Upload
droncanciom
View
27
Download
4
Tags:
Embed Size (px)
DESCRIPTION
convergencia de las cisco y las de rockwell
Citation preview
1 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Cmo disear las redes mediante Arquitecturas de Referencia para obtener un diseo Ethernet compacto y seguro
222 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Agenda
Convergencia de redes empresariales y de fabricacinColaboracin entre Cisco y Rockwell Automation
Arquitecturas de referencia para la descripcin general de la fabricacin
Las mejores prcticas para la conexin en redSegmentacin de la red
Desempeo del trfico en tiempo real para el trfico de control
Polticas de proteccin
333 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Convergencia de redes de fabricacin
Tradicional
Red de controlRed a nivel de
dispositivoEthernet
Sensores y otros dispositivos de Entrada/Salida
Controlador
Motores, Variadores
Accionadores
ControladorBasado en PC
Robtica
Unidades centrales de back-office yservidores (ERP, MES, CAPP,PDM, etc.)
OficinasAplicaciones,Internetworking,Servidores de datos,Almacenamiento
Red de controlGateway
Red corporativa
Ethernet estndar
Ethernet
Sensores y otros dispositivos de Entrada/Salida
Controlador
Motores, VariadoresAccionadores
ControladorBasado en PC
Robtica
Unidades centrales de back-office yservidores (ERP, MES, CAPP,PDM, etc.)
OficinaAplicaciones,Internetworking,Servidores de datos,Almacenamiento
Red corporativa
Interface OperadorMquina (HMI)
444 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Convergencia de redes empresariales y de fabricacin
Lnea de conmutador administrada Stratix 8000 TM Rockwell Automation con tecnologa Cisco
Arquitecturas de referencia Series educativas http://www.ab.com/networks/architectures.html
http://www.cisco.com/web/strategy/manufacturing/ettf_overview.html
http://www.ab.com/networks/architectures.htmlhttp://www.cisco.com/web/strategy/manufacturing/ettf_overview.html
555 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Arquitecturas de referencia para fabricacin
Gua de diseoBuenas prcticas y recomendaciones
Metodologa
Ajustes documentados para configuracin
Desarrollada en contraste con arquitecturas validadas y probadas
Base de red preparada para la tecnologa del futuro
Enlace GE para la
deteccin de migracin en caso de fallo
Cortafuegos
(Activo)
Cortafuegos
(En espera)
Encaminador Capa 3
Switch Stack Capa 3
Interruptor Capa 2
Variador
Controlador
Controlador
VariadorHMI
Controlador
Variador
HMI
E/S distribuidas E/S distribuidas
Nivel 02
HMI
Celda/rea #1
(Topologa estrella redundante)Celda/rea #2
(Topologa anillo)
Celda/rea #3 (Topologa bus)
Zona Celda/rea
Zona de fabricacin Nivel 3
Zona Desmilitarizada (DMZ)
Zona Desmilitarizada (DMZ)
rea empresa Niveles 4 y 5
Servidores Windows 2003 Conexin
remota del escritorio VNC PC en cualquier sitio
Aplicaciones FactoryTalk Vista Mtrica Historial AssetCentre Centro Productivo
Servicios de Red servidor DNS, DHCP, syslog Administracin
de red y proteccin
666 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Arquitecturas de referencia para fabricacin
Ethernet y TCP/IP estndar sin modificar
Segmentacin jerrquicaAdministracin de trfico
Polticas de seguridad
Desempeo en tiempo realLAN virtuales
Calidad del servicio
Administracin de difusin mltiple
Polticas de seguridadDesarrollado en contraste con arquitecturas validadas
y probadas
Enlace GE para la
deteccin de migracin en caso de fallo
Cortafuegos
(Activo)
Cortafuegos
(En espera)
Encaminador Capa 3
Switch Stack Capa 3
Interruptor Capa 2
Variador
Controlador
Controlador
VariadorHMI
Controlador
Variador
HMI
E/S distribuidas E/S distribuidas
Nivel 02
HMI
Celda/rea #1
(Topologa en estrella redundante)Celda/rea #2
(Topologa en anillo)Celda/rea #3
(Topologa de bus)
Zona Celda/rea
Zona de fabricacin Nivel 3
Zona Desmilitarizada (DMZ)
Zona Desmilitarizada (DMZ)
Zona de la empresa Niveles 4 y 5
Servidores Windows 2003 Conexin
remota del escritorio VNC PC en cualquier sitio
Aplicaciones FactoryTalk Vista Mtrica Historial AssetCentre Centro Productivo
Servicios de Red Servidor DNS, DHCP, syslog Administracin de Red y seguridad
777 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Arquitecturas de referencia para fabricacin
TecnologaIEEE Ethernet estndar/sin modificar
Futuro Wireless y PTP (1588)
IETF Protocolo internet estndar (IP)
ODVA Protocolo Industrial Comn (CIP)
ISA 100 Wireless (Futuro)
NIST National Institute of Standards and Technology (Instituto Nacional de Estndares y Tecnologa)
FabricacinISA 99 Proteccin para sistemas de control y de fabricacin
ISA 95 Integracin sistema de control empresa
Modelo de referencia PurdueConstruido con estndares
888 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Emisor Receptor
Cmo trabaja el modelo OSI
Aplicacin CIP Capa 7 Aplicacin CIPPresentacin CIP Capa 6 Presentacin CIPSesin CIP Capa 5 Sesin CIPTransporte TCP/UDP Capa 4 Transporte TCP/UDPRed IP Capa 3 Red IPEnlace de datos Ethernet Capa 2 Enlace de datos EthernetFsico Ethernet Capa 1 Fsico Ethernet
999 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Qu
es CIP ( Protocolo Industrial Comn)?
