Cisco y Rocwell en Español

Cmo disear las redes
mediante Arquitecturas de
Referencia para obtener un
diseo Ethernet compacto y
seguro
2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.
Agenda
Convergencia de redes empresariales y de fabricacin
Colaboracin entre Cisco y Rockwell Automation
Arquitecturas de referencia para la descripcin general

de la fabricacin
Las mejores prcticas para la conexin en red
Segmentacin de la red
Desempeo del trfico en tiempo real para el trfico de control
Polticas de proteccin
Convergencia de redes de fabricacin
Red corporativa
Unidades centrales de back-office y
servidores (ERP, MES, CAPP,
PDM, etc.)
Red de control
Gateway
Red corporativa
Unidades centrales de back-office y
servidores (ERP, MES, CAPP,
PDM, etc.)
Oficinas
Aplicaciones,
Internetworking,
Servidores
de datos,
Almacenamiento
Interface Operador
Mquina (HMI)
Controlador
Basado en
PC
Oficina
Aplicaciones,
Internetworking,
Servidores
de datos,
Almacenamiento
Controlador
Basado en
PC
Controlador
Controlador
Robtica
Motores,
Variadores
Accionadores
Robtica
Sensores y otros dispositivos de
Entrada/Salida
Red de control
Red a nivel
de dispositivo
Ethernet
Tradicional
Motores, Variadores
Accionadores
Sensores y otros dispositivos de
Entrada/Salida
Ethernet
Ethernet estndar
Convergencia de redes empresariales y de

fabricacin
Lnea de conmutador administrada Stratix 8000 TM Rockwell

Automation con tecnologa Cisco
Arquitecturas de referencia
Series educativas
http://www.ab.com/networks/architectures.html
http://www.cisco.com/web/strategy/manufacturing/ettf_overview.html
Arquitecturas de referencia para

fabricacin
Gua de diseo
Buenas prcticas y
recomendaciones
Metodologa
rea empresa
Niveles 4 y 5
Servidores Windows 2003
Conexin remota del escritorio

VNC
PC en cualquier sitio
Ajustes documentados para

configuracin
Desarrollada en contraste
con arquitecturas validadas
y probadas
Base de red
preparada para la
tecnologa del futuro
Enlace
GE para la
deteccin de
migracin en
caso de fallo
Zona Desmilitarizada
(DMZ)
Cortafuegos
(En espera)
Cortafuegos
(Activo)
Zona Desmilitarizada (DMZ)
Aplicaciones FactoryTalk
Vista
Mtrica
Historial
AssetCentre
Centro Productivo
Zona de fabricacin
Nivel 3
Encaminador
Capa 3
Switch Stack
Capa 3
Servicios de Red
servidor DNS, DHCP, syslog

Administracin de red y proteccin
Zona Celda/rea
Nivel 02
Interruptor
Capa 2
HMI
Variador
Controlador
HMI
Controlador
HMI
E/S
distribuidas
Celda/rea #1
(Topologa estrella redundante)
Variador
Controlador
Celda/rea #2
(Topologa
anillo)
Variador
E/S
distribuidas Celda/rea #3
(Topologa bus)

fabricacin
Ethernet y TCP/IP
estndar sin modificar
Segmentacin jerrquica
Zona de la empresa
Niveles 4 y 5
Conexin remota del escritorio

VNC
PC en cualquier sitio
Administracin de trfico
Polticas de seguridad
Desempeo en tiempo real

Calidad del servicio
Servicios de Red
Desarrollado en contraste
con arquitecturas validadas
y probadas
Aplicaciones FactoryTalk
LAN virtuales
Polticas de seguridad
Cortafuegos
(En espera)
Cortafuegos
(Activo)
Vista
Mtrica
Historial
AssetCentre
Centro Productivo
Administracin de difusin
mltiple
Enlace
GE para la
deteccin de
migracin en
caso de fallo
Zona Desmilitarizada
(DMZ)
Zona de fabricacin
Nivel 3
Encaminador
Capa 3
Switch Stack
Capa 3
Servidor DNS, DHCP, syslog

