네트워크 세그멘테이션 방안 어플리케이션 가이드 · 2013. 11. 6. · -...

네트워크 세그멘테이션 방안 어플리케이션 가이드

OEM 컨버전 레디 솔루션을 적용한

플랜트 및 현장 네트워크의

ControlLogixd/CompactLogix 5370 세그멘테이션 방안

For Internal Use Only

2 | Network Segmentation Methodology Application Guide

목차

소개 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1장: ControlLogix 플랫폼플랜트급 컨버지드 Ethernet 셀/구역 존 세그멘테이션 방식 . . . . . . . . . . . . . . 7

설계 고려사항 개요 – ControlLogix 플랫폼 . . . . . . . . . . . . . . . . . . . . . 7

CIP 브리지 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

플랜트급 컨버지드 이더넷 셀/구역 존 #1 물리적 섀시 세그멘테이션을 위한 다중 1756-ENxT(R) 모듈 . . . . . . . . . . . . . . 10

플랜트급 컨버지드 이더넷 셀/구역 존 #2 확장성을 위한 다중 1756-ENxT(R) 모듈 사용 . . . . . . . . . . . . . . . . . . . . 12

플랜트급 컨버지드 이더넷 셀/구역 존 #2 VLAN을 통한 논리적 세그멘테이션 . . . . . . . . . . . . . . . . . . . . . . . . . 13

플랜트급 컨버지드 이더넷 셀/구역 존 #3 리니어 장치 레벨 토폴로지, 내장 스위치 기술 (세그멘테이션 없음) . . . . . . . . . . . 15

플랜트급 컨버지드 이더넷 셀/구역 존 #3 . . . . . . . . . . . . . . . . . . . . . . 16

리니어 장치 레벨 토폴로지, 내장 스위치 기술 . . . . . . . . . . . . . . . . . . . . 16

(VLAN을 이용한 세그멘테이션) . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

플랜트급 컨버지드 이더넷 셀/구역 존 #4 링 장치 레벨 토폴로지, 내장 스위치 기술 (세그멘테이션 없음) . . . . . . . . . . . . . 17

장점 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

단점 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

플랜트급 컨버지드 이더넷 셀/구역 존 #4장치 레벨 링 토폴로지, 내장 스위치 기술 (VLAN을 이용한 세그멘테이션) . . . . . . . 18

장점 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

단점 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

네트워크 주소 변환(NAT) 어플라이언스를 사용한 플랜트 및 현장 ControlLogix 아키텍처 . . . . . . . . . . . . . . . . . . . . . . . 19

네트워크 주소 변환(NAT) 스위치 및 VLAN을 사용한 플랜트 및 현장 ControlLogix 아키텍처 . . . . . . . . . . . . . . . . . . . . . . . 20

Network Segmentation Methodology Application Guide | 3

네트워크 주소 변환(NAT) 스위치 및 VLAN을 사용한 플랜트 및 현장 ControlLogix 아키텍처 . . . . . . . . . . . . . . . . . . . . . . . 20

통합 위험 관리 보안 어플라이언스를 통해 NAT을 적용한 플랜트 및 현장 ControlLogix 아키텍처 . . . . . . . . . . . . . . . . . . . . . . . 21

2장: 플랜트급 컨버지드 이더넷 셀/구역 존 세그멘테이션 방법 - CompactLogix 플랫폼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

설계 고려 사항 – CompactLogix 플랫폼 . . . . . . . . . . . . . . . . . . . . . . . 22

CIP 브리지 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

CompactLogix 5370 플랫폼 기반 세그멘테이션 참조 사항 . . . . . . . . . . . . . . 23

CompactLogix 기반 플랜트급 컨버지드 이더넷 셀/구역 존의 컨버지드 플랜트 및 현장 네트워크 네트워크 . . . . . . . . . . . . . . . . . . . . . 23

ControlLogix 플랜트급 컨버지드 이더넷 셀/구역 컨트롤러로 물리적 세그멘테이션 하는 플랜트/현장 급 네트워크 . . . . . . . . . . . . . . . . . 24

NAT로 IP 서브넷 반복성을 제공하는 플랜트 및 현장 네트워크. . . . . . . . . . . . . 25

통합 위험 관리 보안 어플라이언스를 통해 NAT을 적용한 플랜트 및 현장 CompactLogix 아키텍처 . . . . . . . . . . . . . . . . . . . . . . 26

VLAN 및 고유 IP 서브넷을 사용한 플랜트 및 현장 네트워크 세그멘테이션 . . . . . . . 27

VLAN 및 네트워크 주소 변환을 사용한 플랜트 및 현장 네트워크 세그멘테이션. . . . . 28

결론 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29


소개

이 문서는 다음과 같은 목적으로 여러 가지 네트워크 세그멘테이션 방식을 설계할 때 고려해야 할 사항에

대해 설명하고 있습니다.

• 플랜트/현장 엔지니어가 IACS (Industrial Automation and Control System) 트래픽 흐름과 세그멘테이

션 정책 (예: 데이터 우선 순위화 및 보안)을 관리 할 수 있도록 IACS 플랜트 및 현장 네트워크 인프라

를 세그멘테이션 할 수 있도록 한다.

• 장비 제조 업체가 고객사의 플랜트 및 현장 네트워크 인프라와의 통합을 간소화 할 수 있는 컨버전스

레디(Convergence-ready) 솔루션을 개발할 수 있게 한다.

이 문서의 전반부에서는 ControlLogix® PAC의 세그멘테이션 방법을 살펴 봅니다. 후반부에서는

CompactLogix™ 5370 PAC의 세그멘테이션 방법을 설명합니다.

이 어플리케이션 가이드는 로크웰 오토메이션 Publication ENET-TD001E-EN-P, Cisco® and Rockwell

Automation Converged Plant-wide Ethernet (CPwE) Design and Implementation Guide (DIG)에 나오는

설계 권장 사항의 내용과 연관이 있습니다. 참고할 부분은 아래와 같습니다.

• Chapter 3, CPwE Solution Design-Cell/Area Zone

• Chapter 5, Implementing and Confi guring the Cell/Area Zone

• Chapter 8, CIP Motion

• Chapter 9, CIP Sync Sequence of Events

CPwE DIG에 언급된 것 처럼, 셀/구역 존(Cell/Area Zone)에는 산업 자동화 및 제어 시스템(IACS) 단말 장치가

모여 있으므로, 셀/구역 IACS 네트워크와 연결됩니다. 이 존은 특정한 장비/프로세스 스키드가 될 수도

있으며, 지리적인 구역이나 운영 기능이 될 수도 있습니다.

그림 1a: CPwE 셀/구역 존의 대표적인 예


그림 1a와 1b는 프로세싱(Processing), 필링(Filling), 자재 취급(Material Handling) 등 운영 기능에 따라

나누어지는 셀/구역 존의 예를 보여주고 있습니다. 셀/구역 IACS 네트워크 및 IACS 장치 양쪽에서 모두 설계,

배치, 실행을 최적화 하기 위해서는 신중한 계획을 세워야 합니다. 이러한 CPwE 표준 아키텍처의 확장은

ODVA™ 일반 산업 프로토콜(CIP™)로 구동되는 EtherNet/IP™에 초점을 두고 있습니다.

일반적으로 각 분야를 제어하는 여러 개의 네트워크 기술을 사용하여 3계층 네트워킹 모델을 적용합니다.

