Сети промышленной автоматизации. Машиностроение и производство.
Алексей Залужный,Менеджер Системных Инженеров
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014
План презентации
• Современное промышленное производство и автоматизация• Перспективные области применения коммуникационных технологий для
решения задач промышленной автоматизации• Коммуникационные стандарты в системах производственной
автоматизации• Практические аспекты реализаций задач в производственной
автоматизации
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 2
Современное промышленное производство и автоматизация
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3
Промышленный Ренессанс
24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
4
Технологии IoT как катализатор процесса
ГибкийПроцесс
Производства
ГибкийПроцесс
Производства
РепатриацияПроизводстваРепатриация
Производства
УскоренныйВыводНового
Продукта
УскоренныйВыводНового
Продукта
‘БольшиеДанные’
наПроизводстве
‘БольшиеДанные’
наПроизводстве
КонвергентнаяИнфраструктураКонвергентная
Инфраструктура
РазвитиеРобототехники
иТехнологий
Печати
РазвитиеРобототехники
иТехнологий
Печати
* “The Truth About Robotics White Paper,” Seegrid Corporation, Fall 2013** “US Manufacturing Nears the Tipping Point: Which Industries, Why and How Much, BSG April 2013*** “Manufacturing Moneyball: using big data and business intelligence to spur operational excellence”, Forbes 11, 2011
Оборудование и Механизмы как Сервис
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 5
Расширенный Доступ к Данными и Анализ для Совершенствования Операций
• Множественные производственные процессы требуют исходных операционных и диагностических данных, которые часто находятся на необъединенных в сеть машинах и системах управления
• Недостоверность и непрозрачность
Бизнес Проблематика Возможности для Бизнеса
• Повсеместно подключенные машины передают данные для централизованной обработки и использования
• Производители Машин и Оборудования реализуют дополнительные сервисы для клиентов без дополнительных капитальных затрат
• Повышение качества и выявление отклонений
Реализуемые Преимущества
• Общая Эффективность Оборудования OEE (Качество x Производительность x Доступное Время) увеличивается до 95%
• Перенос с капитальных затрат на операционные с улучшенными сервисами от производителя
• Повышение прозрачности производственного процесса, качества продукта, прибыльности
Бизнес Сценарий
1. Производитель Оборудования предлагает Услугу с заданным временем доступности, производительностью и качеством
2. Объединенные в коммуникационную инфраструктуру Машины дают представление о процессе в реальном времени благодаря сбору и анализу диагностики
4. Улучшенное качество данных, прозрачность процессовснижают затраты связанные с качеством и соответствием
3. Предиктивная аналитика обеспечивает проактивнуюреакцию Производителя Оборудования, увеличивает время доступности и производительность
Единая Шина Управления Роботизированным Оборудованием
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 6
• Небезопасный удаленный и гостевой доступ к производственным ‘ячейкам’
• Отдельные сети для управления и обслуживания
• Сложные схемы внедрения роботизированных ‘ячеек’
Бизнес Проблематика Возможности для Бизнеса
• Безопасный локальный и удаленный доступ к ‘ячейке’, мониторинг, сервис, корпоративные приложения
• Прозрачность, мониторинг, диагностическая аналитика внутри и между ‘ячейками’
• Ускоренное внедрение и поиск неисправностей
Реализуемые Преимущества
• Повышение Общей Эффективности Оборудования OEE (+10%) и операционной маржинальности (+2-5 пунктов)
• Низкие первоначальные затраты ($2k+/коммутатор)
• Быстрое внедрение и снижение общей стоимости владения (~$20k/’время жизни ‘ячейки’)
Бизнес Сценарий
1. Автономные ‘ячейки’ внедряются дольше, требуют увеличенный состав ЗиПа, локального обслуживающего персонала и имеют неочевидные ключевые показатели операционной эффективности
2. Aggregated view of real time supply and production data is securely delivered to Cisco DC for real time analytics