Estndar para integrar control de E/S, configuracin de dispositivos y recoleccin de datos
en sistemas de automatizacin y de
control
Compatible con tres protocolos de red de los cuales EtherNet/IP es Ethernet estndar no modificado
Conjuntos estndar de servicios para acceder a datos y controlar el funcionamiento de los dispositivosOpen DeviceNet Vendor Association http://www.odva.org
EtherNet/IP DeviceNet ControlNet
CIP
Mot
ion
CIP Safety
Protocolo Industrial Com
n (CIP)
Adaptaciones de red de C
IP
Controladores de
movimientoServo/CA
VariadoresVlvulas
neumticas Otros perfilesBloque Safety
I/O
Otras prcticas
de seguridad
Biblioteca de objetos
especficos para la seguridad
Capa de seguridad
Biblioteca objetos
Mensajes explcitos de servicios de administracin de datos, mensajes E/S
Administracin de conexin, encaminamiento
Sincr. tiempo
IEEE 1588
TCP UDP
Protocolo Internet (IP)
Ethernet
CSMA/CD
Capa fsica de Ethernet
CAN
CSMA/NBA
Capa fsica de DeviceNet
Transporte DeviceNet
ControlNet
CTDMA
Capa fsica de ControlNet
Transporte ControlNet
http://www.odva.org/
101010 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Marco de fabricacin
Zona de la empresa para redes IT
DMZ como zona de buffer para
compartir
datos y servicios
de manera segura
Zona de fabricacin donde existen sistemas de pisos de produccin crtica
Zona celda/rea donde residen los dispositivos y controladores
Zona de seguridad para
dispositivos de seguridad
Niveles desde ISA SP95 y modelo de referencia Purdue
Zonas desde ISA SP99
Red de la empresa Nivel 5
Planificacin de negocios y red de logstica Nivel 4
Operaciones y control de fabricacin de site Nivel 3
Control supervisor del rea Nivel 2
Control bsico Nivel 1
Proceso Nivel 0
Seguridad-Crtico
Zona de la empresa
Zona Desmilitarizada (DMZ)
Zona de fabricacin
Zona de seguridad
Zona Celda/rea
111111 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Marco de fabricacin
No hay flujo de trfico directo desde la zona de la empresa a la zona de fabricacin
Nivel 5
Nivel 4
Nivel 3
Nivel 2
Nivel 1
Nivel 0
Servicios del terminal
Administracin de parches
Servidor AV
Espejo Historial
Operaciones de servicios de Web
Servidor de aplicacin
Encaminador Red de la empresa
Planificacin de negocios y red de logsticaE-Mail, Intranet, etc.
