Sonstiges Netzwerktopologie Ring Fehler

E

evelkneevel

Level-2
Beiträge
83
Reaktionspunkte
15
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Zusammen,

ich habe einmal eine Frage und eventuell kann mir das einer von euch erklären.
Wir haben in der Firma eine Netzwerkinfrastruktur von unserer IT gestellt mit eigenem VLAN für unsere Maschinen. Alles im Stern aufgebaut. Fast alle Anlagen sind vollständig (also alle ET Anschaltungen, KP8, FUs, usw.) im LAN integriert, also keine eigenen Netze innerhalb der Maschine und dann über Router vom restlichen Netz getrennt. Die meisten Anlagen haben dann noch intern einen Scalance Switch o.ä. eingebaut, ein paar kleinere Anlagen auch nur diese Logo-Switche (wobei das glaube ich auch nur Hubs sind).
Ich habe das jetzt leider schon wieder geschafft, dass ich auf der IT Infrastruktur einen Ring gesteckt habe. Ist jetzt müßig darüber zu diskutieren wieso, weshalb, warum, ist halt leider passiert. Das eine Mal innerhalb eines 48-Port Switch und das andere Mal zwischen zwei 48-Ports Switchen. Sobald dann dieser Ring gesteckt ist, fallen mir im ganzen Werk die F-CPUs bzw. Profinet Teilnehmer aus. Im Diagnosepuffer steht dann alles mögliche:
  • I/O-Datenausfall in Hardware-Komponente
  • Ausfall eines IO-Device - Überwachungszeit überschritten
  • Ausfall eines IO-Device - Verbindungsabbruch durch IO-Device
  • Ausfall eines IO-Device - PROFINET-Gerätename existiert mehrmals
  • Ausfall eines IO-Device - IO-Device nicht gefunden
  • Sicherheitsprogramm: F-Peripherie passiviert
Und jetzt halt die Frage warum das so ist? Eigentlich sollten doch die Switche auf der IT Seite diesen Ring erkennen und dann einen Port davon abschalten? Und warum senden die CPUs alle Telegramme durch das ganze Werk und nicht nur innerhalb der Anlagen? So intelligent sollten doch auch die Scalance Switche sein (zur Info: bei einigen Projekten sind die Switche mit projektiert, bei anderen einfach nur eingebaut)?! Oder stimmt einfach irgendwas mit unserer Konfig auf Maschinenseite nicht? Wie sieht das Verhalten aus, wenn man wirklich eine Netztopologie projektiert?

Gruß,
Dome
 
evelkneevel schrieb:
Eigentlich sollten doch die Switche auf der IT Seite diesen Ring erkennen und dann einen Port davon abschalten?
Zum Vergrößern anklicken....
Aber nur, wenn der Switch eine Loopback-Erkennung ( LBD ) besitzt ( und diese auch aktiviert ist ).
Wenn die Switche keine Loopback-Erkennung besitzen, dann wird dir immer das komplette Netzwerk zusammenbrechen, wenn ein Loop gesteckt wird.

Mal als Beispiel: Cisco - Aktivieren der Loopback-Erkennung an einem Switch
Guter Text: Kunbus Praxiswissen - Switching Loop
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Zum Thema wilde Profinettelegramme in alle Richtungen: Man kann auch DCP-Forwarding deaktivieren, wenn man die Netze Profinetseitig voneinander trennen möchte.

Wenn die Konfiguration der Switche zu den VLANs sauber erfolgt ist, dann funktioniert diese Trennung von Netz zu Netz auch sehr sauber ohne Auswirkungen auf andere Teilnehmen. Vermutlich also Konfigurationsthema (Loop-Detection, DCP-Forwarding etc.). Arbeitet ihr mit Spanning Tree?
 
Tja, wenn die IT die Weltherrschaft an sich reissen will :D
Da ja der Prophet im eigenen Land meist nichts gilt, sollen sich die IT-Kollegen doch mal an Siemens wenden und sich erklären lassen, wie sie Switche zu konfigurieren haben.
Nach so einem Gespräch hatte unsere IT ganz schnell davon abgelassen.
 