이렇게 서로 다른 통신 표준으로 자연스러운 기술 세그멘테이션이 이루어집니다. 오늘날, 산업 네트워킹에서

꾸준히 나타나는 트렌드는 기술 컨버전스, 특히 산업 자동화 기술과 정보 기술의 컨버전스입니다. 컨버전스로

인해 엔지니어는 플랜트 및 현장 EtherNet/IP 네트워크를 통해 하나의 산업 네트워크 기술로 다양한 제어

어플리케이션과 정보 어플리케이션 분야를 연결할 수 있습니다. ( 예 : 데이터 수집/설정/ 진단/ 이산/

프로세스/ 배치(Batch)/ 안전/ 시간 동기화/ 드라이브/ 모션/ 에너지 관리/ 음성 및 비디오 등)

네트워크 기술 컨버전스에는 실시간 네트워크 실행을 보장해 주는 네트워크 구조 및 계층을 적용하는 산업 네트워크 설계 방법이 필요합니다. 주 목적은 더욱 작은 Layer 2 네트워크를 생성하여 확장성과 미래지향성을 갖춘 네트워크 인프라를 구축하고, 브로드캐스트 및 오류 도메인을 최소화 하며, 더 작은 트러스트 도메인을 생성, 전체 네트워크 스프롤(무계획적인 네트워크 확장)을 줄이는 것입니다. 구조 및 계층의 예는 아래와 같습니다.

• CPwE 로지컬 모델 – 산업 자동화 및 제어 시스템(IACS) 장치의 지리적 및 기능적 조직

• 캠퍼스 네트워크 모델 – Layer 2와 Layer 3 전환을 이용하는 다중 계층 스위치 모델

• CPwE 로지컬 프레임 워크

• 세그멘테이션 방법

- 다중 네트워크 인터페이스 카드(NIC), 예: CIP 브리지

- 네트워크 주소 변환(NAT) 어플라이언스

- VLAN(Virtual Local Area Network)

- NAT를 적용한 VLAN

- 통합 위험 관리(UTM) 보안 어플라이언스

그림 1b: CPwE 셀/구역 존의 대표적인 예


IACS 트래픽 세그멘테이션 방식은 다음과 같은 여러 가지 요소를 감안해서 선택할 수 있습니다.

• 플랜트/현장 전체의 IACS 어플리케이션 요구사항

• OEM 컨버전스 레디(Convergence-ready) IACS 어플리케이션 – 예: 장비 제조 업체

• 기업 정책 및 절차

• 해당 산업 표준 및 규제적 표준

• 회사의 조직 구조 및 지원 구조 – 예: 제어 시스템 엔지니어 및 IT 네트워크 엔지니어의 책임 소재

본 어플리케이션 가이드에서는 이러한 세그멘테이션 방식 구현 시, 설계 관련 고려 사항과 최적 적용 사례에

대해 설명합니다. 산업 네트워크 설계 방법에 관한 자세한 정보는 Publication ENET-WP022, ‘Top 10

Recommendations for Plant-wide EtherNet/IP Deployments’를 참조 하십시오.

이 어플리케이션 가이드에서, ‘미래지향적(Future-ready)’이라는 용어는 산업 네트워크의 설계 및 배치 시,

다음 두 조건을 충족할 때 사용합니다. 1) 기존 네트워크의 성능에 영향을 주지 않고 (예: 지연 시간 및 지터

없이) 완벽하게 확장이 가능하다. 2) 대폭적인 업그레이드 없이 네트워크에 새로운 기술 및 제품 추가만으로

완벽하게 성능을 향상시킬 수 있다.

이 어플리케이션 가이드에서, ‘컨버전스 레디(Convergence-ready)’라는 용어는 솔루션(예: 장비 또는 프로세스

스키드)과 소비자 측 플랜트 및 현장 네트워크 인프라의 완벽한 통합을 위해 협력자(예: OEM, 시스템 통합자,

계약자)가 고려해야 하는 설계 및 배치 고려 사항으로 정의합니다.

컨버전스 레디 설계/배치 시 고려사항

• 다복합 산업용 네트워크 인프라로서 EtherNet/IP 처럼 표준 Ethernet과 표준 IP를 전용으로 사용하는

산업 Ethernet 프로토콜의 적용

- 공통 네트워크 인프라 장치 – 자산 활용

- 확장성 및 미래지향성 – 지속가능성

• IP 주소 지정 스키마

- 클래스, 주소 범위, 서브네팅, 디폴트 게이트웨이 구성 (경로 구성 기능)

- 구현 지침 – 정적/동적 주소 지정, 구성 가능한 하드웨어/소프트웨어, NAT, 도메인 이름

• 네트워크 서비스 이용

- 세그멘테이션 방식, 데이터 우선 순위 설정 방법

- 매니지드 스위치, 스위치 레벨 및 장치 레벨 토폴로지

- 네트워크 가용성 – 루프 방지, 장애 복구 가능한 토폴로지 및 프로토콜

- 보안 스탠스

• 물리적 접속, 포트 보안, 접근 제어 목록, 어플리케이션 보안 (예: FactoryTalk Security)

• ISA/IEC-62443 및 NIST 800-82 등 새로운 IACS 보안 표준에 준수하여 조정

- 시간 동기화 서비스

• IEEE 1588 PTP(Precision Time Protocol)

• CIP Sync 어플리케이션 – 최초 오류, SOE, CIP 모션


1장: ControlLogix 플랫폼플랜트급 컨버지드 Ethernet 셀/구역 존 세그멘테이션 방식

설계 고려사항 개요 – ControlLogix 플랫폼

CIP 브리지

1. ControlLogix 백플레인을 통과할 수 있는 유일한 트래픽은 CIP 어플리케이션 계층 트래픽입니다. 이는

어플리케이션의 미래지향성 및 컨버전스 레디 측면에 영향을 줄 수 있습니다.

2. 서로 다른 종류의 CIP 트래픽을 여러 개의 1756-ENxT(R) 카드에 분배하여, 카드 하나에 집중되는 대역폭을

줄이고 확장성을 확보할 수 있습니다.

NAT

1. 로크웰 오토메이션이 제공하는 세 가지의 장치 중 하나로 NAT (Network Address Translation)을 처리할

수 있습니다.

a. 독립형 NAT 어플라이언스 (9300-ENA)

b. 스위치 기반 NAT (Stratix 5700)

c. 통합 위험 관리 보안 어플라이언스 (Stratix 5900)

2. NAT은 VLAN과 결합해 반복적 IP 서브넷을 이루어, 장비 제조 업체가 쉽게 어플리케이션을 복사할 수

있도록 합니다.

VLAN

1. 유사한 종류의 트래픽에는 셀/구역 존 별로 VLAN 한 개와 IP 서브넷 한 개를 구성하여 네트워크를

세그멘테이션 하는 것이 좋습니다.

2. 어떤 경우에는, 각 셀/구역 존을 보다 작은 VLAN(Layer 2)으로 나누어 트래픽 종류(셀/구역 존 내의

음성/비디오)를 분리하는 것이 효과적일 수 있습니다.

3. 가상 LAN(VLAN)을 여러 개 사용하는 네트워크에서는 VLAN 간에 트래픽 경로를 정하는 L3 스위치가

필요합니다.

4. 셀/구역 존 간에 Inter VLAN 라우팅이나 VLAN 트렁킹을 사용해 보다 작은 Layer 2 네트워크를

유지합니다.

5. 네이티브 VLAN은 사용자 트래픽이 전혀 없는 전용 VLAN(VLAN 1 이외)으로 해야 합니다.

VLAN에 대한 자세한 정보는 아래 문서를 참조 하십시오.

• Publication ENET-TD001, Converged Plantwide Ethernet (CPwE) Design and Implementation Guide

• Publication ENET-RM002, Ethernet Design Considerations


IACS 네트워크를 세그멘테이션 할 때, 초기 설계 시 고려해야 할 사항이 몇 가지 있습니다. 이는 아래 토폴로지

예에 나타나 있습니다. 첫째, 한 개의 ControlLogix 섀시 내에 ENxT(R) 카드를 여러 개 사용하여 물리적으로

네트워크를 세그멘테이션 할 것인 지, VLAN을 통해 논리적으로 세그멘테이션 할 것인 지의 결정입니다.

