Der Übergang zwischen Produktions- und Büronetz ist ein kritischer Teil der Infrastruktur, der klar strukturiert und durchdacht sein sollte.

Der Übergang zwischen Produktions- und Büronetz ist ein kritischer Teil der Infrastruktur, der klar strukturiert und durchdacht sein sollte.Siemens

Große Unternehmensnetze bestehen häufig aus Funktionsblöcken (Building Blocks), die durch einen zentralen, redundanten Backbone miteinander verbunden sind. Diese Blockbildung verhindert weitgehend, dass sich die verschiedenen Netzwerke gegenseitig beeinflussen. Teilweise wird dies alleine durch das Trennen der logischen IP-Netzwerke und deren Broadcast-Domains mittels IP-Routing erreicht, bei Bedarf auch durch den zusätzlichen Einsatz von Firewall-Funktionen oder auch dem logischen Trennen durch separate physikalische Strukturen. Die erreichte Unabhängigkeit durch die Trennung der Blöcke kann gleichzeitig auch eine organisatorische oder administrative Grenze bilden. Die Verkabelungs-Infrastruktur spiegelt in der Regel den hierarchischen Aufbau des Netzwerks wider, der auch innerhalb der Blöcke fortgesetzt werden kann und somit für die Skalierbarkeit des Designs durch Core-, Distribution- und Edge-Bereiche sorgt. Der Core-Bereich ist das Zentrum des Netzwerkes, der Distributions-Bereich ist der Bereich, in dem Daten verteilt werden, und der Edge-Bereich ist der Bereich am Rande des Netzwerks, eventuell mit Schnittstellen nach außen.

Typisches LAN-Design mit redundantem Core und separierten Funktionsblöcken. Das Produktionsnetz erweitert dieses Designprinzip.

Typisches LAN-Design mit redundantem Core und separierten Funktionsblöcken. Das Produktionsnetz erweitert dieses Designprinzip.Siemens

Der Core als zentrale Schaltstelle des Netzwerkes muss in hohem Maße verfügbar, performant und skalierbar sein. Das wird dadurch erreicht, dass er ausschließlich geroutete Verbindungen zu den Backbone-Komponenten der angeschlossenen Blöcke unterhält. Er hat also eine – netzlogistisch gesehen – einfache Aufgabe: er routet IP-Pakete mit hoher Geschwindigkeit. Alle Verbindungen vom Core zu einem angeschlossenen Block und dessen IP-Netz lassen sich parallel nutzen, da von jedem Core-Router jeweils zwei gleichwertige Wege zu beiden Backbone-Komponenten dieses Blocks existieren.

Jeder Block erfüllt innerhalb seiner Grenzen spezifische Funktionen, die netztechnisch keinen Einfluss auf andere Blöcke haben dürfen. So ist zum Beispiel ein Client-Anschlussblock in erster Linie darauf ausgelegt, standardisierte Anschluss-Ports und ein Wlan für die Endgeräte der Bürobenutzer zur Verfügung zu stellen. Im Data-Center-Block befinden sich Applikationen und Services in einer hochverfügbaren Umgebung inklusive der benötigten zentralen Datenspeicher. Wohingegen im Übergangsbereich zum Internet maximale Sicherheit gefragt ist und alle relevanten Services, die Erreichbarkeit aus dem Internet erfordern, in einer sogenannte Demilitarized Zone (DMZ) geschützt werden.

Die Produktion bestimmt das Netz

Das Produktionsnetz bildet einen weiteren Block in der Gesamtstruktur. Innerhalb dieses Blockes begegnen uns Konzepte wie Industrial Ethernet, Ring-Strukturen und Ring-Redundanz. Diese resultieren aus den Gegebenheiten und Anordnung der Produktionsmaschinen. Eine feste, strukturierte Verkabelung – redundant ausgelegt als Doppelstern – ist hier aus Kostensicht ineffizient. Durch das Aneinanderketten der Automatisierungssysteme als Netzteilnehmer entstehen Ringstrukturen. Um innerhalb dieser Ringstrukturen wiederum die erforderlichen deterministischen Umschaltzeiten im Bereich von einigen wenigen bis hundert Millisekunden erreichen zu können, wurden Mechanismen wie Media Redundancy Protocol (MRP) nach IEC 62439-2 entwickelt, die in der Bürowelt dagegen unbekannt sind. Denn das Einhalten von Umschaltzeiten im Redundanzfall spielt eine entscheidende Rolle für die Datenein- und  ausgabe der zyklisch ablaufenden Bearbeitungsprogramme in den Automatisierungskomponenten. Die Anforderungen dieser Komponenten bestimmen letztlich die erforderlichen Reaktions- und Rekonfigurationszeiten (nach Teilausfällen) innerhalb der Netzwerkstrukturen. In Summe müssen die Anforderungen des Produktionsbereiches an die Echtzeitkommunikation sowohl durch die Eigenschaften der Paketbehandlung innerhalb der Netzwerkkomponenten als auch durch die Mechanismen zur Gewährleistung der Netzwerkverfügbarkeit erfüllt werden.

Im Produktionsnetz beherrschen Ringstrukturen mit hohen Verfügbarkeitsanforderungen die Topologie.