Administracin de Red y seguridad
Zona Celda/rea
Nivel 02
Interruptor
Capa 2
HMI
Variador
Controlador
HMI
Controlador
HMI
E/S
distribuidas
Celda/rea #1
(Topologa en estrella redundante)
Variador
Controlador
Celda/rea #2
(Topologa en anillo)
Variador
E/S
distribuidas Celda/rea #3
(Topologa de bus)

fabricacin
Tecnologa
IEEE Ethernet estndar/sin modificar
Futuro Wireless y PTP (1588)
IETF Protocolo internet estndar (IP)
ODVA Protocolo Industrial Comn (CIP)
ISA 100 Wireless (Futuro)
NIST National Institute of Standards and Technology (Instituto
Nacional de Estndares y Tecnologa)
Fabricacin
ISA 99 Proteccin para sistemas de control y de fabricacin
ISA 95 Integracin sistema de control empresa
Modelo de referencia Purdue
Construido con estndares
Cmo trabaja el modelo OSI
Emisor
Receptor
Aplicacin CIP
Capa 7
Aplicacin CIP
Presentacin CIP
Capa 6
Presentacin CIP
Sesin CIP
Capa 5
Sesin CIP
Transporte TCP/UDP
Capa 4
Transporte TCP/UDP
Red IP
Capa 3
Red IP
Enlace de datos Ethernet
Capa 2
Enlace de datos Ethernet
Fsico Ethernet
Capa 1
Fsico Ethernet
Qu es CIP ( Protocolo Industrial Comn)?

Controladores
de
movimiento
Servo/CA
Variadores
Sincr. tiempo
IEEE 1588
Vlvulas
neumticas
Otros perfiles
Biblioteca objetos
Mensajes explcitos de servicios de administracin

de datos, mensajes E/S
Bloque
Safety
I/O
Otras
prcticas
de seguridad
Biblioteca de objetos
especficos para la seguridad
Capa de seguridad
Administracin de conexin, encaminamiento

UDP
Transporte DeviceNet
Transporte ControlNet
Ethernet
CSMA/CD
CAN
CSMA/NBA
ControlNet
CTDMA
Capa fsica
de Ethernet
Capa fsica
de DeviceNet
Capa fsica
de ControlNet
EtherNet/IP
DeviceNet
ControlNet
Protocolo Internet (IP)
Open DeviceNet Vendor Association http://www.odva.org

Adaptaciones de red de CIP
TCP
Protocolo Industrial Comn (CIP)
CIP Motion
CIP Safety
Estndar para integrar

control de E/S,
configuracin de
dispositivos y
recoleccin de datos
en sistemas de
automatizacin y de
control
Compatible con tres
protocolos de red de los
cuales EtherNet/IP es
Ethernet estndar no
modificado
Conjuntos estndar de
servicios para acceder a
datos y controlar el
funcionamiento de los
dispositivos
9
Marco de fabricacin
Zona de la
empresa
Red de la empresa
Nivel 5
Planificacin de negocios
y red de logstica
Nivel 4

Zona
de fabricacin
Operaciones y control
de fabricacin de site
Zona
Control supervisor
Celda/rea del rea
Zona
de seguridad
Nivel 3
Nivel 2
Control bsico
Nivel 1
Proceso
Nivel 0
Seguridad-Crtico
Zona de la empresa
para redes IT
DMZ como zona de buffer
para compartir datos y
servicios de manera
segura
Zona de fabricacin donde
existen sistemas de pisos
de produccin crtica
Zona celda/rea donde
residen los dispositivos y
controladores
Zona de seguridad para
dispositivos de seguridad
Niveles desde ISA SP95 y
modelo de referencia
Purdue
Zonas desde ISA SP99
10
Marco de fabricacin
Nivel 5
Nivel 4
Encaminador
E-Mail, Intranet, etc.
Espejo
Historial
Nivel 3
Nivel 2
Zona de
la empresa
Planificacin de negocios y red de logstica
Servicios
del terminal
Control de la
produccin
Red de la empresa
Administracin
de parches
Servidor
AV
Operaciones de
servicios de Web
Servidor de
aplicacin
Optimizacin
del Control
Historia del
proceso
Cortafuegos
Web
E-Mail
CIP
Cortafuegos
Controlador
de dominio
Operaciones y
control de fabricacin
Control
supervisor
Control
supervisor
Estacin de
trabajo de
ingeniera
Interface de
operador
DMZ
Zona
de fabricacin
Control
supervisor del
rea
Interface de
operador
Zona Celda/rea
Nivel 1
Nivel 0
Control
de lotes
Sensores
Control
discreto
Control
secuencial
Variadores
Control
continuo
Accionadores
Robots
Control
hbrido
Control
bsico
Proceso
No hay flujo de trfico directo desde la zona de la empresa a la zona de

fabricacin
11
Descripcin General de la zona celda/rea

Niveles 0-2
12
Trfico de red de fabricacin

Ethernet estndar sin
modificar
Suite estndar TCP/IP
Protocolo capa aplicacin
Protocolo Industrial Comn
(CIP)
FTP
HTTP
TCP
SNMP
BOOTP
DHCP
UDP
Capa 4
OSPF
ICMP
Mensajes
explcitos
TCP y UDP en transporte
ARP
Direccionamiento esttico
IP de dispositivos
CIP
Capas 5-7
EtherNet/IP = Ethernet +
IP + CIP
Difusin simple y mltiple
de IP en la red
OPC
IP
IGMP
Control E/S
en tiempo real
RARP
Capa 3
IEEE 802.3 Ethernet

