シスコ産業用スイッチ教科書

シスコ産業用スイッチの教科書 ー製造業編ー エンタープライズ ネットワーク事業 若澤 一善

本資料の目的 この資料は、シスコシステムズおよびパートナー各社の営業の皆さま向けに、IoT/ スマート ファクトリを実現するために必要となるネットワークの姿、および IE ス イッチ提案のポイントを、教科書スタイルでまとめたものです。 工場向けにスイッチを提案するための一通りの情報が詰め込まれています。ぜひ、 みなさんの提案活動の予備知識習得のためにご活用ください。 2 2

目次 目次 ページ 第 1 章 IE スイッチの利用シーン 5 IE スイッチ利用シーン 6 01 産業用イーサネットを集約 8 02 工場セキュリティ 15 03 ネットワーク全体監視管理 ＆ SDN 化 20 04 エッジ コンピューティングを利用 26 05 耐環境性能/工業認証が必要 29 第 2 章 製品情報 33 IE スイッチ ポートフォリオ 34 Catalyst スイッチとの比較情報 42 他社産業用スイッチとの比較情報 43 第 3 章 OA と OT を集約した工場ネットワーク全体像 45 ＊ご参考：産業用イーサネット ケーブルについて 52 3

4

第 1 章 IE スイッチの利用シーン 5

第 1 章 IE スイッチの利用シーン IE スイッチの利用シーン 1（Catalyst との比較） IE スイッチが必要なケース Catalyst スイッチで対応できるケース • 産業用イーサネットを集約 • ポート密度が必要な場合（シャー （EtherNet/IP、PROFINET、CC- シあたり 24 ポート以上） Link IE と IoT データ ネットワー クを集約） • 産業用イーサネットを利用しない、 通常のイーサネット環境 • エッジ コンピューティングを利 用 • 物理スタックを利用する場合 • 耐環境性能、工業認証が必要（電 力、輸送、 製造など） • ディン レール マウントを利用 • 12/24 V DC を利用 IE スイッチの利用シーン 2（アンマネージド ハブ との比較） IE スイッチが必要なケース アンマネージド ハブでの導入事例 • 産業用イーサネットを集約 • 複雑な配線と HUB 管理 （EtherNet/IP、PROFINET、CC- EtherNet/IP、Profinet、CC- Link IE と IoT データ ネットワーク Link IE と IoT データ ネットワー を集約） ク、別々のネットワーク ハブに よる設計 • 工場セキュリティ PC 認証、ポート状態監視、抜線監 • 工場セキュリティ 視 誰でも触れるハブは PC 抜き差 し自由 • ネットワーク全体監視管理 & SDN PC 監視ツールによる • ネットワーク全体監視管理不可 ネットワーク全体一元状態監視 気づかないネットワーク障害と ネットワーク機器遠隔自動設定 障害時間に要する労力 • 簡単なリモート操作と機器交換 • 人に依存するハブ設定 機器 ＋ SD カード交換による容易な 放置された管理外ネットワーク 復旧作業 の乱立 障害とセキュリティ リスク高 6 6

第 1 章 IE スイッチの利用シーン IE スイッチの利用シーンまとめ ① 産業用イーサネットを集約 ② 工場セキュリティ ③ ネットワーク全体監視管理 ＆ 工場ネットワークの SDN 化 ④ エッジ コンピューティングを利用 ⑤ 耐環境性能、工業認証が必要（電力、輸送、 製造など） ⑥ 簡単なリモート操作と機器交換 7