4. Sensors securely share information internally and with suppliers, partners, and customers for real time decision engine
3. Снижение стоимости, ускоренное внедрение роботизированного оборудования, мониторинг и удаленный доступ к оборудованию, повышение качествапроизводственного процесса внутри ‘ячейки’ и между ‘ячейками’
ОТ
…
К…
Беспроводные Коммуникации для Переносных Инструментов
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 7
Повышение Производительности и Доступности
• Инструменты, имеющие возможность сбора данных (например, динамометрические отвертки) связаны со сборочной линией и являются дорогими в установке, перемещении, замене
• Незакрепленный инвентарь теряется• Калибровка инструмента затратна и
ненадежна, что вызывает проблемы с качеством
Бизнес Проблематика Возможности для Бизнеса
• ‘Отвязанные’ инструменты имеющие возможность передавать параметры качества и соответствия через WiFi
• Гибкость в проектировании сборочной линии и оптимизации процедур
• Повышение надежности и доступности через сервисы определения местоположения и диагностики с использованием WiFi
Реализуемые Преимущества
• Сокращение производственного цикла и повышение качества (+5-10% производительности)
• Снижение стоимости установки ($1M+/в масштабе завода)
• Контроль за инструментами и приспособлениями, повышение Общей Эффективности Оборудования (+5-10% OEE)
Бизнес Сценарий
Неподключенный инструмент теряется, проблемы с калибровкой
ОТ
…
Подключенный инструмент, требующий затратной инсталляции и ремонта
Заводская инфраструктура WiFiдля оптимизации использования подключенного инструмента
Connected Factory WiFiдля отслеживания инструментов и приспособлений
К…
Управление Энергопотреблением на Производстве
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 8
• Энергопотребление производства может быть оценено только после получения счетов
• Электроэнергия составляет 25-75% затрат на производство продукта для производителя
• Потребители ценят предсказуемость при принятии решений о закупке
Бизнес Проблематика Возможности для Бизнеса
• Контроль потребления в реальном времени и влияния на расписание и другие факторы для оптимизации потребления электроэнергии
• Профили энегропотребленияоборудования также используются для превентивного подхода в техническом обслуживании
Реализуемые Преимущества
• Экономия потребления до 25%, улучшая операционную маржинальность на 15-18%
• Данные реального времени о влиянии на окружающую среду
Бизнес Сценарий
1. Сегодня машины и роботы потребляют энергию в периоды простоя, выходные и во время экстренной остановки производства. Например, 12%потребления сборочного автомобильного производства приходится на перерывы.
3. Сбор и использование данных о потреблении оборудования.
ОТ
…
К…
Заводские Беспроводные Сети
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 9
Определение Местоположения и Six Sigma Quality
• Получить более достоверные данные в реальном времени о соответствии текущего процесса нормативам
• Необходимость понимать эффективность проводимых изменений в сменах и перераспределения ресурсов
• Повысить контроль за Общей Эффективностью Производства
Бизнес Проблематика Возможности для Бизнеса
• RFID Wi-Fi метки интегрируются с ПЛК
• Оператор получает через Wi-Fi данные о производственном процессе
Реализуемые Преимущества
• Увеличение Общей Эффективности Производства на 24%
• Снижение DPMO маркировки на 16%• Рост производительности труда с 80 до
92 процентов
Бизнес Сценарий
1. Ошибки в маркировке и сборке не отслеживаются вовремя. Нет возможности оптимизировать процессы смены продукции или переход рабочих смен.
2. Пост-производственное выявление проблем может колебаться в диапазоне от минут до часов. Нет достоверной отчетности для нескольких сборочных линий. Непрозрачность для руководства.
4. Уменьшающееся количество гарантийных случаев. Соответствие нормативным показателям.
Работники могут незамедлительно информировать супервайзера о проблемах с качеством продукции. Возможность для руководства получать информацию в реальном времени, быстрое принятие решений.