Capa 2
EtherNet/IP especifica cmo los paquetes de comunicacin CIP

pueden ser transportados por Ethernet estndar y tecnologa
TCP/IP
13
Flujos de trfico de la zona celda/rea

El trfico de celda/rea es
predominantemente (>80%) local,
trfico de E/S cclico
(a.k.a. Implcito)
Gateway de correo
DMZ
Zona de fabricacin
Computadora porttil de ingeniera

(RSLogix)
Gestin de Red
Los productores generan mensajes

UDP de difusin mltiple; el consumidor
genera mensajes
UDP de difusin simple
Cisco Cat. 3750

Switch Stack
StackWise
HMI
HMI
Los paquetes son pequeos: 100

200 bytes pero se comunican con
gran frecuencia (cada 0.5 a 10 s de ms)
Cisco
Cat. 2955
Las difusiones mltiples no son

encaminables (TTL=1 por aplicacin)
El resto es control informativo y

flujos de trfico de administracin
(o Explcita) intra- e inter-celda/rea
Variador
Zona Celda/rea
PAC
Cisco
Cat. 2955
Zona Celda/rea
Trfico de datos o administrativo no crtico basado en CIP

Informacin de diagnstico va HTTP
Advertencias de estado y fallos va SNMP o SMTP
Paquetes ms grandes, ~500 bytes pero poco frecuentes (100s de ms)
14
Clases de aplicacin en tiempo real
Funcin
Tecnologa de
comunicaciones
Perodo
Industrias
Soluciones de
informacin y
automatizacin
de procesos ms lentos
Automatizacin discreta
Control de movimiento
.Net, DCOM, TCP/IP
Ethernet estndar + protocolo en

tiempo real
Solucin Hardware/Software
Un segundo o ms
10 ms a 100 ms
< 1 ms
Petrleo y Gas, Qumica,

Energa, Agua
Automotriz, alimentos y bebidas,

ensamblaje electrnico,
semiconductores,
metales, farmacutica
Subconjunto
de automatizacin discreta
Bombas, compresores,
mezcladores
Aplicaciones
Monitoreo de temp.,
pulsaciones, flujo
Manejo de materiales, rellenado,

etiquetado, paletizacin, envasado
Soldaduras, estampado, corte,
formacin de metales, soldaduras,
clasificacin
Sincronizacin de mltiples
ejes: Prensas de imprimir,
esquemas de cables, web
making, recogida y colocacin
Fuente: Grupo asesor ARC

15
Las mejores prcticas para conexin en red

Rendimiento de la red en tiempo real
Reduccin del tiempo de espera de la red y
fluctuaciones
Control difusin mltiple IP
Administracin de IGMP
Segmentacin
Modelo de red multivinculada
Topologa
LAN virtuales (VLANs)
Prioridades
Calidad del Servicio (QoS)
Resiliencia Alta disponibilidad

16
Difusin simple vs. difusin mltiple vs.

difusin
Controlador
Difusin simple
Interruptor
Controlador
Difusin mltiple
Interruptor
Controlador
Difusin
Interruptor
17
Concepto grupo de difusin mltiple IP

1. Ud. debe ser
miembro de un
grupo para recibir
informacin
sobre el mismo
2. Si enva a la
direccin del
grupo, todos los
miembros la
reciben
3. Ud. no necesita
ser miembro de
un grupo para
enviar a un grupo
Emisor y Receptor
Miembro grupo 3
Emisor
Miembro
grupo 1
Receptor
No es miembro
del grupo
Miembro
grupo 2
Receptor
18
Resumen IGMP Snooping

Productor-Consumidor
Mbps
Trfico de
difusin
mltiple
Difusin
mltiple con
IGMP
Snooping
Trfico de
difusin simple
Nmero de dispositivos de control
En un modelo ConsumidorProductor, el trfico crece

exponencialmente con el
nmero de hosts a menos que
se limiten las difusiones
mltiples
IGMP Snooping y Querier
proporcionan la capacidad de
escalado para los modelos de
datos Consumidor-Productor
limitando la cantidad de trfico
de difusin mltiple
Se mantienen los beneficios de
desempeo del modelo
Consumidor-Productor (todos
los consumidores tienen
acceso a la informacin)
19
Segmentacin de red de plataformas