Control de la produccin
Optimizacin del Control
Historia del proceso
Controlador de dominio
Control supervisor
Interface de operador
Control supervisor
Estacin de trabajo de ingeniera
Interface de operador
Control de lotes
Control discreto
Control secuencial
Control continuo
Control hbrido
Sensores Variadores Accionadores Robots
Zona de la empresa
DMZ
Zona de fabricacin
Zona Celda/rea
WebE-Mail
CIP
Cortafuegos
Cortafuegos
Operaciones y control de fabricacin
Control supervisor del
rea
Control bsico
Proceso
121212 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Descripcin General de la zona celda/rea Niveles 0-2
131313 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Trfico de red de fabricacin
Ethernet estndar sin modificar
Suite estndar TCP/IP
Protocolo capa aplicacin
Protocolo
Industrial Comn (CIP)
EtherNet/IP = Ethernet + IP + CIP
TCP y UDP en transporte
Difusin simple y mltiple de IP en la red
Direccionamiento esttico IP de dispositivos
FTP HTTP OPC SNMP BOOTP DHCP
IP
IEEE 802.3 Ethernet
OSPFICMP IGMP
RARPARP
Mensajesexplcitos
Control E/S en tiempo real
UDP
CIP
TCP
EtherNet/IP especifica cmo los paquetes de comunicacin CIP pueden ser transportados por Ethernet estndar y tecnologa
TCP/IP
Capa 2
Capa 3
Capas 5-7
Capa 4
141414 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
El trfico de celda/rea es predominantemente
(>80%) local, trfico
de E/S cclico
(a.k.a. Implcito)
Los productores generan mensajes UDP de difusin mltiple; el consumidor genera mensajes UDP de difusin simpleLos paquetes son pequeos: 100
200 bytes pero
se comunican con gran
frecuencia
(cada
0.5 a 10 s de ms)Las difusiones mltiples no son encaminables
(TTL=1 por
aplicacin)
El resto es control informativo
y flujos
de trfico de administracin (o Explcita) intra-
e inter-celda/reaTrfico de datos o administrativo no crtico basado en CIPInformacin de diagnstico va HTTPAdvertencias de estado y fallos va SNMP o SMTP Paquetes ms grandes, ~500 bytes pero poco frecuentes (100s de ms)
Flujos de trfico de la zona celda/rea
Computadora porttil de ingeniera (RSLogix)
Gestin de Red
Gateway de correo
Cisco Cat. 3750Switch Stack StackWise
HMIHMI
Cisco Cat. 2955
Cisco Cat. 2955
Variador Zona Celda/rea Zona Celda/rea
Zona de fabricacinDMZ
PAC
151515 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Clases de aplicacin en tiempo real
Fuente: Grupo asesor ARC
FuncinSoluciones de informacin y
automatizacin
de procesos ms lentosAutomatizacin discreta Control de movimiento
Tecnologa de comunicaciones .Net, DCOM, TCP/IP
Ethernet estndar + protocolo en tiempo real Solucin Hardware/Software
Perodo Un segundo o ms 10 ms a 100 ms < 1 ms
Industrias Petrleo y Gas, Qumica, Energa, Agua
Automotriz, alimentos y bebidas, ensamblaje electrnico,
semiconductores, metales, farmacutica
Subconjunto de automatizacin discreta
Aplicaciones
Bombas, compresores, mezcladores
Monitoreo de temp., pulsaciones, flujo
Manejo de materiales, rellenado, etiquetado, paletizacin, envasado
Soldaduras, estampado, corte, formacin de metales, soldaduras,
clasificacin
Sincronizacin de mltiples ejes: Prensas de imprimir, esquemas de cables, web
making, recogida y colocacin
161616 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Las mejores prcticas para conexin en red
Rendimiento
de la red en tiempo realReduccin
del tiempo de espera de la red y
fluctuaciones Control difusin mltiple IP
Administracin de IGMP
SegmentacinModelo de red multivinculadaTopologaLAN virtuales (VLANs)
PrioridadesCalidad del Servicio (QoS)
Resiliencia Alta disponibilidad
171717 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Difusin simple vs. difusin mltiple vs. difusin
Controlador
Interruptor
Difusin simple
Controlador
Interruptor
Difusin mltiple
Controlador
Interruptor
Difusin
181818 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Concepto grupo de difusin mltiple IP
1.
Ud. debe ser miembro
de un
grupo para recibir informacin
sobre el mismo
No es miembro del grupo
B
E
A D
C
Miembro grupo
1
Miembro grupo 3
Receptor
Emisor y Receptor
Emisor
Miembro grupo
2
Receptor
2.
Si enva a la direccin del grupo, todos
los
miembros la reciben
3.