ОТ
…
К…
Cisco Connected Factory
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 10
Конвергированная Сеть
Снижение ЗатратБезостановочное ПроизводствоГибкое производство
Общая ЭффективностьПроизводства
Конвергированная Информация
Удаленный Эксперт
ERP / PLC /HMI
Интеграция
FOG иIOX
Поставки в Реальном Времени
ТрэкингУправление
Энергопотре-блением
Превентив-ное ТО
Визуали-зация
Управля-емость
Прозрач-ность
Устойчи-вость
Гибкое производство
Автомати-зация
Снижение Рисков
Конвергированная Безопасность
КиберБезопасность
ПромышленнаяDMZ
Оборудование как Сервис
Физическая Безопасность
Производительность ТрудаГибкое ПроизводствоОЭПКонвергированная Беспроводная Сеть
Управление АктивамиVoWiFiСенсорные
СетиБеспроводной
ввод/выводМобильная Диагностика
Перспективные Области Применения Коммуникационных Технологий для Решения Задач Промышленной Автоматизации
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 11
Использование Ethernet для Реализации Единой Коммуникационной Шины Оборудования
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 12
ЧМИЧМИ
Сканер
Инструмент
Видео
Робот Робот
Контроллер КонтроллерСервисный Модуль • Современный подход базируется
на концепции единой шины вместо изолированных островов
• Пропускная способность не является критическим фактором
• Производители машин используют стратегию второго вендора в отношении комплектующих
• Конфигурация сетевых устройств в основном производится автоматизированными скриптами
Использование Ethernet для Реализации Единой Коммуникационной Шины Оборудования
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 13
• Часто используется несколько контроллеров внутри машины• Контроллеры сегментируются при помощи виртуальных локальных сетей• Важно время загрузки коммутатора
L3 SW 1
L2 SW 2
L2 SW 3
L2 SW 4
L2 SW 5
L2 SW 6
Контроллер 1Profinet
Контроллер 2Profinet
Контроллер 3CIP
Коммуникационный Модуль 1
Модуль ввода/вывода
1.1
Модуль ввода/вывода
1.2Модуль
ввода/вывода 1.3
VLAN 11
Модуль ввода/вывода
2.1Модуль ввода/вывода
2.2
VLAN 21 VLAN 31
Модуль ввода/вывода
3.1Модуль ввода/вывода
3.2Модуль ввода/вывода
3.3Модуль ввода/вывода
3.4Модуль ввода/вывода
3.5
ЧМИ 1
ЧМИ 2
VLAN 2
VLAN 1
Контроллер1
Контроллер2
Контроллер3 Коммуника-
ционныйМодуль
1
Использование WiFi в Оборудовании
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 14
Робо
тизи
ро-
ванн
ый
Про
цесс
Робо
тизи
ро-
ванн
ый
Про
цесс
Инс
трум
ен-
таль
ный
Мод
уль
Мод
уль
Конт
роля
Ка
чест
ва
ЧМИ
Панель Управления
ПанельУправления
Логи
стич
еска
я Зо
на
Логи
стич
еска
яЗо
на
Оператор
Класс исполнения (IP):Вне Стойки IP65Внутри Стойки IP 20/30
• WIFI сокращает время ввода в эксплуатацию
• WIFI (выделенный SSID) дает возможность удобно и безопасно обслуживать оборудование
Конструкция, предусматривающая транспортировку
Зона WIFI
До нескольких сотен метров
Все внешние компоненты конструкции должны иметь защищенное исполнение для возможности транспортировки
Коммуникационные стандарты в системах производственной автоматизации
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 15
Общие Характеристики Протоколов
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 16
Важной характеристикой является реализация формата данных
Цикличные Изохронные Детерминированные Происходят от оригинального
стандарта HART оперирует описанием устройства.
В то время как Profinet обменивается данными в GDSML (формат XML) для описания устройства.