둘째, 셀/구역 존 내의 트래픽 세그멘테이션 방법으로, 제어 (I/O) 및 정보 (HMI)에 대해 같은 ENxT(R) 카드를

사용할 것인지 또는 여러 개의 카드에 세그멘테이션 할 것인 지의 여부입니다.

이 어플리케이션 가이드는 각 세그멘테이션 방법에 대한 여러 가지 토폴로지 예를 설명합니다. 앞서 언급했 듯이, 적합한 세그멘테이션 방식을 선택하고 최종 설계와 배치를 결정할 때 중요한 것은 소비자가 자신의 어플리케이션 요구 사항을 제대로 파악하는 것입니다.

네트워크 예시

VLAN을 적용한 플랜트 및 현장 네트워크의 세그멘테이션 및 물리적 세그멘테이션 – ControlLogix 플랫폼

그림 2는 두 부분으로 나누어진 산업 자동화 및 제어 시스템(IACS)의 대표적인 사례입니다. IACS 상부는

시슼코 Catalyst 3750 StackWise™ (Layer 3) 스위치 스택을 적용한 CPwE 산업 존(Industrial Zone)으로

구성되어, 패킷 라우팅을 처리/유지합니다. IACS 하부는 스위치 레벨 링 토폴로지를 구성하기 위해 장애 복구

프로토콜(Resiliency Protocol)로 설정되는 Stratix 5700 및 8000 (Layer 2) 스위치와 개별 IACS 셀/구역을

포함하는 셀/구역 존(Cell/Area Zone)으로 구성됩니다.

그림 2는 네트워크 세그멘테이션의 몇 가지 방법을 보여 줍니다.

• 셀/구역 존 #1의 CIP 브리지 세그멘테이션

• 셀/구역 존 #2, #3, #4의 다중 VLAN으로 구성된 컨버지드 스위칭(Converged switching) 기술. VLAN

세그멘테이션 개념은 IT 분야에서는 잘 알려져 있으나 산업 자동화 분야에서는 여전히 새로운 개념입

니다.

서로 다른 색상으로 표시된 각각의 셀/구역 존은 VLAN으로 세그멘테이션 되어 별도의 하드웨어를 추가할 필요 없이 더 작은 Layer 2 네트워크(도메인)를 생성합니다. Layer 2 도메인이 더욱 작아짐으로써 IACS 네트워크 설계 및 배치에서 모듈형 빌딩 블록 방식이 가능해집니다. 빌딩 블록 방식으로 IACS 네트워크를 구성하는 경우 아래와 같이 개선됩니다.

• 보다 체계적인 네트워크 설계로 네트워크 스프롤 최소화

• 확장성, 미래지향성 IACS 네트워크 설계 – 소규모로 시작하고 필요에 따라 확장

• 오류 및 브로드캐스트 도메인을 줄임으로써 강력한 성능 보장

• 트러스트 도메인이 더 작아져 보안 정책 수행 간소화

세그멘테이션된 셀/구역 존의 VLAN 사이에 데이터를 공유해야 하는 경우 Catalyst 3750 스위치나 기타 Layer 3 장치로 VLAN 간 라우팅을 설정합니다.

Campus Model에서는 이러한 구성이 일반적이며, 이는 ‘Converged Plantwide Ethernet (CPwE) Design and Implementation Guide (DIG)’에 상세히 설명되어 있습니다.


장점

• 산업 자동화와 IT 간의 네트워크 관리 경계선을 VLAN을 이용해 여러 개의 셀/구역 존을 각각 세그멘

테이션 함으로써 네트워크 트래픽 부하를 최소화

• VLAN 구성으로 필요 없는 네트워크 트래픽(스트리밍 비디오, VoIP, 로그 PC 등)이 셀/구역 존에 들어

가지 못하게 함으로써 네트워크 트래픽 부하 최소화

• 자산 관리를 위한 IACS 네트워크 장치 가시성

• 미래지향적 정보를 이용할 수 있는 기능 제공

• 확장성 있는 네트워크 아키텍처

• 네트워크 ‘스프롤(Sprawl)’을 줄이는 구조적 방법

단점

• 스위치, 라우터, 네트워크 토폴로지, 프로토콜을 구성하기 위해 광범위한 네트워크 기술이 요구됨

그림 2: 여러 CPwE 셀/구역 존으로 세그멘테이션된 산업 존


플랜트급 컨버지드 이더넷 셀/구역 존 #1 물리적 섀시 세그멘테이션을 위한 다중 1756-ENxT(R) 모듈

1756-ENxT(R) 모듈로 네트워크를 물리적으로 세그멘테이션 할 수 있습니다 (주: “x”는 Ethernet 모듈의 두

가지 종류, 즉 EN2TR 및 EN3TR을 나타냅니다).1756-ENxT(R) 모듈은 1756 ControlLogix 플랫폼에 설치되어

PAC가 EtherNet/IP 네트워크 상의 다른 장치와 통신할 수 있도록 하는 네트워크 인터페이스 카드(NIC)입니다.

이러한 통신으로 인해 EtherNet/IP 네트워크 트래픽이 발생합니다. 이 네트워크 트래픽을 CIP Class 1 (I/O)

트래픽 또는 CIP Class 3 (메시징) 트래픽으로 분류할 수 있습니다.

그림 3에서와 같이 ENxT(R)을 이용해 ControlLogix 백플레인(bp)에 CIP 브리지가 생성되었습니다. 이

토폴로지의 장점은 레벨 2 (정보) 트래픽으로부터 CPwE 레벨 0 (I/O) 및 레벨 1 (컨트롤러) 트래픽을

자연스럽게 세그멘테이션 하는 것입니다. 백플레인을 통과할 수 있는 유일한 트래픽은 CIP(Common

Industrial Protocol) 어플리케이션 레이어 트래픽입니다.

• 물리적 세그멘테이션 네트워크 – Layer 2 트래픽(예: 브로드캐스트 트래픽)은 CIP 브리지를 통과할 수

없습니다.

• CIP 어플리케이션 레이어 트래픽 이외에는 CIP 브리지를 통과할 수 없습니다.

• VLAN 구현에서도 동일한 결과를 얻을 수 있습니다.

이 세그멘테이션 방식을 적용할 때는 특히 다음 사항을 유의해야 합니다. 1) CIP 브리지가 CIP 트래픽을

필터링하는 것은 아니며, 2) CIP 브리지 양쪽에서 모두 최적 성능을 구현하려면 계속해서 산업 네트워크 설계

방식을 따라야 합니다. 시스코와 로크웰 오토메이션에서는 이 방식에서도 계속 VLAN을 사용하고 적절한

설계 기법을 적용할 것을 권장하고 있습니다.

또한, ControlLogix 백플레인으로 네트워크를 물리적으로 세그멘테이션 하면 네트워크 관리에 대한 경계가

뚜렷해 집니다. 이 경계선을 중심으로 플랜트 및 현장 네트워크를 담당하는 IT 네트워크 엔지니어와 셀/

구역 존 또는 장비/프로세스 스키드 네트워크를 담당하는 산업 자동화 제어 시스템 엔지니어 사이에 책임이

분리됩니다.

이 토폴로지의 단점은 정보 네트워크에서 레벨 0 (단말 장치)의 장치와 통신하려면 CIP 기반 레벨 0 IACS

장치를 사용해야 한다는 점입니다. 즉, CIP 이외의 Ethernet 트래픽은 네트워크의 어떠한 지점에도 도달할 수

없습니다. Non-CIP 장치를 사용하는 경우, 유지보수 직원이 연결이 필요한 쪽의 네트워크에 직접 플러그를

꽂아야 합니다 (예: HMI 문제해결 시에는 정보 네트워크에 플러그 연결, I/O 진단 시 레벨 0 제어 네트워크에

플러그 연결). 예를 들어, 대부분의 IACS 장치에는 진단과 설정에 필요한 HTTP 또는 HTTPS 서버가 내장되어

있으며, 이는 위에서 설명한 토폴로지의 중앙 위치에서 이용할 수 없습니다. 레벨 0에서는 웹 페이지, 플래시

펌웨어, 또는 스위치 프로그래밍에 접근할 수 없습니다.