Ud. no necesita ser
miembro de
un grupo para enviar a un grupo
191919 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Resumen IGMP Snooping
En un modelo Consumidor-
Productor, el trfico crece exponencialmente con el nmero de hosts a menos que se limiten las difusiones mltiples
IGMP Snooping y Querier proporcionan la capacidad de escalado para los modelos de datos Consumidor-Productor limitando la cantidad de trfico de difusin mltiple
Se mantienen los beneficios de desempeo del modelo Consumidor-Productor (todos los consumidores tienen acceso a la informacin)
Mbp
s
Productor-Consumidor
Trfico de difusin mltiple
Trfico de difusin simple
Nmero de dispositivos de control
Difusin mltiple con
IGMP Snooping
202020 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Segmentacin de red de plataformas mltiples
rbol
de expansin
Encamina-
miento
HSRP
GLBP
troncal
Equilibrio de lacarga
Acceso
Distribucin
Centro
Distribucin
Acceso
Ofrece topologa modular jerarquizada
bloques
modulares Fcil de desarrollar, entender y resolver
problemas Crea pequeos dominios de fallos
claras
demarcaciones y aislamiento
Promueve el equilibrio de carga y la redundancia
Promueve patrones deterministas de trfico
Incorpora el equilibrio de la tecnologa de las capas 2 y 3, aprovechando la fuerza de ambas
Utiliza el encaminamiento de la capa 3 para el equilibrio, rpida convergencia, capacidad de escalado y control de la carga
212121 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Opciones de topologa zona celda/rea
Estrella Anillo Bus
HMI
Zona Celda/rea
Cisco catalystSwitch Stack
3750 Stackwise
Controladores,Variadores y E/S distribuidas
HMI
Cisco Catalyst 2955
Zona Celda/rea
Controladores
Controladores, variadores y E/S distribuidas
Cisco Catalyst 2955
Zona Celda/reaControladores, variadores y E/S distribuidas
HMI
Controladores
Estrella Anillo Bus
Requisitos cableado
Al Este de configuracin
Costos de implementacin
Ancho de banda
Redundancia y convergencia
Disrupcin durante actualizacin de red
Preparacin para convergencia de red
Zona Celda/rea
Cisco CatalystSwitch Stack
3750 Stackwise
Cisco CatalystSwitch Stack
3750 Stackwise
222222 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Configuraciones representativas
Zona Celda/rea Zona Celda/rea
Aplicaciones FactoryTalk Estacin de trabajo de
ingeniera RSLogix 5000
Topologa de anillo
Zona Celda/rea Zona Celda/rea
Stackwise 3750de Cisco
Interruptor Capa 3
Cisco ASA 5520Cortafuegos
Cisco 2960Interruptor Capa 2Zona de
fabricacinInterruptor 8000
Capa 2 administrado
Interruptor 6000 Capa 2
administradoETAPInterruptor Capa 2
incorporadoLineal o anillo
DMZ
Zona de la empresa ERP, Email, Intranet, etc.Servidores terminal,
Administracin de parchesAntivirus, Espejo Historial,Servidor Web/Aplicacin
Interruptor Capa 26000 administrado
Empresa Red
232323 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Simplificacin del cableado con topologa lineal
Lineal
Estrella
No son necesarios interruptores externos Ethernet
El cableado simple reduce los costos de instalacin
Es necesario un interruptor externo
Gran extensin de cables = instalacin costosa
242424 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Qu
es el Spanning Tree? Porqu
es necesario?
Una conexin redundante mata una red en puenteLos paquetes de capa 2 no tienen tiempo de vida (TTL)
Un slo paquete puede abarcar todo el ancho de banda
Sin embargo, queremos mantener vnculos en paralelo para obtener redundancia
252525 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Qu
es el Spanning Tree? Porqu
es necesario?
El protocolo Spanning Tree es un algoritmo de 2 capas adoptado en IEEE 802.1D en 1998 y ha sido mejorado en algunas ocasiones; este protocolo proporciona lo siguiente:
Red sin lazos
Mantiene la redundancia en caso de fallos
Opera de manera plug-and-play
262626 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Qu
se obtiene con el Spanning Tree?
