Switche, Gateways und Router
Basis moderner Kommunikation
Ständig wachsende Datenmengen durch intelligente Komponenten, ein immer intensiverer Effizienzdruck und nicht zuletzt die Notwendigkeit sehr hoher Cybersecurity-Standards: Mit der zunehmenden Automatisierung von industriellen Anlagen steigen auch die Anforderungen an die entsprechende Netzwerkinfrastruktur. In modernen Komponenten wie Switches und Gateways liegt eine wichtige Basis, um diese Anforderungen ebenso zuverlässig wie praxisnah umzusetzen.
Bild: Helmholz GmbH & Co. KGOb Ethernet- und Profinet-Switches, Feldbus- und NAT-Gateways oder sicherer Online-Fernzugriff: Bei der Umsetzung von industriellen Netzwerkinfrastrukturen zahlen sich in der Praxis passende und flexible Lösungen mit einfacher Handhabung für die jeweiligen Anwendung aus.
Bild: Helmholz GmbH & Co. KG
Bild: Helmholz GmbH & Co. KGEthernet- und Profinet-Switche
Über Switche läuft der Datenaustausch zwischen Controllern, SPSen und weiteren Netzwerkteilnehmern. Switche gehören zu den wichtigsten Netzwerk-Bestandteilen. Selbst sehr kleine Verbesserungen wirken sich bei diesen Komponenten deshalb spürbar aus. Das gilt auch für die Bauform: Die unmanaged Ethernet-Switche von Helmholz sind 49mm breit in der Version mit fünf Port bzw. 65mm für acht Ports. Durch ihre kompakte Bauweise sind sie für vielfältige Industrieanwendungen einsetzbar. Das leichte und robuste Industriedesign ist zur Montage auf der Hutschiene geeignet und lässt sich einfach in das Netzwerk integrieren. Einmal gesteckt, sind sie als Plug&Play-Lösung unmittelbar betriebsbereit. Die werkzeuglose Push-In-Anschlussklemme für die Spannungsversorgung unterstützt dabei eine schnelle und einfach Installation. Der Einsatz von herkömmlichen Ethernet-Switches in Verbindung mit Profinet-Netzwerken ist aufgrund der fehlenden Telegramm-Priorisierung und der damit einhergehenden Datenlast in vielen Maschinennetzen jedoch mit Vorsicht zu betrachten. Hier sind Profinet-Switche die deutlich bessere Alternative. Eine deren wichtigsten Funktionen ist die Priorisierung des Profinet-Telegrammverkehrs im Maschinennetz. Der managed Switch von Helmholz kann unterscheiden, ob es sich bei dem Telegramm um eine Web-Anfrage, eine FTP-Dateiübertragung, einen Medien-Stream oder ein Profinet-Telegramm handelt. Bei hoher Übertragungslast können somit die wichtigen Telegramme priorisiert werden, um zu verhindern, dass es zu Verlusten kommt oder das Netzwerk nicht mehr erreichbar ist. Das bedeutet auch: eine klare und eindeutige Segmentierung zwischen Ethernet und Profinet. Ohne gemanagte Profinet-Switche gehen viele gewinnbringende Features des Industrial-Ethernet-Standards verloren.
Bild: Helmholz GmbH & Co. KGFeldbus- und NAT-Gateways
Kaum seltener als Switche kommen Feldbus-Gateways zum Verbinden einzelner Automatisierungsnetze zum Einsatz. Unabhängig vom jeweiligen Bus (Profinet, CANopen, DP) zählt deshalb auch hier eine möglichst klein dimensionierte Bauform. So sind Profinet-Gateways von Helmholz z.B. nur rund ein Viertel so groß wie vergleichbare Geräte anderer Hersteller. Darüber hinaus erfordert ihre Installation, wie auch die der Switche, kein zusätzliches Software-Tool. Mit der Verbreitung von Industrial Ethernet spielt auch die Cybersecurity eine ganz zentrale Rolle. Gerade angesichts wachsender Datenmengen ist die Trennung bzw. Segmentierung von Netzwerken zu empfehlen. Dabei geht es im Kern darum, Maschinennetze sicher in das übergeordnete Produktionsnetzwerk zu integrieren. Das dafür geeignete robuste und kompakte NAT Gateway WALL IE verbindet Bridge- und Firewall-Funktionen und ermöglicht so eine einfache Integration. Als positiver Effekt werden damit auch Broadcast-Domänen verkleinert. Konkret schützt die Komponente die Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Voraussetzung dafür schafft eine Paketfilterfunktion: Damit lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken. Als weitere Besonderheit kann das Gateway sowohl im NAT-Betriebsmodus aber auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert WALL IE als Layer2-Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart die Paketfilterung möglich. Dadurch kann die Einschränkung des Zugriffs zu einzelnen Bereichen erreicht werden, ohne dass unterschiedliche Netzwerke verwendet werden müssen. Im Router-Betriebsmodus, den die meisten Anwender nutzen, leitet das Gateway den Datenverkehr zwischen verschiedenen IPv4-Netzwerken (Layer3) weiter und verwendet Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetz, wobei die Adressübersetzung mittels Network Adress Translation (NAT) unterstützt wird. Die Verwendung von NAT ermöglicht es darüber hinaus, mehrere gleichartige Automatisierungszellen mit dem gleichen Adressbereich in das Produktionsnetz einzubinden. Im Router-Betriebsmodus nutzt WALL IE zwei NAT-Funktionen: Basic NAT (auch 1:1 NAT oder Static NAT genannt) und NAPT (Network Address and Port Translation, auch 1:N NAT oder Masquerading genannt).
