Profinet, TCP/IP und Fernwartungs- bzw. Kommunikationskonzept

dennisbz

Level-2
Beiträge
142
Reaktionspunkte
6
Zuviel Werbung?
-> Hier kostenlos registrieren
Folgende Problematik:
Eine Anlage (unsere) soll mit der Nachfolgenden (anderer Hersteller) via Profinet kommunizieren.
Zusätzlich soll unsere Anlage über VPN fernwartbar sein.
Da die von uns eingesetzte CPU31xT 'On Board' kein Profinet kann, planen wir, einen CP-Lean einzusetzen.
Die Anlage um die es geht verkauft sich recht gut, der Kunde kauft sie immer mindestens im Doppelpack. Bis jetzt hat er sechs davon (ohne Datenaustausch mit die Folgeanlage), mit den aktuellen sind es 9. Weitere, sowohl in Deutschland, als auch in den USA sind in Auftrag bzw. Planung.
Die Anlagen sind fast identisch, die Hardware ist allen gleich. Wir versuchen bei allen Anlagen die Software stehst auf dem gleichen Stand zu halten, was erstaunlich gut funktioniert. Im Zweifel kann man quasi "Speichern unter" und das duplizierte Projekt, zumindest den SPS-Part, auf die nächste Anlage aufspielen. Fernwartung erfolgt bisher über den TS-Adapter Modem.
Durch die Umstellung auf Profinet wird dieses Konzept allerdings nicht mehr so einfach aufgehen, da jede Anlage dann eine eigene IP-Adresse benötigt, bis runter zum Panel. Unsere Überlegung ist daher, in jedem Schaltschrank einen Router zu platzieren und dort ein neues Netz zu eröffnen. Router für die Hutschiene sind jedoch meiner Meinung nach viel zu teuer. Zumindest in dem Verhältnis, für was wir die Fernwartung verkaufen.
An den Gedanken, einen Netgear im Schaltschrank zu montieren kann ich mich auch noch nicht so richtig gewöhnen.

Wie geht ihr mit dieser Problematik um? Nutzt ihr die eleganten Geräte, die schon einen fertigen Tunnel bereitstellen?
Oder erfüllt ihr, wie wir, jedem ITler eurer Kunden seinen Wunsch nach einer eingenen VPN-Software? Die Vielfalt dieser Tools ist überwältigend ...
Wie ist das, wenn man bsp. 10 Profinet-Teilnehmer pro Anlage hat. Wird es da nicht nach der dritten Anlage im gleichen Netz unübersichtlich?

Ich freu mich auf eine konstruktive Diskussion,

dennisbz
 
Ich würde die Idee aufgeben, alles mit "einem Projekt" lösen zu wollen. Das ist bei der Versionspflege etwas mehr Aufwand, aber kein Problem. Gerade wenn Datenaustausch zu Fremdsteuerungen ansteht, werdet ihr doch auch immer verschiedene Software haben?

Für die Fernwartung sollte dann ein Router mit Firewall und VPN Funktion eingesetzt werden, damit die Steuerungen nicht plötzlich am Büronetzwerk hängen.

Meistens haben die ITler der Kunden noch Extrawünsche, deswegen sollte man sich vorhher mit den Leuten in Verbindung setzten und ein Konzept ausarbeiten.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hi,

bei der Art der Anlagen (die ja fast Serienanlagen sind) würde ich auch alles gleichhalten.
Gleiche Hardware, gleiche IP-Adressen der Teilnehmer, ...
Das vermindert bei Euch die Zeit der Inbetriebnahme, da ja viele Fehler gar nicht mehr auftauchen können.

Einzig müsst ihr Disziplin aufbringen, wenn ihr doch mal an einer der Anlagen was im Programm ändert.
Dann müsstet ihr eigentlich alle anderen Anlagen nachziehen, sprich dort das Programm einspielen.
Sonst hilft doch nur pro Anlage ein separates Projekt.