Transforma una topologa redundante en un rbol, el cual, por definicin, slo proporciona una ruta entre dos nodos sin lazo pero mantiene la resiliencia
Se recupera de los fallos reabriendo los vnculos bloqueados
Spanning tree rpido: convergencia de topologa de anillo > 500 ms y < 2.5 s
272727 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Redes de Area Local Virtuales (VLAN)
= VLAN Verde
= VLAN Roja
= VLAN Azul
2
73
4
15
6
VLAN es un concepto Ethernet de 2 capas Los puertos de un interruptor son asignados
a una VLAN Los datos slo son enviados a los puertos
dentro de la misma VLAN Las difusiones y las difusiones mltiples
estn restringidas a sus respectivas VLANs Un dispositivo de 3 capas (encaminador o
interruptor de 3 capas) puede enviar mensajes entre VLAN diferentes
Encaminador Subredes, IPInterruptor VLAN, MAC
282828 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Ejemplo de uso de VLAN en un sistema Ethernet industrial
SiSi SiSi
VLAN 102 VLAN 103 VLAN 104
VLAN 105
VLAN 101
Red de conexin principal
Zonas Zonas Celda/Celda/rearea
Asigne VLAN a dispositivos cuando se conozcan los patrones de trfico Limite el flujo de trfico productor-consumidor fuera de los dispositivos requeridos (ejemplo: una VLAN por zona de celda/rea) Use un interruptor o encaminador de 3 capas para intercambiar datos entre VLAN (ej. capa de enclavamiento PAC)
292929 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
No todo el trfico se crea de la misma forma
Moraleja Las redes de control deben priorizar el trfico de control sobre otros tipos de trfico para asegurar el flujo de datos deterministas con bajo tiempo de espera y baja fluctuacin
Control (ej. CIP) Video
Datos (Mejor
esfuerzo)Voz
Ancho de banda
Bajo a moderado
Moderado a alto
Moderado a alto
Bajo a moderado
Sensibilidad a Random Drop Alta Baja Alta Baja
Sensibilidad al retardo Alta Alta Baja Alta
Sensibilidad a la fluctuacin Alta Alta Baja Alta
303030 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Calidad de Servicio (QoS)
Qu
es?
Una red tradicional es de mximo esfuerzo (best-effort)
Todo el trfico tiene el mismo servicio, es decir, el comportamiento de envo de un dispositivo de red es FIFO
QoS prioriza el trfico en diferentes niveles de servicio y proporciona un tratamiento de envo preferencial al trfico de algunos datos a costa del trfico de menor prioridad
QoS = Tratamiento Preferencial
313131 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Calidad de Servicio
Interruptor Ethernet
323232 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Operaciones de Quality of Service Cmo funcionan las herramientas QoS?
Clasificacin y
MarcacinPoner y retirar de la
cola (Selectivamente)Operaciones Post-Queuing
333333 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
10 Mbps
64 kbps
Donde hay congestin, se requiere QoS
Puntos de agregacin
Vnculos y bfers
Puntos de desigualdad sustancial de velocidades
Los bfers de transmisin tienden a llenarse
El almacenamiento en memoria intermedia reduce las prdidas, introduce retardos
10 Mbps
1000 kbps
Agregacin Desigualdad de velocidades LAN a WAN
343434 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Consideraciones del diseo de QoS
ObjetivosPrioridad ms alta para el trfico de E/S CIP sensible al tiempo de espera y a fluctuacionesEntrega garantizada para sincr. CIP, movimiento CIPMinimice los impactos de los ataques DDoS
QoS a lo largo de la red de control Con la actualizacin ODVA, la frontera de
confianza de QoS va desde los puertos
de acceso del interruptor hacia
el dispositivo que admite QoS
Para los dispositivos existentes, la marcacin en el puerto de acceso
es importante segn el nmero de puerto
CIP E/S UDP 2222 CIP explicit 44818Otros: predeterminado en 0
Establecimiento del cronograma de salida con cuatro colas
Primera prioridad: sincr. CIP, movimiento CIPSegunda prioridad: E/S CIPTercera prioridad: CIP explcitoPredeterminado: otros
Gigabit Ethernet Fast EthernetSin confianza + Policing + Marcacin ToS + QueuingMarcacin ToS de confianza + Queuing
353535 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Cmo conocer sus opciones de interruptores
Industrial versus comercial
Administrado versus no administrado
Ventajas Desventajas
Interruptores administrados
Interruptores no administrados
Capacidad para administrar trfico de difusin mltiple
