Post on 08-Oct-2018
1© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Cómo diseñar las redes mediante Arquitecturas de Referencia para obtener un diseño Ethernet compacto y seguro
222© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Agenda
• Convergencia de redes empresariales y de fabricaciónColaboración entre Cisco y Rockwell Automation
• Arquitecturas de referencia para la descripción general de la fabricación
• Las mejores prácticas para la conexión en redSegmentación de la red
Desempeño del tráfico en tiempo real para el tráfico de control
Políticas de protección
333© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Convergencia de redes de fabricación
Tradicional
Red de controlRed a nivel de
dispositivoEthernet
Sensores y otros dispositivos de Entrada/Salida
Controlador
Motores, Variadores
Accionadores
ControladorBasado en PC
Robótica
Unidades centrales de back-office yservidores (ERP, MES, CAPP,PDM, etc.)
OficinasAplicaciones,Internetworking,Servidores de datos,Almacenamiento
Red de controlGateway
Red corporativa
Ethernet estándar
Ethernet
Sensores y otros dispositivos de Entrada/Salida
Controlador
Motores, VariadoresAccionadores
ControladorBasado en PC
Robótica
Unidades centrales de back-office yservidores (ERP, MES, CAPP,PDM, etc.)
OficinaAplicaciones,Internetworking,Servidores de datos,Almacenamiento
Red corporativa
Interface OperadorMáquina (HMI)
444© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Convergencia de redes empresariales y de fabricación
• Línea de conmutador administrada Stratix 8000 TM Rockwell Automation con tecnología Cisco
• Arquitecturas de referencia• Series educativas http://www.ab.com/networks/architectures.html
http://www.cisco.com/web/strategy/manufacturing/ettf_overview.html
555© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Arquitecturas de referencia para fabricación
• Guía de diseñoBuenas prácticas y recomendaciones
Metodología
Ajustes documentados para configuración
Desarrollada en contraste con arquitecturas validadas y probadas
• Base de red “preparada para la tecnología del futuro”
Enlace GE para la
detección de migración en caso de fallo
Cortafuegos
(Activo)
Cortafuegos
(En espera)
Encaminador Capa 3
Switch Stack Capa 3
Interruptor Capa 2
Variador
Controlador
Controlador
VariadorHMI
Controlador
Variador
HMI
E/S distribuidas E/S
distribuidas
Nivel 0–2
HMI
Celda/Área #1
(Topología estrella redundante)Celda/Área #2
(Topología anillo)
Celda/Área #3 (Topología bus)
Zona Celda/Área
Zona de fabricación Nivel 3
Zona Desmilitarizada (DMZ)
Zona Desmilitarizada (DMZ)
Área empresa Niveles 4 y 5
Servidores Windows 2003• Conexión
remota del escritorio• VNC• PC en cualquier sitio
Aplicaciones FactoryTalk• Vista• Métrica• Historial• AssetCentre• Centro Productivo
Servicios de Red• servidor DNS, DHCP, syslog• Administración
de red y protección
666© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Arquitecturas de referencia para fabricación
• Ethernet y TCP/IP estándar sin modificar
• Segmentación jerárquicaAdministración de tráfico
Políticas de seguridad
• Desempeño en tiempo realLAN virtuales
Calidad del servicio
Administración de difusión múltiple
• Políticas de seguridadDesarrollado en contraste con arquitecturas validadas
y probadas
Enlace GE para la
detección de migración en caso de fallo
Cortafuegos
(Activo)
Cortafuegos
(En espera)
Encaminador Capa 3
Switch Stack Capa 3
Interruptor Capa 2
Variador
Controlador
Controlador
VariadorHMI
Controlador
Variador
HMI
E/S distribuidas E/S
distribuidas
Nivel 0–2
HMI
Celda/Área #1
(Topología en estrella redundante)Celda/Área #2
(Topología en anillo)Celda/Área #3
(Topología de bus)
Zona Celda/Área
Zona de fabricación Nivel 3