第 1 章 IE スイッチの利用シーン 01 産業用イーサネットを集約 工場ネットワークを知る Step 1：工場ネットワークの三階層 IoT データ ネットワーク（標準イーサネット） ERP や AI ツールなど 生産工程を管理する製造実行シス テム（MES）や ERP などを収容 情報系ネットワーク する情報系ネットワーク。標準L3 スイッチ イーサネットが利用される 製造実行システム L2 スイッチ （MES） ハブ OPC サーバ、ロガー 操作パネル SCADA など ハブ （HMI） プログラマブル コントローラ （PLC）やロボット コントローラ 制御ネットワーク （RC）と製造装置、ロボット間の 製造装置 産業用イーサネット 信号が行われるネットワーク。リ 製造装置 アルタイム通信が求めらる プログラマブル コントローラ PLC と I/O 機器、測定機器を接続 リモート IO （PLC） リモート IO するネットワーク。マイクロ秒単モーション制御 ネットワーク 位での応答時間が求められ、遅延保証できる通信プロトコルが利用 センサー センサー される 産業用イーサネットは制御ネットワーク、モーション制御ネットワークで利用されています 用語解説 用語 説明 製造工程をコントローラ間、コントローラと製造装置間で共有するためのネットワーク。リアル 制御ネットワーク タイム通信が求められるため、制御ネットワーク用に最適化された産業用イーサネットが利用される。機器メーカーごとに産業用イーサネットの規格が異なるため、通常はセル、ライン単位で 独立したネットワークとなる PLC と I/O 機器、測定機器が接続されるネットワーク。「フィールド バス」と呼ばれるシリア モーション制御ネットワーク ル回線で従来は構成されていたが、近年は産業用イーサネットへの移行が急速に進んでいる。生産ラインの動作に直結する非常に重要なネットワーク（数分の停止で億単位の損失）。このエリ アには遅延保証型通信に適合した専用の通信プロトコルが利用される。 セル エリア ゾーン セル、ラインなどの組み立て工程ごとに存在するネットワーク。通常は単一メーカーの製造装置、システムが利用されている。この中に制御ネットワークとモーション制御ネットワークが存在する マニュファクチャリング ゾーン 複数のセル、ラインが集まった工場全体のネットワーク プログラマブル コントローラ（PLC） 製造装置をコントロールする装置。最新の機種は産業用イーサネット、標準イーサネットなど、複数の通信インターフェイスを実装 統括 PLC MES からの処理を受けて実行する PLC。産業用イーサネットと標準イーサネットの複数の通信インターフェイスを実装し、産業用イーサネットと標準イーサネットのコンバータ的役割を担う ロガー PLC からのログを集約する装置。OT/OA ネットワークのコンバータ的な役割を担う場合もある ロボット コントローラ（RC） PLC のロボット版。ロボットを制御するためのコントローラ オペレーション パネル（HMI） 生産装置管理用のモニター。生産工程/生産状況を現場の運用管理者が確認する 製造実行システム（MES: メス） 生産状況を分析して生産工程を作成し、生産現場へ指示を出す。不良率管理なども行う 監視制御システム（SCADA: スキャダ） 製造装置やその他インフラ設備の稼動状況を監視するシステム 企業資源計画（ERP） 生産計画を含めて、人、モノ、お金を全社規模で統合管理するためのツール 8 8 産業用イーサネット 標準イーサネット

第 1 章 IE スイッチの利用シーン 工場ネットワークを知る Step 2：産業用イーサネットとは？ • 生産設備間通信用に低遅延/高速通信を目的に作られた通信プロトコル • 利用するエリアごとに専用のプロトコルが規定（下表参照） • 仕様は標準化され、業界団体によって公開 利用エリア EtherNet/IP PROFINET Modbus TCP CC-Link IE IEスイッチ対応* ○ 制御ネットワーク ○ ○ ○ CC-Link IE Control*（リアルタイム通信） EtherNet/IP CIP PROFINRT IO CC-Link IE Field ○ CC-Link IE Field Basic モーション制御ネットワーク （マイクロ秒単位の遅延保 ✖ ○ ○ 証） PROFINRT IRT ✖ CC-Link IE Field Motion ✖ *CC-Link IE Control にはスイッチを利用しません IE スイッチ産業用プロトコル サポート マトリックス 産業用イーサネット プロトコル IE1000 IE2000 IE3000 IE4000 IE 4010 IE5000 EtherNet/IP CIP ○ ○ ○ ○ ○ ○ PROFINET IO ○* ○ ○ ○ ○ ○ Field × × × ○** ○** ○** CCLink IE Field Basic N/A N/A N/A N/A N/A N/A Modbus TCP Modbus TCP ○ ○ ○ ○ ○ ○ FL-net UDP/IP N/A N/A N/A N/A N/A N/A ○：試験済または認定を取得している (* マネージメント ノードとしては非サポート、** 1GE ポート モデルのみサポート） N/A：汎用イーサネット スイッチを通しての通信が認められている ×：使用できません ご参考：産業用イーサネット別の主な利用メーカー 産業用イーサネット名 主な利用メーカー EtherNet/IP Rockwell Automation（米）、オムロン（日）、キーエンス（日） PROFINET シーメンス（独）、 安川シーメンス（日） Modbus TCP 三菱電機（日）、オムロン（日）、キーエンス（日）、横河電機（日） CC-Link IE 三菱電機（日） FL-net 三菱電機、オムロン、富士電機（日）、ジェイテクト（日） 9