Proporcionan datos de diagnstico Proporcionan opciones de
proteccin Proporcionan soporte a QoS,
VLAN y resiliencia
No son costosos De fcil configuracin De fcil sustitucin
Ms costosos Requieren algn nivel de
soporte y configuracin para arrancar y ser sustituidos
Sin funciones de administracin Sin proteccin No proporcionan informacin de
diagnstico De difcil resolucin de
problemas
363636 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Direccionamiento IP y Administracin
Opcin Descripcin Ventajas Desventajas
EstticoTodos los dispositivos estn codificados con una direccin IP
Simple
Compatible con todos los dispositivos
En grandes ambientes, su mantenimiento puede resultar dificultoso
Cuando se reemplaza un dispositivo, el tcnico debe configurar la direccin IP
BOOTP
El servidor asigna direccin IP a dispositivos
Precursor a DHCP
Compatible con todos los dispositivos
Cuando se reemplaza un dispositivo, el tcnico debe configurar la direccin IP/Mac
Aade complejidad y puntos de fallos
DHCPEl servidor asigna direcciones IP desde una lista (NO RECOMENDADO)
Uso eficiente del rango de direcciones IP
Puede reducir la carga de trabajo de administracin
Ms complejo de implementar y aade un punto de fallo
Al ser reinicializados, los dispositivos obtienen diferentes direcciones IP
Opcin 82 DHCP
El servidor asigna direcciones IP consistentes desde una lista
Uso eficiente del rango de direcciones IP
Puede reducir la carga de trabajo de administracin
Ms complejo de implementar y aade un punto de fallo
Los ambientes combinados pueden no funcionar
Asignacin de DHCP
basada en puerto
Asigna automticamente direccin IP para cada
puerto fsico de interruptor
Uso eficiente del rango de direcciones IP
Facilita el mantenimiento en ambientes grandes
Slo Cisco/RA Requiere mantenimiento y reparacin,
por interruptor
373737 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Mejores prcticas Zona Celda /rea
Mejores prcticas de las conexiones en redes industriales Disee pequeas zonas celda/rea en una VLAN para manejar y
definir mejor el trfico Use interruptores administrados Conecte en modo full-duplex para evitar colisiones Use puertos Gigabit Ethernet para enlaces de
comunicaciones/enlaces ascendentes y as reducir el tiempo de espera y fluctuaciones
Use las funciones IGMP snooping/querier para controlar el volumen del trfico de difusin mltiple
Use topologas de red resilentes, de anillo o preferentemente de estrella redundante; use RSTP para administrar lazos, recuperarse de la prdida de conectividad para la convergencia de redes
Aplicar la proteccin en el puerto para limitar el uso de puertos abiertos
383838 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Descripcin general de la zona de fabricacin
Nivel
3
Zona de Fabricacin
Distribucin
Zona de Fabricacin
Centro
Servidores Windows 2003 FactoryTalk Historian FactoryTalk AssetCentre FactoryTalk View FactoryTalk ProductionCentre MS Active Directory Servidor SQL
Servicios de infraestructura de red Servidor DNS, DHCP, Syslog CNA Torre de servidores
Independiente de DMZ y zonas de empresa
Nmero mnimo de conexiones a DMZ
Comunicacin limitada entre sub-zonas
Proteccin dentro y a lo largo de la zona de fabricacin
No impacta en el rendimiento del sistema
393939 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Mejores prcticas de zona de fabricacin Reiterar servicios crticos en la zona de fabricacin, considerar lo siguiente:
Servicios de dominio ej. LDAP o Active DirectoryServicios de asignacin de nombre ej. DNS y WINSServicios direccin IP ej. DHCP Servicios de Tiempo ej. NTP o PTP
Disponibilidad: aplique encaminadores/interruptores redundantes de red y vnculos para mantener la disponibilidad general de la red
Capacidad de escalado: los sitios pequeos usan interruptores combinados centrales y de distribucin, pero los sitios ms extensos o en crecimiento deben separarlos para evitar el exceso de suscripcin en los enlaces ascendentes.
Utilizar la administracin de red y Proteccin Encaminamiento: Use protocolos de encaminamiento link-state o EIGRP para la
convergencia y equilibrio de la carga de la capa 3Use EIGRP para simplificar la configuracin Si son necesarios los protocolos estndar, use OSPF
No hay superposicin de direcciones IP con las redes empresariales. No hay direcciones IP redundantes (la traduccin de direccin de redes es la tara de mantenimiento).