Zona Desmilitarizada (DMZ)
Zona Desmilitarizada (DMZ)
Zona de la empresa Niveles 4 y 5
Servidores Windows 2003• Conexión
remota del escritorio• VNC• PC en cualquier sitio
Aplicaciones FactoryTalk• Vista• Métrica• Historial• AssetCentre• Centro Productivo
Servicios de Red• Servidor DNS, DHCP, syslog• Administración de Red y seguridad
777© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Arquitecturas de referencia para fabricación
• TecnologíaIEEE – Ethernet estándar/sin modificar
Futuro – Wireless y PTP (1588)
IETF – Protocolo internet estándar (IP)
ODVA – Protocolo Industrial Común (CIP)
ISA 100 – Wireless (Futuro)
NIST – National Institute of Standards and Technology (Instituto Nacional de Estándares y Tecnología)
• FabricaciónISA 99 – Protección para sistemas de control y de fabricación
ISA 95 – Integración sistema de control – empresa
Modelo de referencia PurdueConstruido con estándares
888© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Emisor Receptor
Cómo trabaja el modelo OSI
Aplicación – CIP Capa 7 Aplicación – CIP
Presentación – CIP Capa 6 Presentación – CIP
Sesión – CIP Capa 5 Sesión – CIP
Transporte – TCP/UDP Capa 4 Transporte – TCP/UDP
Red – IP Capa 3 Red – IP
Enlace de datos – Ethernet Capa 2 Enlace de datos – Ethernet
Físico – Ethernet Capa 1 Físico – Ethernet
999© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
¿Qué
es CIP ( Protocolo Industrial Común)?
• Estándar para integrar control de E/S, configuración de dispositivos y recolección de datos
en sistemas de automatización y de
control
• Compatible con tres protocolos de red de los cuales EtherNet/IP es Ethernet estándar no modificado
• Conjuntos estándar de servicios para acceder a datos y controlar el funcionamiento de los dispositivosOpen DeviceNet Vendor Association http://www.odva.org
EtherNet/IP™ DeviceNet™ ControlNet™
CIP
Mot
ion™
CIP Safety™
Protocolo Industrial Com
ún (CIP)
Adaptaciones de red de C
IP
Controladores de
movimientoServo/CA
VariadoresVálvulas
neumáticas Otros perfiles Bloque Safety
I/O
Otras prácticas
de seguridad
Biblioteca de objetos
específicos para la seguridad
Capa de seguridad
Biblioteca objetos
Mensajes explícitos de servicios de administración de datos, mensajes E/S
Administración de conexión, encaminamiento
Sincr. tiempo
IEEE 1588
TCP UDP
Protocolo Internet (IP)
Ethernet
CSMA/CD
Capa física de Ethernet
CAN
CSMA/NBA
Capa física de DeviceNet
Transporte DeviceNet
ControlNet
CTDMA
Capa física de ControlNet
Transporte ControlNet
101010© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Marco de fabricación
• Zona de la empresa para redes IT
• DMZ como zona de buffer para
compartir
datos y servicios
de manera segura
• Zona de fabricación donde existen sistemas de pisos de producción crítica
• Zona celda/área donde residen los dispositivos y controladores
• Zona de seguridad para
dispositivos de seguridad
• Niveles desde ISA SP95 y modelo de referencia Purdue
• Zonas desde ISA SP99
Red de la empresa Nivel 5
Planificación de negocios y red de logística Nivel 4
Operaciones y control de fabricación de site Nivel 3
Control supervisor del área Nivel 2
Control básico Nivel 1
Proceso Nivel 0
Seguridad-Crítico
Zona de la empresa
Zona Desmilitarizada (DMZ)
Zona de fabricación
Zona de seguridad
Zona Celda/Área
111111© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Marco de fabricación
No hay flujo de tráfico directo desde la zona de la empresa a la zona de fabricación
Nivel 5
Nivel 4
Nivel 3
Nivel 2
Nivel 1
Nivel 0
Servicios del terminal
Administración de parches
Servidor AV
Espejo Historial
Operaciones de servicios de Web
Servidor de aplicación
Encaminador Red de la empresa
Planificación de negocios y red de logísticaE-Mail, Intranet, etc.