mltiples
Ofrece topologa modular jerarquizada
bloques modulares
Acceso
Distribucin
Centro
Distribucin
Acceso
Fcil de desarrollar, entender y resolver

problemas
Crea pequeos dominios de fallos claras
demarcaciones y aislamiento
Promueve el equilibrio de carga y la
redundancia
Equilibrio
de la
carga
al
tronc
GLBP
Promueve patrones deterministas de

trfico
Incorpora el equilibrio de la tecnologa de
las capas 2 y 3, aprovechando la fuerza de
ambas
Utiliza el encaminamiento de la capa 3
para el equilibrio, rpida convergencia,
capacidad de escalado y control de la
carga
HSRP
Encaminamiento
rbol de
expansin
20
Opciones de topologa zona celda/rea

Estrella
Anillo
Bus
Cisco catalyst
Switch Stack
3750 Stackwise
Cisco Catalyst
Switch Stack
3750 Stackwise
Cisco Catalyst
Switch Stack
3750 Stackwise
HMI
HMI
Controladores
HMI
Controladores
Cisco Catalyst 2955
Cisco Catalyst 2955
Controladores,
Variadores y E/S distribuidas
Zona Celda/rea
Zona Celda/rea
Controladores, variadores y E/S distribuidas
Controladores, variadores y E/S distribuidas
Zona Celda/rea
Zona Celda/rea
Estrella
Anillo
Bus
Requisitos cableado
Al Este de configuracin
Costos de implementacin
Ancho de banda
Redundancia y convergencia
Disrupcin durante actualizacin de red
Preparacin para
convergencia de red
21
Configuraciones representativas
Zona de la empresa
DMZ
Red
Empresa
ERP, Email, Intranet, etc.
Servidores terminal,
Administracin de parches
Antivirus, Espejo Historial,
Servidor Web/Aplicacin
Zona de
fabricacin
Cisco ASA 5520

Cortafuegos
Stackwise 3750
de Cisco
Interruptor Capa 3
Cisco 2960
Interruptor Capa 2
Aplicaciones
FactoryTalk
Estacin de trabajo de
ingeniera
RSLogix 5000
Interruptor 8000
Capa 2 administrado
Topologa de anillo
ETAP
Interruptor Capa 2
incorporado
Lineal o anillo
Zona Celda/rea
Interruptor 6000
Capa 2
administrado
Zona Celda/rea
Interruptor Capa 2
6000 administrado
Zona Celda/rea
Zona Celda/rea
22
Simplificacin del cableado con topologa

lineal
Estrella
Es necesario un interruptor externo
Gran extensin de cables = instalacin costosa
Lineal
No son necesarios interruptores externos Ethernet
El cableado simple reduce los costos de instalacin
23
Qu es el Spanning Tree?
Porqu es necesario?
Una conexin redundante mata una red en puente

Los paquetes de capa 2 no tienen tiempo de vida (TTL)
Un slo paquete puede abarcar todo el ancho de banda
Sin embargo, queremos mantener vnculos en

paralelo para obtener redundancia
24
Qu es el Spanning Tree?
Porqu es necesario?
El protocolo Spanning Tree es un algoritmo de

2 capas adoptado en IEEE 802.1D en 1998 y ha sido
mejorado en algunas ocasiones; este protocolo
proporciona lo siguiente:
Red sin lazos
Mantiene la redundancia en caso de fallos
Opera de manera plug-and-play
25
Qu se obtiene con el Spanning Tree?
Transforma una topologa redundante en un rbol,

el cual, por definicin, slo proporciona una ruta
entre dos nodos sin lazo pero mantiene la
resiliencia
Se recupera de los fallos reabriendo los vnculos
bloqueados
Spanning tree rpido: convergencia de topologa de anillo
> 500 ms y < 2.5 s
26
Redes de Area Local Virtuales (VLAN)

VLAN es un concepto Ethernet de 2 capas
Los puertos de un interruptor son asignados
a una VLAN
Los datos slo son enviados a los puertos
dentro de la misma VLAN
Las difusiones y las difusiones mltiples
estn restringidas a sus respectivas VLANs
Un dispositivo de 3 capas (encaminador o
interruptor de 3 capas) puede enviar
mensajes entre VLAN diferentes
Encaminador Subredes, IP
Interruptor VLAN, MAC
4
7
5
1
= VLAN Roja
= VLAN Azul
= VLAN Verde
27
Ejemplo de uso de VLAN en un sistema