Форматы зависят от производителя
Большинство поддерживается “независимыми стандартизующимиорганизациями”
Некоторые стандарты открыты, некоторые базируются на коммерческой модели
В основном ориентируются на принцип универсального протокола для: Управления Безопасности Синхронизации Контроля перемещений Конфигурации Информационного обмена
Чем более закрытый стандарт, тем более детерминированный и характеризуется меньшими задержками
Стандарты в Системах Автоматизации
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 17
Контроль перемещений
Ethercat
SERCOS III
Powerlink
ProfinetIRT
SynqNet
IEEE 1588
Промышленность
OPC
Modbus TCP
Profinet
Foundation Fieldbus HSE
Ethernet/IP
NTP
DeviceNet
ControlNet
Profibus
Hart
CC-Link
Транспорт
ARINC 664
Flexray
AS6802 (TTE)
CAN
MOST
Энергетика
IEC 61850
IEC 60870
DNP 3.0
Примечание: Существует большое количество частных реализаций, не приведенных здесь
Промышленная Автоматизация
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 18
CIP - Common Industrial Protocol. Общий уровень приложений для DeviceNet, CompoNet, ControlNet и EtherNet/IP
EtherCAT – высокопроизводительные полевые шины, базирующиеся на Ethernet и открытых стандартах.
EtherNet/IP – IP - аббревиатура от "Industrial Protocol". Реализация CIP (Common Industrial Protocol.)
Ethernet Powerlink – детерминированный открытый протокол, регулируемый Ethernet POWERLINK Standardisation Group.
FOUNDATION fieldbus – H1 & HSE – последовательный L2 стандарт, общий для Profibus/Modbus и др.
HART Protocol - Используется для коммуникаций по устаревшим 4-20 mA аналоговым коммуникационным трассам.
Modbus RTU или ASCII или TCP
PROFIBUS/PROFINET – поддерживается PROFIBUS International, используется Siemens.
SERCOS – В основном в приводах. Ethernet-версия SERCOS III
OPC – OLE для Process Control.
CC-Link Industrial Networks, поддерживается CC-Link Partner Association. CC-Link IE базируется на Ethernet.
DNP3 – Distributed Network Protocol. Используется в распределенных сетях, таких, как водопровод и электричество.
IEC 61850 – Стандарт электроэнергетики.
Ethernet/IP
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 19
CIP: Управляющий (Скрытый обмен)Данные реального времени, управление приводами и др.Использует UDP (multicast и unicast)
CIP: Информационный (Направленныйобмен)
ЧМИ, сообщения, загрузка ПОИспользует TCP
Общий трафикHTTP, Email, SNMP, другой.
Виды обмена Ethernet/IP в системах автоматизации
Преимущества EtherNet/IP Использует стандартный Ethernet и IP Распространенный—150+ вендоров Защита инвестиций — использует
стандартный Ethernet Совместимость — продукты EIP
тестируются на совместимость
FTP HTTP OPC SNMP BOOTPDHCP
IP
IEEE 802.3 Ethernet
OSPF ICMP IGMP
RARPARP
Направленный Скрытый
UDP
CIP
TCP
Layer 2
Layer 3
Layers 5–7
Layer 4
Ethernet/Industrial Protocol или Ethernet/IP (EIP) описывает процедуру передачи коммуникационных пакетов протокола CIP через Ethernet и TCP/IP.
PROFINET CBA, RT и IRT
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 20
PROFINET CBA (NRT) – обмен сообщениями, загрузка программ, диагностика. Межмашинный. TCP/UDP/IPPROFINET RT – коммуникационный класс PROFINET IO. Layer 2. UDP.
