Rev 5058-CO900F

PUBLIC INFORMATION

커넥티드 엔터프라이즈를 위한

네트워크인프라구현방안

남수혁 이사로크웰 오토메이션, 마케팅

2015년 9월 16일

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 1

Rev 5058-CO900F

스마트팩토리

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 2

Rev 5058-CO900F Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved. 3

커넥티드 엔터프라이즈

사물인터넷 기술로 모든 장치들이 초 연결된 환경에서

무제한의 데이터가 시공간의 제약 없이 실시간으로 공유되고

이렇게 공유된 데이터를 분석하여 공장 및 기업의 운영을 최적화 하고

신속 정확한 비즈니스 의사결정을 함으로써

미래의 글로벌 경쟁력을 확보한 기업

Rev 5058-CO900F

스마트매뉴팩처링 (제조기업)Connected Enterprise

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 4

Rev 5058-CO900F

사람

Connected Enterprise사람, 프로세스, 기술의협력

프로세스

기술

Connecting…

… 운영의탁월함을성취

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 5

Rev 5058-CO900F

어떻게실행할것인가… 5단계실행모델(로크웰)

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 6

Rev 5058-CO900F

스마트공장발전단계

기초

중간1

중간2

고도화

부분적 개선 네트워크 컨버전스 IoT/CPS

네트워크 인프라구축 이후 비약적

발전 예상

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 7

Rev 5058-CO900F

어디서부터시작할것인가…? 스마트팩토리참조모델

정보 시스템

시각화 솔루션

핵심 네트워크 인프라

지능형 제어 시스템

지능형 자산

경영 관리

생산 관리

운영

엔지니어링

유지보수

보안

네트워크

인프라

데이터

정의

(WD

C, 상황화

데이터

)

공장 전반에 걸친 모니터링

개발시간 단축

예지보전

지적자산 보호

환경 및 안전

생산성 향상

재고 관리

공급망 통합

원격감시

고객 지원/관리

납기 단축

품질 관리

자산활용도 향상

고도화

…

…

…

…

…Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 8

Rev 5058-CO900F

Transactional data(업무처리데이터): 주문, 공급망, 제품디자인…

OT

IT

CONVERGENCE

MATERIAL & TRANSPORT

INDUSTRIAL “THINGS”

CONTROLLERS SENSORS, ACTUATORS

LABELERS & PRINTERS

MACHINES & EQUIPMENT

재무 인사 물류 품질 고객관리전사적자원관리(ERP)

Real-time data(실시간데이터): 제어, 안전, 보안 + 알람, 이벤트, 상태, 에너지, 진단, …

…

…

IT와 OT 융합의 필수요건: 네트워크 인프라Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 9

Rev 5058-CO900F

Connected Enterprise네트워크융합(Network Convergence)

From: 기본적인 연결…From: 서로 다른

IT - OT 네트워크…From: 독점적 표준...

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 10

Rev 5058-CO900F

제조영역과기업네트워크의컨버전스

Copyright © 2011 Rockwell Automation, Inc. All rights reserved. 11

Ethernet 확산

비지니스 요구사항 증가

Technology Convergence

Network Convergence

Organizational Convergence

Cultural Convergence

Business Model Innovation

비지니스모델혁신

• 조직적 문화적 문제가 존재하며, 업무간 구분이 불명확함–“커다란 문화적 충돌이 발생…통상 IT 주도형으로 나타남”–“부서간 또는 업무간에 커다란 단절이 발생”

• “서로 벽을 허물고 하나로 통합될 필요가 있음”

Cisco/Rockwell Automation Customer Innovation Council –Sept 2006/2007

•신속한 비지니스 의사결정•경쟁적 우위 확보

Rev 5058-CO900F

Cisco 와 Rockwell Automation의협력

12

Stratix 5900 security appliance, Stratix 5000 and 8000 families of Industrial Ethernet managed switches combine the best of both Rockwell Automation and Cisco to address IT and plant-wide / site-wide priorities

Plant-wide / site-wide focused reference architectures, comprised of Rockwell Automation and Cisco expertise, provide a foundation to successfully deploy the latest technologies optimized for both industrial automation and IT professionals

Achieve flexibility, visibility and efficiency through a single system architecture, using open, industry standard networking technologies, such as EtherNet/IP

Services and education to facilitate industrial automation and information technology convergence, successful architecture deployment and efficient operations, so that critical resources can focus on increasing innovation and productivity

사람과 프로세스의 최적화:

공통의 기술적 관점

참조 아키텍처: Converged Plant-wide Ethernet Reference Architectures:

제품 및 솔루션 개발 협력:

Rev 5058-CO900F

참조아키텍터Converged Plantwide Ethernet Reference Architectures

13

로크웰과시스코가공동개발

테스트되고검증된아키텍처성능 (Performance), 강건함(robustness), 가용성(availability),

반복성(repeatability), 보안(security)

시스코에서검증한설계

산업표준을기반으로설계 “미래에대비된” 네트워크디자인

포함내용및기대효과설계지침및권고사항문서화된시스템구성(configuration) 및장치설정(settings)

단순화된설계작업, 신속한구현, 위험감소

IT 네트워크와산업자동화엔지니어모두에게필요한정보제공

Rev 5058-CO900F

참조아키텍처 – 로크웰과시스코가공동개발

14Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.

