Сетевое оборудование Cisco в индустриальном исполнении

Сетевое оборудование Cisco в индустриальном исполнении

Денисов ПавелТехнический консультант

© 2014 Cisco and/or its affiliates. All rights reserved.24.11.2014

Маршрутизаторы в индустриальном исполнении

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2

Cisco CGR 2010

Маршрутизаторы в промышленном исполнении

Cisco ASR903 Cisco CGR 1000 Cisco ISR 819

• Маршрутизаторы в индустриальном исполнении• Соответствие требованиям индустриальных стандартов• Расширенный диапазон эксплуатационных температур• Работа под управлением Cisco IOS/IOS XE• Классический набор технологий (IP routing, Security, Multicast, QoS и т.д.)• Новые технологии для поддержки индустриальных решений

Маршрутизаторы в индустриальном исполнении

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 4

Гостевая операционная система

Распределенная обработка данных

СкоростьНекоторые приложения критичны к задержкам

Надежность

Безопасность

Объем информацииКоличество данных растет

быстрее чем полоса пропускания каналов

Традиционная модель

Бесконечная полоса пропускания и

низкая задержка

ЦОДОблако

Клиент

Новая модель для IoT

Ограниченная полоса пропускания, различная задержка и нестабильные каналы связи

ЦОДОблако

Устройство

Туман

Ограниченная полоса пропускания, различная задержка и нестабильные каналы связи

Гостевая операционная система

Возможность запуска сторонних приложений независимо от Cisco IOS:

Гостевая операционная система полностью независима от Cisco IOS Для обмена данными используется виртуальный Ethernet интерфейс Подключение физических интерфейсов к гостевой ОС

Варианты использования:

Сетевой шлюз Трансляция протоколов Обработка данных Распределенное управление Шифрование данных на уровне приложения

Hypervisor

Cisco IOS Guest OS

Маршрутизаторы в индустриальном исполнении

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 7

Передача данных через последовательные интерфейсы

Миграция решений на IP-технологии

Предыдущее поколение контроллеров использовало последовательные интерфейсы для передачи данных

Классическое решение для удаленного сбора информации предусматривает использование SDH-сети

При миграции сети на IP нужно сохранить работоспособность предыдущего поколения устройств

Туннелирование асинхронных данных через IP сеть

SDH

IP

Классическое решение на базе сети SDH

Современное решение на базе IP

Serial Serial

Serial Serial

Сервер АСУТПSDH Mux SDH Mux

Контроллер

Сервер АСУТП КонтроллерCGR2010 CGR2010

Туннелирование асинхронных потоков данных

Подключение асинхронных устройств через IP сеть

Туннелирование данных через TCP или UDP

Два основных режима работы: клиент и сервер

До 32-х сессий на физический интерфейс

Комбинирование клиента и сервера на одном интерфейсе

Один сервер и несколько клиентов на одном интерфейсе

Поддержка технологии виртуальных контекстов

Поддерживается на маршрутизаторах CGR и ISR G2

TCP/UDP Raw Socket

IP

Serial

Сервер АСУТП

Контроллер

CGR2010

Контроллер

Serial Serial

CGR2010 CGR2010

Пример настройки TCP Raw Socket

IP

Сервер АСУТП

Контроллер

CGR2010

Контроллер

Line 0/2/0

CGR2010 CGR2010

Line 0/2/0

Line 0/2/3

IP address: 10.150.150.50

IP address: 10.150.150.200IP address: 10.150.150.201

interface Serial0/2/3physical-layer asyncno ip addresencapsulation raw-tcp

interface Serial0/2/0physical-layer asyncno ip addressencapsulation raw-tcpline 0/2/0

raw-socket tcp client 10.150.150.50 5003 10.150.150.200 9000raw-socket special-char 22 ! Hex 16raw-socket packet-length 32parity evenstopbits 1speed 19200

line 0/2/3raw-socket tcp server 5003 10.150.150.50raw-socket packet-timer 3raw-socket packet-length 32raw-socket special-char 22 ! Hex 16parity evenstopbits 1speed 38400

Маршрутизатор_2Маршрутизатор_1 Терминал 1АСУТП сервер Маршрутизатор_3 Терминал_2

Опрос удаленных устройств

Сервер опрашивает удаленные терминалыКаждый терминал имеет уникальный адрес

Запрос отправляется на все удаленные терминалы

Ответ отправляет только один терминал

Коммутаторы в промышленном исполнении

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 12

Коммутаторы в промышленном исполнении

Коммутаторы в индустриальном исполнении

Созданные на базе моделей Catalyst 2960/3560 и ME3400

Быстрая замена устройств за счет использования технологии SwapDrive

Классический набор технологий (L2 security, IP routing, Multicast, QoS и т.д.)