Control de la producción
Optimización del Control
Historia del proceso
Controlador de dominio
Control supervisor
Interface de operador
Control supervisor
Estación de trabajo de ingeniería
Interface de operador
Control de lotes
Control discreto
Control secuencial
Control continuo
Control híbrido
Sensores Variadores Accionadores Robots
Zona de la empresa
DMZ
Zona de fabricación
Zona Celda/Área
WebE-Mail
CIP
Cortafuegos
Cortafuegos
Operaciones y control de fabricación
Control supervisor del
área
Control básico
Proceso
121212© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Descripción General de la zona celda/área – Niveles 0-2
131313© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Tráfico de red de fabricación
• Ethernet estándar sin modificar
• Suite estándar TCP/IP
• Protocolo capa aplicación –
Protocolo
Industrial Común (CIP)
• EtherNet/IP = Ethernet + IP + CIP
• TCP y UDP en transporte
• Difusión simple y múltiple de IP en la red
• Direccionamiento estático IP de dispositivos
FTP HTTP OPC SNMP BOOTP DHCP
IP
IEEE 802.3 Ethernet
OSPFICMP IGMP
RARPARP
Mensajesexplícitos
Control E/S en tiempo real
UDP
CIP
TCP
EtherNet/IP especifica cómo los paquetes de comunicación CIP pueden ser transportados por Ethernet estándar y tecnología
TCP/IP
Capa 2
Capa 3
Capas 5-7
Capa 4
141414© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
• El tráfico de celda/área es predominantemente
(>80%) local, tráfico
de E/S cíclico
(a.k.a. Implícito)
Los productores generan mensajes UDP de difusión múltiple; el consumidor genera mensajes UDP de difusión simpleLos paquetes son pequeños: 100–
200 bytes pero
se comunican con gran
frecuencia
(cada
0.5 a 10 s de ms)Las difusiones múltiples no son encaminables
(TTL=1 por
aplicación)
• El resto es control informativo
y flujos
de tráfico de administración (o Explícita) intra-
e inter-celda/áreaTráfico de datos o administrativo no crítico basado en CIPInformación de diagnóstico vía HTTPAdvertencias de estado y fallos vía SNMP o SMTP Paquetes más grandes, ~500 bytes pero poco frecuentes (100s de ms)
Flujos de tráfico de la zona celda/área
Computadora portátil de ingeniería (RSLogix)
Gestión de Red
Gateway de correo
Cisco Cat.® 3750Switch Stack StackWise™
HMIHMI
Cisco Cat. 2955
Cisco Cat. 2955
Variador Zona Celda/Área Zona Celda/Área
Zona de fabricaciónDMZ
PAC
151515© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Clases de aplicación en tiempo real
Fuente: Grupo asesor ARC
FunciónSoluciones de información y
automatización
de procesos más lentosAutomatización discreta Control de movimiento
Tecnología de comunicaciones .Net, DCOM, TCP/IP Ethernet estándar + protocolo en
tiempo real Solución Hardware/Software
Período Un segundo o más 10 ms a 100 ms < 1 ms
Industrias Petróleo y Gas, Química, Energía, Agua
Automotriz, alimentos y bebidas, ensamblaje electrónico,
semiconductores, metales, farmacéutica
Subconjunto de automatización discreta
Aplicaciones
Bombas, compresores, mezcladores
Monitoreo de temp., pulsaciones, flujo
Manejo de materiales, rellenado, etiquetado, paletización, envasado
Soldaduras, estampado, corte, formación de metales, soldaduras,
clasificación
Sincronización de múltiples ejes: Prensas de imprimir, esquemas de cables, web
making, recogida y colocación
161616© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Las mejores prácticas para conexión en red
Rendimiento
de la red en tiempo realReducción
del tiempo de espera de la red y
fluctuaciones• Control difusión múltiple IP
Administración de IGMP
• SegmentaciónModelo de red multivinculadaTopologíaLAN virtuales (VLANs)
• PrioridadesCalidad del Servicio (QoS)
• Resiliencia – Alta disponibilidad
171717© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Difusión simple vs. difusión múltiple vs. difusión
Controlador
Interruptor
Difusión simple
Controlador
Interruptor
Difusión múltiple
Controlador
Interruptor
Difusión
181818© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Concepto grupo de difusión múltiple IP
1.
Ud. debe ser “miembro”
de un
grupo para recibir información
sobre el mismo
No es miembro del grupo
B
E
A D
C
Miembro grupo
1
Miembro grupo 3
Receptor
Emisor y Receptor
Emisor
Miembro grupo
2
Receptor
2.
