Enterprise Zone

MES, CRM, SCM, ERP

DMZ

Manufacturing Zone

SCADA

Cell/Area Zone

I/O, HMI, PAC/PLC

Demilitarized Zone — Shared Access

Enterprise Network Level 5

Site Business Planning and Logistics

Network Level 4

Site Manufacturing Operations and

ControlLevel 3

Area Control Level 2

Basic Control Level 1

Process Level 0

Основана на модели Purdue https://en.wikipedia.org/wiki/Purdue_Enterprise_Reference_Architecture и

IEC 62443 https://en.wikipedia.org/wiki/Cyber_security_standards#ISA.2FIEC-62443_.28formerly_ISA-99.29

Демилитаризованная зона

9

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Terminal Services

Patch Management AV Server

Application Mirror Web Services Operations ApplicationServer

Enterprise Network

Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.

SCADAServer

ActiveDirectory

Engineering Workstation

Domain Controller

SCADAClient

Operator Interface

SCADAClient

Engineering Workstation

Operator Interface

Batch Control

Discrete Control Drive ControlContinuous

Process ControlSafety Control

Sensors Drives Actuators Robots

Корпоративнаясеть

ДМЗ

ОперационнаяЗона

Технологическиеячейки

WebE-Mail

IA

Firewall

Firewall

Site Operationsand Control

Area Supervisory Control

Basic Control

Process

PatchMgmt.

Web Services Operations

AVServer

ApplicationServer

Terminal Services

HistorianMirror

DMZ

Нет прямых соединений

Граница соединения

Граница соединения

Множество функциональных

зон

Логический вид зоны DMZ

Рекомендации по обеспечению безопасности

Gbps Link for Failover Detection

Firewall(Active)

Firewall(Standby)

FactoryTalk Application Servers

CiscoASA 5500

Cisco Catalyst6500/4500

Cisco Cat. 3750Switch Stack

Patch ManagementTerminal ServicesApplication Mirror

AV Server

Cell/Area #1(Redundant Star Topology)

Drive

Controller

HMI Distributed I/O

Controller

DriveDrive

HMI

Distributed I/O

HMI

Cell/Area #2(Ring Topology)

Cell/Area #3(Linear Topology)

Layer 2 Access Switch

Controller

Cell/Area ZoneLevels 0–2Layer 2 Access

Manufacturing ZoneLevel 3Distribution and Core

Demilitarized Zone(DMZ) Firewalls

Enterprise NetworkLevels 4–5

Web Apps DNS FTP

Internet

Connected Factory 3.0

http://www.cisco.com/c/en/us/td/docs/s

olutions/Verticals/CPwE/CPwE_DIG.ht

ml

Gbps Link for Failover Detection

Firewall(Active)

Firewall(Standby)

FactoryTalk Application Servers

CiscoASA 5500

Cisco Catalyst6500/4500

Cisco Cat. 3750Switch Stack

Patch ManagementTerminal ServicesApplication Mirror

AV Server

Cell/Area #1(Redundant Star Topology)

Drive

Controller

HMI Distributed I/O

Controller

DriveDrive

HMI

Distributed I/O

HMI

Cell/Area #2(Ring Topology)

Cell/Area #3(Linear Topology)

Layer 2 Access Switch

Controller

Cell/Area ZoneLevels 0–2Layer 2 Access

Manufacturing ZoneLevel 3Distribution and Core

Demilitarized Zone(DMZ) Firewalls

Enterprise NetworkLevels 4–5

Web Apps DNS FTP

Internet

Connected Factory 3.0

http://www.cisco.com/c/en/us/td/docs/s

olutions/Verticals/CPwE/CPwE_DIG.ht

ml

Controller

HMI

I/O I/O

WGB

I/O

Drive

WGB

Controller

I/O I/O

A P

A P

WGB

XWGB

Roaming I/OCell/Area #(Wireless Topology)

A P

A P

Gbps Link for Failover Detection

Firewall(Active)

Firewall(Standby)