Rev 5058-CO900F

IT와 OT 융합네트워크장치: Stratix시리즈

15

IT와 OT의구체적협력수단제공

시스코의 핵심기술 기업 네트워크와 안전한 통합

시스코 운영체계 (IOSTM

) 탑재

시스코의 CatalystTM

제품군의 구조와 기능 가짐 IT 전문가들에게 친숙한 관리 도구 제공

: CLI (command line interface), CNA, Device Manager

로크웰 오토메이션의 핵심 기술 통합 아키텍처 인터페이스 (CIP) 제공

RSLogix 5000 설정 프로파일(AOP) 제공 진단을 위한 로직 태그 기본 제공 FactoryTalk View Faceplates 제공

공장 환경에 최적화 간편한 시스템 통합 및 유지보수성 제공

자동화 고객을 위한 기본설정 제공 (Globals and Smartports) 쉽고 빠른 하드웨어 교체를 위해 착탈식 Compact Flash를 이

용한 설정방식 채택

+

+

제조환경을 기업 네트워크에 통합하기 위한 네트워크 인프라 제품군Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.

Rev 5058-CO900F

EtherNet/IP 통신에스타외에데이지체인, 링등의다양한토폴로지적용가능

자동화장치를위한초고속복구링 (50노드기준최대 3msec 이내)

별도의설정없이자동화를위한기본설정내장

선형구조를통한케이블비용절감

1756-ETAP(3-port 내장형스위치)을이용하여기존의이더넷장치연결가능

이중화알고리즘공개 – 제3업체에서사용가능

장치 수준에서 설비운전을 유지하기 위한 수밀리초 수준의 복원력 제공

DLR - Device Level Ring(산업용이더넷토폴로지지원: IT/방상형 OT/선형)

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 16

LinearDevice-Level Ring

1783-ETAP1FETAP with one Fibre

장치 연결 포트 (1개)

네트워크 연결 포트 (2개)광 또는 구리선 지원

구리선 광케이블

Rev 5058-CO900F

Stratix 제품군포트폴리오(산업용네트워크인프라구축솔루션)

17

NAT Routerw/DLR

ArmorStratix 5700

Stratix 5700 POE

Stratix 5900 Services Router

Stratix 5400Switch

Expanded Fiber Portfolio

Stratix 8000 SFP & PoE Expansion

Stratix 2000 Expanded Portfolio (Phased)

Stratix 54101RU Switch

Platform

Stratix 5100 Wireless Access

Point

EN2DNR IP 20 & 67

Stratix 5700 DLR

Device Manager

Enhancements

Network Management-Asset Health

EN2FF/PACN2FF/PA

Stratix Security Appliance (DPI) &

Management Software

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.

Rev 5058-CO900F

참조아키텍처기반의시스템구성사례

18

FactoryTalk Applications and Services

링 토폴로지

ManufacturingZone

8000 ManagedLayer 2 Switch

ETAP - Embedded Layer 2 SwitchRing Topology

DMZ

Enterprise Zone Enterprise

Network

Catalyst 2960 Series PoE-8

SYST

DUPLX

SPEED

MODE

COCIS

1 2

POWER OVER ETHERNET

13X

14X

11X

12X

23X

24X

STAT

RPS

PoE

1X

2X

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24CISCO ASA 5510

POWER STATUS ACTIVE VPN FLASH

Adaptive Security Appliance

SERIES

MODE

STACKSPEEDDUPLXSTATMASTRRPSSYST

Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12

1X

2X

11X

12X

13 14 15 16 17 18 19 20 21 22 23 24

13X

14X

23X

24X

1 2 3 4

Catalyst 2960 Series PoE-8

SYST

DUPLX

SPEED

MODE

COCIS

1 2

POWER OVER ETHERNET

13X

14X

11X

12X

23X

24X

STAT

RPS

PoE

1X

2X

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Cisco 2960Layer 2 Access Switch