정보 폐쇄 또는 격리를 통한 보안 방식은 오늘 날에는 적절한 방법이 아닙니다. 이 토폴로지는 IACS에 필요한

계층 방어(Defense-in-depth) 보안을 단독적으로 제공하지는 않습니다. 예를 들어, CIP 브리지는 어플리케이션

레이어 브리지 역할을 하여, 모든 CIP 트래픽이 레벨 2 정보 네트워크에서 레벨 0 I/O 네트워크로 전달될

수 있도록 합니다. DPI(Deep Packet Inspection) 기능의 방화벽을 구현하여 CIP 브리지를 통해 레벨 0 I/O

트래픽으로 가는 레벨 2 정보 트래픽을 세그멘테이션할 수 있습니다. 계층방어(defense-in-depth)에 관한

자세한 정보는 문서 번호 ENET-WP005, ,’Securing Manufacturing Computing and Controller Assets’를

참조하십시오.


장점

• 산업 자동화와 IT 간의 네트워크 관리 경계선 세그멘테이션

• 여러 개의 셀/구역 존을 각각 세그멘테이션 함으로써 네트워크 트래픽 부하 최소화

• ControlLogix 백플레인을 통해 필요 없는 네트워크 트래픽(스트리밍 비디오, VoIP, 로

그 PC 등)이 셀/구역 존에 들어가는 것을 방지함으로써 네트워크 트래픽 부하를 최

소화

• 여러 개의 카드에 트래픽을 세그멘테이션해 ENxT(R) CPU 이용에 미치는 영향을 최

소화

단점

• 자산 관리용 기타 IACS 네트워크 장치의 제한적인 가시성

• ENxT(R)의 개수 제한으로 인한 확장성 제한

• 미래지향적 정보를 이용할 수 있는 기능의 제한

그림 3: 2개의 ENxT(R)를 사용한 CPwE 셀/구역 존 #1 세그멘테이션


플랜트급 컨버지드 이더넷 셀/구역 존 #2 – 확장성을 위한 다중 1756-ENxT(R) 모듈 사용

1756-ENxT(R) 카드의 제한된 대역폭이 문제가 되는 경우, I/O 트래픽과 정보 트래픽을 세그멘테이션 하는 것이 좋습니다. ControlLogix 섀시에 두 개 이상의 ENxT(R) 모듈을 사용하여 세그멘테이션 할 수 있습니다. 그림 4a는 스타 토폴로지의 두 ENxT(R)를 이용해 동일 서브넷 및 VLAN 상에서, ControlLogix 섀시 내 정보 트래픽에서 같은 Stratix 8000 스위치로 물리적 세그멘테이션 되는 I/O 트래픽의 일례를 보여 주고 있습니다.

그림 4a: 두 개의 ENxT(R)을 사용해 CPwE 셀/구역 존 #2의 정보 트래픽에서 I/O 트래픽 세그멘테이션

장점

• 여러 개의 카드에 트래픽을 세그멘테이션 하여 ENxT(R) CPU 이용에 주는 영향을 최소화

• 자산 관리를 위한 모든 IACS 네트워크 장치에 가시성 확보


단점

• 불분명한 네트워크 소유권 경계선

• 불필요한 트래픽(스트리밍 비디오, VoIP, 로그 PC 등)이 제어 네트워크(레벨 0-1)로 들어갈 수 있으며,

VLAN 등 매니지드 스위치 기술을 적용하면 이 문제를 최소화 할 수 있습니다.

• 불필요한 제어 트래픽(멀티캐스트 및 브로드캐스트 트래픽)이 정보 네트워크로 들어갈 수 있으며,

VLAN 등 매니지드 스위치 기술을 적용하면 이 문제를 최소화 할 수 있습니다.


플랜트급 컨버지드 이더넷 셀/구역 존 #2 - VLAN을 통한 논리적 세그멘테이션

정보 네트워크(레벨 2)와 제어 네트워크(레벨 0-1)를 논리적으로 세그멘테이션 하기 위해 여러 개의 VLAN으로

구성되는 스위칭 기술을 사용하여 확장성과 미래지향성을 갖춘 강력한 컨버지드 네트워크 아키텍처를 구축할

수 있습니다. 단, 이 세그멘테이션 방법으로 설계하는 경우 고려해야 할 사항이 있습니다.

첫째, 제어 네트워크(레벨 0-1)와 정보 네트워크(레벨 2) 간의 네트워크 소유권 경계선이 모호해 질 수

있습니다. 그림 3에 예시되어 있는 CIP 브리지는 제어 네트워크(레벨 0-1)와 정보 네트워크(레벨 2) 간의

명확한 네트워크 소유권 경계선 기능을 제공합니다. 이 예에서, 제어 네트워크는 산업 자동화 제어 시스템

엔지니어가, 그리고 정보 네트워크는 정보 기술 네트워크 엔지니어가 관리할 수 있습니다. 그림 4a 및 4b의

컨버지드 예에서는 네트워크 소유권의 경계선이 확실하지 않습니다. 기업의 조직 구조에 따라 이 컨버지드

네트워크는 제어 시스템 엔지니어나 IT 네트워크 엔지니어, 또는 양쪽에서 공동으로 소유할 수 있습니다.

이와 상관 없이, 컨버지드 네트워크 아키텍처의 성공적인 설계와 배치를 위해서는 산업 자동화 및 정보 기술 도메인의 협력이 중요합니다.

둘째, 레벨 2, 3의 네트워크 트래픽을 레벨 0, 1의 제어 트래픽에서 분리하지 않아 그에 영향을 미칠 가능성입니다. 그림 4a는 컨버지드 구성이면서도 세그멘테이션 되지 않은 일례를 보여주고 있습니다. 비제어(Non-control) 트래픽(스트리밍 비디오, VoIP, 불필요 PC)이 정보 네트워크(레벨 2-3)로부터 유입될 가능성이 있습니다. 또한, 반대로 제어 트래픽(멀티캐스트 및 브로드캐스트 트래픽)이 정보 네트워크(레벨 2-3)로 유입될 수도 있습니다. 트래픽을 세그멘테이션 할 기술적 제어 장치가 없기 때문입니다. 그림 4b는 제어 트래픽을 정보 트래픽과 논리적으로 세그멘테이션 하기 위해 앞의 예에 VLAN을 추가한 경우를 나타내고 있습니다. 이 예에서는 트래픽을 공통 인프라 (스위치)에 컨버징 하면서도 종류가 다른 트래픽을 세그멘테이션 하고 있습니다.

앞서 설명했 듯이, IACS 트래픽 세그멘테이션 방식을 선택하는 기준은 여러 가지가 있습니다. 그 예는 다음과 같습니다.

• 플랜트 및 현장 IACS 어플리케이션 요구사항

• OEM 컨버전스 레디 IACS 어플리케이션 – 예: 장비 제조 업체


• 기업 조직 및 지원 구조 – 예: 제어 시스템 엔지니어와 IT 네트워크 엔지니어의 책임 체계

그림 4b는 Stratix 8000 스위치에 VLAN을 구성함으로써 제어 트래픽(VLAN 20, 서브넷 10.20.10.0/24)에서

정보 트래픽(VLAN 50, 서브넷 10.50.10.0/24)을 세그멘테이션 하는 예입니다. 이 토폴로지에서는 Catalyst

3750 스위치 스택 레이어 3 라우팅 기능을 통해 두 개의 VLAN을 통과할 트래픽을 선택할 수 있습니다 (그림

2 참조). 앞서 언급했 듯이, 셀/구역 존을 각각 세그멘테이션 하면 더 작은 레이어 2 도메인을 생성하고, 전체

네트워크 부하를 줄이며 더 작은 트러스트 도메인을 생성할 수 있습니다.