Si envía a la dirección del grupo, todos
los
miembros la reciben
3.
Ud. no necesita ser
miembro de
un grupo para enviar a un grupo
191919© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Resumen IGMP Snooping
• En un modelo Consumidor-
Productor, el tráfico crece exponencialmente con el número de hosts a menos que se limiten las difusiones múltiples
• IGMP Snooping y Querier proporcionan la capacidad de escalado para los modelos de datos Consumidor-Productor limitando la cantidad de tráfico de difusión múltiple
• Se mantienen los beneficios de desempeño del modelo Consumidor-Productor (todos los consumidores tienen acceso a la información)
Mbp
s
Productor-Consumidor
Tráfico de difusión múltiple
Tráfico de difusión simple
Número de dispositivos de control
Difusión múltiple con
IGMP Snooping
202020© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Segmentación de red de plataformas múltiples
Árbol
de expansión
Encamina-
miento
HSRP
GLBP
troncal
Equilibrio de lacarga
Acceso
Distribución
Centro
Distribución
Acceso
• Ofrece topología modular jerarquizada
–
bloques
modulares• Fácil de desarrollar, entender y resolver
problemas• Crea pequeños dominios de fallos –
claras
demarcaciones y aislamiento
• Promueve el equilibrio de carga y la redundancia
• Promueve patrones deterministas de tráfico
• Incorpora el equilibrio de la tecnología de las capas 2 y 3, aprovechando la fuerza de ambas
• Utiliza el encaminamiento de la capa 3 para el equilibrio, rápida convergencia, capacidad de escalado y control de la carga
212121© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Opciones de topología zona celda/área
Estrella Anillo Bus
HMI
Zona Celda/Área
Cisco catalystSwitch Stack
3750 Stackwise
Controladores,Variadores y E/S distribuidas
HMI
Cisco Catalyst 2955
Zona Celda/Área
Controladores
Controladores, variadores y E/S distribuidas
Cisco Catalyst 2955
Zona Celda/ÁreaControladores, variadores y E/S distribuidas
HMI
Controladores
Estrella Anillo Bus
Requisitos cableado
Al Este de configuración
Costos de implementación
Ancho de banda
Redundancia y convergencia
Disrupción durante actualización de red
Preparación para convergencia de red
Zona Celda/Área
Cisco CatalystSwitch Stack
3750 Stackwise
Cisco CatalystSwitch Stack
3750 Stackwise
222222© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Configuraciones representativas
Zona Celda/Área Zona Celda/Área
Aplicaciones FactoryTalk Estación de trabajo de
ingeniería– RSLogix 5000
Topología de anillo
Zona Celda/Área Zona Celda/Área
Stackwise 3750de Cisco
Interruptor Capa 3
Cisco ASA 5520Cortafuegos
Cisco 2960Interruptor Capa 2Zona de
fabricaciónInterruptor 8000
Capa 2 administrado
Interruptor 6000 Capa 2
administradoETAPInterruptor Capa 2
incorporadoLineal o anillo
DMZ
Zona de la empresa ERP, Email, Intranet, etc.
Servidores terminal,Administración de parchesAntivirus, Espejo Historial,Servidor Web/Aplicación
Interruptor Capa 26000 administrado
Empresa Red
232323© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Simplificación del cableado con topología lineal
Lineal
Estrella
• No son necesarios interruptores externos Ethernet
• El cableado simple reduce los costos de instalación
• Es necesario un interruptor externo
• Gran extensión de cables = instalación costosa
242424© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
¿Qué
es el Spanning Tree? ¿Porqué
es necesario?
• Una conexión redundante mata una red en puenteLos paquetes de capa 2 no tienen tiempo de vida (TTL)
Un sólo paquete puede abarcar todo el ancho de banda
• Sin embargo, queremos mantener vínculos en paralelo para obtener redundancia
252525© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
¿Qué
es el Spanning Tree? ¿Porqué
es necesario?
