Werbung
SICAM A8000
SICAM AK 3
POK
RY
ER
ETH
LK1
PK1
RS-232
OH2
RS-485
OH3
ETH
LK4
PK4
SD
X4
F1
F2
F3
F4
2.3.4
Substation Zone mit Segmentierung ohne interne Firewall-Regeln
Als Verbesserung zur vorhergehenden Konfiguration kann der Datenverkehr innerhalb der
Substation Zone in unterschiedliche Broadcast Domänen aufgeteilt werden.
Diese Funktionalität kann mit VLANs (virtuelle LANs) oder mittels Layer 3 Geräten (z.B.: Layer 3
Switch) erreicht werden.
Hinweis
Bei Layer 2 Geräten mit VLAN-Funktionalität können die unterschiedlichen VLANs nicht miteinander
kommunizieren, dafür benötigen sie Layer 3 Funktionalität (Routing) oder eine externe Layer 3
Komponente (z.B.: Router oder Firewall).
Somit sieht nicht jedes Gerät den gesamten Datenverkehr innerhalb der Substation Zone, Geräte
mit eingeschränkter Prozessorleistung werden nicht mit Datenverkehr eines anderen Layer 2
Segmentes belastet (z.B.: GOOSE Traffic zwischen Schutzgeräten in der Protection Zone
belastet das Netzwerksegment Automation Zone nicht).
Vorteile:
•
unterschiedliche Broadcast Domänen
SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager
ADMINISTRATOR Security-Handbuch
DC0-114-2.15, Ausgabe 12.2017
Office Zone
Control Center Zone
Router + Firewall
Router + Firewall + VPN
Substation Zone
SICAM 230, SCC
SICAM TM
Typische Anlagenkonfigurationen
WAN
Geräte- oder
Netzwerkbasierte
Firewall-Regeln
SICAM
TOOLBOX II
(optional)
SIPROTEC
SIPROTEC
L2
SWITCH
NTP Server
SICAM BC
29
Quicklinks ausblenden:
Werbung
Kapitel