"Spanning Tree" ist auch noch so ein Schlagwort zu dem Thema:
de.wikipedia.org

Spanning Tree Protocol – Wikipedia

de.wikipedia.org de.wikipedia.org

evelkneevel schrieb:
Wir haben in der Firma eine Netzwerkinfrastruktur von unserer IT gestellt mit eigenem VLAN für unsere Maschinen. Alles im Stern aufgebaut. Fast alle Anlagen sind vollständig (also alle ET Anschaltungen, KP8, FUs, usw.) im LAN integriert, also keine eigenen Netze innerhalb der Maschine und dann über Router vom restlichen Netz getrennt.
Zum Vergrößern anklicken....

evelkneevel schrieb:
Ich habe das jetzt leider schon wieder geschafft, dass ich auf der IT Infrastruktur einen Ring gesteckt habe. Ist jetzt müßig darüber zu diskutieren wieso, weshalb, warum, ist halt leider passiert. Das eine Mal innerhalb eines 48-Port Switch und das andere Mal zwischen zwei 48-Ports Switchen. Sobald dann dieser Ring gesteckt ist, fallen mir im ganzen Werk die F-CPUs bzw. Profinet Teilnehmer aus.
Zum Vergrößern anklicken....
Ist halt der Grund, warum ich solch ein Netzwerk so nie aufbauen würde. Feldbus hat im Werksnetz NICHTS zu suchen! m.M.
Und ich würde auch NIE Feldbusse von 2 SPSn miteinander verbinden... Man würde auch nie auf die Idee kommen, die Profibusse vom ganzen Werk zu verbinden. 🙈
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
Ist halt der Grund, warum ich solch ein Netzwerk so nie aufbauen würde.
Zum Vergrößern anklicken....
Der Meinung bin ich auch. Auch wenn man die Loopback-Erkennung aktiviert, man wird immer irgendwelchen Fehlern hinterher rennen, für die niemand eine Erklärung findet. Ganz kleine Ursachen => große Wirkung.
 
DeltaMikeAir schrieb:
Der Meinung bin ich auch. Auch wenn man die Loopback-Erkennung aktiviert, man wird immer irgendwelchen Fehlern hinterher rennen, für die niemand eine Erklärung findet. Ganz kleine Ursachen => große Wirkung.
Zum Vergrößern anklicken....
am besten auch noch Profisafe drüber fahren, und die SPSn in getrennten Projekten... Wer will denn dafür die Hand ins Feuer halten, dass es da keine Konflikte im Safety-Teil gibt 🙈 💣
 
Da ja unsere IT unantastbar ist....
Wie können wir denn unsere Anlagen besser aufbauen? Wirklich immer einen Router bzw. ein Gateway dazwischen packen, der dann die Netze sauber trennt?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
evelkneevel schrieb:
Wie können wir denn unsere Anlagen besser aufbauen? Wirklich immer einen Router bzw. ein Gateway dazwischen packen, der dann die Netze sauber trennt?
Zum Vergrößern anklicken....
Kenn jetzt Eure Anlagen nicht. Aber jede SPS sollte 2 Schnittstellen haben, eine für den PNIO-Feldbus und eine für die Anbindung ans Werksnetz wofür auch immer. Die Feldbusteilnehmer bekommen dann eigene Netzwerk-Kabel bzw. eigene Switche (also vom Automatisierer und nicht von der IT)...

Das jeweilige Feldbusnetz gehört dann dem Automatisierer (und nur dem) und das Werksnetz gehört der IT (und nur der) D.H. Du steckst an den Switchen der IT garnix ein/aus sondern, die IT liefert Dir im Schaltschrank eine Netzwerkdose zur Anbindung der SPS (und nur der)

Vergleiche das doch mit Profibus.