• El protocolo Spanning Tree es un algoritmo de 2 capas adoptado en IEEE 802.1D en 1998 y ha sido mejorado en algunas ocasiones; este protocolo proporciona lo siguiente:
Red sin lazos
Mantiene la redundancia en caso de fallos
Opera de manera plug-and-play
262626© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
¿Qué
se obtiene con el Spanning Tree?
• Transforma una topología redundante en un árbol, el cual, por definición, sólo proporciona una ruta entre dos nodos → sin lazo pero mantiene la resiliencia
• Se recupera de los fallos reabriendo los vínculos bloqueados
Spanning tree rápido: convergencia de topología de anillo > 500 ms y < 2.5 s
272727© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Redes de Area Local Virtuales (VLAN)
= VLAN Verde
= VLAN Roja
= VLAN Azul
2
73
4
15
6
• VLAN es un concepto Ethernet de 2 capas• Los puertos de un interruptor son asignados
a una VLAN• Los datos sólo son enviados a los puertos
dentro de la misma VLAN• Las difusiones y las difusiones múltiples
están restringidas a sus respectivas VLANs• Un dispositivo de 3 capas (encaminador o
interruptor de 3 capas) puede enviar mensajes entre VLAN diferentes
Encaminador – Subredes, IPInterruptor – VLAN, MAC
282828© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Ejemplo de uso de VLAN en un sistema Ethernet industrial
SiSi SiSi
VLAN 102 VLAN 103 VLAN 104
VLAN 105
VLAN 101
Red de conexión principal
Zonas Zonas Celda/Celda/ÁÁrearea
• Asigne VLAN a dispositivos cuando se conozcan los patrones de tráfico• Limite el flujo de tráfico productor-consumidor fuera de los dispositivos requeridos (ejemplo: una VLAN por zona de celda/área)• Use un interruptor o encaminador de 3 capas para intercambiar datos entre VLAN (ej. capa de enclavamiento PAC)
292929© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
No todo el tráfico se crea de la misma forma
Moraleja Las redes de control deben priorizar el tráfico de control sobre otros tipos de tráfico para asegurar el flujo de datos deterministas con bajo tiempo de espera y baja fluctuación
Control (ej. CIP) Video
Datos (Mejor
esfuerzo)Voz
Ancho de banda
Bajo a moderado
Moderado a alto
Moderado a alto
Bajo a moderado
Sensibilidad a Random Drop Alta Baja Alta Baja
Sensibilidad al retardo Alta Alta Baja Alta
Sensibilidad a la fluctuación Alta Alta Baja Alta
303030© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Calidad de Servicio (QoS) –
¿Qué
es?
• Una red tradicional es de máximo esfuerzo (best-effort)
• Todo el tráfico tiene el mismo servicio, es decir, el comportamiento de envío de un dispositivo de red es FIFO
• QoS prioriza el tráfico en diferentes niveles de servicio y proporciona un tratamiento de envío preferencial al tráfico de algunos datos a costa del tráfico de menor prioridad
• QoS = Tratamiento Preferencial
313131© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Calidad de Servicio –
Interruptor Ethernet
323232© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Operaciones de Quality of Service ¿Cómo funcionan las herramientas QoS?