CISCO ASA 5510

POWER STATUS ACTIVE VPN FLASH

Adaptive Security Appliance

SERIES

MODE

STACKSPEEDDUPLXSTATMASTRRPSSYST

Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12

1X

2X

11X

12X

13 14 15 16 17 18 19 20 21 22 23 24

13X

14X

23X

24X

1 2 3 4

6000 ManagedLayer 2 SwitchStar Topology

Embedded Layer 2 Switch Linear Topology

2

.Rx

-Tx

. 4

A

G

H z

ANTENNA

2

. Rx -Tx

.4

A

GH

zANTENNA

2

. Rx -Tx

.4

B

GH

zANTENNA

2

. Rx -Tx

.4

C

GH

zANTENNA

2

.Rx

-Tx

. 4

C

G

H z

ANTENNA

2

.Rx

-Tx

. 4

B

G

H z

ANTENNA

STATUS RADIOETHERNET

C OCIS

2

.Rx

-Tx

. 4

A

G

H z

ANTENNA

2

. Rx -Tx

.4

A

GH

zANTENNA

2

. Rx -Tx

.4

B

GH

zANTENNA

2

. Rx -Tx

.4

C

GH

zANTENNA

2

.Rx

-Tx

. 4

C

G

H z

ANTENNA

2

.Rx

-Tx

. 4

B

G

H z

ANTENNA

STATUS RADIOETHERNET

C OCIS

Mobile User

Lightweight AP (LWAP)

AP as WorkgroupBridge (WGB)

Cisco 4400 Series

WIRELESS LAN CONTROLLER

MODEL 4402 12 APCONSOLE

STATUS

ALARM

PS1

PS2

LINK ACT

SERVICE

LINK ACT

UTILITY 1 2

LINK

ACT

Cisco 4402Wireless LAN Controller (WLC)

ERP, Email, Wide Area Network (WAN) Cisco Adaptive Security

Appliance (ASA) 5520 Firewall

Cisco 1252G802.11n – Dual BandAccess point

Cisco 3750GStackwise Layer 3 Distribution Switch

Patch ManagementTerminal ServicesApplication MirrorAV Server

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.

Rev 5058-CO900F 19

현재:

미래(지향 모델)

네트워크통합모델

Rev 5058-CO900F

산업용네트워크요구사항 - CCC

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 20

제어(Control)

기계 또는 공정에 대하여 빠르고 정확한 의사결정과 조치를 지시하기 위해 제어 요소 사이에데이터를 교환하기 위한 효과적인 수단

설정(Config)

시운전 또는 운영 중에 기기 또는 시스템의 설정을 위한 시간에 민감하지 않은(non time critical) 데이터 교환 수단

수집(Collect)

HMI, 트렌드, 또는 분석을 위해 정기적인 간격 또는 요구에 따라 데이터나 정보를 끌어내는 것

Rev 5058-CO900F 21

IoT를 위한 IT 친화적인 산업용 네트워크

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.

IT기술과 제조 기술의 융합은 표준 이더넷에서 최적화

표준 이더넷을 변형하지 않고 그대로 사용

IT 표준이더넷에서산업용네트워크요구사항(CCC)을구현하는프로토콜

Rev 5058-CO900F

OSI Reference 모델로본 EtherNet/IP

Application

Presentation

Session

Transport

Network

Data Link

Physical

Layer 7

Layer 6

Layer 5

Layer 4

Layer 3

Layer 2

Layer 1

Network Services to User App

Encryption/Other processing

Manage Multiple Applications

Reliable delivery/Error correction

Logical addressing - Routing

Media Access Control

Specifies voltage, pin-outs, cable

CIP

TCP - UDP

IP

IEEE 802.3

TIA - 1005

Routers

Switches

Cabling

Layer Name Layer No. Function Examples

OSI Reference Model / 5 Layer TCP/IP Model

IEEE 802.3/802.1

Ethernet

UDP/IP & TCP/IP at

transport & network

CIP at the application

Layer Protocol

EtherNet/IP = Ethernet + IP + CIP

CIP: Common Industrial Protocol

Rev 5058-CO900F

객체모델링사용

CIP 는장치를기술하기위해객체모델링을사용모든장치는객체들의집합으로구성객체는장치의기능을논리적으로연계된일련의집합으로분류

UCMM

어셈블리객체

I/O 메시지명시적 메시지

연결

아이덴터티 객체

네트워크

메시지 라우터

어플리케이션 객체

Rev 5058-CO900F

객체지향모델사례: CIP Energy

Energy Intelligence

CIP Energy on EtherNet/IP

CIP Energy on DeviceNet

Energy Aggregator and

Low-Power

Energy Aggregator and

Energy Management

Power

Monitor

Energy Aware Plant

EnergyEnable

dEnergy Enable

d

Energy Enable

d

Energy Enable

d

Energy Policy Loop

Machine Control Loop

Safety Loop

Energy Aware Machine

Rev 5058-CO900F

산업용네트워크보안규격검증된산업용보안표준

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 25

Interntional Society of Automation (자동화국제학회) ISA-99 Industrial Automation and Control System (IACS) SecurityDefense-in-DepthDMZ Deployment