404040 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Diseo de proteccin de la empresa y zona de fabricacin
Modelo de proteccin completo para la defensa en Profundidad La proteccin no es un componente incorporado
Seccin de fabricacin de segmento de la Empresa con zona Desmilitarizada
Defensa en ProfundidadDefendiendo los flancosProtegiendo el interiorProtegiendo los extremos
Acceso a diseo remoto protegido / invitado
Servicios de proteccin y de red de RA
Cisco Cat. 3750Switch Stack
StackWise
Nivel 0 Proceso
Nivel 1 Control Bsico
Nivel 2Control Supervisor rea
Nivel 3 Operaciones y control de fabricacin de site
DMZ
Web, Aplicacin,Servidores de base de datos
Historial de respaldo
ASA 5500
CiscoCat. 6500/4500
HMI
Recoleccin de Historia de
Procesos
PAC
Variador C/A E/S Remotas
Mejores prcticas de diseo DMZ estndar
VLAN
ACLCortafuegos
IPS
Proteccin Infraestructura
Red, ACL
Seguridad Capa 2,
proteccin puertoVLAN
Agente de proteccinCisco
para dispositivos basados en
Windows
CS-MARS,
ASDM y CSAMC
HMI
Los servicios de proteccin no debenComprometer las operaciones de la zona de control o trfico de E/S
414141 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Por qu
cortafuegos y DMZ
La zona de fabricacin requiere una postura de proteccin diferente
Los dispositivos y las aplicaciones de la zona de fabricacin son sensibles y vulnerables de manera diferente que los sistemas y aplicaciones de empresas. La proteccin es crtica para el desempeo y disponibilidad de los sistemas de control y automatizacin
Pero no es necesario compartir los datos y servicios Los cortafuegos modernos proporcionan esa segmentacin
crtica entre las redes de fabricacin y las empresariales, sin embargo, permiten el intercambio seguro de datos y servicios
Los conceptos de la Zona Desmilitarizada permiten el intercambio de datos y servicios crticos entre ambas zonas
424242 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
DMZ: Vista Lgica
Punto de desconexin
Punto de desconexin
Servicios de terminal
Administracin de parches
Espejo Historial
Operaciones de servicios de Web
Servidor de aplicacin
Mltiples Subzonas
Funcionales
Servid
or AV
DMZ
No hay Trfico Directo
Zona de la empresa
Zona defabricacin
434343 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Dominios de confianza
Desde la perspectiva del diseo de la proteccin, cul es la diferencia principal entre 1stcase.com y 2ndcase.com?
Segmentacin del ambiente en dominios de confianza
Internet
WAN Interna
Plantas
Servidores externos
Empleados
1st
case.com 2nd
case.com
Acceso Remoto de VPN
Empleados
Plantas
Servidores externos
WAN Interna
Internet
Acceso Remoto de VPN
444444 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Aseguramiento de dispositivo
Caracterstica Descripcin MecanismoNetwork Foundation Protection
Protege de accesos, cambios y ataques no autorizados a la infraestructura principal de la red y los servicios
Proteccin de puerto, End-point protection, Proteccin Capas 2 y 3
Trust & Identity Confirmacin de que un usuario o dispositivo que necesita mantenimiento es un dispositivo vlido. Autenticacin, Autorizacin y Contabilidad
ACLs, MAC-filtering, VLAN, FactoryTalk Security, autorizacin de aplicacin
Threat Detection & Mitigation
Monitoreo continuo y proactivo de la actividad de red para la deteccin de comportamiento anormal
End-point protection, Cortafuegos, Intrusion Protection, Anlisis y Respuesta
Application Security Protege aplicaciones ejecutadas en dispositivos o end-points (estaciones de trabajo, servidores y dispositivos).
End-point Security, Cortafuegos, QoS, FactoryTalk Security
Secure Connectivity Protege la comunicacin en entornos de transporte no confiables
VPN, Encryption, IPsec
Security Management Configura, monitorea, analiza y responde a la actividad de la red.