Clasificación y
MarcaciónPoner y retirar de la
cola (Selectivamente)Operaciones Post-Queuing
333333© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
10 Mbps
64 kbps
Donde hay congestión, se requiere QoS
• Puntos de agregación
• Vínculos y búfers
• Puntos de desigualdad sustancial de velocidades
• Los búfers de transmisión tienden a llenarse
• El almacenamiento en memoria intermedia reduce las pérdidas, introduce retardos
10 Mbps
1000 kbps
Agregación Desigualdad de velocidades LAN a WAN
343434© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Consideraciones del diseño de QoS
• ObjetivosPrioridad más alta para el tráfico de E/S CIP sensible al tiempo de espera y a fluctuacionesEntrega garantizada para sincr. CIP, movimiento CIPMinimice los impactos de los ataques DDoS
• QoS a lo largo de la red de control• Con la actualización ODVA, la frontera de
confianza de QoS va desde los puertos
de acceso del interruptor hacia
el dispositivo que admite QoS
• Para los dispositivos existentes, la marcación en el puerto de acceso
es importante según el número de puerto
CIP E/S UDP 2222 CIP explicit 44818Otros: predeterminado en 0
• Establecimiento del cronograma de salida con cuatro colas
Primera prioridad: sincr. CIP, movimiento CIPSegunda prioridad: E/S CIPTercera prioridad: CIP explícitoPredeterminado: otros
Gigabit Ethernet Fast EthernetSin confianza + Policing + Marcación ToS + QueuingMarcación ToS de confianza + Queuing
353535© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Cómo conocer sus opciones de interruptores
• Industrial versus comercial
• Administrado versus no administrado
Ventajas Desventajas
Interruptores administrados
Interruptores no administrados
• Capacidad para administrar tráfico de difusión múltiple
• Proporcionan datos de diagnóstico• Proporcionan opciones de
protección• Proporcionan soporte a QoS,
VLAN y resiliencia
• No son costosos• De fácil configuración• De fácil sustitución
• Más costosos• Requieren algún nivel de
soporte y configuración para arrancar y ser sustituidos
• Sin funciones de administración• Sin protección• No proporcionan información de
diagnóstico• De difícil resolución de
problemas
363636© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Direccionamiento IP y Administración
Opción Descripción Ventajas Desventajas
EstáticoTodos los dispositivos están codificados con una dirección IP
• Simple
• Compatible con todos los dispositivos
• En grandes ambientes, su mantenimiento puede resultar dificultoso
• Cuando se reemplaza un dispositivo, el técnico debe configurar la dirección IP
BOOTP
El servidor asigna dirección IP a dispositivos
Precursor a DHCP
• Compatible con todos los dispositivos
• Cuando se reemplaza un dispositivo, el técnico debe configurar la dirección IP/Mac
• Añade complejidad y puntos de fallos
DHCPEl servidor asigna direcciones IP desde una lista (NO RECOMENDADO)
• Uso eficiente del rango de direcciones IP
• Puede reducir la carga de trabajo de administración
• Más complejo de implementar y añade un punto de fallo
• Al ser reinicializados, los dispositivos obtienen diferentes direcciones IP
Opción 82 DHCP
El servidor asigna direcciones IP consistentes desde una lista
• Uso eficiente del rango de direcciones IP
• Puede reducir la carga de trabajo de administración
• Más complejo de implementar y añade un punto de fallo
• Los ambientes combinados pueden no funcionar
Asignación de DHCP
basada en puerto
Asigna automáticamente dirección IP para cada
puerto físico de interruptor
• Uso eficiente del rango de direcciones IP
• Facilita el mantenimiento en ambientes grandes
• Sólo Cisco/RA• Requiere mantenimiento y reparación,
por interruptor
373737© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Mejores prácticas Zona Celda /Área
Mejores prácticas de las conexiones en redes industriales• Diseñe pequeñas zonas celda/área en una VLAN para manejar y
definir mejor el tráfico • Use interruptores administrados• Conecte en modo full-duplex para evitar colisiones• Use puertos Gigabit Ethernet para enlaces de
comunicaciones/enlaces ascendentes y así reducir el tiempo de espera y fluctuaciones
• Use las funciones IGMP snooping/querier para controlar el volumen del tráfico de difusión múltiple
• Use topologías de red resilentes, de anillo o preferentemente de estrella redundante; use RSTP para administrar lazos, recuperarse de la pérdida de conectividad para la convergencia de redes
• Aplicar la protección en el puerto para limitar el uso de puertos abiertos
383838© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Descripción general de la zona de fabricación
–
Nivel
3
Zona de Fabricación
–Distribución
Zona de Fabricación
–
Centro
Servidores Windows 2003• FactoryTalk Historian• FactoryTalk AssetCentre• FactoryTalk View• FactoryTalk ProductionCentre• MS Active Directory• Servidor SQL
Servicios de infraestructura de red• Servidor DNS, DHCP, Syslog • CNA Torre de servidores
• Independiente de DMZ y zonas de empresa
• Número mínimo de conexiones a DMZ
• Comunicación limitada entre sub-zonas
• Protección dentro y a lo largo de la zona de fabricación
• No impacta en el rendimiento del sistema
393939© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Mejores prácticas de zona de fabricación• Reiterar servicios críticos en la zona de fabricación, considerar lo siguiente:
Servicios de dominio ej. LDAP o Active DirectoryServicios de asignación de nombre ej. DNS y WINSServicios dirección IP ej. DHCP Servicios de Tiempo ej. NTP o PTP
• Disponibilidad: aplique encaminadores/interruptores redundantes de red y vínculos para mantener la disponibilidad general de la red
• Capacidad de escalado: los sitios pequeños usan interruptores combinados centrales y de distribución, pero los sitios más extensos o en crecimiento deben separarlos para evitar el exceso de suscripción en los enlaces ascendentes.