Ethertype 0x8892. Упоминается после 802.1Q метки. Передача данных, управляющих команд и аварийных сообщений Время цикла 5-30мс
PROFINET IRT – коммуникационный класс PROFINET IO. Layer 2. Контроль перемещений IRT совместимые устройства имеют функционал коммутатора Время цикла от нескольких 100мкс до нескольких мс Высокодетерминированный. Девиация в размере 1мкс Частная элементная база
PROFINET использует GSD file (General Station Description) для описания характеристик и функций устройств.
www.profibus.com
Практические Аспекты Реализаций Задач в Производственной Автоматизации
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Ethernet I/O – Connected Routing
21
Ethernet I/O. Сборочное Производство
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 22
Первоначальная Архитектура Решения, Уровень Ячейки
Архитектура Connected RoutingASA 6500
120.1.x.x
Архитектура Ячейки
К другим ячейкам
Зональный коммутатор
ЯдроДМЗ
IO
IO
IO
Робот 1 IO
IO
IO
Привод
Привод
192.168.1.2
192.168.1.3
192.168.1.4
IO
IO
IO
Робот 2 192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.7
192.168.1.8
120.1.1.4ПЛК
Блокввода/
вывода
3750
ПЛК действует как шлюз уровня приложений и разрешает доступ к подключенным устройствам по протоколу CIP
Контроллеры Роботов блокируют прямой доступ к вводу/выводу компонент роботов
Взаимодействие с приложениями верхних уровней, включая корпоративные системы управления,затруднено, по причинам изолированности сегментов и использования закрытых архитектурных решений
Затруднена диагностика. При сбое робота нет возможности однозначно установить причину – сбой датчика, проблема с сетевой инфраструктурой или другая причина
Контроллер Робота
Шина Device
Net
КонтроллерРобота
L3NAT
Ethernet I/O. Сборочное Производство
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 23
Первоначальная Архитектура Решения, Общий Вид
Приложения Производителей
Общая Архитектура Решения
Internet / Корпоративная Сеть
Сегмент Заводской Сети
Сегмент Промышленного Ethernet
Корпоративные Приложения
ДМЗ / Управление Доступом
Производственные Приложения
Зона 1
ASA
Cisco ISE
Bayshore Single Key
6500
Зона 2 Зона Х
Яче
йка
1
3750
ПЛК
Что находится в зоне?
I/O
DLRКонтроллер Робота
FANUC Роботы
Cisco IE или
Rockwell Stratix
Яче
йка
2
Яче
йка
1
Яче
йка
2
Ethernet I/O. Сборочное Производство
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 24
Итоговая Архитектура Решения, Connected Routing
Архитектура Connected Routing ASA 6500
172.x.x.xАрхитектура Ячейки
К другимкоммутаторам
ячеек
Коммутаторячейки
Коммутатор зоны
ЯдроДМЗ
IO
IO
IO
КонтроллерРобота
Робот 1
КоммутаторРобота
IO
IO
IO
Привод
Привод
192.168.1.2
192.168.1.3
192.168.1.4
120.1.1.2
VLAN 30
IO
IO
IO
Контроллер Робота
Робот 2
КоммутаторРобота
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.7
192.168.1.8
120.1.1.3
120.1.1.4ПЛК
Блокввода/
вывода
VLAN 20
VLAN 10
192.x.x.x
120.x.x.x
3750
VLAN 30 Уникальные адреса только на уровне ячейки. Локально маршрутизируемые
VLAN 20 Перекрывающиеся адреса, не маршрутизируемые локально или в заводской сети
VLAN 10 Уникальные для ячейки, зоны и заводской сети. Анонсируются в заводскую сеть
Практические Аспекты Реализаций Задач в Производственной Автоматизации
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Беспроводные Коммуникации для Инструментов
25
Беспроводной Инструмент на Сборочном Производстве
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 26
Контроллер имеет три подключения Ethernet, DeviceNet и электропитание/коммуникационный интерфейс
Коммуникационный интерфейс и кабель электропитания между инструментом и контроллером
Фаза 1: Удаление кабелей сетевых интерфейсов контроллера
Фаза 2: Удаление кабелей инструмента
Беспроводной Инструмент
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 27