Aplicacin de polticas, monitoreo, anlisis y respuesta, auditora y generacin de informes
454545 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Fuente: Wikipedia (www.wikipedia.com)
Cortafuegos
Definido
Un cortafuegos es un dispositivo de seguridad configurado para permitir, denegar o intermediar en conexiones de datos establecidas por la poltica de seguridad de la organizacin. Los cortafuegos pueden basarse en hardware o software
La tarea bsica del cortafuegos es controlar el trfico entre las redes de una computadora con diferentes zonas de confianza
Los cortafuegos actuales combinan stateful packet inspection multicapa y application inspection multiprotocolo
Virtual Private Network (VPN) e Intrusion Prevention Services (IPS) han sido combinados con el(los) motor(es) de inspeccin de cortafuegos
A pesar de estas complejidades, el rol principal del cortafuegos es aplicar la poltica de seguridad
464646 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Servicios de proteccin de cortafuegos
Paquete multicapa y anlisis de trficoServicios avanzados de inspeccin de protocolo y aplicacinControles de la aplicacin de la red
Servicios flexibles de control de acceso basados en red y usuarioStateful packet inspectionIntegracin con fuentes de autenticacin populares que incluyenMicrosoft Active Directory, LDAP, Kerberos, y RSA SecurID
Proteccin en tiempo real contra ataques a nivel de aplicacin y OSGusano basado en red y mitigacin de virusDeteccin y control de spyware, adware, malwareCorrelacin de eventos on-box y respuesta proactiva
Bajo tiempo de esperaDiversas topologasSoporte de difusin mltiple
Virtualizacin de servicios Segmentacin y particin de redesEncaminamiento, resiliencia, equilibrio de carga
Servicios VPN IPSec y SSL protegidos contra amenazasZero-touch, acceso remoto IPSec de actualizacin automticaServicios VPN SSL full tunneling client y clientless flexibleVPN site-to-site habilitada por QoS/encaminamiento
Cortafuego con proteccin de la capa de aplicacin
Control de Acceso
y
Autenticacin
IPS y Defensas Anti-X
Intelligent Networking
Services
Conectividad SSL y IPSec
Los cortafuegos modernos proporcionan un rango de servicios de proteccin:
http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off
474747 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Mejores Prcticas DMZ
nica ruta hacia la zona de fabricacin
No hay trfico atravesando la DMZ.No hay protocolos comunes en cada cortafuegos lgico
Establezca las sub-zonas funcionales en la DMZ para segmentar el acceso a los servicios y datos (ej. zona Socio)
Preprese para desactivar el acceso mediante el cortafuegos
No hay trfico de control en la DMZ (o fuera de la DMZ)
Limite las conexiones salientes desde la DMZ Identifique los dominios de frontera de confianza y aplicar la
seguridad para mantener la poltica, probable con un cortafuegos
484848 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Resumen
Arquitecturas de referencia
Gua de diseo que consiste en metodologa, recomendaciones, ajustes documentados de configuracin y mejores prcticas desarrolladas en contraste con arquitecturas probadas y validadasFundamento para obtener el xito al utilizar las tecnologas ms nuevas e
innovadoras
Documentados menos prueba y error reduccin de costos en equipamiento y de tiempo de puesta en marcha mitigacin del riesgo
Infraestructura de red slida y segura que reduce el tiempo de espera y otorga gran disponibilidad
Acceda a la informacin crtica sobre la produccin para obtener Indicadores Clave de Rendimiento (KPIs)
Modelo de interruptor multicapa, ms que slo una red para interruptores de capa 2
La colaboracin entre Fabricacin (Ingeniera/Mantenimiento) y Empresa (IT) es clave para un diseo exitoso
Cmo disear las redes mediante Arquitecturas de Referencia para obtener un diseo Ethernet compacto y seguroAgendaConvergencia de redes de fabricacinConvergencia de redes empresariales y de fabricacinArquitecturas de referencia para fabricacinArquitecturas de referencia para fabricacinArquitecturas de referencia para fabricacinCmo trabaja el modelo OSIQu es CIP ( Protocolo Industrial Comn)?Marco de fabricacinMarco de fabricacinDescripcin General de la zona celda/rea Niveles 0-2Trfico de red de fabricacinFlujos de trfico de la zona celda/reaClases de aplicacin en tiempo realLas mejores prcticas para conexin en redDifusin simple vs. difusin mltiple vs. difusinConcepto grupo de difusin mltiple IPResumen IGMP SnoopingSegmentacin de red de plataformas mltiples Opciones de topologa zona celda/reaConfiguraciones representativasSimplificacin del cableado con topologa linealQu es el Spanning Tree? Porqu es necesario?Qu es el Spanning Tree? Porqu es necesario?Qu se obtiene con el Spanning Tree?Redes de Area Local Virtuales (VLAN)Ejemplo de uso de VLAN en un sistema Ethernet industrialNo todo el trfico se crea de la misma formaCalidad de Servicio (QoS) Qu es?Calidad de Servicio Interruptor EthernetOperaciones de Quality of ServiceCmo funcionan las herramientas QoS?Donde hay congestin, se requiere QoSConsideraciones del diseo de QoSCmo conocer sus opciones de interruptoresDireccionamiento IP y AdministracinMejores prcticas Zona Celda /reaDescripcin general de la zona de fabricacin Nivel 3Mejores prcticas de zona de fabricacinDiseo de proteccin de la empresay zona de fabricacinPor qu cortafuegos y DMZDMZ: Vista LgicaDominios de confianzaAseguramiento de dispositivoCortafuegos DefinidoServicios de proteccin de cortafuegosMejores Prcticas DMZResumen Arquitecturas de referencia