Eine zunehmende Automatisierung von industriellen Anlagen führt zu höheren Anforderungen an alle Teile des Netzwerks

Eine zunehmende Automatisierung von industriellen Anlagen führt zu höheren Anforderungen an alle Teile des Netzwerks Helmholz

Ob Ethernet- und Profinet-Switche, Feldbus- und NAT-Gateways oder ein sicherer Online-Fernzugriff: Bei der Realisierung von industriellen Netzwerk-Infrastrukturen zählen optimale und flexible Lösungen mit einer einfachen Handhabung für jede Anwendung. Diese müssen nicht zwingend dem Motto folgen: größer, besser…teuer. Sie können zum Beispiel auch schlicht darin bestehen, Bekanntes besser zu machen, Aufgaben eleganter zu lösen oder Komponenten für den Schaltschrank kleiner zu konstruieren.

Ethernet- und Profinet-Switche

Das leichte und robuste Industriedesign des unmanaged-5-Port-Industrial-Ethernet-Switch ist zur Montage auf der Hutschiene geeignet und lässt sich einfach in ein Netzwerk integrieren.

Das leichte und robuste Industriedesign des unmanaged-5-Port-Industrial-Ethernet-Switch ist zur Montage auf der Hutschiene geeignet und lässt sich einfach in ein Netzwerk integrieren. Helmholz

Beispiel Switche: Über sie läuft der Datenaustausch zwischen Controllern, SPSen und weiteren Netzwerkteilnehmern. Damit gehören sie zu den wichtigsten Netzwerk-Bestandteilen – auch zahlenmäßig. Deshalb wirken sich selbst kleinste Optimierungen bei diesen Komponenten auf das Netzwerk und die Infrastruktur aus. Etwa bei der Bauform, denn der Platz im Schaltschrank ist naturgemäß begrenzt. Hier tun sich beispielsweise die unmanaged Ethernet-Switche von Helmholz hervor – mit nur 49 mm Baubreite in der 5-Port- Version beziehungsweise 65 mm für 8 Ports. Ihr leichtes aber trotzdem robustes Industriedesign ist zur Montage auf der Hutschiene geeignet und lässt sich einfach in das Netzwerk integrieren. Einmal gesteckt, sind sie durch die simple Plug-and-Play-Lösung betriebsbereit. Die werkzeuglose Push-In-Anschlussklemme für die Spannungsversorgung unterstützt dabei die schnelle Installation.

Bei hoher Übertragungslast priorisiert der 8-Port-managed-Profinet-Switch die wichtigen Profinet-Telegramme, um Datenverluste zu verhindern.

Bei hoher Übertragungslast priorisiert der 8-Port-managed-Profinet-Switch die wichtigen Profinet-Telegramme, um Datenverluste zu verhindern. Helmholz

Doch Achtung: Der Einsatz von herkömmlichen Ethernet-Switchen in Verbindung mit Profinet-Netzwerken ist aufgrund der fehlenden Telegramm-Priorisierung und der damit einhergehenden Datenlast in vielen Maschinen-Netzwerken mit Vorsicht zu betrachten. Hier sind managed Profinet-Switche die bessere Alternative, denn zu ihren wichtigsten Funktionen gehört eben diese Priorisierung des Profinet-Telegramm-Verkehrs im Maschinennetzwerk. Dabei unterscheidet der Switch, ob es sich bei dem Telegramm um eine Webanfrage, eine FTP-Dateiübertragung, einen Medienstream oder ein Profinet-Telegramm handelt. Bei hoher Übertragungslast priorisiert der Switch die wichtigen Telegramme, um zu verhindern, dass es zu Telegrammverlusten kommt oder das Profinet-Netzwerk nicht mehr erreichbar ist. Das bedeutet: eine klare und eindeutige Segmentierung zwischen Ethernet und Profinet.

Feldbus- und NAT-Gateways

Kaum seltener als Switche sind Feldbus-Gateways zum Verbinden einzelner Automatisierungsnetzwerke. Unabhängig vom jeweiligen Netzwerk-Bus (Profinet, CANopen, DP) zählt deshalb auch hier eine möglichst kleine Bauform. Profinet-Profinet-Gateways von Helmholz sind zum Beispiel nur rund ein Viertel so groß wie vergleichbare Geräte. Darüber hinaus erfordert ihre Installation, wie auch die der Profinet-Switche, kein zusätzliches Software-Tool.

Wall IE, eine Kombination aus Firewall und NAT Gateway regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf.