第 1 章 IE スイッチの利用シーン 工場ネットワークを知る Step 3：遅延保証 制御ネットワークとモーション制御ネットワークには「遅延保証」の有無という違いがあります HMI 制御ネットワーク 遅延保証しない 十ミリ秒単位の応答速度 PROFINET 製造装置 製造装置 PLC PLC リモート IO PROFINET IRT モーション制御 遅延保証する リモート IO ネットワーク マイクロ秒単位の応答速度 センサー センサー PROFINET の階層構造 *日本プロフィバス協会WEBサイト参照 PROFINET アプリケーション ①オープン TCP/IP チャネルIT • デバイス パラメータ設定 アプリケーション ①標準データ リアルタイム データ • 接続先ローディング ②リアルタイム チャネル RT 同一産業用イーサネット TCP/UDP • 高性能データ通信 （この例では PROFINET） • 周期データ でも。パフォーマンス レベルにIP • イベント コントロール信号 応じて複数の種類が存在します ①RT ②IRT ③リアルタイム チャネル RTイーサネット • 高性能データ通信 リアルタイム • ジッタ（ゆらぎ）１ マイクロ秒以下 工場ネットワークを知る Step 4：IE スイッチの適用範囲 IE スイッチは生産設備を接続する「制御ネットワーク」に最適です （現状ではアンマネージド ハブ が多数使われています） HMI 遅延保証しない 制御ネットワーク 十ミリ秒単位の応答速度 PROFINET 製造装置 製造装置 PLC PLC PROFINET IRT 遅延保証する リモート IO リモート IO モーション制御 ネットワーク マイクロ秒単位の応答速度 センサー センサー IE スイッチは遅延保証が求められる「モーション制御ネットワーク」には適用できません* * IE4000 のみ Time Sensitive Network に対応します 10 10 遅延保証する 遅延保証しない 遅延保証する 遅延保証しない

第 1 章 IE スイッチの利用シーン 工場ネットワークを知る Step 5：工場内の 4 つのゾーン IoT データ ネットワーク（標準イーサネット） エンタープライズ ゾーン DC や事務棟 LAN ERP や AI ツールなど DMZ DC や事務棟 LAN と工場ネットワークの境界 L3 スイッチ 製造実行システム L2 スイッチ （MES） ハブ 複数のセル/エリア ゾーンを OPC サーバ、ロガー 操作パネル（HMI） セル/エリアハブ 含めた全工場ネットワークSCADA など ゾーン 製造ゾーン 産業用イーサネット セル、ライン単位のネットワーク製造装置 製造装置 いわゆる OT ネットワーク プログラマブル コントローラ リモート IO （PLC） リモート IO センサー センサー 工場ネットワーク全体像 ケース 1: PROFINET を活用している構成例 IoT データ ネットワーク（標準イーサネット） エンタープライズ・ゾーン ERP や AI ツールなど （DCなど） DMZ L3 スイッチ 製造ゾーン 複数のセル/エリア ゾーンを集約 MES （一つの工場・事業所） L2 スイッチ ハブ セル/エリア ゾーン （いわゆる OT ネットワーク） OPC サーバ、ロガー 制御ネットワーク SCADA など 産業用イーサネット HMI PROFINET ハブ PROFINET 製造装置 PLC PLC 製造装置 リモート IO モーション制御ネットワーク リモート IO産業用イーサネット センサー （PROFINET IRT） センサー 標準イーサネットと産業用イーサネットはそれぞれ独立しているのが一般的 11