National Institute of Standards and Technology (국립표준기술연구소)NIST 800-82 Industrial Control System (ICS) SecurityDefense-in-DepthDMZ Deployment

Department of Homeland Security (국토안보부)DHS INL/EXT-06-11478Control Systems Cyber Security: Defense-in-Depth StrategiesDefense-in-DepthDMZ Deployment

Rev 5058-CO900F

물리적 보안 권한을 가진 사람에게만 물리적 접근을 허용: 구역, 제어판넬, 장치, 케이블링, 제어 룸

방문객은 이동경로를 안내하고 추적함

네트워크 보안 인프라 프레임워크 예) 침입 탐지/방지 시스템(IDS/IPS)을 갖춘 방화벽, 스위치와 라우터와 같은 네트워크 장치들에 대한 통합보호

컴퓨터 강화 패치 관리, 백신 설치 사용하지 않는 프로그램, 프로토콜, 서비스 제거

어플리케이션 보안 인증(Authentication), 권한부여(Authorization) 감사(Audit) 소프트웨어

장치 강화 변경이력 관리, 접근통제

산업보안심층방어(Defense-in-Depth) 모델

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 26

Defensein Depth

Computer

Device

Physical

Network

Application

Rev 5058-CO900F

보안을 포함한 네트워크 설계 지침참조 아키텍처(Reference Architecture)

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 27

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Terminal ServicesGateway

Patch Management

AV Server

Application Mirror

Web Services Operations

ApplicationServer

Enterprise Network

Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.

FactoryTalkApplication

Server

FactoryTalk Directory

Engineering Workstation

Remote Access Server

FactoryTalkClient

Operator Interface

FactoryTalkClient

Engineering Workstation

Operator Interface

Batch Control

Discrete Control

Drive Control

ContinuousProcess Control

Safety Control

Sensors Drives Actuators Robots

EnterpriseSecurity Zone

DMZ

IndustrialSecurity Zone

Cell/Area Zone

WebE-Mail

CIP

Firewall

Firewall

Site Operationsand Control

Area Supervisory

Control

Basic Control

Process

Rev 5058-CO900F

보안품질(Security Quality) 관리보안품질관리프로세스를운영하는것이중요

28

종료완화및조치(Mitigate and Remediate)

검토및평가(Evaluate and Assess)

접수

Communications

제품취약성(Product Vulnerabilities):

We expect them – 취약성예견

We plan for them – 취약성에대비

We work to avoid them – 취약성을회피

We support our customers – 고객을지원

참조: Knowledge Base article 54102 :제품취약성에대한최신정보를제공

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.

Rev 5058-CO900F

조작 감지

어플리케이션 대한의도되지 않은 행위와수정을 감지하고 기록

내용 보호(Content Protection)

제어시스템의 내용물의특정 부분을 보거나, 편집하거나, 사용하는

것을 방지

접근제어 및 정책 관리

언제, 어디서, 누가, 어떤어플리케이션이나 장치에

대해서 무엇을 할것인지를 관리

반드시시스템으로 구현되어야 함

산업용 보안은

보호된(Secured)네트워크 인프라

네트워크에 대한 접근제어, 의도되지 않은 접근

및 행위를 감지

보안기능 제공: 산업보안 핵심 요소

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 29

Rev 5058-CO900F

예시) 조작감지사례

30

로크웰솔루션펌웨어디지털사인데이터변경이력감사 (FactoryTalk AssetCentre Auditing)

컨트롤러변경감지및로깅고무결성 AOI (High Integrity AOIs)

조작 감지

어플리케이션 대한의도되지 않은 행위와수정을 감지하고 기록

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.

Rev 5058-CO900F

예시) 접근제어및정책관리

31

로크웰솔루션컨트롤러태그데이터접근통제FactoryTalk Security

컨트롤러 CPU Lock Tool

컨트롤러통신경로슬롯지정

접근제어 및 정책 관리

언제, 어디서, 누가, 어떤어플리케이션이나 장치에

대해서 무엇을 할것인지를 관리

• Authenticate the User• Authorize Use of Applications• Authorize Access to Specific Devices

FactoryTalk Directory

(All FactoryTalk Securityenabled software)

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.

Rev 5058-CO900F 32

A new ‘go-to’ resource for educational, technical and thought

leadership information about industrial communications

Standard Internet Protocol (IP) for

Industrial Applications

Coalition of like-minded companies

www.industrialip.org

감사합니다!

남수혁, 마케팅, 로크월오토메이션코리아

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. 33