Одной из важнейших задач ЛВС АСУ ТП является сохранение целостности и доступности технологической информации и управляющих команд. На сегодняшний день использование в АСУ ТП широкого спектра разнообразных технологических устройств, часто принадлежащих к разным поколениям, не позволяют гарантировать доставку информации посредством реализации на этих устройствах семейства функций безопасности «неотказуемость отправления», включающего в себя функции избирательного и принудительного доказательства отправления, избирательного и принудительного доказательства получения.В связи с этим,обеспечение гарантированной доставки информации организуется путём резервирования и дублирования каналов связи.
Резервирование сетей
Для обеспечения надёжности передачи данных в технологической сети передачи данных и снижения времени восстановления связи после сбоя необходимо применять кольцевую топологию сети с использованием RSTP и MRP Протокол подразумевает объединение в кольцо группы коммутаторов, один из которых берёт на себя роль ведущего (MRM –Media Redundancy Manager). Ведущий коммутатор осуществляет контроль целостности кольца.
Для передачи наиболее критически важных и чувствительных данных в шине станциии шине процесса, таких как управляющие воздействия и данные измерений от технологического оборудования, необходимо применять протокол «параллельного резервирования» PRP. В пределах каждой сети (PRP сеть А и PRP сеть Б) для коммуникационного оборудования должен использоваться протокол RSTP или иной проприетарный (фирменный) протокол резервирования, созданный на основе семейства протоколов STP, с временем конвергенции (реконфигурации) информационной сети не хуже RSTP.
У каждого производителя есть свою специфика наладки данных протоков подробнее читайте в документацию на конкретное оборудование.
При использовании RSTP и VLAN одновременно необходимо учитывать следующие моменты:
- протокол RSTP не основан на сетях VLAN. Стандартные пакеты RSTP пересылаются между сетями VLAN. Доя изоляции действия RSTP в пределах одной или нескольких сетей VLAN необходимо использовать MST
- Протокол RSTP создает бескольцевую топологию в форме древесной структуры.
При статической конфигурации VLAN в конфигурации должны учитываться все возможные резервированные каналы данных. Все возможные магистральные порты сети (не включая порты оконечных устройств) должны быть введены в доступные сети VLANs в качестве "маркированных" членов. Таким образом обеспечивается возможность создания протоколом RSTP любой возможной древесной структуры, а каждый коммутатор может иметь доступ к каждой сети VLAN.
Vlan
В соответствие с СТО 56947007- 29.240.10.302-2020 Типовые технические требования к организации и производительности технологических ЛВС в АСУ ТП ПС ЕНЭС
ЛВС АСУ ТП ПС, в общем случае, выделяют четыре шины:
- шина процесса –должна быть отделена физически от шины станции;
- шина станции –обеспечивает связь между вторичными устройствами на уровне присоединений
- шина управления –обеспечивает связь между собой АРМ ОП, АРМ РЗА/АСУ, серверов АСУ ТП
- ДМЗ отделена от шины управления и от шины станции при помощи МЭ
В ряде случаев оборудование из разных шин подключается к одному и то муже сетевому оборудованию, для разделение шин между собой внутри одного сетевого оборудования используется технология vlan
VLAN представляет собой закрытую сеть, которая отделена от других сетей логически/функционально, а не физически. VLAN создает собственный широковещательный и многоадресных домен, который задается пользователем в соответствии с указанными логическими критериями. Сети VLAN используются для отделения физической и логической структуры сети.–Пакеты данных отправляются только в соответствующей сети VLAN
.–Члены VLAN могут быть распределены на большой площади.Сокращенное распространение широковещательного и многоадресного трафика увеличивает доступный частотный диапазон в сегменте сети. Помимо того, строгое разделение трафика данных увеличивает безопасность системы.Сети VLAN работают забирая трафик от нормальных промышленных устройств, устройств ввода/вывода, ПЛК и т.д. и назначая трафику идентификационный номер сети VLAN. Коммутаторы используют идентификаторы VLAN для определения того, какие устройства могут общаться друг с другом. Только устройства в одной сети VLAN могут связываться друг с другом. Идентификатор VLAN также называется Tag(метка). Если функции VLAN отключены, считается, что коммутатор находится в прозрачном режиме –трафик проходит через коммутатор без изменения или фильтрации. Каждая сеть VLAN содержит весь трафик от ее устройств, аналогично тому, как это происходило бы в отдельной кабельной сети. Устройства в одной сети VLAN могут распределяться между различным коммутаторами. Информация о конфигурации для новой сети VLAN вводится вручную для этого коммутатора в первый раз. Существует два подхода, в которых идентификаторы VLAN могут добавляться к пакету Ethernet и контролироваться в рамках сети: “сети VLAN на базе портов” и “маркировка”
Сети VLAN на базе портов:
Подход к сетям VLAN на базе портов оптимизируется для управления передачей трафика между устройствами, подключенными к одному коммутатору или небольшой группе коммутаторов. Каждому порту на коммутаторе назначается один или несколько идентификаторов VLAN. Это означает, что всему трафику, поступающему в этот порт, назначаются идентификаторы VLAN и этот трафик может принадлежать одной или нескольким сетям VLAN. Этот подход также используется при соединении с традиционными коммутаторами, которые не поддерживают более новый стандарт "Маркировки" IEEE 802.1Q. Настройки для любого единичного порта могут быть легко выполнены, но, поскольку требуется большее количество, общая настройка конфигурации системы может быть затруднена. Магистрали VLAN также содержат всю информацию VLAN –отсутствует возможность ограничения определенной информации VLAN в основных магистральных линиях.
Сети VLAN на базе тегов:
Сети VLAN на базе тегов основаны на стандарте IEEE 802.1Q. При этом методе некоторые порты определяются как граничные, подключенные к устройствам, а некоторые порты определяются как магистральные для основных магистральных соединений. Для граничных портов любому единичному устройству назначается только один идентификатор VLAN. При этом, если соединяется большое количество коммутаторов, может использоваться опция GVRP, при которой коммутаторы автоматически усваивают настройки VLAN друг в друге (для интерфейса между коммутаторами ручной ввод не требуется). Также имеются дополнительные функции фильтрации, направленные на безопасность, для контроля которых на основных магистральных линиях допускается трафик VLAN. По сравнению с сетями VLAN на базе портов существуют дополнительные опции контроля трафика, но для сетей VLAN на базе маркировки требуются дополнительные параметры настройки.
Выбор типа использование Vlan зависит от оборудования на объекте.
Подробности по настройки Vlan необходимо смотреть в технической документации на соответствующие оборудование.
Рекомендации по сегментированию сети и IP-адресации
IP адресация оборудования либо описанна в проекте, либо с эксплуатацией согласовывается диапазон адресов, сами адреса устройств определяются наладчиком.
Во втором случае рекомендуется АРМ и сервера вывести в отдельную подсеть, а шины разбить на vlan.
По практике использования на объекте исполируется несколько vlan
2 Vlan для шини процесса сети prp A и B
Количество Vlan для шины станции и управление зависит от наличия оборудования типа redbox может достигать 4 штук.
Cтыковка сети объекта с внешними сетями РДУ, ЦУС, МЭС
Для связи с внешними сетями используют коммуникационные контроллеры которые собирают всебя всю необходимую информацию для выдачи на верхний уровень, и отправляют её через отдельные сетевые интерфейсы не связные с сетью объекта.
Настройка SNMP