第 1 章 IE スイッチの利用シーン 工場ネットワーク全体像 ケース 2: CC-Link IE を活用している構成例 IoT データ ネットワーク（標準イーサネット） エンタープライズ ゾーン DC など ERP や AI ツールなど DMZ L3 スイッチ 製造ゾーン 複数のセル/エリア ゾーンを集約 （1 つの工場、事業所） L2 スイッチ セル/エリア ゾーン MES （いわゆる OT ネットワーク） マスタ PLC 制御ネットワーク（ コントローラ間ネットワーク） 産業用イーサネット OPC サーバ、ロガー SCADA など HMI PLC PLC PLC 制御ネットワーク 制御ネットワーク 制御ネットワーク （モーション制御） （I/O 制御） （安全 I/O） 同期 サーボ ロボット インバータ マスタ PLC で産業用イーサネットと標準イーサネットを変換し、OT と OA を相互接続 IE スイッチは産業用イーサネットの端末として管理可能  IE スイッチなら産業用イーサネットの管理機能を利用して、他の生産設備と一緒に専用管理ツールで一元管理 産業用イーサネット EtherNet/IP 対応機器 専用管理ツール 一元管理 さまざまな生産設備と IE スイッチ 産業用 イーサネット名 管理可能な IE スイッチ EtherNet/IP IE1000, IE2000 (IE2000U 非対応)、IE4000、IE5000 PROFINET IE2000 (IE2000U 非対応)、IE3000、IE4000、IE5000 Modbus TCP IE2000U (IE2000 非対応)、IE3000、IE4000、IE5000 CC-Link IE IE4000 FL-net 対応機種なし 12 12

第 1 章 IE スイッチの利用シーン 産業用イーサネットはどこで使われているのか？ 工場ネットワークの課題 産業用イーサネットは 制御ネットワーク、モーション制御ネットワーク で利用されています ＜提案のポイント＞ 標準イーサネットと産業用イーサネット、さらに、異なる規格の ＜課題＞ 産業用イーサネットは、生産設備間のリアルタイム通信に影響を 与えないように物理的にそれぞれ独立しています • ネットワークの複雑化 • リアル タイムに情報が取れない ネットワークを統合できないため、ネットワーク系統（OA、各 セル）ごとにハブを利用して台数、ケーブルが増え、複雑で管理 • ハブ利用によるセキュリティ懸念 の難しい状況に陥っています。また、ハブによる不正接続や不正 アクセスのリスクも存在します ＊ただし、モーション制御ネットワークに IE スイッチは提案できません 工場ネットワークのシンプル化：OA と OT ネットワークの集約 Before After セル/エリア ゾーン セル/エリア ゾーン IoT データ ネットワークと IoT データ ネットワーク（標準イーサネット） 制御ネットワークを集約 OPC サーバ、ロガー ハブ OPC サーバ、ロガー IE スイッチSCADA など SCADA など 製造装置 制御ネットワーク 制御ネットワーク 製造装置 モーション制御ネットワーク モーション制御ネットワーク リモート IO リモート IO リモート IO リモート IO センサー センサー センサー センサー QoS と VLAN を活用し、 IE スイッチで産業用イーサネットと 標準イーサネットを集約 13