Ethernet industrial
Asigne VLAN a dispositivos
cuando se conozcan los patrones

de trfico
Limite el flujo de trfico
productor-consumidor fuera de
los dispositivos requeridos
(ejemplo: una VLAN por zona de
celda/rea)
Use un interruptor o
encaminador de 3 capas para
intercambiar datos entre VLAN
(ej. capa de enclavamiento
PAC)
Red de conexin
principal
Si
Si
VLAN 101
VLAN 105
Zonas
Celda/
Celda/rea
VLAN 102
VLAN 103
VLAN 104
28
No todo el trfico se crea de la misma

forma
Video
Datos
(Mejor
esfuerzo)
Voz
Bajo a
moderado
Moderado a
alto
Moderado a
alto
Bajo a
moderado
Sensibilidad a
Random Drop
Alta
Baja
Alta
Baja
Sensibilidad al
retardo
Alta
Alta
Baja
Alta
Sensibilidad a
la fluctuacin
Alta
Alta
Baja
Alta
Ancho de
banda
Control
(ej. CIP)
Moraleja
Las redes de control deben priorizar el trfico de control sobre
otros tipos de trfico para asegurar el flujo de datos
deterministas con bajo tiempo de espera y baja fluctuacin
29
Calidad de Servicio (QoS) Qu es?

Una red tradicional es de mximo esfuerzo
(best-effort)
Todo el trfico tiene el mismo servicio, es decir, el
comportamiento de envo de un dispositivo de red es
FIFO
QoS prioriza el trfico en diferentes niveles de
servicio y proporciona un tratamiento de envo
preferencial al trfico de algunos datos a costa del
trfico de menor prioridad
QoS = Tratamiento Preferencial
30
Calidad de Servicio Interruptor Ethernet
31
Operaciones de Quality of Service

Cmo funcionan las herramientas QoS?
Clasificacin y
Marcacin
Poner y retirar de la
cola (Selectivamente)
Operaciones
Post-Queuing
32
Donde hay congestin, se requiere QoS

Agregacin
Desigualdad de
velocidades
LAN a WAN
10 Mbps
10 Mbps
1000 kbps
64 kbps
Puntos de agregacin
Vnculos y bfers
Puntos de desigualdad sustancial de velocidades
Los bfers de transmisin tienden a llenarse
El almacenamiento en memoria intermedia reduce las
prdidas, introduce retardos
33
Consideraciones del diseo de QoS

Objetivos
Prioridad ms alta para el trfico de E/S CIP sensible
al tiempo de espera y a fluctuaciones
Entrega garantizada para sincr. CIP, movimiento CIP
Minimice los impactos de los ataques DDoS
QoS a lo largo de la red de control

Con la actualizacin ODVA, la frontera de
confianza de QoS va desde los
puertos de acceso del interruptor
hacia el dispositivo que admite
QoS
Para los dispositivos existentes,
la marcacin en el puerto de
acceso es importante segn
el nmero de puerto
CIP E/S UDP 2222
CIP explicit 44818
Otros: predeterminado en 0
Establecimiento del cronograma de salida

con cuatro colas
Primera prioridad: sincr. CIP, movimiento CIP
Segunda prioridad: E/S CIP
Tercera prioridad: CIP explcito
Predeterminado:
otros
2008 Cisco
Systems, Inc. and Rockwell Automation. All rights reserved.
Gigabit Ethernet
Fast Ethernet
Sin confianza + Policing + Marcacin ToS + Queuing

Marcacin ToS de confianza + Queuing
34
Cmo conocer sus opciones de

interruptores
Industrial versus comercial
Administrado versus no administrado
Ventajas
Interruptores
administrados
Interruptores
no
administrados
Desventajas
Capacidad para administrar trfico

de difusin mltiple
Ms costosos
Proporcionan datos de diagnstico
Requieren algn nivel de
Proporcionan opciones de
soporte y configuracin para
proteccin
arrancar y ser sustituidos
Proporcionan soporte a QoS,
VLAN y resiliencia
Sin funciones de administracin
Sin proteccin
No son costosos
No proporcionan informacin de
De fcil configuracin
diagnstico
De fcil sustitucin
De difcil resolucin de
problemas
35
Direccionamiento IP y Administracin
Opcin
Esttico
BOOTP
Descripcin
Todos los dispositivos
estn codificados con
una direccin IP
El servidor asigna
direccin IP a
dispositivos
Ventajas
Simple
Compatible con todos los
dispositivos
Compatible con todos los

dispositivos
Precursor a DHCP
El servidor asigna
direcciones IP desde
una lista (NO
RECOMENDADO)
Uso eficiente del rango de

direcciones IP
Opcin 82
DHCP
El servidor asigna
direcciones IP
consistentes desde una
lista

direcciones IP
Asignacin
de DHCP
basada en
puerto
Asigna automticamente
direccin IP para
cada puerto fsico de
interruptor