Wall IE, eine Kombination aus Firewall und NAT Gateway regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Helmholz

Mit dem Siegeszug der Ethernet-Vernetzung spielt auch die Cybersecurity eine zentrale Rolle. Gerade angesichts wachsender Datenmengen, ist die Trennung beziehungsweise Segmentierung von Netzwerken deshalb dringend zu empfehlen. Dabei geht es im Kern darum, Maschinennetze sicher in das übergeordnete Produktionsnetzwerk zu integrieren. Mit dem robusten NAT Gateway Wall IE bietet das Unternehmen eine auf wesentliche Funktionen konzentrierte und damit entsprechend kostengünstige Lösung, die Bridge- und Firewall-Funktionen verbindet. Konkret schützt die Komponente die Netze, indem sie regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Voraussetzung dafür schafft ein Paketfilter: damit lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken. So ermöglicht die Ethernet-Komponente eine einfache Integration von Maschinennetzen in das übergeordnete Produktionsnetz. Als positiver Effekt verkleinert sie durch die Segmentierung auch Broadcast-Domänen, was die Sicherheit weiter erhöht.

Bridge- und NAT-Modus

Als weitere Besonderheit lässt sich das Gateway als Bridge oder im NAT-Betriebsmodus (Router-Betriebsmodus) einsetzen. Im Router-Modus leitet das Gateway den Datenverkehr zwischen verschiedenen IPv4-Netzwerken weiter. Er ermöglicht die Adressübersetzung mittels NAT und nutzt Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetzwerk. Per NAT können Anwender mehrere gleichartige Automatisierungszellen mit dem gleichen Adressbereich in das Produktionsnetz einbinden. Im diesem Betriebsmodus unterstützt das Gateway zwei NAT-Funktionalitäten: Basic NAT (auch „1:1 NAT“ oder „Static NAT“ genannt) und NAPT (Network Address and Port Translation, auch „1:N NAT“ oder „Masquerading“ genannt).

Im Bridge-Betriebsmodus agiert Wall IE als Layer 2 Switch. Im Gegensatz zu anderen Switches, ist auch in dieser Betriebsart die Paketfilterung möglich. Dadurch schränkt das Gateway den Zugriff zu einzelnen Bereichen des jeweiligen Netzwerks ein, ohne dass Anwender hierfür unterschiedliche Netzwerke verwenden müssen.

Sicherer Online-Fernzugriff

Das IoT-Portal myREX24 visualisiert Anlagenwerte, alarmiert beim Überschreiten von Grenzwerten, protokolliert Betriebsdaten und greift per VPN auf Maschinen und Anlagen zu.

Das IoT-Portal myREX24 visualisiert Anlagenwerte, alarmiert beim Überschreiten von Grenzwerten, protokolliert Betriebsdaten und greift per VPN auf Maschinen und Anlagen zu. Helmholz

Nicht zuletzt ermöglicht das Unternehmen mit den REX-Industrieroutern einen sicheren und einfachen Online-Fernzugriff. Vor allem Maschinenbauer, aber auch Produktionsbetriebe, nutzen diese Router, um auf die Ethernet-Netzwerke ihrer Maschinen und Anlagen zuzugreifen – etwa zur Fernwartung, zur Visualisierung, zum Datensammeln sowie für Diagnose- und Web2Go-(VNC und Remote Desktop) Anwendungen. Die REX-Serie, die mit den Modellreihen REX100 und REX200/250 ein breites anwendungsspezifisches Spektrum abdeckt, bietet dafür Zugriffsmöglichkeiten über Ethernet, 3G, 4G oder Wifi.

Bei allen Modellen erfolgt die Datenübertragung verschlüsselt über einen VPN-Tunnel. Grundlage dafür bildet das sichere Open-VPN-Protokoll. Dabei dient das IoT-Portal myREX24 V2 als Vermittlungszentrale für die VPN-Kommunikation zwischen Bediener und dessen Anlagen. So können beide Seiten den VPN-Tunnel als ausgehende Verbindung aufbauen. Dadurch sind die Firewalls oder auch Beschränkungen von Diensten oder Mobilfunk-Betreibern kein Thema mehr, denn diese betreffen nur den Datenverkehr in das Netzwerk hinein – nicht aber den aus dem Netzwerk heraus. Die ausgehenden Verbindungen bleiben dann kurz in Wartestellung, bis der VPN-Tunnel steht. Dort erfolgt die eigentliche Kommunikation über das IoT-Portal.

SPS IPC Drives 2018: Halle 7, Stand 404