장점

• 산업 자동화와 IT 간의 네트워크 책임 경계선 세그멘테이션

• 여러 개의 셀/구역 존을 각각 세그멘테이션 함으로써 네트워크 트래픽 부하 최소화

• VLAN 구성을 통해 불필요한 네트워크 트래픽(스트리밍 비디오, VoIP, 로그 PC 등)이 셀/구역 존에 들

어가지 못하게 함으로써 네트워크 트래픽 부하 최소화

• VLAN 구성을 통해 필요 없는 제어 트래픽(멀티캐스트 및 브로드캐스트 트래픽)이 셀/구역 존에서 나

가는 것을 방지함으로써 정보 네트워크에 미치는 영향을 최소화

• I/O 및 정보 트래픽을 두 개의 ENxT에 세그멘테이션 함으로써 ENxT의 CPU 이용에 미치는 영향 최소

화

• 자산 관리를 위한 기타 IACS 네트워크 장치에 가시성 확보


단점

• 최신 구성 기술이 필요

그림 4b: 네트워크 세그멘테이션 방안 어플리케이션 가이드


플랜트급 컨버지드 이더넷 셀/구역 존 #3 – 리니어 장치 레벨 토폴로지, 내장 스위치 기술 (세그멘테이션 없음)

그림 5a는 리니어 장치 레벨 토폴로지로 구성되어 I/O와 정보 트래픽이 하나의 ENxT(R) 모듈을 통해 전송되는 소형 IACS의 예를 보여주고 있습니다. ENxT(R) 모듈 및 셀/구역 존 내의 장치들 모두 이중 포트가 내장되어 있어 리니어 장치 레벨 토폴로지가 가능하다는 점을 유의하십시오. ENxT(R) 모듈은 여러 종류의 트래픽을 모두 동시에 처리하도록 되어 있습니다. 단, ENxT(R)의 CPU 한계를 반드시 고려해야 합니다.

그림 5a: 하나의 ENxT(R)을 사용한 CPwE Cell/Area Zone #3 세그멘테이션

장점

• 스위치 내장형 IACS 장치를 사용하므로 리니어 장치 레벨 토폴로지를 구성하는 장치의 연결이 간단합

니다.

• 자산 관리를 위한 기타 제어 네트워크 장치에 가시성 확보


단점

• 네트워크 관리 책임 경계선이 불분명

• I/O와 정보 트래픽의 경로가 ENxT(R) 하나이므로 ENxT(R)의 CPU 사용에 영향을 줄 수 있습니다.

• 불필요한 정보 트래픽(스트리밍 비디오, VoIP, 로그 PC 등)이 제어 네트워크로 들어갈 수 있으며, VLAN

등 매니지드 스위치 기술을 적용하면 이 문제를 최소화 할 수 있습니다.

• 불필요한 제어 트래픽(브로드캐스트 및 멀티캐스트)이 정보 네트워크로 들어갈 수 있으며, VLAN 등

매니지드 스위치 기술을 적용하면 이 문제를 최소화 할 수 있습니다.

• 리니어 장치 레벨 토폴로지 내의 단일 오류가 다운스트림 IACS 장치의 통신을 방해할 수 있습니다.


플랜트급 컨버지드 이더넷 셀/구역 존 #3 -

리니어 장치 레벨 토폴로지, 내장 스위치 기술

(VLAN을 이용한 세그멘테이션)

셀/구역 존 #2의 예와 같이 셀/구역 존 #3에서도 Stratix 8000 스위치에서 소프트웨어 설정으로 VLAN을 구현하여 불필요한 트래픽이 레벨 2에서 레벨 0, 1로 혹은 그 반대 방향으로 전송되는 것을 방지할 수 있습니다. Catalyst 3750 StackWise™ 스위치 스택 등 L3 스위치의 관리 기능을 이용해 VLAN 간의(VLAN 간 라우팅) 트래픽 전송을 제어할 수 있습니다.

그림 5b: 2개의 ENxT(R)를 사용한 CPwE 셀/구역 존 #3 세그멘테이션

장점

• 스위치 내장형 IACS 장치를 사용하므로 리니어 장치 레벨 토폴로지를 구성하는 장치의 연결이 간편

• 불필요한 정보 트래픽(스트리밍 비디오, VoIP, 로그 PC 등)의 전송을 제어 네트워크에서 제한 가능


• 불필요한 제어 트래픽(브로드캐스트 및 멀티캐스트)의 전송을 정보 네트워크에서 제한 가능


단점

• I/O와 정보 트래픽이 하나의 ENxT(R)를 통해 전송, ENxT(R)의 CPU 사용에 영향을 줄 가능성 있음

• 리니어 장치 레벨 토폴로지 내의 단일 오류로 인해 다운스트림 노드의 통신이 중단될 가능성 존재



플랜트급 컨버지드 이더넷 셀/구역 존 #4 – 링 장치 레벨 토폴로지, 내장 스위치 기술 (세그멘테이션 없음)

시스템이 10~20개 정도의 분산 I/O 랙과 8~10개의 HMI 스테이션으로 구성되어 규모가 더 큰 경우, 시스템에 ENxT(R)을 한 개 이상 배치함으로써 제한된 대역폭을 개선하는 것이 좋습니다. IACS가 확장되어 ENxT(R)의 CPU 이용률이 60%를 초과하면, 섀시에 ENxT(R)를 하나 더 추가하고 네트워크 트래픽을 분산합니다 (트래픽 30%는 첫 번째 ENxT(R)에, 나머지 30%는 또 다른 ENxT(R)에서 처리).

그림 6a는 링 장치 레벨 토폴로지로 구성된 더 큰 IACS를 보여 줍니다. 이 토폴로지에서는 케이블이 차단될 경우 한 레벨에서 매체 복구를 합니다. 이 토폴로지는 세그멘테이션 최적 성능과는 관계 없이 단지 설명을 위한 예시입니다.

그림 6a: 두 개의 ENxT(R)을 사용한 CPwE 셀/구역 존 내의 네트워크 트래픽 세그멘테이션

장점

• I/O 및 정보 트래픽이 두 개의 ENxT(R)에 세그멘테이션되므로 ENxT(R)의 CPU 사용에 미치는 영향 최

소화

• 트래픽 세그멘테이션에 별도의 이더넷 카드 사용

• 컨버지드 네트워크로 각 ENxT(R) 카드의 이용 최소화

• 스위치 내장형 IACS 장치를 사용하므로 리니어 또는 링 장치 레벨 토폴로지를 구성하는 장치의 연결

이 간단합니다.

• DLR(Device Level Ring) 장애 복구 프로토콜이 DLR 이중화 경로 토폴로지 내에서 단일 고장 허용 네트

워크를 구성합니다.



단점

• 네트워크 책임 경계선이 불분명

• 불필요한 정보 트래픽(스트리밍 비디오, VoIP, 로그 PC 등)이 제어 네트워크로 들어갈 수 있으며, VLAN

등 매니지드 스위치 기술을 적용하면 이 문제를 최소화 할 수 있습니다.

• 불필요한 제어 트래픽(브로드캐스트 및 멀티캐스트)이 정보 네트워크로 전송될 수 있습니다.


플랜트급 컨버지드 이더넷 셀/구역 존 #4 – 장치 레벨 링 토폴로지, 내장 스위치 기술 (VLAN을 이용한 세그멘테이션)

셀/구역 존 #2, #3과 같이 Stratix 8000 스위치에서 VLAN을 구현하여 불필요한 트래픽을 제한할 수 있습니다.