• Utilizar la administración de red y Protección• Encaminamiento: Use protocolos de encaminamiento link-state o EIGRP para la
convergencia y equilibrio de la carga de la capa 3Use EIGRP para simplificar la configuración Si son necesarios los protocolos estándar, use OSPF
• No hay superposición de direcciones IP con las redes empresariales. No hay direcciones IP redundantes (la traducción de dirección de redes es la tara de mantenimiento).
404040© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Diseño de protección de la empresa y zona de fabricación
• Modelo de protección completo para la defensa en Profundidad – La protección no es un componente incorporado
• Sección de fabricación de segmento de la Empresa con zona Desmilitarizada
• Defensa en ProfundidadDefendiendo los flancosProtegiendo el interiorProtegiendo los extremos
• Acceso a diseño remoto protegido / invitado
• Servicios de protección y de red de RA
Cisco Cat. 3750Switch Stack
StackWise
Nivel 0 – Proceso
Nivel 1 – Control Básico
Nivel 2—Control Supervisor Área
Nivel 3 – Operaciones y control de fabricación de site
DMZ
Web, Aplicación,Servidores de base de datos
Historial de respaldo
ASA 5500
CiscoCat. 6500/4500
HMI
Recolección de Historia de
Procesos
PAC
Variador C/A E/S Remotas
Mejores prácticas de diseño DMZ estándar
VLAN
ACLCortafuegos
IPS
Protección Infraestructura
Red, ACL
Seguridad Capa 2,
protección puertoVLAN
Agente de protecciónCisco
para dispositivos basados en
Windows
CS-MARS,
ASDM y CSAMC
HMI
Los servicios de protección no debenComprometer las operaciones de la zona de control o tráfico de E/S
414141© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Por qué
cortafuegos y DMZ
• La zona de fabricación requiere una “postura de protección” diferente
• Los dispositivos y las aplicaciones de la zona de fabricación son sensibles y vulnerables de manera diferente que los sistemas y aplicaciones de empresas. La protección es crítica para el desempeño y disponibilidad de los sistemas de control y automatización
• Pero no es necesario compartir los datos y servicios • Los cortafuegos modernos proporcionan esa segmentación
crítica entre las redes de fabricación y las empresariales, sin embargo, permiten el intercambio seguro de datos y servicios
• Los conceptos de la Zona Desmilitarizada permiten el intercambio de datos y servicios críticos entre ambas zonas
424242© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
DMZ: Vista Lógica
Punto de desconexión
Punto de desconexión
Servicios de terminal
Administración de parches
Espejo Historial
Operaciones de servicios de Web
Servidor de aplicación
Múltiples Subzonas
Funcionales
Servid
or AV
DMZ
No hay Tráfico Directo
Zona de la empresa
Zona defabricación
434343© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Dominios de confianza
Desde la perspectiva del diseño de la protección, ¿cuál es la diferencia principal entre 1stcase.com y 2ndcase.com?
Segmentación del ambiente en dominios de confianza
Internet
WAN Interna
Plantas
Servidores externos
Empleados
1st
case.com 2nd
case.com
Acceso Remoto de VPN
Empleados
Plantas
Servidores externos
WAN Interna
Internet
Acceso Remoto de VPN
444444© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Aseguramiento de dispositivo
Característica Descripción MecanismoNetwork Foundation Protection
Protege de accesos, cambios y ataques no autorizados a la infraestructura principal de la red y los servicios
Protección de puerto, End-point protection, Protección Capas 2 y 3
Trust & Identity Confirmación de que un usuario o dispositivo que necesita mantenimiento es un dispositivo válido. Autenticación, Autorización y Contabilidad
ACLs, MAC-filtering, VLAN, FactoryTalk Security, autorización de aplicación
Threat Detection & Mitigation
Monitoreo continuo y proactivo de la actividad de red para la detección de comportamiento anormal
End-point protection, Cortafuegos, Intrusion Protection, Análisis y Respuesta
Application Security Protege aplicaciones ejecutadas en dispositivos o end-points (estaciones de trabajo, servidores y dispositivos).