Oder, wem das Netz gehört, dem gehören auch die PCs/Geräte die da dran hängen. Also die IT ist dann auch für die FUs verantwortlich (incl. Parametrierung)
 
Zuletzt bearbeitet:
evelkneevel schrieb:
Da ja unsere IT unantastbar ist....
Wie können wir denn unsere Anlagen besser aufbauen? Wirklich immer einen Router bzw. ein Gateway dazwischen packen, der dann die Netze sauber trennt?
Zum Vergrößern anklicken....
Jede Anlage hat ihr eigenes Netz mit eigenem Switch.
Wie es davon weiter geht, hängt von den Anforderungen der Beteiligten (IT, Instandhaltung, ...) ab.
Wir verwenden CPU mit 2 getrennten Netzwerkschnittstellen oder CPU und CP.
Gateways oder Router sind eventuell interessant für Fernwartung oder IoT.
Mal einfach alle an einen Tisch holen und Anforderungen abklären.
 
evelkneevel schrieb:
Da ja unsere IT unantastbar ist....
Wie können wir denn unsere Anlagen besser aufbauen?
Zum Vergrößern anklicken....
Frag deine IT. Die ist doch dafür verantwortlich.... ( wenn sie schon unantastbar sind )

evelkneevel schrieb:
Wirklich immer einen Router bzw. ein Gateway dazwischen packen, der dann die Netze sauber trennt?
Zum Vergrößern anklicken....
Solche Konstrukte wie bei dir würde ich nie umsetzen. Ich würde alle Maschinennetze trennen und wenn es dann sein muss die CPU mit einem CP ( oder falls vorhanden, seperatem eigenen Port ) ins Netzwerk anbinden.
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
irgendwie hört sich das für mich nach der Devise an, alles was ne Rj45-Buchse hat, gehört der IT und wird zusammengesteckt. Da die IT ja eigentlich auch nicht weiss, was ein Feldbus ist, sagt die da auch erstmal nicht nein...

Das Security-Thema gibts ja auch noch, was physikalisch nicht verbunden ist, muss auch nicht abgesichert werden.

Hab das gestern grad erst in Anlehnung an die Automatisierungspyramide für nen Kollegen aufgemalt:
1693901463379.png
 
Zuletzt bearbeitet:
Also Grundsätzlich liefert die IT uns eine Netzwerkdose pro Anlage.... bzw. wir können die auch selber ziehen...und in jeder Anlage ist dann meist ein Scalance...P1 beim Scalance geht dann ins IT Netz...alle anderen Ports stehen dann der Anlage zur Verfügung
Generell würde ich auch gern nur die CPU im Netzwerk haben mittels CP oder so, aber wenn das so gebaut wird, wie komme ich dann übers Netzwerk auf die FUs, Panel oder Messgeräte o.ä.? Die müssten doch dann alle die CPU als Gateway nehmen?!
 
evelkneevel schrieb:
Generell würde ich auch gern nur die CPU im Netzwerk haben mittels CP oder so, aber wenn das so gebaut wird, wie komme ich dann übers Netzwerk auf die FUs, Panel oder Messgeräte o.ä.?
Zum Vergrößern anklicken....
Auf die PNIO-Teilnehmer (FU, Messgeräte) kommst Du vom Büro garnicht. Musst man normalerweise auch nicht! Das ist ja gerade das Securityfeature der Netzwerktrennung, wenn keiner drauf kommt, kann auch keiner Unsinn machen. Falls es aber trotzdem unbedingt sein muss, gibts halt noch Routing...
Das Panel ist eh kein PNIO-Feldbusteilnehmer und "könnte" auch mit ins Werksnetz, weil da ist es manchmal ganz gut, wenn man da per vnc draufkommt... Ab TP1500 haben die Panels auch 2 Schnittstellen und können in beide Netze, Vorteil, wenn das Werksnetz mal wieder tot ist, zeigt das Panel trotzdem noch was an...
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
evelkneevel schrieb:
wie komme ich dann übers Netzwerk auf die FUs, Panel oder Messgeräte o.ä.?
Zum Vergrößern anklicken....
Wenn das das Ziel ist (zB zentrale Engineering Station), könnte man eine Service Bridge verwenden - Ein Port auf einem Switch im "Engineering Netz", der in den Feldbus gepatcht, aber normalerweise deaktiviert ist.
Wenn man dann wirklich mal in den Feldbus muss, aktiviert man den Port, macht was man muss, und deaktiviert ihn anschließend wieder.
Grundsätzlich ist das eine Philosophiefrage:
In einer Fabrik mit vielen Maschinen von Fremdherstellern würde ich die Feldbusse strikt getrennt halten und den Zugang nur im Bedarfsfall über VPN Mechanismen und zB den "Cloud Connector" ermöglichen.
In einer Anlage, wo es eine zentrale Stelle, die für die Steuerungen verantwortlich ist gibt, würde ich eher auf eine Lösung mit Service Bridge setzen.
 