그림 6b: 두 개의 ENxT(R)을 이용한 CPwE 셀/구역 존 #4 내 그리고 CPwE 셀/구역 존 VLAN 외부로부터 네트워크 트래픽 세그멘테이션

장점

• I/O 및 정보 트래픽이 두 개의 ENxT(R)에 세그멘테이션되므로 ENxT(R)의 CPU 사용에 미치는 영향 최

소화

• 트래픽 세그멘테이션에 별도의 이더넷 카드 사용

• 컨버지드 네트워크로 각 ENxT(R) 카드의 이용 최소화

• 불필요한 정보 트래픽(스트리밍 비디오, VoIP, 로그 PC 등)의 전송을 제어 네트워크에서 제한 가능


• 불필요한 제어 트래픽(브로드캐스트 및 멀티캐스트)의 전송을 정보 네트워크에서 제한 가능

• VLAN으로 명확한 네트워크 소유권 경계선(네트워크의 특정 부분에 대한 책임) 생성

• 스위치 내장형 IACS 장치를 사용하므로 리니어 또는 링 장치 레벨 토폴로지를 구성하는 장치의 연결

이 간단합니다.

• DLR(Device Level Ring) 장애 복구 프로토콜로 장치 레벨 링 이중화 경로 토폴로지 내에서 단일 고장

허용 네트워크를 구성하여 자산 관리를 위한 기타 제어 네트워크 장치에 가시성 확보


단점


• 트래픽 종류 세그멘테이션에 여러 장의 ENxT(R) 카드 사용


네트워크 주소 변환(NAT) 어플라이언스를 사용한 플랜트 및 현장 ControlLogix 아키텍처

플랜트 및 현장 아키텍처에 NAT을 적용하여 IP 서브넷을 재사용할 수 있습니다. 아래

제품을 사용하여 NAT를 적용할 수 있습니다.

• NAT 어플라이언스 (9300-ENA)

• 스위치 기반 NAT (Stratix 5700)

• 통합 위험 관리 보안 어플라이언스 (Stratix 5900)

그림 7: 그림 7 CPwE 셀/구역 존 간에 IP 서브넷 반복 네트워크 주소 변환 어플라이언스를 이용한 IP 주소 변환

• IP 스키마 – 플랜트/현장로부터 분리, 장비/프로세스 스키드 내의 모든 노드는 고유

한 IP 주소가 있어야 하며, IP 주소는 프로세스 스키드에서 재사용될 수 있습니다.

• 이 예에서 NAT를 위해 각각의 셀/구역 존 사이에 장치를 구성합니다.

• 레벨 3부터 현장 운영에서 모든 장치에 접속할 수 있습니다.

• 각각의 개별 셀/구역 존 사이에 IP 주소를 재사용할 수 있습니다.

• 192.168.1.0/24 IP 서브넷에서 플랜트급 IP 서브넷으로 변환하기 위해 각 NAT 어플

라이언스를 프로그래밍해야 합니다.

• NAT 어플라이언스가 Layer 2 네트워크를 나누어 주지만, 실제로 셀/구역 존 사이를

논리적으로 세그멘테이션하지는 않습니다. 논리 세그멘테이션을 위해서는 반드시

VLAN을 구현해야 합니다.


네트워크 주소 변환(NAT) 스위치 및 VLAN을 사용한 플랜트 및 현장 ControlLogix 아키텍처

플랜트급 아키텍처에 NAT을 적용하여 IP 서브넷을 재사용할 수 있습니다. 아래 제품을

사용하여 NAT를 적용할 수 있습니다.




NAT을 VLAN과 결합하여 반복 가능 서브넷을 구성할 수 있으며, 장비 제조 업체에게

편리한 방식입니다. 이 점은 더 작은 Layer 2 빌딩 블록에 또 하나의 장점이 되며, 서브넷

사이를 통과하는 트래픽 제어가 가능해집니다.

• IP 스키마 – 플랜트/현장로부터 분리, 프로세스 스키드 내의 모든 노드는 고유한 IP

주소가 있어야 하며, IP 주소는 장비/프로세스 스키드에서 재사용될 수 있습니다.

• 이 예에서는 네트워크 주소 변환(NAT)을 위해 각각의 셀/구역 존 사이에 장치를 구

성합니다.


• 각 개별 셀/구역 존 사이에서 IP 주소를 재사용할 수 있습니다.

• 192.168.1.0/24 IP 서브넷에서 플랜트 및 현장 서브넷으로 변환하려면 반드시 각

NAT 어플라이언스를 프로그래밍해야 합니다.

• VLAN을 논리 구현하여 셀/구역 존을 각각 세그멘테이션 합니다.

그림 8: CPwE 셀/구역 존 간에 IP 서브넷 반복 Stratix 5700 시리즈 스위치를 사용한 IP 주소 변환 VLAN 구현으로

CPwE 셀/구역 존의 논리 세그멘테이션


통합 위험 관리 보안 어플라이언스를 통해 NAT을 적용한 플랜트 및 현장 ControlLogix 아키텍처

플랜트 및 현장 아키텍처에 NAT을 적용하여 서브넷을 재사용 할 수 있습니다. 아래 제품을 사용하여 NAT를

적용할 수 있습니다.




NAT으로 반복 가능 IP 서브넷을 구성할 수 있으며, 이는 장비 제조 업체에게 편리한 방식입니다. 이러한 점은

더 작은 Layer 2 빌딩 블록에 또 하나의 장점이 되며, IP 서브넷 사이를 통과하는 트래픽 제어가 가능해집니다.

Stratix 5900 등 통합 위험 관리 보안 어플라이언스를 통해 NAT을 구현할 수 있습니다. 각 UTM 보안 어플라이언스는 192.168.1.0/24 IP 서브넷을 플랜트 및 현장 IP 서브넷으로 변환하도록 프로그래밍되어 독립형 NAT 어플라이언스와 유사한 역할을 하게 됩니다. UTM 보안 어플라이언스는 추가적인 보안 향상 레벨을 지원하여 플랜트 및 현장 네트워크 및 기타 셀/구역 존으로부터 셀/구역 존을 더욱 세그멘테이션 합니다.

그림9: CPwE 셀/구역 존 간에 IP 서브넷 반복 Stratix 5900 통합 위험 관리 보안 어플라이언스를 이용한 IP 주소 변환

• IP 스키마 – 플랜트/현장로부터 분리, 장비/프로세스 스키드 내의 모든 노드는 고유한 IP 주소가 있어

야 하며, IP 주소는 장비/프로세스 스키드에서 재사용 될 수 있습니다.

• 이 예에서는 네트워크 주소 변환(NAT)을 위해 각각의 셀/구역 존 사이에 UTM 어플라이언스를 구성합

니다.


• 각 개별 셀/구역 존 사이에서 IP 주소를 재사용 할 수 있습니다.

• 192.168.1.0/24 IP 서브넷에서 플랜트 및 현장 IP 서브넷으로 변환하려면 반드시 각 UTM 보안 어플라

이언스를 프로그래밍해야 합니다.


2장: 플랜트급 컨버지드 이더넷 셀/구역 존 세그멘테이션 방법 - CompactLogix 플랫폼

설계 고려 사항 – CompactLogix 플랫폼

CIP 브리지

1. CompactLogix 5370 플랫폼은 ControlLogix 플랫폼과 같이 여러 개의 NIC를 지원하지 않습니다. 그러므로, CompactLogix 5370 플랫폼의 네트워크 세그멘테이션에는 CIP 브리지를 사용할 수 없습니다.