End-point Security, Cortafuegos, QoS, FactoryTalk Security
Secure Connectivity Protege la comunicación en entornos de transporte no confiables
VPN, Encryption, IPsec
Security Management Configura, monitorea, analiza y responde a la actividad de la red.
Aplicación de políticas, monitoreo, análisis y respuesta, auditoría y generación de informes
454545© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Fuente: Wikipedia (www.wikipedia.com)
Cortafuegos
–
Definido
• Un cortafuegos es un dispositivo de seguridad configurado para permitir, denegar o intermediar en conexiones de datos establecidas por la política de seguridad de la organización. Los cortafuegos pueden basarse en hardware o software
• La tarea básica del cortafuegos es controlar el tráfico entre las redes de una computadora con diferentes zonas de confianza
• Los cortafuegos actuales combinan stateful packet inspection multicapa y application inspection multiprotocolo
• Virtual Private Network (VPN) e Intrusion Prevention Services (IPS) han sido combinados con el(los) motor(es) de inspección de cortafuegos
• A pesar de estas complejidades, el rol principal del cortafuegos es aplicar la política de seguridad
464646© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Servicios de protección de cortafuegos
Paquete multicapa y análisis de tráficoServicios avanzados de inspección de protocolo y aplicaciónControles de la aplicación de la red
Servicios flexibles de control de acceso basados en red y usuarioStateful packet inspectionIntegración con fuentes de autenticación populares que incluyenMicrosoft Active Directory, LDAP, Kerberos, y RSA SecurID
Protección en tiempo real contra ataques a nivel de aplicación y OSGusano basado en red y mitigación de virusDetección y control de spyware, adware, malwareCorrelación de eventos on-box y respuesta proactiva
Bajo tiempo de esperaDiversas topologíasSoporte de difusión múltiple
Virtualización de servicios Segmentación y partición de redesEncaminamiento, resiliencia, equilibrio de carga
Servicios VPN IPSec y SSL protegidos contra amenazasZero-touch, acceso remoto IPSec de actualización automáticaServicios VPN SSL full tunneling client y clientless flexibleVPN site-to-site habilitada por QoS/encaminamiento
Cortafuego con protección de la capa de aplicación
Control de Acceso
y
Autenticación
IPS y Defensas Anti-X
Intelligent Networking
Services
Conectividad SSL y IPSec
Los cortafuegos modernos proporcionan un rango de servicios de protección:
474747© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Mejores Prácticas DMZ
• Única ruta hacia la zona de fabricación
• No hay tráfico atravesando la DMZ.No hay protocolos comunes en cada cortafuegos lógico
• Establezca las sub-zonas funcionales en la DMZ para segmentar el acceso a los servicios y datos (ej. zona Socio)
• Prepárese para “desactivar” el acceso mediante el cortafuegos
• No hay tráfico de control en la DMZ (o fuera de la DMZ)
• Limite las conexiones salientes desde la DMZ• Identifique los dominios de frontera de confianza y aplicar la
seguridad para mantener la política, probable con un cortafuegos
484848© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Resumen –
Arquitecturas de referencia
• Guía de diseño que consiste en metodología, recomendaciones, ajustes documentados de configuración y mejores prácticas desarrolladas en contraste con arquitecturas probadas y validadasFundamento para obtener el éxito al utilizar las tecnologías más nuevas e
innovadoras
Documentados – menos prueba y error – reducción de costos en equipamiento y de tiempo de puesta en marcha – mitigación del riesgo
Infraestructura de red sólida y segura que reduce el tiempo de espera y otorga gran disponibilidad
Acceda a la información crítica sobre la producción para obtener Indicadores Clave de Rendimiento (KPIs)
• Modelo de interruptor multicapa, más que sólo una red para interruptores de capa 2
• La colaboración entre Fabricación (Ingeniería/Mantenimiento) y Empresa (IT) es clave para un diseño exitoso