StP schrieb:
Wenn das das Ziel ist (zB zentrale Engineering Station), könnte man eine Service Bridge verwenden - Ein Port auf einem Switch im "Engineering Netz", der in den Feldbus gepatcht, aber normalerweise deaktiviert ist.
Wenn man dann wirklich mal in den Feldbus muss, aktiviert man den Port, macht was man muss, und deaktiviert ihn anschließend wieder.
Grundsätzlich ist das eine Philosophiefrage:
In einer Fabrik mit vielen Maschinen von Fremdherstellern würde ich die Feldbusse strikt getrennt halten und den Zugang nur im Bedarfsfall über VPN Mechanismen und zB den "Cloud Connector" ermöglichen.
In einer Anlage, wo es eine zentrale Stelle, die für die Steuerungen verantwortlich ist gibt, würde ich eher auf eine Lösung mit Service Bridge setzen.
Zum Vergrößern anklicken....
wie gesagt, wie oft muss man denn am Feldbus was umkonfigurieren? Bzw. sollte man dann vielleicht nicht doch mal an die Anlage gehen?
Panel kann natürlich schon ins Werksnetz.

Vom Siemens gibts ja auch eine Service Bridge, aber ich hab das echt noch nie gebraucht. Weiterhin gibts ja auch die Möglichkeit, durch die SPS durchzurouten...

SIOS

support.industry.siemens.com support.industry.siemens.com

1693987842954.png
 
Moin,
vielen Dank schonmal für die Anregungen.
Das Office Netz ist grundsätzlich mit dem Maschinen-Netz nicht verbunden (nur über eine Firewall), da getrennte VLANs, daher sehen wir hier erstmal keinen größeren Bedarf, dass noch weiter abzusichern.
Gibt es denn eine Möglichkeit den PN Teilnehmern einer Anlage bzw. dem Anlagen-Switch zu sagen, dass die PN Protokolle nur innerhalb der Anlage bleiben sollen und nicht nach draußen gehen?
Das Thema Spanning Tree werde ich mal versuchen mit unserer IT zu klären. Innerhalb der Maschinen haben wir eigentlich nur einen Switch, da fällt die Thematik flach.
 

Similar threads

A
TIA TIA V19 bei IRT aktivieren bringt "kann keine Aktualisierungszeit berechnet werden"
Antworten
2
Aufrufe
752
Ralle
Ralle
M
Step 7 Zugriff auf S7-315F 2PN/DP plötzlich nicht mehr möglich
Antworten
11
Aufrufe
556
PN/DP
PN/DP
vollmi
TIA Scalance Überschreiben der Gerätenamen erlauben
Antworten
15
Aufrufe
2K
Pipboy
Pipboy
H
Sonstiges Inbetriebnahmeproblem mit einem Scalance S623 V4
Antworten
0
Aufrufe
815
hubsi64
H
M
TIA Wechselwerkzeuge- Systemmeldung bei deaktiviertem Profinet Teilnehmer
Antworten
12
Aufrufe
1K
mmm_ams
M
Zurück
Oben