Около 8 пакетов за 6 мс
Работаинструмента
Такт 1.6 секундыДлительность цикла 305 мс
Стабильная работапри 80% загрузке канала
Беспроводной Контроллер
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 28
Error Proofing
POWER
Allen-BradleyQUALITY
RUN
BAT
I/O
Rs232
OK
RUN PROGREM
Logix5550 DC INPUT
OK
ST
ST
ST
ST
0 1 2 3 4 5 6 7
1 1 1 1 2 2 2 26 7 8 9 0 1 2 32 2 2 2 2 2 3 34 5 6 7 8 9 0 1
1 1 1 1 1 10 1 2 3 4 58 9
DC INPUT
OK
ST
ST
ST
ST
0 1 2 3 4 5 6 7
1 1 1 1 2 2 2 26 7 8 9 0 1 2 32 2 2 2 2 2 3 34 5 6 7 8 9 0 1
1 1 1 1 1 10 1 2 3 4 58 9
DC OUTPUT
OK
ST
ST
0 1 2 3 4 5 6 7
8 9 10 11 12 13 14 15
3 транзакции 6.08 секундыВ отсутствии интерференции
3 транзакции 6.44 секундыИнтерференция >70%
Транзакция от 6 до 8 пакетов
Результаты Тестов и Рекомендации
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 29
Компоненты взаимодействуют корректно даже в условиях сильной интерференции
Роуминг на новую точку доступа занимает от 47 до 58 мс
В случае отказа ТД инструменту требуется от 7 до 8 секунд для переключения на альтернативную
Сбой контроллера беспроводного доступа требует более 75 секунд для восстановления
Количество повторно передаваемых данных тем ниже, чем ниже скорость передачи в радиосреде
Рекомендации для инструмента (использовался Atlas Copco): Улучшить время роуминга, базируясь
на количестве переприемов/смещения скорости
Улучшить время роуминга в случае отказа ТД
Имплементировать WMM (QoS)клиента
Рекомендации для беспроводного контроллера/точки доступа: Следование рекомендациям по QoS Отдельный SSID для инструментов Внедрение с использованием диапазона 5
ГГц Отказаться от использование высоких
скоростей передачи (54 и 48 Мб/с) Настройки таймеров EAP для улучшения
времени роуминга
Практические Аспекты Реализаций Задач в Производственной Автоматизации
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Безопасность
30
Архитектура Проводного Доступа
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 31
Постановка проблемы: Как изолировать ПК подключенные через неуправляемые DLR/ETAP порты Ethernet?
Приложения производителей
Интернет
Доступ заблокирован
Блокировки нет
Сегмент Промышленного
Ethernet
Корпоративные приложения
Управление доступом
Производственные приложения
I/ODLR
ПЛК
Ячейка 1 Ячейка 2
I/O
DLR
ПЛК
Инструменты
ПК
ETAP
3750
RA 5700 / IE 2K
Стратегия:1) Использовать центральный контроллер политик, управляющий доступом к
сети2) Нет необходимости создавать политики безопасности на каждом
коммутаторе/контроллере, перенаправление на ISE3) Коммутатор Cisco может проводить аутентификацию тремя способами:
a) 802.1xb) Web аутентификацияc) MAB – mac address by-pass
4) ISE динамически реагирует на результат авторизации:a) Меняет vlanb) Применить dACLc) Применить SGT
5) Например, dACL применяется на входящем порту коммутатора Cisco,позволяя устройству взаимодействовать с сервером А и только при подключении через порт D.
ASA
6500
Преимущества:1) Улучшенное масштабирование и безопасность
a) Политика создается один раз в одном местеb) Устройствам не разрешается доступ, пока политика однозначно не позволяет
это сделать2) Вендоры изолируются друг от друга при помощи ролевого доступа3) На управляемых коммутаторах точка контроля доступа перемещается из
заводской сети в ячейки сегмента промышленного Ethernet4) Блокировка портов Ethernet на управляемых коммутаторах в ячейке
Точка контроля
Cisco ISE
RA 5700 / IE 2K
IO
Инструменты
Сегмент Заводской Сети
Постоянный и Аварийный Удаленный Доступ
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 32
Постановка проблемы: Как организовать постоянный или аварийный удаленный доступ для мониторинга и сбора информации, одновременно ограничивая пользователя в возможности изменять настройки оборудования?