Für die Fernwartung kannst Du doch einen VPN-Router für die Hutschiene nehmen.
Es gibt z.B. das eWON COSY, das fast preigleich mit dem TS-Adapter MPI (+20€ mehr) ist.
Damit kannste auf alle Ethernet-Teilnehmer drauf.
Natürlich kannste auch nen Netgear o.ä. nehmen und den mit Kabelbinder im Schaltschrank festmachen.
Aber dann hast Du keine gesicherte VPN-Verbindung in die Anlage.
Das wird bestimmt nicht gerne von den IT'lern gesehen :)
 
Hallo dennisbz,

wichtig für die Planung sind noch ein paar Details. Zum Beispiel ist es wichtig ob eure Anlagen jeweils ein separates Netzwerk bekommen oder ob die Anlage ins Kundennetzwerk integriert werden müssen?

Falls die Anlage ein eigenes Netzwerk bekommt und es möglich ist über das Kundennetzwerk die VPN-Verbindung aufzubauen, dann wirkt sich das natürlich positiv auf den Preis aus (keine Verbindungskosten wie bei Mobilfunk, Hardware i.d.R. günstiger).

Vom Routertyp her empfehle ich keine Heimgeräte. Bestimmt ist es technisch möglich damit VPN-Verbindungen aufzubauen usw., aber die IT wird nicht begeistert sein und bekommt nicht den Eindruck von einer gesichterten Fernwartung, wie schon von o_prang erwähnt wurde.

VPN ist hier die richtige Wahl. Wie hast du dir den Zugriff auf die Anlagen vorgestellt? Wenn du alle Anlagen direkt über einen VPN-Zugang erreichbar haben willst (direktes Routing zum Endgerät), dann muss natürlich dafür gesorgt werden das jede Anlage eine andere IP-Adresse hat. Das steigert den Aufwand beim einrichten der Anlagen, wie oben erwähnt.

Eine andere Möglichkeit wäre es für jede der Anlagen einen separates VPN-Netzwerk einzurichten und das VPN nur bis zum Router hin aufzubauen. Der Zugriff auf die Endgeräte erfolgt dann über Paketweiterleitung (Portforwarding). Das ganze hat in dem Fall den Vorteil, dass die Konfiguration der Anlagen und Router (Portforwarding, IP-Konfiguration) identisch ist. Der Unterschied in der jeweiligen Routerkonfiguration bezieht sich dann nur auf die VPN-Anmeldedaten. Damit hätte man weniger Aufwand bei der Einrichtung.

Eine VPN-Lösung und VPN-fähige Router bieten wir ebenfalls an, falls eine Beratung erwünscht ist können Sie sich gerne an unseren Vertrieb oder Support wenden:
http://www.deltalogic.de/kontakt/kontaktdaten.html

Viele Grüße
Elias Wainowski
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Wir handhaben es natürlich schon so, dass für jede Anlage ein 'eigenes' Projekt angelegt wird. Manche Maschinendaten können sich unterscheiden - je nach dem wie sauber der Inbetriebnehmer die Anlage ausgerichtet hat... ;-)

Dennoch möchte ich für jede Anlage den selben Adressbereich festlegen. Von der Lösung, Netgear im Schaltschrank, halte ich auch nichts. Klar, wirkt nicht gerade professionell. Den eWON COSY werde ich mir morgen (meine aktuelle Zeitzone ist PAZ... ) mal anschauen. Danke für den Tipp!
Das Netz hatte ich mir eigentlich so vorgestellt: Es gibt einen Tunnel von unserem Fernwartungsrechner zu einer Anlage. Von dort sind die Anlagen über Router miteinander vernetzt. Benötigt man dann um auf die anderen Steuerungen zuzugreifen die Portforwardingsfuntkion?
Wie handhaben dies denn 'andere' Firmen?

Ich denke, sobald es erst wird kommen wir nicht um eine persönliche Beratung rum. Dennoch schon mal vielen Dank für die Antworten!
 
