Адресные пространства позволяют обеспечить работу Kaspersky Industrial CyberSecurity for Networks в тех случаях, когда используются устройства с одинаковыми адресами в разных сегментах сети. В этом разделе приведены примеры использования адресных пространств для следующих вариантов дублирования адресов устройств в разных сегментах сети:
Адресные пространства для варианта дублирования IP-адресов устройств
В этом примере рассматривается предприятие, в состав которого входят 16 технологических площадок с группами ПЛК на этих площадках. На каждой технологической площадке используются одинаковые диапазоны IP-адресов: 10.4.0.0/16, 10.5.0.0/16, 10.8.0.0/16, 10.9.0.0/16. Как следствие, устройства на разных площадках могут иметь одинаковые IP-адреса.
Сегменты технологических площадок полностью изолированы от общей сети предприятия. В каждом сегменте функционируют ПЛК, инженерные и рабочие станции, а также компьютеры, выполняющие функции станций приложений (далее "компьютер Application Station"). Интеграция сегмента с общей сетью предприятия обеспечивается через компьютер Application Station. Этот компьютер имеет выделенный сетевой интерфейс с уникальным IP-адресом общей сети предприятия.
Для работы в такой конфигурации в Kaspersky Industrial CyberSecurity for Networks требуется добавить следующие объекты для каждого сегмента технологической площадки:
Например, для первого сегмента вы можете добавить объекты со следующими именами:
Параметры адресных пространств для каждого сегмента описаны в таблице ниже.
АП для сегментов с одинаковой IP-адресацией
Имя АП |
Источник данных |
Уровни модели OSI |
VLAN ID |
IP-адреса |
|---|---|---|---|---|
Site_1 |
Точки мониторинга: MPoint_1-1 MPoint_1-2 |
Сетевой (L3)
|
Любые или не используются |
10.4.0.0/16 10.5.0.0/16 10.8.0.0/16 10.9.0.0/16 |
Site_2 |
Точки мониторинга: MPoint_2-1 MPoint_2-2 |
Сетевой (L3)
|
Любые или не используются |
10.4.0.0/16 10.5.0.0/16 10.8.0.0/16 10.9.0.0/16 |
Site_3 |
Точки мониторинга: MPoint_3-1 MPoint_3-2 |
Сетевой (L3)
|
Любые или не используются |
10.4.0.0/16 10.5.0.0/16 10.8.0.0/16 10.9.0.0/16 |
... |
|
|
|
|
Site_16 |
Точки мониторинга: MPoint_16-1 MPoint_16-2 |
Сетевой (L3)
|
Любые или не используются |
10.4.0.0/16 10.5.0.0/16 10.8.0.0/16 10.9.0.0/16 |
Адресные пространства для варианта дублирования MAC-адресов устройств
В этом примере рассматривается промышленная сеть, в которой используется технология VLAN. В сети выделены два сегмента технологических площадок, отличающиеся идентификаторами VLAN 3910 и 3915. В сегментах сети есть устройства с принудительно назначенными MAC-адресами (устройства и программное обеспечение для них поддерживают такую возможность). Как следствие, устройства в разных сегментах могут иметь одинаковые MAC-адреса.
Для работы в такой конфигурации в Kaspersky Industrial CyberSecurity for Networks требуется добавить по одному адресному пространству для каждого сегмента. Например, для адресных пространств можно задать имена Site_1 и Site_2. Адресные пространства могут содержать по одному правилу.
Параметры адресных пространств для каждого сегмента описаны в таблице ниже.
АП для сегментов с одинаковой MAC-адресацией
Имя АП |
Источник данных |
Уровни модели OSI |
VLAN ID |
IP-адреса |
|---|---|---|---|---|
Site_1 |
Точки мониторинга: любые |
Канальный (L2)
|
3910 |
Любые |
Site_2 |
Точки мониторинга: любые |
Канальный (L2)
|
3915 |
Любые |
Адресные пространства для варианта дублирования MAC-адресов устройств и с одинаковым диапазоном IP-адресов
В этом примере рассматривается промышленная сеть, в которой используется технология VLAN. В сети выделены два сегмента технологических площадок, отличающиеся идентификаторами VLAN 3910 и 3915. В сегментах сети есть устройства с принудительно назначенными MAC-адресами (устройства и программное обеспечение для них поддерживают такую возможность). При этом для IP-адресов в каждом сегменте используется одинаковый диапазон адресов: 140.80.0.0/16. Как следствие, устройства в разных сегментах могут иметь как одинаковые MAC-адреса, так и одинаковые IP-адреса.
Для работы в такой конфигурации в Kaspersky Industrial CyberSecurity for Networks требуется добавить по одному адресному пространству для каждого сегмента. Например, для адресных пространств можно задать имена Site_1 и Site_2. Адресные пространства могут содержать по одному правилу.
Параметры адресных пространств для каждого сегмента описаны в таблице ниже.
АП для сегментов с одинаковой MAC-адресацией и одинаковым диапазоном IP-адресов
Имя АП |
Источник данных |
Уровни модели OSI |
VLAN ID |
IP-адреса |
|---|---|---|---|---|
Site_1 |
Точки мониторинга: любые |
Канальный и сетевой (L2 и L3)
|
3910 |
140.80.0.0/16 |
Site_2 |
Точки мониторинга: любые |
Канальный и сетевой (L2 и L3)
|
3915 |
140.80.0.0/16 |