FactoryTalk Application Servers

CiscoASA 5500

Cisco Catalyst6500/4500

Cisco Cat. 3750Switch Stack

Patch ManagementTerminal ServicesApplication Mirror

AV Server

Manufacturing ZoneLevel 3Distribution and Core

Demilitarized Zone(DMZ) Firewalls

Enterprise NetworkLevels 4–5

Web Apps DNS FTP

Internet

Connected Factory 3.5.0

http://www.cisco.com/c/en/us/td/docs/s

olutions/Verticals/CPwE/NovCVD/CPw

E_WLAN_CVD.html

Беспроводная

сеть на

производстве

Cell/Area ZoneLevels 0–2Layer 2 Access

Содержание

Технологические сети, их развитие

Эталонные дизайны:

Производство

Электроэнергетика

Нефтегаз

Сеть технологического и охранного видеонаблюдения

Инфраструктура умного города

Портфолио Cisco для технологических сетей

Cisco GridBlocks™

Описывает все этапы распределения электроэнергии

Модель состоит из 11 связанных уровней

Каждый уровень это – отдельная компонента

Для каждого уровня разработаны рекомендации по построению сети

передачи данных

Рекомендации по:

использованию существующего оборудования;

добавлению новых устройств;

внедрению новых сервисов.

06.10.2015 © 2015 Cisco and/or its affiliates. All rights reserved.16

Обобщенная модель сети

Основные компоненты решения

Распределительная сеть

Автоматизированный

учет

Магистральные электрические

сети

ЦУС/ЦОД

Управление и защита

технологической и

мультсервисной

сетей передачи данных

SDH

Типовая подстанция

Автоматизация подстанцийТрадиционная схема подключения

ЛВС

ТМ

АСУТП

АИИС КУЭ

ОМП КРАП

Диспетческая

связь

Видеонаблюдение

IP сеть

РДУ ЦУС

РДП

АРМ

Видеонаблюдения

КСПД

Типовая подстанция

Автоматизация подстанцийНовая схема подключения

Диспетческая связь

Видеонаблюдение

Беспроводной доступ

ЛВС

ТМ

АСУТП

АИИС КУЭ

MPLS IP

РДУ ЦУС

РДП

КСПД

АРМ

Видеонаблюдения

Мультисервисная архитектура подстанции

Шина процессов

… К2 К3 … К4К1

КСПД КСПД

Шина подстанции Мультисервисная шина

Физическая

безопасность

Доступ мобильных

пользователей

Мобильные

бригады

Автоматизация распределительной сетиМультисервисная сеть связи

Удаленное

управление и

контроль

Полевая сеть на базе

RF-Mesh или PLC-mesh

Ethernet/WiMax

сеть

2G/3G/LTE

сеть

Приборы

учетаИнтеллектуальны

е приборы учета

Мониторинг

оборудования

Удаленное

управление

Приборы

учета

Распределенная

генерация

Сеть

АСУТП

Контроль

нагрузки

Управление

освещением

Управление

оборудованием

Управление сетевым оборудованием

Управление мобильными бригадами

Сбор данных и управление технологическими процессами

Центр управления сетью

Распределенная обработка данных

СкоростьНекоторые приложения критичны к задержкам

Надежность

Безопасность

Объем информацииКоличество данных растет

быстрее чем полоса пропускания каналов

Традиционная модель

Бесконечная полоса пропускания и

низкая задержка

ЦОДОблако

Клиент

Новая модель для IoT

Ограниченная полоса пропускания, различная задержка и нестабильные каналы связи

ЦОДОблако

Устройство

Туман

Ограниченная полоса пропускания, различная задержка и нестабильные каналы связи

Гостевая операционная система

Возможность запуска сторонних приложений независимо от Cisco IOS:

Гостевая операционная система полностью независима от Cisco IOS

Для обмена данными используется виртуальный Ethernet интерфейс

Подключение физических интерфейсов к гостевой ОС

Варианты использования:

Сетевой шлюз

Трансляция протоколов

Обработка данных

Распределенное управление

Шифрование данных на уровне приложения

Hypervisor

Cisco IOS Guest OS

Руководство по дизайну и внедрению

“Smart Grid Substation Automation Design and Implementation Guide”

Рекомендации по дизайну и внедрению для различных сценариев

Архитектура подстанционных сетей

Рекомендации по выбору оборудования

Рекомендации по конфигурации

Результаты тестирования ключевых параметров решений

Design and Implementation Guide

распространяется в рамках NDA

Содержание

Технологические сети, их развитие

Эталонные дизайны:

Производство

Электроэнергетика

Нефтегаз

Сеть технологического и охранного видеонаблюдения

Инфраструктура умного города

Портфолио Cisco для технологических сетей

ТСПД для трубопроводов

ТСПД для переработки

ТСПД для добычи

Содержание

Технологические сети, их развитие

Эталонные дизайны:

Производство

Электроэнергетика

Нефтегаз

Сеть технологического и охранного видеонаблюдения

Инфраструктура умного города

Портфолио Cisco для технологических сетей

Централизованное решение с единым ЦОД,

централизованное управление и доступ

Пользователи

Ограниченный

доступ

Полный

доступ

Доступ к видео

на основе политик

Централизованные

медиа-серверы,

управление и СХД

Виртуализированный ЦОД

Аналог

Аналог

H.264

IP-кодер

IP/H.26

4

Аналоговые системы DVR,

аналоговые камеры

IP-камеры, NVR

WAN

WAN

IP-кодер

Распределенная архитектура,

централизованное управление и доступ

Централизованный

серверы управления,

долговременный архив

Централизованная система

управленияАналог

IP-кодер

Медиа-сервер с локальным

хранилищем

Медиа-сервер с локальным

хранилищем

WAN

WAN

Аналог

IP-кодер

IP-поток

IP/H.264

Пользователи

Ограниченный

доступ

Полный

доступ

Доступ к видео

на основе политик

Федеративное объединение

систем управления

Распределенная архитектура,

распределенное управление и доступ

Основные пользователи

Ограниченный

доступ

Полный

доступ

Доступ к видео и архиву

от любого объекта на

основе ролей

WAN

Объектовые системы с

собственным управлением

Аналог

IP-кодер

IP

потоки

IP

потоки

Медиа-сервер и система

управления, локальные

пользователи

Медиа-сервер и система

управления на модуле

маршрутизатора, локальные

пользователи

WAN

WAN

IP

потоки

Медиа-сервер и система

управления, локальные

пользователи

Содержание

Технологические сети, их развитие

Эталонные дизайны:

Производство

Электроэнергетика

Нефтегаз

Сеть технологического и охранного видеонаблюдения

Инфраструктура умного города

Портфолио Cisco для технологических сетей

«Умный город»

Ситуационно-аналитический центр

Безопасный

город

Управление

трафиком

«Умные»

здания

Городская

инфраструктура

Цифровая реклама

«Умные» парки

«Умный» дом

Подземный транспорт (метро)

Водоснабжение/водоотведен

ие

Уличное освещение

Парковки

Управление светофорами

Информация о пробках

Нарушение правил парковки

RFID билеты

Информирование

туристов

Идентификация

Системы интеллектуального здания

Инфраструктура связи и СКС

Smart Office и бизнес-приложения

Видеонаблюдение

Сенсоры/детекторы

Интеллектуальное освещение

Умные приборы и

автоматизация

Безопасность

Киоски, цифровые табло, экраны,

проекторы, т.д.

«Умные» стадионы

Nexus DC SwitchWLC

Root AP

Mesh AP

Уровень ЦОД

Уровень города

Уровень улицы

(HSRP/VRRP)

Virtualization & Other Apps

REP 100

CAT 4500 X

ASA Firewall

Access Point

REP 200

vPC

ME 2600 X

IE 2000

Outside

Inside

MSE

Insi

de

-C

ity

Internet Cloud

Video Surveillance -

VSOM/VSMSVideo Surveillance Client -

Operator/SASD

Cisco ACS

UCS Platform

ME 2600 X

Certification Server -

Microsoft

Bridged Bridged

DHCP Server

3rd party Authentication

Server

Authentication /Policy enforcement server

SP NETWORKCITY Data

Center ISG

Cisco Prime

CPIPE (DHCP

Server)

Root AP

Mesh AP

Access Point

Water Parking

Street

Lighting Waste Environment PeopleStreet

Furniture TrafficTransportation

Архитектура «Умного города» 2.0

Содержание

Технологические сети, их развитие

Эталонные дизайны:

Производство

Электроэнергетика

Нефтегаз

Сеть технологического и охранного видеонаблюдения

Инфраструктура умного города

Портфолио Cisco для технологических сетей

Экстремальные условия эксплуатации

Простота в обслуживании

Сетевое портфолио для целостной производственной архитектуры

Индустриальные сети АСУТП, ИТС, Безопасные города, Smart Grid

Data Center/Virtualization

Fog Computing

Энергетика Нефть и газПроизводство ГородаТранспортДобыча

IE 2k/3k

CGS

2520

1550 SeriesRuggedizedWireless AP

819/809/829CGR 1KCGR 2K

IPICS, VSM, Cameras

59XX ESR

2020 ESS

NMS

819 based FW

ASA5506H w/Sourcefire

Cisco CGR 2010

Маршрутизаторы в промышленном исполнении

Маршрутизаторы в индустриальном исполнении

Соответствие требованиям индустриальных стандартов

Расширенный диапазон эксплуатационных температур

Работа под управлением Cisco IOS/IOS XE

Классический набор технологий (IP routing, Security, Multicast, QoS и т.д.)

Cisco ASR903 Cisco CGR 1000 Cisco ISR 819

Коммутаторы в промышленном

исполнении

10/100M 1G/10G

IE2000

IE3000 IE3010

CGS2520

IE2000U

IE4000

- L2

- Small Form Factor

- IP30, IP67

- L2 NAT

- IEEE1588 PTP

- PoE/PoE+

- L2 or L3 (IP

Services)

- Small Form Factor

- PRP

- IEEE1588 PTP

(Power Profile)

- PoE/PoE+

- L2 or L3 (IP Services)

- Modular

- Up to 24 ports

- IEEE1588 PTP

- PoE/PoE+

- L2 or L3 (IP Services)

- 1 RU

- Up to 24 ports

- 8 PoE + 16 SFP

or 24 Copper

- IEEE1588 PTP

(Power Profile*)

- PoE/PoE+

- L2 or L3 (IP Services)

- 4 port Gig uplinks

- Up to 20 ports Gig

- IEEE1588 PTP

(Power Profile)

- L2 NAT

- Up to 8 PoE/PoE+

- Dying Gasp

Во

зм

ож

но

сти

Доступ

Агрегация

- L2 or L3 (IP Services)

- 4 port 1/10G uplinks

- 12 Gig SFP + 12 Gig

PoE/PoE+

- IEEE1588 PTP

(Power Profile)

- L2 NAT

- PoE/PoE+

IE5000

Межсетевой экранУстройство в индустриальном исполнении ISA 3000

Поддерживаемые сервисы

Межсетевой экран

VPN-шлюз

Обнаружение вторжений

Трансляция сетевых адресов

Поддержка мультиконтекстного режима

Индустриальное исполнение

Два типа устройств: 4х10/100/1000 BaseT или 2х10/100/1000BaseT

+ 2х1Gb Fiber

Монтаж на DIN-рейку

Рабочий диапазон температур: -40оС – +70оС

Специальный функционал

Разрешен любой трафик

Работа в режиме L2

Байпас реле

Осень

2015

Точки доступа Cisco Aironet Outdoor Access

Points

1530 1550 1570

• Низкопрофильная

• 11n, 2G: 3x3:3; 5G: 2x3:2

• Внутр/внеш. антенны

• Гибкая по интерфейсам подключения

• 11n, 2x3:2 (Tx/Rx/SS)

• Внутр/внеш. антенны

• Лучшая в семействе

• 11ac, 4x4:3 (Tx/Rx/SS)

• Внутр/внеш. антенны

• Модули расширения

IW3700

• Компактная

• 11ac, 4x4:3 (Tx/Rx/SS)

• Внешние антенны

Технические средства обеспечения физической безопасности

Physical Security Operations Manager

Physical Security Information Managers (PSIM)

Сторонние приложения (SCADA, системы мониторинга)

Video Surveillance

Manager

End-to-end решение IP-сеть Medianet • Виртуализация • Безопасность • Управление

ВидеонаблюдениеСистема экстренной

связиIP камеры

Система контроля и

управления доступом

IPICSМегапиксельные камеры Контроллеры и система

управления (CPAM)

Ждем ваших сообщений с хештегом

#CiscoConnectKZ

© 2015 Cisco and/or its affiliates. All rights reserved.

СпасибоПожалуйста, заполните анкеты.

Ваше мнение очень важно для нас.

Контакты:

Игорь Гиркин

+7 985 761-39-44

iggirkin@cisco.com