direcciones IP
DHCP
Puede reducir la carga de

trabajo de administracin
Puede reducir la carga de

trabajo de administracin
Facilita el mantenimiento en
ambientes grandes
Desventajas
En grandes ambientes, su
mantenimiento puede resultar
dificultoso
Cuando se reemplaza un dispositivo,
el tcnico debe configurar la
direccin IP
Cuando se reemplaza un dispositivo,
el tcnico debe configurar la
direccin IP/Mac
Aade complejidad y puntos de fallos
Ms complejo de implementar y aade
un punto de fallo
Al ser reinicializados, los dispositivos
obtienen diferentes direcciones IP
Ms complejo de implementar y aade
un punto de fallo
Los ambientes combinados pueden
no funcionar
Slo Cisco/RA
Requiere mantenimiento y reparacin,
por interruptor
36
Mejores prcticas Zona Celda /rea

Mejores prcticas de las conexiones en redes industriales
Disee pequeas zonas celda/rea en una VLAN para manejar y
definir mejor el trfico
Use interruptores administrados
Conecte en modo full-duplex para evitar colisiones
Use puertos Gigabit Ethernet para enlaces de
comunicaciones/enlaces ascendentes y as reducir el tiempo de
espera y fluctuaciones
Use las funciones IGMP snooping/querier para controlar el volumen
del trfico de difusin mltiple
Use topologas de red resilentes, de anillo o preferentemente de
estrella redundante; use RSTP para administrar lazos, recuperarse
de la prdida de conectividad para la convergencia de redes
Aplicar la proteccin en el puerto para limitar el uso de puertos
abiertos
37
Descripcin general de la zona de

fabricacin Nivel 3
FactoryTalk Historian
Zona de
Fabricacin
Centro
FactoryTalk AssetCentre
FactoryTalk View
FactoryTalk ProductionCentre
MS Active Directory
Servidor SQL
Servicios de infraestructura de red

Servidor DNS, DHCP, Syslog
CNA
Torre de servidores
Zona de
Fabricacin
Distribucin
Independiente de DMZ y zonas de empresa

Nmero mnimo de conexiones a DMZ
Comunicacin limitada entre sub-zonas
Proteccin dentro y a lo largo de la zona de fabricacin
No impacta en el rendimiento del sistema
38
Mejores prcticas de zona de fabricacin

Reiterar servicios crticos en la zona de fabricacin, considerar lo siguiente:
Servicios de dominio ej. LDAP o Active Directory
Servicios de asignacin de nombre ej. DNS y WINS
Servicios direccin IP ej. DHCP
Servicios de Tiempo ej. NTP o PTP
Disponibilidad: aplique encaminadores/interruptores redundantes de red y vnculos

para mantener la disponibilidad general de la red
Capacidad de escalado: los sitios pequeos usan interruptores combinados centrales
y de distribucin, pero los sitios ms extensos o en crecimiento deben separarlos para
evitar el exceso de suscripcin en los enlaces ascendentes.
Utilizar la administracin de red y Proteccin
Encaminamiento: Use protocolos de encaminamiento link-state o EIGRP para la
convergencia y equilibrio de la carga de la capa 3
Use EIGRP para simplificar la configuracin
Si son necesarios los protocolos estndar, use OSPF
No hay superposicin de direcciones IP con las redes empresariales. No hay

direcciones IP redundantes (la traduccin de direccin de redes es la tara de
mantenimiento).
39
Diseo de proteccin de la empresa

y zona de fabricacin
Modelo de proteccin completo para
la defensa en Profundidad La
proteccin no es un componente
incorporado
Seccin de fabricacin de segmento
de la Empresa con zona
Desmilitarizada
Mejores prcticas de diseo DMZ estndar
ASA 5500
Web, Aplicacin,
Servidores de
base de datos
Historial de
respaldo
Defendiendo los flancos

Protegiendo el interior
Proteccin
Infraestructura
Red, ACL
Cisco
Cat. 6500/4500
Agente de proteccin
Cisco
para dispositivos
basados en
Windows
Protegiendo los extremos
ACL
Cortafuegos
IPS
Nivel 3 Operaciones y control

de fabricacin de site
CS-MARS,
ASDM y CSAMC
Defensa en Profundidad
VLAN
DMZ
Cisco Cat. 3750

Switch Stack
StackWise
HMI
Recoleccin
de Historia de
Procesos
Nivel 2Control Supervisor rea
Acceso a diseo remoto protegido /

invitado
Servicios de proteccin y de red de
RA
Los servicios de proteccin no deben
Comprometer las operaciones de
la zona de control o trfico de E/S
Seguridad Capa 2,
proteccin puerto
VLAN
HMI
Nivel 1 Control Bsico
PAC
Variador C/A
E/S Remotas
Nivel 0 Proceso
40
Por qu cortafuegos y DMZ