Sicherer Online-Fernzugriff
Nicht zuletzt ermöglicht Helmholz auch einen sicheren und einfachen Fernzugriff: Vor allem Maschinenbauer, aber auch Produktionsbetriebe nutzen REX-Industrie-Router, um direkt online auf die Ethernet-Netze ihrer Maschinen und Anlagen zuzugreifen - etwa zur Fernwartung, zur Visualisierung, zum Datensammeln sowie für Diagnose und Web2Go-Anwendungen (VNC und Remote Desktop). Die Router-Serie, die mit den Modellreihen REX100 und REX200/250 ein breites Anwendungsspektrum abdeckt, bietet dafür diverse Zugriffsmöglichkeiten über Ethernet, 3G, 4G oder Wifi. Die Datenübertragung erfolgt bei allen Modellen generell verschlüsselt über einen VPN-Tunnel. Die Grundlage dafür bildet das sichere Open-VPN-Protokoll. Das IoT-Portal myREX24 V2 dient dabei als Vermittlungszentrale für die VPN-Kommunikation zwischen Bediener und dessen Anlagen. Beide Seiten können den Tunnel damit als ausgehende Verbindung aufbauen. Die Firewalls oder auch Beschränkungen von Diensten oder Mobilfunkbetreibern sind damit kein Thema mehr. Denn diese betreffen nur den Datenverkehr in das Netzwerk hinein, nicht aber den heraus. Die ausgehenden Verbindungen bleiben dann kurz in Wartestellung, bis der VPN-Tunnel steht. Dort erfolgt dann die eigentliche Kommunikation über das IoT-Portal. Das einfache und intelligente Benutzermanagement und die schnelle Konfiguration der Industrie-Router konnte schon viele Kunden beim Auswahlverfahren mit Anbietern ähnlicher Systeme überzeugen. Der Hersteller bietet hierfür einen speziellen Test-Account an, damit potentielle Kunden die Leistungsfähigkeit des IoT-Portals schon vorab testen können.
Ständig wachsende Datenmengen durch intelligente Komponenten, ein immer intensiverer Effizienzdruck und nicht zuletzt die Notwendigkeit sehr hoher Cybersecurity-Standards: Mit der zunehmenden Automatisierung von industriellen Anlagen steigen auch die Anforderungen an die entsprechende Netzwerkinfrastruktur. In modernen Komponenten wie Switches und Gateways liegt eine wichtige Basis, um diese Anforderungen ebenso zuverlässig wie praxisnah umzusetzen.
Bild: Helmholz GmbH & Co. KGOb Ethernet- und Profinet-Switches, Feldbus- und NAT-Gateways oder sicherer Online-Fernzugriff: Bei der Umsetzung von industriellen Netzwerkinfrastrukturen zahlen sich in der Praxis passende und flexible Lösungen mit einfacher Handhabung für die jeweiligen Anwendung aus.Bild: Helmholz GmbH & Co. KG
Bild: Helmholz GmbH & Co. KGEthernet- und Profinet-Switche
Über Switche läuft der Datenaustausch zwischen Controllern, SPSen und weiteren Netzwerkteilnehmern. Switche gehören zu den wichtigsten Netzwerk-Bestandteilen. Selbst sehr kleine Verbesserungen wirken sich bei diesen Komponenten deshalb spürbar aus. Das gilt auch für die Bauform: Die unmanaged Ethernet-Switche von Helmholz sind 49mm breit in der Version mit fünf Port bzw. 65mm für acht Ports. Durch ihre kompakte Bauweise sind sie für vielfältige Industrieanwendungen einsetzbar. Das leichte und robuste Industriedesign ist zur Montage auf der Hutschiene geeignet und lässt sich einfach in das Netzwerk integrieren. Einmal gesteckt, sind sie als Plug&Play-Lösung unmittelbar betriebsbereit. Die werkzeuglose Push-In-Anschlussklemme für die Spannungsversorgung unterstützt dabei eine schnelle und einfach Installation. Der Einsatz von herkömmlichen Ethernet-Switches in Verbindung mit Profinet-Netzwerken ist aufgrund der fehlenden Telegramm-Priorisierung und der damit einhergehenden Datenlast in vielen Maschinennetzen jedoch mit Vorsicht zu betrachten. Hier sind Profinet-Switche die deutlich bessere Alternative. Eine deren wichtigsten Funktionen ist die Priorisierung des Profinet-Telegrammverkehrs im Maschinennetz. Der managed Switch von Helmholz kann unterscheiden, ob es sich bei dem Telegramm um eine Web-Anfrage, eine FTP-Dateiübertragung, einen Medien-Stream oder ein Profinet-Telegramm handelt. Bei hoher Übertragungslast können somit die wichtigen Telegramme priorisiert werden, um zu verhindern, dass es zu Verlusten kommt oder das Netzwerk nicht mehr erreichbar ist. Das bedeutet auch: eine klare und eindeutige Segmentierung zwischen Ethernet und Profinet. Ohne gemanagte Profinet-Switche gehen viele gewinnbringende Features des Industrial-Ethernet-Standards verloren.