NAT

1. 아래 장치 중 하나를 사용하여 NAT(Network Address Translation)을 구현할 수 있습니다.

a. NAT 어플라이언스 (9300-ENA)

b. 스위치 기반 NAT (Stratix 5700)

c. 통합 위험 관리 보안 어플라이언스 (Stratix 5900)

2. NAT을 VLAN과 결합하여 반복 가능한 IP 서브넷을 구성하고 (이로 인해 기계 또는 프로세스 스키드 어플리케이션 반복이 가능해짐) 또한 Layer 2를 세그멘테이션할 수 있습니다.

VLAN

1. 종류가 유사한 트래픽에 대해 셀/구역 존 별로 VLAN 1개와 IP 서브넷 1개를 구성하여 네트워크를 세그멘테이션 하는 것을 권장합니다.

2. 어떤 경우, 개별 셀/구역 존을 더 작은 VLAN(Layer 2)으로 나누어 트래픽 종류(셀/구역 존 이내에서 음성/비디오)를 분리하는 것이 나을 수도 있습니다.

3. VLAN(Virtual LAN)을 여러 개 사용하는 네트워크에서는 VLAN 간에 트래픽 경로를 정하는 L3 스위치가 필요합니다.

4. 더 작은 Layer 2 네트워크를 유지하려면 셀/구역 존 사이에 VLAN 간 라우팅 vs. VLAN 트렁킹을 사용해야 합니다.

5. 네이티브(native) VLAN은 사용자 트래픽이 전혀 없는 전용 VLAN(VLAN 1 이외)으로 해야 합니다.


CompactLogix 5370 플랫폼 기반 세그멘테이션 참조 사항

그림10: 다중 NIC로 된 PAC와 2 포트 내장형 스위치 기술 비교

ControlLogix 및 CompactLogix L4x 플랫폼은 네트워크 트래픽 세그멘테이션에 관해 다중 네트워크 인터페이스 카드(NIC)를 지원한다는 점을 유의하시기 바랍니다. 단, CompactLogix 5370 플랫폼은 이 네트워크 세그멘테이션 방법을 사용할 수 없습니다. CompactLogix 5370 PAC의 포트 두 개는 이중 NIC가 아니라 내장 스위치의 일부입니다.

CompactLogix 기반 플랜트급 컨버지드 이더넷 셀/구역 존의 컨버지드 플랜트 및 현장 네트워크 네트워크

그림 11: 네트워크 세그멘테이션 없음 (권장하지 않음) – 각 장치마다 고유 IP 주소가 필요한 공통 Layer 2 도메인

이 시스템에는 셀/구역 존이 세 개 있으며, 각각 서로 다른 하드웨어로 구성되어 있고 지적 재산권(IP)을 지키고자 하는 고유한 OEM 장치일 수 있습니다. 다음 사항을 검토합니다.

1. 장비/프로세스 스키드 제조업체의 지적 재산을 보호한다.

2. 소규모 Layer 2 트러스트 도메인 및 브로드캐스트 도메인을 제공한다.

3. 논리 Layer 2 빌딩블록을 제공하여 미래지향적 네트워크를 확보한다.

4. 플랜트 및 현장 네트워크 네트워크에 NAT을 구성하여 셀/구역 존 레벨에서 IP 서브넷 반복성을 제공하고, 장비/프로스 스키드 제조업체가 시운전을 더욱 신속하게 수행할 수 있도록 한다.


ControlLogix 플랜트급 컨버지드 이더넷 셀/구역 컨트롤러로 물리적 세그멘테이션 하는 플랜트/현장 급 네트워크

그림 12: CPwE 셀/구역 존 간에 IP 서브넷 반복 다중 NIC로 Layer 2 도메인 및 IP 서브넷을 모두 논리 세그멘테이션하는 ControlLogix

이 예에서는 플랜트/현장 급 네트워크와 셀/구역 존 사이에 ControlLogix 플랫폼을 추가하여 물리적 세그멘테이션 CIP 브리지를 구성하였습니다.

• 플랜트/현장 네트워크는 셀/구역 존 이외의 별도 IP 서브넷에 있습니다.

• 셀/구역 존은 ControlLogix 백플레인을 통해 물리적으로 서로 세그멘테이션되어 있기 때문에, IP 서브

넷을 재사용할 수 있습니다.

• CIP 트래픽은 여전히 ControlLogix 백플레인을 통과할 수 있기 때문에 지적 재산권을 보호하려면

OEM에 의한 다른 방법을 적용해야 합니다.

• 이 구성은 컨버지드 아키텍처나 확장성과 미래지향성을 갖춘 네트워크가 아닙니다. 새로 셀/구역 존을

추가할 때마다 라인/구역 컨트롤러를 재구성해야 합니다.


NAT로 IP 서브넷 반복성을 제공하는 플랜트 및 현장 네트워크

그림 13: CPwE 셀/구역 존 간에 IP 서브넷 반복 네트워크 주소 변환 어플라이언스를 이용한 IP 주소 변환

이 예에서, 셀/구역 존의 모든 노드는 반드시 고유 IP 주소가 있어야 합니다. 셀/구역 존에서 IP 주소를 재사용할 수 있어, 컨버지드 네트워크를 계속 유지하면서 OEM은 IP 서브넷을 반복할 수 있습니다.

• 이 예에서는 네트워크 주소 변환을 위해 각각의 셀/구역 존 사이에 NAT 어플라이언

스를 구성합니다 (예: 9300-ENA).



• 192.168.1.0/24 IP 서브넷에서 플랜트 및 현장 IP 서브넷으로 변환하려면 각 NAT 어

플라이언스를 반드시 프로그래밍해야 합니다. 전체 셀/구역 존이 플랜트 및 현장 네

트워크와 통신해야 하는 경우, 모든 장치의 주소를 수동으로 변환해야 합니다.

• 이 아키텍처에서는 플랜트 및 현장 측면을 복잡하게 하여 셀/구역 존 및 OEM에는

단순성을 제공합니다.


통합 위험 관리 보안 어플라이언스를 통해 NAT을 적용한 플랜트 및 현장 CompactLogix 아키텍처

NAT로 인한 IP 서브넷 반복 가능성은 장비 제조 업체에게 편리한 기능입니다. 또한, 이는 더 작은 Layer 2 빌딩 블록의 장점이 되며, IP 서브넷 사이를 지나가는 트래픽 제어가 가능해집니다

Stratix 5900 등 통합 위험 관리 보안 어플라이언스를 통해 NAT을 구현할 수 있습니다. 각 UTM 어플라이언스는 독립형 NAT 어플라이언스와 유사하게, 192.168.1.0/24 IP 서브넷을 플랜트 및 현장 IP 서브넷으로 변환하도록 프로그래밍됩니다. UTM 보안 어플라이언스는 추가적인 보안 향상 레벨을 지원하여 플랜트 및 현장 네트워크 및 기타 셀/구역 존으로부터 셀/구역 존을 더욱 세그멘테이션 합니다.

그림 14: CPwE 셀/구역 존 간에 IP 서브넷 반복 Stratix 5900 통합 위험 관리 보안 어플라이언스를 이용한 IP 주소 변환

• IP 스키마 – 플랜트 및 현장로부터 분리, 장비/프로세스 스키드 내의 모든 노드는 고

유한 IP 주소가 있어야 하며, IP 주소는 장비/프로세스 스키드에서 재사용될 수 있습

니다.

• 이 예에서는 네트워크 주소 변환(NAT)을 위해 각각의 셀/구역 존 사이에 UTM 보안

어플라이언스를 구성합니다.



• 192.168.1.0/24 IP 서브넷에서 플랜트 및 현장 IP 서브넷으로 변환하려면 반드시 각

UTM 보안 어플라이언스를 프로그래밍해야 합니다.

• 이 아키텍처에서는 플랜트 및 현장 부분을 복잡하게 하여 셀/구역 존 및 장비/프로

세스 스키드 제조업체에는 단순성을 제공합니다.


