AI
Dmitry Ponomarev
Значит по 104 мониторинг не блокировать? Т.е. только для управления доп. проверка на МСЭ?
Да. Только на определенные команды постоянно блок, по заявке открывать.
Size: a a a
2018 December 17
MD
ну циско я бы не сказал, мне кажется ASA userunfriendly линейка, по крайней мере в роли NGFW
DP
Да. Только на определенные команды постоянно блок, по заявке открывать.
Мы такое хотели на Tofino реализовать. Одностороннюю передачу по 104
AI
Dmitry Ponomarev
Мы такое хотели на Tofino реализовать. Одностороннюю передачу по 104
Что помешало?
MD
Да. Только на определенные команды постоянно блок, по заявке открывать.
а почему это не сделать на уровне серверов/клиентов 104? зачем перекладывать функционал на сеть?
AI
ну циско я бы не сказал, мне кажется ASA userunfriendly линейка, по крайней мере в роли NGFW
Для этого есть ISA
AI
а почему это не сделать на уровне серверов/клиентов 104? зачем перекладывать функционал на сеть?
Иногда невозможно на подстанции успд стоит и в нем ничего не поменяешь, сейчас многие откидывают с боков реле питание а для переключения продают или просто оператор делает с арм
DP
Что помешало?
Генподрядчик зарезал тему. А так было все почти готово. Даже потестили слегка
AI
Dmitry Ponomarev
Генподрядчик зарезал тему. А так было все почти готово. Даже потестили слегка
Вообще подводные камни в реализации протокола 104 производителями.. (( плюс некоторые железки перестают распознать трафик уже с нестандартными портами..
MD
Для этого есть ISA
Проблема не в конкретной железке, а в подходе cisco. Лично мне нравится ios, но не в роли среды для МСЭ. У тех же Palo Alto и Fortinet отличные GUI, отличные решения для менеджмента большого количества МСЭ и пр. Может я не в курсе и что-то изменилось?
SP
Alexander Kremlev
Имитозащита на уровне протоколов должна быть реализована, не задача это для мсэ. Имхо.
Для 104-го есть такое расширение 60870-5-7
SP
Abstract: IEC/TS 60870-5-7:2013(E) describes messages and data formats for implementing IEC/TS 62351-5 for secure authentication as an extension to IEC 60870-5-101 and IEC 60870-5-104. The purpose of this base standard is to permit the receiver of any IEC 60870-5-101/104 Application Protocol Data Unit (APDU) to verify that the APDU was transmitted by an authorized user and that the APDU was not modified in transit. It provides methods to authenticate not only the device which originated the APDU but also the individual human user if that capability is supported by the rest of the telecontrol system. This specification is also intended to be used, together with the definitions of IEC/TS 62351-3, in conjunction with the IEC 60870-5-104 companion standard.
AI
Да, для всзи именно так
SP
но только имитой там не обошлось насколько я помню )
AI
Но работать приходится с тем, что есть
VK
Наверно SEL и был :)
Да, SEL. Но цену они показывали , что то около 1000 $
VK
Alexey Lukatsky
SDN - это в первую очередь для территориально-распределенных сетей, а STP - для локальных. Как их можно сравнивать? Хотя я помню умельцев, которые региональные сети строили на IPX
SEL как раз рассказывали о применении SDN для коммуникации внутри Цифровой подстанции. На уровне шины процесса. Говорили о POC , в котором использование коммутаторов SDN позволяло реализовывать сети с более низким временем восстановления чем у PRP. Показывали железку.
VK
VK
В CIGRE создана группа, которая изучает возможности использования SDN в Электроэнергетике. SEL активные участники.
AI
Vladimir Karantaev
SEL как раз рассказывали о применении SDN для коммуникации внутри Цифровой подстанции. На уровне шины процесса. Говорили о POC , в котором использование коммутаторов SDN позволяло реализовывать сети с более низким временем восстановления чем у PRP. Показывали железку.
Более низкое время восстановления, чем с PRP быть не может, наверное сравнивали RSTP. В PRP полное дублирование.