La zona de fabricacin requiere una postura de proteccin
diferente
Los dispositivos y las aplicaciones de la zona de fabricacin
son sensibles y vulnerables de manera diferente que los
sistemas y aplicaciones de empresas. La proteccin es crtica
para el desempeo y disponibilidad de los sistemas de control
y automatizacin
Pero no es necesario compartir los datos y servicios
Los cortafuegos modernos proporcionan esa segmentacin
crtica entre las redes de fabricacin y las empresariales, sin
embargo, permiten el intercambio seguro de datos y servicios
Los conceptos de la Zona Desmilitarizada permiten el
intercambio de datos y servicios crticos entre ambas zonas
41
DMZ: Vista Lgica

Punto de desconexin
Servicios
de
terminal
Administracin
de parches
Zona de la
empresa
Servid
or AV
DMZ
Mltiples
Subzonas
Funcionales
No hay Trfico
Directo
Espejo
Historial
Operaciones
de servicios de
Web
Servidor de
aplicacin
Punto de desconexin
Zona de
fabricacin
42
Dominios de confianza
1st case.com
2nd case.com
WAN Servidores
Interna externos
WAN Interna
Internet
Servidores
externos
Internet
Plantas
Empleados
Plantas
Acceso
Remoto
de VPN
Empleados
Acceso
Remoto
de VPN
Desde la perspectiva del diseo de la proteccin, cul es

la diferencia principal entre 1stcase.com y 2ndcase.com?
Segmentacin del ambiente en dominios de confianza
43
Aseguramiento de dispositivo
Caracterstica
Descripcin
Mecanismo
Network Foundation
Protection
Protege de accesos, cambios y ataques

no autorizados a la infraestructura
principal de la red y los servicios
Proteccin de puerto, End-point

protection, Proteccin Capas 2 y
3
Trust & Identity
Confirmacin de que un usuario o

dispositivo que necesita mantenimiento es
un dispositivo vlido. Autenticacin,
Autorizacin y Contabilidad
ACLs, MAC-filtering, VLAN,

FactoryTalk Security,
autorizacin de aplicacin
Threat Detection &

Mitigation
Monitoreo continuo y proactivo de la

actividad de red para la deteccin de
comportamiento anormal
End-point protection,
Cortafuegos, Intrusion Protection,
Anlisis y Respuesta
Application Security
Protege aplicaciones ejecutadas en

dispositivos o end-points (estaciones de
trabajo, servidores y dispositivos).
End-point Security, Cortafuegos,

QoS, FactoryTalk Security
Secure Connectivity
Protege la comunicacin en entornos de

transporte no confiables
VPN, Encryption, IPsec
Security Management
Configura, monitorea, analiza y responde

a la actividad de la red.
Aplicacin de polticas,
monitoreo, anlisis y respuesta,
auditora y generacin de
informes
44
Cortafuegos Definido
Un cortafuegos es un dispositivo de seguridad configurado para
permitir, denegar o intermediar en conexiones de datos
establecidas por la poltica de seguridad de la organizacin. Los
cortafuegos pueden basarse en hardware o software
La tarea bsica del cortafuegos es controlar el trfico entre las
redes de una computadora con diferentes zonas de confianza
Los cortafuegos actuales combinan stateful packet inspection
multicapa y application inspection multiprotocolo
Virtual Private Network (VPN) e Intrusion Prevention Services (IPS)
han sido combinados con el(los) motor(es) de inspeccin de
cortafuegos
A pesar de estas complejidades, el rol principal del cortafuegos es
aplicar la poltica de seguridad
Fuente: Wikipedia (www.wikipedia.com)
45
Servicios de proteccin de cortafuegos

Los cortafuegos modernos proporcionan un rango de servicios de
proteccin:
Cortafuego con
proteccin de la
capa de aplicacin
Paquete multicapa y anlisis de trfico

Servicios avanzados de inspeccin de protocolo y aplicacin
Controles de la aplicacin de la red
IPS y Defensas
Anti-X
Proteccin en tiempo real contra ataques a nivel de aplicacin y OS

Gusano basado en red y mitigacin de virus
Deteccin y control de spyware, adware, malware
Correlacin de eventos on-box y respuesta proactiva
Control de
Acceso y
Autenticacin
Servicios flexibles de control de acceso basados en red y usuario

Stateful packet inspection
Integracin con fuentes de autenticacin populares que incluyen
Microsoft Active Directory, LDAP, Kerberos, y RSA SecurID
Conectividad
SSL y IPSec
Servicios VPN IPSec y SSL protegidos contra amenazas