Эксплуатация в тяжелых условиях (температура, электромагнитное излучение)

Модульное устройствоУровень доступа/распределения

Монтаж на DIN-рейкуL2/L3

POE/POE+, Fiber

Фиксированная конфигурация

Уровень доступаМонтаж на DIN-рейку

L2POE/POE+, Fiber, NAT

Фиксированная конфигурация

Уровень доступаМонтаж в 19’’ шкаф (1RU)

L2/L3PoE, Fiber

Фиксированная конфигурация

Уровень доступаМонтаж на стену

L2POE/POE+

Cisco IE2000Cisco IE2000 IP67 Cisco IE3000 Cisco IE3010

Коммутаторы в индустриальном исполнении

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 14

Трансляция сетевых адресов

Назначение технологии

ASA 6500

120.1.x.x

Подключение других ячеек

КоммутаторУровня распределения

Ядро сетиДМЗ

IO

IO

IO

Ячейка 1 IO

IO

IO

Servo

Servo

192.168.1.2

192.168.1.3

192.168.1.4

IO

IO

IO

Ячейка 2 192.168.1.2

192.168.1.3

192.168.1.4

192.168.1.7

192.168.1.8

120.1.1.4

ПЛК

3750

Решение состоит из нескольких закрытых сегментов

Контроллеры выступают шлюзами для приложений и обеспечивают трансляцию адресов

Поиск неисправности сильно затруднен

При возникновении сбоя нужно проверить каждый шаг в цепочке

Контроллерробота

L3NAT

Контроллерробота

На каких устройствах поддерживается

Коммутаторы серии IE2000

Cisco IOS 15.0(2)EB или более поздняя

Лицензия Enhanced LAN Base

Поддерживается трансляция IPv4 адресов

До 128 уникальных записей в таблице трансляций на одном устройстве

Поддержка трансляции на аппаратном уровне

Поддерживается на коммутаторах типа -E (требуется лицензия) или -N

Как это работает

192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1

10.1.1.100

Ячейка 1 Ячейка 2 Ячейка 3

Как это работает

192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1

10.1.1.100

Ячейка 1 Ячейка 2 Ячейка 3

SAData DA

После трансляции:SA=10.1.1.1DA=10.1.1.100

SAData DA

До трансляции:SA=192.168.1.1DA=192.168.1.250

Inside from host 192.168.1.1 to 10.1.1.1Outside from 10.1.1.100 to 192.168.1.250

Как это работает

192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1

10.1.1.100

Ячейка 1 Ячейка 2 Ячейка 3

SAData DA

До трансляции:SA=10.1.1.100DA=10.1.1.1

SAData DA

После трансляции:SA=192.168.1.250DA=192.168.1.1

Inside from host 192.168.1.1 to 10.1.1.1Outside from 10.1.1.100 to 192.168.1.250

Как настраивается трансляция адресов

Настройки в глобальном режиме:l2nat instance <name>

inside from [<host> |<range>|<network>] original ip to <translated ip> maskoutside from host | network <original ip> to <translated ip> mask gateway(optional)

Настройки на интерфейсе:interface <interface-id>

switchport mode trunkl2nat <instance_name> [vlan | vlan range]

Пример:inside from host 192.168.1.1 to 10.1.1.1outside from host 10.1.1.254 to 192.168.1.254

L2NAT Unicast

Gateway 192.168.1.254

Inside

Outside

192.168.1.1 192.168.1.1 192.168.1.1

200.1.1.2

Как настраивается трансляция адресов

Multicast и IGMP пакеты коммутируются без трансляции

Настройки в глобальном режиме:L2nat instance <name_multicast>

Permit multicast inPermit multicast outPermit igmp inPermit igmp outFixup: arp icmpInside 192.168.1.1 to 10.1.1.1

Настройки на интерфейсе:interface <interface-id>

switchport mode trunkL2nat name_multicast VlanID

L2NAT Multicast

Коммутаторы в индустриальном исполнении

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 22

Построение отказоустойчивых сетевых решений

Технология PRP

Transport layer

Network layer

Send Receive

A B

RxTx Tx Rx

Transport layer

Network layer

Send Receive

A B

RxTx Tx Rx

LAN ALAN B

Parallel Redundancy Protocol описан в стандарте IEC 62439-3Две физически разделенные сетиКаждый кадр передается по обоим сетямОконечное устройство отвечает за распознавание и удаление дубликатовНе предъявляет требований к сетевой инфраструктуре

Термины и определения

SAN – устройство, подключенное к одной сетиDAN – устройство, подключенное к двум сетямRedBox – устройство, обеспечивающее подключение к двум сетям для SANVDAN – устройство, подключенное к двум сетям через RedBox

LAN_A

LAN_B

VDANVDAN

RedBox

SAN

SAN

DAN

DANSAN

Структура PRP кадра

• RCT—Redundancy Control Trailer, дополнительная метка для каждого кадра• Используется для обнаружения и сброса копии сообщения• Общая длинна дополнительного поля – 32 бита• 16 бит – уникальный номер пакета• 4 бита - для идентификации сети (1010 для LAN A и 1011 для LAN B)• 16 бит для указания длинны пакета

Destination Source LLC FCSPayloadPreamble LSDUsize

Sequencenumber LA

NID

RCT

Поддержка PRP на коммутаторах

Поддерживается на 8-ми и 16-ти портовых коммутаторах IE2000UПодключение к LAN A и LAN B через магистральные интерфейсыВ PRP-группу могут быть объединены FastEthernet или GigabitEthernet портыДо двух PRP-групп на одном устройствеМинимальная версия ПО - 15.0(2)EK1

Настройка PRP

Switch (config)# interface range GigabitEthernet0/1-2 Switch (config-if)# switchportSwitch (config-if)# switchport mode access Switch (config-if)# switchport access vlan 2 Switch (config-if)# prp-channel-group 1

Switch(config)# interface range GigabitEthernet0/1-2Switch(config-if)# prp-channel-group 1Switch(config-if)# no ptp enableSwitch(config-if)# no keepaliveSwitch(config-if)# no shutdown

LAN_A

LAN_B

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом#CiscoConnectRu

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Пожалуйста, используйте код для оценки доклада1461Ваше мнение очень важно для нас.

Спасибо