Приложения производителей
Интернет
Доступ заблокирован
Блокировки нет
Сегмент Заводской Сети
Сегмент Промышленного
Ethernet
Корпоративные Приложения
Управление доступом
Производственные приложения
ПЛК
Ячейка 1 Ячейка 2
I/O
DLR
ПЛК
Инструменты
ПК
RA 5700 / IE 2K
Стратегия:1) Применить центральный контроллер политик доступа к сети – Cisco ISE2) Применить приложение с возможностью контроля данных для наложения
политики на индустриальную сеть3) Интегрировать политику доступа к сети на ISE с функционалом контроля
данных на Single Key4) Маршрутизировать или перенаправлять трафик из VPN на Single Key после
аутентификации на ASA и ISE5) Bayshore проксирует удаленную сессию и мониторит на соответствие политике6) Нарушение политики: Пользователь пытается выполнить операцию записи и
изменить настройки робота7) Корректирующее действие:
a) Сброс TCP сессииb) Выборочная фильтрация команд и трафика без сброса соединенияc) Отправка сообщения на Cisco ISE для применения политики на сетиd) Отправка уведомления на консоль мониторинга
ASA
Преимущества:1) Мониторинг сессии удаленного доступа на предмет нарушений целостности
продукта2) Объединение IT и OT политик через интеграцию ISE и Single Key3) Позволяет улучшить Общую Эффективность Оборудования благодаря
возможности удаленного безопасного мониторинга4) Улучшенное масштабирование и безопасность
a) Политика создается один раз и в одном местеb) Устройствам не разрешается доступ, пока политика не позволяет однозначно
это сделать
Точка контроля
Cisco ISE
RA 5700 / IE 2K
I/O
DLR
Bayshore Single Key
6500
Контроллер робота
3750
Логическая Модель Удаленного Доступа
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 33
ПК
Заводская Сеть
Классификация
Транспорт
Действие
Интернет
ПК
BA
C
ПромышленыйСегмент Сети
4
SXP
SXP
D
CoA
1
23
4
5
Логическая цепочка:1 Пользователь инициирует VPN-соединение2 ASA аутентифицирует через ISE, ISE отправляет CoA
w/ dACL & SGT3 ASA отправляет SXP таблицу на 3750X4 ASA также отправляет SXP таблицу на Bayshore
SingleKey5 Сессия будет заперта на определенном порту -
Bayshore обеспечит гранулярный контроль
SingleKey
ASA
ISE
3750X
AD/DNS/Cert/DHCP
VPN
Удаленный доступ – по запросу
Логическая Модель Проводного Доступа
© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014 34
Промышленная Сеть
Классификация
Транспорт
Действие
Интернет
23
4
Логическая цепочка:1 Пользователь подключается к ETAP2 ‘Интересный’ трафик появляется на входном порту
Stratix / IE3 Коммутатор запускает процесс Web Auth4 Коммутатор запрашивает ISE5 ISE отвечает с CoA и отправляет dACL,
назначаемый на входной порт6 Устройство подключается к 10.1.1.1 через порт 410.
ISE
3750X
AD/DNS/Cert/DHCP
Проводной Доступ – Управляемый
ПриложенияПроизводителя
ETAP
Заводская Сеть
Вендор
6500
1
5
6
Ячейка
Stratix / IE
Ваши Вопросы
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 35
CiscoRu Cisco CiscoRussia
Ждем Ваших сообщений с хештегом#CiscoConnectRu
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, используйте код для оценки доклада
6342Ваше мнение очень важно для нас
Спасибо!