第 1 章 IE スイッチの利用シーン ネットワークのシンプル化：アドレス変換（NAT） NAT 非対応スイッチを利用する場合 NAT 対応スイッチを利用する場合 セル/エリア ゾーン セル / エリア ゾーン アドレス変換 アドレス重複 （NAT) MES 通信不可！ MES 製造装置 製造装置 製造装置 製造装置 PLC PLC PLC PLC HMI HMI リモート IO リモート IO リモート IO リモート IO センサー センサー センサー センサー 192.168.1.0/255.255.255.0 192.168.1.0/255.255.255.0 192.168.1.0/255.255.255.0 192.168.1.0/255.255.255.0 異なるセル/エリア ゾーンで同一の IP アドレスを利用 同一の IP アドレスを利用 相互接続にはアドレスの振り直しが必要 アドレスの振り直し不要で相互接続可能 IE スイッチの NAT を利用すれば、既存ネットワークをそのままに 複数のセル/エリア ゾーンを相互接続できます * EtherNet/IP などペイロードに IP アドレス情報を有するプロトコルには利用できません。 集約された工場ネットワーク全体構成例 IoT データ ネットワーク（標準イーサネット） エンタープライズ ゾーン ＜課題＞ DC など ERP や AI ツールなど • ネットワークの複雑化 • リアルタイムに情報が取れない DMZ L3 コアスイッチ IE5000 製造ゾーン（1 つの工場、事業所） 製造実行システム （MES） セル / エリア ゾーン  シスコ産業用スイッ （いわゆる OT ネットワーク） チで標準イーサネッ ト、産業用イーサ 制御ネットワーク 制御ネットワーク 集約されたネットワーク IE4000 OPC サーバ、ロガーIE3集0約00されたネットワーク ネットを集約 SCADA など OPC サーバ、ロガー SCADAなど 製造装置  複数のセル/エリア RC RC PLC PLC ゾーンを相互接続し、 モーション制御ネットワーク モーション制御ネットワーク （DeviceNet など） (PROFINRT IRT など) 生産設備から MES に リモート IO リモート IO リアルタイムにデー ロボット ロボット タ送信 センサー センサー 14 14

第 1 章 IE スイッチの利用シーン 02 工場セキュリティ IE スイッチで実装するセキュリティ 産業用ネットワークで考えられる脅威 感染拡大 情報漏洩 不正操作 不正接続 隣同士の機器が通信し 勝手に接続して 接続している装置を 非正規の端末を接続 感染拡大 情報を収集 抜く VLAN/ACL Port Shutdown Link Down MAC Auth 論理的 ポートの ケーブル 機器の 隔離 無効化 抜脱検知 認証 同一ネットワークでも 使用しない 機器へ直接 正しい機器が 隣同士での通信を防ぐ ポートの無効化 不正端末を接続 接続されているか判別 シスコ産業用スイッチでの不正対策 IE スイッチのセキュリティ対応 パトライト 機器の認証 パトライトへ異常を通知 (SNMP) 正しい機器が接続されて いるか判別し、正しくな 制御装置 い場合は通信を遮断 スイッチ ポートの無効化 論理的分離 ケーブル抜脱検知 ポートを無効化するこ 同じネットワークでも、隣同 ケーブルを抜いた時点でア とで、不正接続による 士は通信ができないため、 ラートを出し、スイッチや 感染や盗聴を防ぐ ウィルス感染対策に効果的 機器への不正な接続を通知 15

第 1 章 IE スイッチの利用シーン IE スイッチによるセキュリティ強化 Before After 未許可 AP 未許可 PC セキュリティのない WiFi ウイルス/マルウェア感染 未許可 AP 未許可 PC 未許可端末が自由に接続 未許可端末の接続をブロック ハブを IE スイッチに変更するだけでセキュリティが大幅に向上 IE スイッチによるセキュリティ強化 Before After セル/エリア ゾーン スイッチが脅威を セル/エリア ゾーン セル/エリア ゾーン 検知するセンサーに！ IoT データ ネットワーク（標準イーサネット） OPC サーバ、ロガー OPC サーバ、ロガー SCADA など ハブ SCADA など 製造装置 集約されたイーサネット 制御ネットワーク 製造装置 制御ネットワーク産業用イーサネット モーション制御ネットワーク モーション制御ネットワーク リモート IO リモート IO リモート IO リモート IO センサー センサー センサー センサー 古い OS の生産設備には IE スイッチがネットワーク内の脅威を アンチウイルス ソフトが入らない 見つけるセンサーとして動作 管理端末がやられて生産停止 感染拡大の前に脅威を除去 16 16