Bild: Helmholz GmbH & Co. KGFeldbus- und NAT-Gateways
Kaum seltener als Switche kommen Feldbus-Gateways zum Verbinden einzelner Automatisierungsnetze zum Einsatz. Unabhängig vom jeweiligen Bus (Profinet, CANopen, DP) zählt deshalb auch hier eine möglichst klein dimensionierte Bauform. So sind Profinet-Gateways von Helmholz z.B. nur rund ein Viertel so groß wie vergleichbare Geräte anderer Hersteller. Darüber hinaus erfordert ihre Installation, wie auch die der Switche, kein zusätzliches Software-Tool. Mit der Verbreitung von Industrial Ethernet spielt auch die Cybersecurity eine ganz zentrale Rolle. Gerade angesichts wachsender Datenmengen ist die Trennung bzw. Segmentierung von Netzwerken zu empfehlen. Dabei geht es im Kern darum, Maschinennetze sicher in das übergeordnete Produktionsnetzwerk zu integrieren. Das dafür geeignete robuste und kompakte NAT Gateway WALL IE verbindet Bridge- und Firewall-Funktionen und ermöglicht so eine einfache Integration. Als positiver Effekt werden damit auch Broadcast-Domänen verkleinert. Konkret schützt die Komponente die Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Voraussetzung dafür schafft eine Paketfilterfunktion: Damit lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken. Als weitere Besonderheit kann das Gateway sowohl im NAT-Betriebsmodus aber auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert WALL IE als Layer2-Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart die Paketfilterung möglich. Dadurch kann die Einschränkung des Zugriffs zu einzelnen Bereichen erreicht werden, ohne dass unterschiedliche Netzwerke verwendet werden müssen. Im Router-Betriebsmodus, den die meisten Anwender nutzen, leitet das Gateway den Datenverkehr zwischen verschiedenen IPv4-Netzwerken (Layer3) weiter und verwendet Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetz, wobei die Adressübersetzung mittels Network Adress Translation (NAT) unterstützt wird. Die Verwendung von NAT ermöglicht es darüber hinaus, mehrere gleichartige Automatisierungszellen mit dem gleichen Adressbereich in das Produktionsnetz einzubinden. Im Router-Betriebsmodus nutzt WALL IE zwei NAT-Funktionen: Basic NAT (auch 1:1 NAT oder Static NAT genannt) und NAPT (Network Address and Port Translation, auch 1:N NAT oder Masquerading genannt).
Sicherer Online-Fernzugriff
Nicht zuletzt ermöglicht Helmholz auch einen sicheren und einfachen Fernzugriff: Vor allem Maschinenbauer, aber auch Produktionsbetriebe nutzen REX-Industrie-Router, um direkt online auf die Ethernet-Netze ihrer Maschinen und Anlagen zuzugreifen - etwa zur Fernwartung, zur Visualisierung, zum Datensammeln sowie für Diagnose und Web2Go-Anwendungen (VNC und Remote Desktop). Die Router-Serie, die mit den Modellreihen REX100 und REX200/250 ein breites Anwendungsspektrum abdeckt, bietet dafür diverse Zugriffsmöglichkeiten über Ethernet, 3G, 4G oder Wifi. Die Datenübertragung erfolgt bei allen Modellen generell verschlüsselt über einen VPN-Tunnel. Die Grundlage dafür bildet das sichere Open-VPN-Protokoll. Das IoT-Portal myREX24 V2 dient dabei als Vermittlungszentrale für die VPN-Kommunikation zwischen Bediener und dessen Anlagen. Beide Seiten können den Tunnel damit als ausgehende Verbindung aufbauen. Die Firewalls oder auch Beschränkungen von Diensten oder Mobilfunkbetreibern sind damit kein Thema mehr. Denn diese betreffen nur den Datenverkehr in das Netzwerk hinein, nicht aber den heraus. Die ausgehenden Verbindungen bleiben dann kurz in Wartestellung, bis der VPN-Tunnel steht. Dort erfolgt dann die eigentliche Kommunikation über das IoT-Portal. Das einfache und intelligente Benutzermanagement und die schnelle Konfiguration der Industrie-Router konnte schon viele Kunden beim Auswahlverfahren mit Anbietern ähnlicher Systeme überzeugen. Der Hersteller bietet hierfür einen speziellen Test-Account an, damit potentielle Kunden die Leistungsfähigkeit des IoT-Portals schon vorab testen können.
Helmholz GmbH & Co. KG
Dieser Artikel erschien in Industrial Communication Journal 4 2018 - 19.11.18.Für weitere Artikel besuchen Sie www.sps-magazin.de