VLAN 및 고유 IP 서브넷을 사용한 플랜트 및 현장 네트워크 세그멘테이션

그림 15: CPwE 셀/구역 존 간의 비반복적 IP 서브넷 (각 장치에 고유 IP 주소가 필요함). Stratix 5700 시리즈 스위치 – VLAN 구현으로 CPwE 셀/구역 존의 논리 세그멘테이션

이 예에서, 산업 존(Industrial Zone)의 모든 노드는 반드시 고유 IP 주소가 있어야 합니다. 장비/프로세스 스키드 또는 산업 존 어디에서도 IP 주소를 재사용할 수 없습니다.

• 고유 VLAN 및 IP 서브넷을 통해 각 셀/구역 존을 세그멘테이션합니다.

• CPwE VLAN의 최고 성능을 위해서는 각 셀/구역 존에 반드시 고유 IP 서브넷이 있어

야 합니다.

• 셀/구역 존이 서로 통신해야 하는 경우 VLAN 간 라우팅을 제공하는 L3 스위치를 통

해서 통신해야 합니다.

• 이 아키텍처는 작은 Layer 2 트러스트 도메인, 오류 도메인, 브로드캐스트 도메인을

포함하고 있습니다.

• 이 아키텍처에서는 셀/구역 존 간 접근을 제한할 수 있으므로, 장비/프로세스 스키

드 제조업체의 지적 재산에 대한 접근을 통제할 수 있습니다.

• 장비/프로세스 스키드 제조업체는 플랜트 및 현장 네트워크의 주소 지정 스키마를

반드시 따라야 하며, 이로 인해 시운전이 복잡해지거나 시운전 시간이 늘어날 수 있

습니다.


VLAN 및 네트워크 주소 변환을 사용한 플랜트 및 현장 네트워크 세그멘테이션

그림 16: CCPwE 셀/구역 존 간에 IP 서브넷 반복 Stratix 5700 시리즈 스위치를 사용한 IP 주소 변환 VLAN 구현으로 CPwE 셀/구역 존의 논리 세그멘테이션

이 예에서, 셀/구역 존의 모든 노드는 반드시 고유 IP 주소가 있어야 합니다. 셀/구역에서 IP 주소를 재사용할 수 있습니다. 셀/구역 존은 IP 서브넷을 반복하며 VLAN을 사용해 서로 세그멘테이션됩니다.

• 고유 VLAN을 통해 각 셀/구역 존을 세그멘테이션합니다.

• 셀/구역 존이 서로 통신해야 하는 경우 VLAN 간 라우팅을 제공하는 L3 스위치를 통

해서 통신해야 합니다.

• 이 아키텍처는 작은 Layer 2 트러스트 도메인, 오류 도메인, 브로드캐스트 도메인을

포함하고 있습니다.

• 이 아키텍처에서는 셀/구역 존 간 접근을 제한할 수 있으므로, 장비/프로세스 스키

드 제조업체의 지적 재산에 대한 접근을 통제할 수 있습니다.

• 이 아키텍처는 Stratix 5700 스위치를 통해 네트워크 주소 변환을 적용합니다.



• 192.168.1.0/24 IP 서브넷에서 플랜트 및 현장 IP 서브넷으로 변환하려면 각 NAT 어

플라이언스를 반드시 프로그래밍해야 합니다. 전체 셀/구역 존이 플랜트 및 현장 네

트워크와 통신해야 하는 경우, 모든 장치의 주소를 수동으로 변환해야 합니다.

• 이 아키텍처에서는 플랜트 및 현장 부분을 복잡하게 하여 셀/구역 존 및 장비/프로

세스 스키드 제조업체에는 단순성을 제공합니다.


결론

산업 네트워킹에서 꾸준히 나타나는 트렌드는 기술, 특히 산업 자동화 기술과 정보 기술의 컨버전스입니다. 이러한 네트워크 기술 컨버전스로 인해 다양한 제어 및 정보 분야에 대한 공통 네트워크 인프라 위에서 하나의 산업 네트워크 기술을 적용하여 플랜트 및 현장 EtherNet/IP 네트워크가 가능한 것입니다. 이 네트워크 기술 컨버전스에는 실시간 네트워크 실행을 유지하기 위한 네트워크 구조 및 계층을 사용하는 산업 네트워크 설계 방법이 필요합니다. 주 목적은 더욱 작은 Layer 2 네트워크를 생성하여 확장성과 미래지향성을 갖춘 네트워크 인프라를 구축하고, 브로드캐스트 및 오류 도메인을 최소화하며, 더 작은 트러스트 도메인을 생성, 전체 네트워크 스프롤(무계획적인 네트워크 확장)을 줄이는 것입니다.

이 어플리케이션 가이드는 아래와 같은 목적으로 ControlLogix 및 CompactLogix 5370의 다양한 네트워크 세분화에 대한 설계 고려사항을 설명합니다.

• 플랜트/현장 엔지니어가 산업 자동화 및 제어 시스템(IACS) 트래픽 흐름 및 세분화

정책(예: 데이터 우선 순위화 및 보안)을 관리하기 위해 IACS 플랜트 및 현장 네트워

크 인프라를 세분화할 수 있게 한다.

• OEM(장비/프로세스 스키드 제조업체)이 자신의 고객 측 플랜트 및 현장 네트워크

인프라와의 통합을 간소화하기 위해 컨버전스 레디(convergence-ready) 솔루션을

개발할 수 있게 한다.

IACS 트래픽 세분화 방법을 선택하는 기준은 여러 가지 요소가 있습니다.

그 예는 아래와 같습니다.

• 플랜트 및 현장 IACS 어플리케이션 요구사항

• OEM 컨버전스 레디 IACS 어플리케이션 – 예: 장비 제작업체 및 프로세스 스키드 제

작업체


• 해당 산업 및 규제적 표준

• 기업 조직 및 지원 구조 – 예: 제어 시스템 엔지니어와 IT 네트워크 엔지니어의 책

임 체계

소비자는 적절한 세분화 방식을 선택하는 과정에서 설계 및 배치에 관한 결정을 할 때 이러한 요소와 더불어 이 어플리케이션 가이드에 나오는 설계 고려 사항을 잘 파악해야 합니다. 표 1에는 이 어플리케이션 가이드에서 다룬 다양한 세분화 방식에 관한 일반적인 설계 고려 사항이 간단하게 나와 있습니다.

기업의 조직 구조에 따라 IACS 네트워크는 플랜트 및 현장 제어 시스템 엔지니어나 IT 네트워크 엔지니어, 또는 양쪽에서 공동으로 소유할 수 있습니다. 이와 상관 없이, IACS 네트워크 아키텍처의 성공적인 설계와 배치를 위해서는 산업 자동화 및 정보 기술 도메인의 협력이 중요합니다.

Sinci volorepedi cumqui te plitation pre, quatquas sit et eos accum eosamus sin parionseque ad min errum ra volorepe volupta tiberum earis cor mo offi ci alitiis si dolorem faces ad quunt am intempos am quam el maximinctate ium explam qui blacium rat arciam fugit moluptis abo. Nequisqui accum ratesecum re aliquaspidel imporeicil etur modit omnimaio. Imus exceptatem natempo rectemq uidella cora sam, sequo tem aut que perovid ellenis estiundia quati blabo. Nemquos dolent.

Allen-Bradley, LISTEN. THINK. SOLVE. and Rockwell Software are trademarks of Rockwell Automation, Inc. CIP, EtherNet/IP, CIP Motion, CIP Safety and CIP Sync are property of ODVA.

Publication ENET-AT004B-KO-E – 2013년6월 Copyright © 2013 Rockwell Automation, Inc. All Rights Reserved.

표 1: 다양한 세그멘테이션 방식에 대한 설계 고려사항 요약

네트워크 세그멘테이션 방안 어플리케이션 가이드 · 2013. 11. 6. · -...

Documents