Добрый день. Спасибо за Ваш сайт. Многому можно научится.
Коротко о себе. Я работаю инженером/наладчиком по АСУ ТП (программирую PLC, SCADA, HMI и т.п.). С сетевыми «нано технологиями» в лице Active Directory, DHCP, DNS и прочим я пересекаюсь редко. Если вкратце, то для меня настройка локальных сетей -- это получить IP адреса, затем установить их на весь зоопарк устройств, после пропинговать все это добро и на этом все.
Чаще всего встречается схема с тремя серверами (архивный, сервер приложений основной и резервный) и с десятком операторских компьютеров в технологической сети (см. рисунок 1). Технологическая (основная и резервная) и информационная сети всегда разделены посредством файрвола. Технологическая сеть -- это сеть для промышленного оборудования без доступа к сети интернет. Информационная - это сеть для офисных сотрудников, бухгалтерии и т.п. с доступом к сети интернет.
Описание машин (см. рисунок 2).
AS01, AS02 - это физические серверы с серверной частью SCADA и серверами ввода/вывода.
LS01, LS02 - это виртуальные машины с серверами лицензий для SCADA, расположенные на физических серверах AS01 и AS02 соответственно.
DC01, DC02 это виртуальные машины с контроллерами домена, расположенные на физических серверах AS01 и AS02 соответственно.
HS01 (бывает еще и HS02) - это физический сервер с архивом SCADA и одновременно является шлюзом в информационную сеть.
GR01 - это виртуальная машина со средой разработки SCADA и репозиторием проектов.
IT01, IT02 - это физический АРМ с Runtime средой SCADA.
Мои возможности ограничены как опытом работы с сетевым оборудованием, так и проектными решениями, а именно:
На обывательском уровне знаю для чего нужны и как работают Active Directory, DHCP, DNS, NTP.
Убрать или добавить новое оборудование нельзя, т.к. закуплено все строго по проекту. Шаг в лево, шаг в право - расстрел.
Из опыта работы я еще не видел работающего резервирования Ethernet сетей в АСУ ТП, а Заказчики требуют. Хочу это исправить.
Современные SCADA все чаще строго требуют применения Active Directory, т.е. домена, но в своих мануалах про его настройку не говорят ни слова.
Все промышленное оборудование имеет только статические IP-адреса.
Из опыта отдельных VLANнов для АСУТП нету хотя бывают исключения.
Из опыта локальные технологические сети в АСУ ТП состоят только из коммутаторов хотя бывают исключения.
Поэтому и обращаюсь к Вам. Это своего рода крик души. Извините может быть за глупые вопросы, а их много и некоторые не по теме, но все-таки.
1. Как грамотно построить резервирование технологической ethernet сети? Некоторые устройства будут только в основной сети на них можно не обращать внимания.
2. Teaming сетевых портов мне не подходит, т.к. в PLC можно настроить только разные IP. Либо это можно как-то по-другому обыграть? Основное условие это два раздельных сетевых подключения.
3. Будут ли работать на резервируемых ethernet сетях Active Directory, DNS и DHCP? Настроек с одним сетевым портом в интернете хватает. Про настройку с резервированием сетей очень мало, либо я искать не умею. Можете подсказать источники или вкратце обрисовать процесс настройки именно с двумя сетями (основная и резервная)?
4. Можно ли так поступить (чтобы не плодить ВМ), если на серверы AS01, AS02 установить виртуальные машины DC01 и DC02 и развернуть на них контроллер домена, DNS, DHCP основной и резервный соответственно? Не будет ли оно как-то конфликтовать между собой? Повторюсь железом ограничен и сеть должна быть основной и резервной и изолирована от информационной сети.
5. Правильна ли такая последовательность установки DC01 и DC02?
1) Операционные системы Windows Server 2016 и выше.
2) Выставляем статические IP-адреса для DC01 и DC02 по два на каждый (основная и резервная сети).
3) Настройка DC01.
a. Устанавливаем статический IP адрес на DC01.
b. Устанавливаем DNS.
c. Устанавливаем Active Directory и повышаем до контроллера домена.
d. Устанавливаем DHCP и производим его авторизацию. Настраиваем пулы адресов. IP-адреса от x.x.x.1 до x.x.x.9 не занимаем.
4) Настройка DC02.
a. Устанавливаем статический IP адрес на DC02.
b. Устанавливаем DNS.
c. Устанавливаем Active Directory. Подключаемся к существующему домену. Имя домена будет вида wsp.mycompany.by.
d. Устанавливаем DHCP и производим его авторизацию.
5) В сетевых настройках устанавливаем основные DNS крест на крест. На резервные ставим 127.0.01.
6) На DC01 настраиваем DHCP-failover на DC02 с режимом балансировки 80/20.
7) Все промышленное оборудование (PLC, HMI, преобразователи интерфейсов и т.п.) будут иметь статические IP-адреса. Данные адреса будут исключены из раздачи DHCP.
6. На HS01 устанавливаю NTP сервер и всех к нему подключаю. С заделом, что будет возможность синхронизации времени из информационной сети или из специального для данных целей оборудования. Если такой возможности нет, то можно NTP установить на DC01 и DC02 как основной и резервный?
7. Можете объяснить, что за галочка «Register this connections address in DNS («Зарегистрировать это соединение в DNS»)» в сетевых настройках? Когда ее нужно убирать, а когда не нужно?
8. Если у меня нет маршрутизатора в сети, а только коммутаторы, то нужно ли в сетевых настройках указывать шлюз? Если да, то по какому принципу его брать? В другие сети выходить не нужно.
9. Для работы SCADA требуется шлюз для основного сервера брать IP-адрес AS02, а для резервного сервера IP-адрес AS01, но это только для основной сети. Для резервной сети шлюзы уже написать нельзя, т.к. Windows ругается, что шлюз уже есть в основной сети, но при этом дает возможно вписать. Если я напишу по два шлюза (основная и резервные сети) на каждом сервере AS01 и AS02 - это не нарушит работу сетевых компонентов Windows или чего-то другого?
10. Где-то читал, что если изменить сетевой профиль подключения, например из privаte в public, то отключаются все правила (исключения) в брандмауэре Windows. Так ли это?
Даже не ожидал, что такая поэма получится. Буду благодарен любому из ответов и критике. Заранее спасибо.