Wenn Du mehrere Anlagen bei einem Kunden hast die Du erreichen möchtest, kannst Du das über folgende Lösungsansätze machen:
  1. In allen Anlagen sind die IP-Adressen gleich (also z.B. hat die SPS immer die 192.168.10.10).
    1. Pro Anlage einen VPN-Router
    2. Oder 1 VPN-Router in der 1. Anlage, und in jede weitere einen Router der das 1:1 NAT kann.
  2. Alle Netzwerkteilehmer in den Anlagen sind über einen Switch miteinander verbunden. Jeder Teilnehmer hat eine andere IP-Adresse (SPS 1 x.x.x.10; SPS 2 x.x.x.20,...).
    1. 1 VPN-Router in die 1. Anlage und den Switch anschließen, dann sind alle Teilnehmer erreichbar.

Das Ganze ist ein Rechenexempel, wieviele Router Du kaufen musst, wieviel Zeit Du in die IB investieren musst und wie transparent es nachher für alle sein soll.
Hier könnte die Lösung 1.1 die Beste sein, da arbeitest Du mit den absoluten IP-Adressen (nicht imaginär wie bei dem 1:1 NAT).

Ausserdem ob die Anlagen (in Zukunft) miteinander kommunizieren sollen.
Dann wäre die Lösung 2.1 die Beste.

Ausser der Sache mit dem 1:1 Nat ginge auch eine Portweiterleitung.
Aber dazu würde ich nicht raten, denn dann bist Du auf einzelne Ports (Anwendungen) fixiert.
 
Ich bin immernoch der Meinung, dass die Lösung jeder Anlage eine eigene IP-Adresse zu geben, die beste ist. Es ist zwar möglich das die CP-Konfiguration immer gleich bleibt, jedoch ist der Aufwand den Router dafür zu konfigurieren um so größer. (Vlan einrichten, Portforwarding erstellen).

Der Vorteil von unterschliedlichen IPs ist außerdem, dass du mit Sicherheit auch auf der richtigen Steuerung arbeitest!

Mit unterschiedlichen IP-Adressen schließt du einfach alle Steuerungen an ein Netzwerk (Switch) und dann geht eine Leitung zum VPN-Tunnel oder Router der mit dem Inet verbindet. Wichtig ist an dieser Stelle, dass das Steuerungsnetzwerk vom Firmennetzwerk getrennt ist und das auf jeden Fall eine Firewall zwischen dem Steuerungsnetz und Internet liegt. (Manche ITler sind bei diesen Punkten machmal nicht wirklich kooperativ)

Außerdem hatte ich jetzt schon zwei Fälle, wo ein Kunde gefordert hat, dass er die Steuerungen vom Internet trennen kann. Bei jeder Fernwartung wird dann erst aktiv vom Kunden "der Stecker eingesteckt". Aber in dem Falle sind die Steuerungen auch PCs gewesen und dort wurde manchmal von den Bedienern der (absolut ungepatchte) Internetz Explorer gestartet ;)
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Ausserdem ob die Anlagen (in Zukunft) miteinander kommunizieren sollen.

Das steht doch im ersten Satz.

Ich kenne jetzt die Größe nicht, aber tu dir / deinen Nachfolgern einen gefallen und lass die Finger von 1:1NAT und Ports.
Sind die Subnetze schon gleich kann man das als Notlösung machen, um nicht alle Adressen nachziehen zu müssen (selbst da würde ich überlegen). Nur unterschiedliche IPs helfen nicht.

In beiden Fällen wirst du manuell jedes einzelne Gerät in eine/zwei Listen eintragen.
Bei großen Änderungen oder Erweiterungen ist das eine Katastrophe.

Wenn es natürlich um 5 Teilnehmer geht ist das egal.
 
Oh je ... da muss glaub wirklich jemand kommen! ;-)
Jedenfalls habe ich schon mal ordentlich Input um dann auch die richtigen Fragen zu stellen.
Sollte ein anständiges Konzept dabei raus kommen lass ich es wissen.
Ich denke aber, ich muss mich von der Idee mit den selben Adressen verabschieden.
Danke!

dennisbz
 
Zurück
Oben