第 1 章 IE スイッチの利用シーン Cisco Stealthwatch が脅威を分析 脅威の発生状況 産業機器の情報 オースチン工場の HMI で （場所、機種、通信プロトコル） ポリシー違反が過去一週間に 71 回発生 IE スイッチが脅威の疑いのあるトラッフィクの「ふるまい」を Stealthwatch に連携 Stealthwatch s トラッフィク ふるまい情報 トラッフィクのふるまいを分析し 11 種類の代表的な脅威に分類 Cisco Stealthwatch をリーズナブルに提供 IE4000 本体 Cisco ONE Foundation $ 1100 （無期限ライセンス） 型番：C1F1PIE40001K9 含まれるもの • Full (Flexible) Netflow • Stealthwatch (Management Console、Flow Collector、Flow License) • Prime Infrastructure • Identity Services Engine 本体プラス $ 1100 で Stealthwatch が利用できます 17

第 1 章 IE スイッチの利用シーン スイッチでのセキュリティ＋α 産業用次世代ファイアウォール シンプルな日本語管理画面 Cisco ISA 3000  セルから他のセルへの感染拡大防止  工場内ネットワークでの境界防御 セル/エリア ゾーン （いわゆる OT ネットワーク） EtherNet/IP 制御ネットワーク IE4000 制御ネットワーク OPC サーバ、ロガー 集約されたネットワーク IE3000集約されたネットワーク SCADA など OPC サーバ、ロガー SCADA など 製造装置 RC RC PLC PLC モーション制御ネットワーク モーション制御ネットワーク （DeviceNet など） (PROFINRT IRTなど) リモート IO リモート IO ロボット ロボット センサー センサー 集約された工場ネットワーク＋セキュリティ エンタープライズ ゾーン ＜課題＞ ERP や AI ツールなど DC など • ネットワークの複雑化 • リアルタイムに情報が取れない DMZ • ハブ利用によるセキュリティ懸念 L3 コア スイッチ 製造ゾーン IE5000 （1 つの工場・事業所） 製造実行システム （MES） Stealthwatch セル / エリア ゾーン  シスコ産業用スイッチで ISA3000 ISA3000 標準イーサネット、産業 用イーサネットを統合 制御ネットワーク IE400制0御ネットワーク集約されたネットワーク OPC サーバ、ロガーIE3集0約00されたネットワーク SCADA など  ハブを排除してセキュリ OPC サーバ、ロガー ティを確保 SCADA など 製造装置 RC RC PLC PLC  複数のセル/エリア ゾー モーション制御ネットワーク モーション制御ネットワーク （DeviceNet など） (PROFINRT IRTなど) ンを相互接続し、生産設 リモートIO リモートIO 備から MES にリアルタ ロボット ロボット イムにデータ送信 センサー センサー 18 18

第 1 章 IE スイッチの利用シーン CC-Link IE Field 構成例（シスコと三菱電機様による共同検証構成） デザイン ガイドとして 以下を発行 Integrating CC-Link IE IACS into the Connected Factory Architecture https://www.cisco.com/c/en/us/td/d ocs/solutions/Verticals/MELCO/CC- Link_Connected_Factory/CC- Link_Connected_Factory.html 19

第 1 章 IE スイッチの利用シーン 03 ネットワーク全体監視管理 & SDN 化 製造現場のネットワークのよくある課題 ロボット ロボットコントローラ ハブ 配線が複雑で把握できない 管理サーバ IP アドレスの重複が発生する ロボット ロボットコントローラ ハブ ケーブル抜け落ちを検知できない ロボット ロボットコントローラ 障害発生箇所特定困難 ハブ WiFi アンテナPLC カメラ キーとなるのは管理ツールの簡易性 ① 誰でも管理できる ② 産業機器の接続も見られる ③ 障害箇所が一目でわかる 産業ネットワーク専用可視化管理ツール Cisco Industrial Network Director IND 20 20