Im Produktionsnetz beherrschen Ringstrukturen mit hohen Verfügbarkeitsanforderungen die Topologie.Siemens

Schließlich entscheiden nicht nur die Software-Funktionen von Komponenten über deren Einsatzgebiet, sondern auch die Hardware-Eigenschaften. Denn im Produktionsumfeld existieren oft andere mechanischen Anforderungen als in den Verteilerräumen des Bürobereiches. Auch wenn nicht für jeden Block die Konzepte eines anderen Blockes relevant sein müssen, so bestehen doch gewisse Abhängigkeiten und Verbindungen zwischen den unterschiedlichen Bereichen.

In zwei Richtungen anbinden

Die offensichtlichste Verbindung stellt der Übergang zwischen Produktionsnetz und dem LAN-Core dar, der die Kommunikation zum Beispiel zu den Servern im Data Center oder zu den Anwendern ermöglicht. Genau wie bei allen anderen Blöcken existiert hier ein redundanter, gerouteter Übergang. Die hier verwendeten Komponenten müssen aber nicht nur alle IP-Routing-Protokolle und Spanning-Tree-Verfahren der Bürowelt beherrschen, sie müssen auch Ringstrukturen abbilden und deren Redundanzverfahren unterstützen.

Dynamisches Routing unter Einsatz eines Routing-Protokolles wie Open Shortest Path First (OSPF) kann in Richtung Core-Komponenten zum Einsatz kommen, um die Wege zu den anderen LAN-Bereichen zu lernen und um diese Wege parallel nutzen zu können. Routing innerhalb des Blockes zwischen den virtuellen oder physikalischen LAN-Segmenten ist eine der Hauptaufgaben der Backbone-Komponenten. Layer-2-Redundanz-Verfahren wie die aktuellen Spanning-Tree-Protokolle Rapid Spanning Tree oder Multiple Spanning Tree werden innerhalb des eigenen Bereiches benutzt, um die Verfügbarkeit der Layer-2-Strukturen zu erhöhen. Alternativ dazu – dort wo Ringstrukturen bevorzugt werden – müssen diese Redundanzprotokolle im Ring MRP beherrschen. Nicht zuletzt muss die Anbindung sowohl an den Core als auch zum Produktionsnetz hin mit genügend hoher Bandbreite erfolgen, um für die notwendige Kommunikation aller Anwendungen innerhalb der Produktion und nach außerhalb zu sorgen.

Die Backbone-Komponenten des Produktionsnetzes sind somit die Allrounder des LANs, die sich sowohl in das Büro- als auch in das Produktionsnetz einbinden lassen. Gleichzeitig unterstützen sie sowohl die in der Produktionswelt bevorzugte vereinfachte Administrierbarkeit über ein Web-Interface, als auch ein von vielen Netzwerkbetreibern als Quasi-Standard empfundenes Command Line Interface (CLI). Diese Fähigkeiten vereinfachen bei getrennten Administrationsbereichen das Netzwerk-Monitoring und eventuell eingeschränkt verfügbare Netzwerk-Management-Funktionen des jeweils außerhalb der eigenen Verantwortung liegenden Bereiches. In den Backbone-Komponenten des Produktionsnetzes lässt sich über Firewall-ähnliche Konfigurationen zusätzlich eine größtmögliche Abschottung zu den anderen Netzwerken erreichen. Auch ein unternehmensinternes DMZ-Segment zur Platzierung blockübergreifend genutzter Dienste ist am Zugang zum Produktionsnetz realisierbar.

Netzwerkdienste in beiden Netzen nutzen

Gemeinsam mit den anderen Blöcken der LAN-Struktur kann der Produktionsblock Kommunikationsbeziehungen zum Unternehmens-WAN oder Data Center herstellen und die zentralen IP-Netzwerk-Dienste nutzen –zum Beispiel zur dynamischen Zuweisung von IP-Adressen (DHCP), Namensauflösung (DNS), Authentifizierung (Radius) oder Zeitsynchronisation (NTP). Bei hierarchisch aufgebauten DNS- und DHCP-Diensten lässt sich eine gewisse Unabhängigkeit von der Erreichbarkeit der zentralen Dienste ermöglichen, indem dezentrale, verteilte Subsysteme die Verfügbarkeit des Service innerhalb des Blockes erhöhen. Andererseits lassen sich die Vorteile einer zentralen und vollständigen Erfassung aller Netzteilnehmer nutzen und in einem umfassenden IP-Address-Management-System verwalten. Dies wird mit der Einführung von IPv6 wichtiger, die über die nächsten Jahre für viele Unternehmen zumindest ein strategisches Thema sein wird.

Zusätzliche Sicherheit

Netzwerk-Security ist im Produktionsnetz ein entscheidendes Thema, denn hier kann sich verminderte Netzwerkverfügbarkeit in Form von Produktionsausfall sofort finanziell auswirken. Im Unterschied zu den Netzwerkteilnehmern in der Büroumgebung gibt es hier in der Regel keine einheitlichen und standardisierten Plattformen, das heißt auch keinen generellen Virenschutz und integrierte Firewall-Funktionen in den Endgeräten. Zellenschutzkonzepte unter Einsatz segmentspezifischer Firewalls helfen hier die Sicherheit zu erhöhen. Ebenso wichtig sind spezifische Regeln an den Ports, die die Kommunikation der Endgeräte auf das notwendige Maß einschränken. So kann zum Beispiel die Begrenzung der Kommunikation zwischen den Endgeräten die Ausbreitung von Schadsoftware erschweren. Die Administration und die dynamische Zuweisung solcher Regeln zu den entsprechenden Switch-Ports lassen sich wiederum mithilfe entsprechend geeigneter Management-Systeme und dem Radius-Service realisieren und automatisieren.