Zero-touch, acceso remoto IPSec de actualizacin automtica
Servicios VPN SSL full tunneling client y clientless flexible
VPN site-to-site habilitada por QoS/encaminamiento
Intelligent
Networking
Services
Bajo tiempo de espera

Diversas topologas
Soporte de difusin
mltiple
Virtualizacin de servicios
Segmentacin y particin de redes
Encaminamiento, resiliencia, equilibrio
de carga
46
Mejores Prcticas DMZ

nica ruta hacia la zona de fabricacin
No hay trfico atravesando la DMZ.
No hay protocolos comunes en cada cortafuegos lgico
Establezca las sub-zonas funcionales en la DMZ para

segmentar el acceso a los servicios y datos (ej. zona Socio)
Preprese para desactivar el acceso mediante el
cortafuegos
No hay trfico de control en la DMZ (o fuera de la DMZ)
Limite las conexiones salientes desde la DMZ
Identifique los dominios de frontera de confianza y aplicar la
seguridad para mantener la poltica, probable con un
cortafuegos
47
Resumen Arquitecturas de referencia

Gua de diseo que consiste en metodologa, recomendaciones,
ajustes documentados de configuracin y mejores prcticas
desarrolladas en contraste con arquitecturas probadas y validadas
Fundamento para obtener el xito al utilizar las tecnologas ms nuevas e
innovadoras
Documentados menos prueba y error reduccin de costos en
equipamiento y de tiempo de puesta en marcha mitigacin del riesgo
Infraestructura de red slida y segura que reduce el tiempo de espera y
otorga gran disponibilidad
Acceda a la informacin crtica sobre la produccin para obtener
Indicadores Clave de Rendimiento (KPIs)
Modelo de interruptor multicapa, ms que slo una red para

interruptores de capa 2
La colaboracin entre Fabricacin (Ingeniera/Mantenimiento) y
Empresa (IT) es clave para un diseo exitoso
48

Cisco y Rocwell en Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cisco y Rocwell en Español

Cargado por

Copyright:

Formatos disponibles

Cmo disear las redes

Arquitecturas de referencia para la descripcin general

Convergencia de redes de fabricacin

Convergencia de redes empresariales y de

Lnea de conmutador administrada Stratix 8000 TM Rockwell

Arquitecturas de referencia para

Conexin remota del escritorio

Ajustes documentados para

Zona Desmilitarizada (DMZ)

servidor DNS, DHCP, syslog

Arquitecturas de referencia para

Conexin remota del escritorio

Desempeo en tiempo real

Zona Desmilitarizada (DMZ)

Servidor DNS, DHCP, syslog

Arquitecturas de referencia para

Construido con estndares

Cmo trabaja el modelo OSI

Enlace de datos Ethernet

Enlace de datos Ethernet

Qu es CIP ( Protocolo Industrial Comn)?

Mensajes explcitos de servicios de administracin

Administracin de conexin, encaminamiento

Protocolo Internet (IP)

Open DeviceNet Vendor Association http://www.odva.org

Adaptaciones de red de CIP

Protocolo Industrial Comn (CIP)

Estndar para integrar

Zona Desmilitarizada (DMZ)

Planificacin de negocios y red de logstica

No hay flujo de trfico directo desde la zona de la empresa a la zona de

Descripcin General de la zona celda/rea

Trfico de red de fabricacin

TCP y UDP en transporte

IEEE 802.3 Ethernet

EtherNet/IP especifica cmo los paquetes de comunicacin CIP

Flujos de trfico de la zona celda/rea

Computadora porttil de ingeniera

Los productores generan mensajes

Cisco Cat. 3750

Los paquetes son pequeos: 100

Las difusiones mltiples no son

El resto es control informativo y

Trfico de datos o administrativo no crtico basado en CIP

Clases de aplicacin en tiempo real

.Net, DCOM, TCP/IP

Ethernet estndar + protocolo en

Petrleo y Gas, Qumica,

Automotriz, alimentos y bebidas,

Manejo de materiales, rellenado,

Fuente: Grupo asesor ARC

Las mejores prcticas para conexin en red

Resiliencia Alta disponibilidad

Difusin simple vs. difusin mltiple vs.

Concepto grupo de difusin mltiple IP

Resumen IGMP Snooping

Nmero de dispositivos de control

En un modelo ConsumidorProductor, el trfico crece

Segmentacin de red de plataformas

Fcil de desarrollar, entender y resolver

Promueve patrones deterministas de

Opciones de topologa zona celda/rea

Cisco Catalyst 2955