Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 16

Thema: Loop im Firmennetz, Ausbreitung verhindern

  1. #1
    Registriert seit
    21.04.2009
    Beiträge
    90
    Danke
    2
    Erhielt 3 Danke für 3 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hallo zusammen,

    wir hatten heute einen Loop bei uns im Firmennetz. Es war leider auch nicht der erste. Vor ca 4 Jahren hatten wir das erste mal Probleme mit einem Loop. Damals hat in einem Büro jemand 2 Netzwerkdosen mit einem Netzwerkkabel gebrückt. Alle Anlagen mit Profinet sind uns damals ausgestiegen und erst nach der Beseitogung des Loops wieder in Betrieb gehen.

    Unsere IT hat daraufhin die kleinen Switche, die so unter den Schreibtischen rumfuhren verboten und an "ihren" Swiches etwas eingestellt, was das Ausbreiten von Loops verhindern soll. Seither hatten wir nochmal 2 Loops, die an Produktionsanlagen verursacht wurden. Heute war ich der "Glückliche". Wir haben an einer Anlage einen neuen Steuerschrank in Betrieb genommen und auch alle Netzwerkleitungen dorthin neu gezogen. Ich hab dann blöderwiese 2 Kabel vertauscht und hatte auf einer ET dann das Kabel zum alten Switch und das Kabel zum neuen Switch.
    Damit hab ich dann alle Produktionsanlagen, die mit Profinet arbeiten außer Gefecht gesetzt.

    Die Kommunikation an den anderen Anlagen kann auch wieder aufgebaut werden, obwohl der Loop noch besteht. Wie ihr euch denken könnt, dauert es aber einige Zeit, bis man wieder alle Anlagen am Laufen hat. Vor allem einigen Servoreglern gefällt das nicht und sie laufen erst nach einem Spannungsreset wieder an.
    Unsere IT scheint also an "ihren" Switches den Loop zu erkennen, den Verursacher aber wohl erst zu spät abzuschalten.

    Das Firmennetz wird von Seiten der IT betreut. Hier gibt es für die verschiedenen Bereiche Switche. Zu unseren Anlagen geht jeweils nur eine Leitung von diesen Switchen. IN den Anlagen verteilen wir das Netzwerk dann mit Siemens Scalance Switches. An den IT-Switches kann ich nichts machen. Unsere IT prüft nun, wie man das zukünftig verhindern kann.

    Ich müchte mich nun aber selbst schlau machen und habe gesehen, dass man bei den Scalance-Switches eine Loop Detection einstellen kann. Wäre damit schon alles erledigt?
    Wenn ja, wie müsste die korekte Konfiguration aussehen? Oder kann man an den Switchen der IT vielleicht noch was einstellen? Diese Switche sollten eigentlich so ziemlich alles können. Es handelt sich um HP Procurve Switche. Den Typ weiß ich leider nicht.

    Kann mir fast nicht vorstellen, dass das Problem nur bei uns auftritt, habe im Netz allerdings nichts gefunden.


    Gruß

    the_elk
    Zitieren Zitieren Loop im Firmennetz, Ausbreitung verhindern  

  2. #2
    Registriert seit
    09.08.2006
    Beiträge
    3.627
    Danke
    912
    Erhielt 656 Danke für 542 Beiträge

    Standard

    Zitat Zitat von the_elk Beitrag anzeigen
    wir hatten heute einen Loop bei uns im Firmennetz. Es war leider auch nicht der erste. Vor ca 4 Jahren hatten wir das erste mal Probleme mit einem Loop. Damals hat in einem Büro jemand 2 Netzwerkdosen mit einem Netzwerkkabel gebrückt. Alle Anlagen mit Profinet sind uns damals ausgestiegen und erst nach der Beseitogung des Loops wieder in Betrieb gehen.
    Tja, das könnte ja als Lehrbuchbeispiel dienen, warum man Büronetz und Automatisierungsnetz und erst recht Feldbus (Profinet IO) voneinander trennen soll... und wenn schon nicht physikalisch dann wenigstens als VLAN...

    Zitat Zitat von the_elk Beitrag anzeigen
    Damit hab ich dann alle Produktionsanlagen, die mit Profinet arbeiten außer Gefecht gesetzt.
    und die Feldbusse verschiedener Anlagen sollten m.M. nach auch nicht auf einem Netz hängen...

    Da Du jetzt aber sicherlich nicht das Konzept umschmeissen kannst, hilft nur, vor jedem Handgriff eher einmal mehr nachzudenken...

    Gruß

    PS: ich hab hier auch ständig das Problem, dass jeder, der zu Hause ne Fritzbox hat, auf einmal denk, er müsse beim Thema Industrial Ethernet mitreden... Und nicht alles was ne RJ45-Buchse hat, sollte man einfach so zusammenstecken...
    Geändert von ducati (30.03.2016 um 16:39 Uhr)

  3. Folgende 2 Benutzer sagen Danke zu ducati für den nützlichen Beitrag:

    Fabpicard (31.03.2016),mnuesser (31.03.2016)

  4. #3
    Registriert seit
    21.04.2009
    Beiträge
    90
    Danke
    2
    Erhielt 3 Danke für 3 Beiträge

    Standard

    Danke für deine Antwort. wie könnte denn so eine Trennung aussehen? Im Prinzip hat ja jede Anlage ihr eigenes Scalance-Switch, von dem pro Anlage nur ein Zugang zum Firmennetz besteht. Im Prinzip könnte man einfach diese Verbindung trennen und die Anlagen wären unabhängig. Es soll aber von zuhause und aus den Büros auch auf die Anlagen zugegriffen werden können. Das Büronetz und das Anlagennetz wurde vor 2 Jahren per VLAN getrennt. Hilft das den Loop nicht weiter auszubreiten?

    Die Loop Detection in den Scalance-Switchen würde nicht helfen?

    Gruß

  5. #4
    Registriert seit
    25.02.2010
    Beiträge
    618
    Danke
    35
    Erhielt 121 Danke für 110 Beiträge

    Standard

    Da hast du schon das nächste Problem
    zuhause und aus den Büros auch auf die Anlagen zugegriffen werden können
    Warum denkt heute jeder er muss vom Sofa auf eine Industrieanlage zugreifen können?
    Das werde ich nie verstehen.

  6. Folgender Benutzer sagt Danke zu holgermaik für den nützlichen Beitrag:

    weißnix_ (30.03.2016)

  7. #5
    Registriert seit
    26.04.2010
    Beiträge
    292
    Danke
    31
    Erhielt 51 Danke für 50 Beiträge

    Standard

    Hi!

    Das Bedürfnis des Zugriffs "von überall" ist ja eine Sache, aber das "Wie" spielt wie überall eine große Rolle.
    Es gibt schon gute Gründe dafür, welche man auch verstehen kann. Ich spreche da aus Erfahrung.

    Noch vor 50-60 Jahren gab es für ein ganzes Haus eine einzige Sicherung (wenn überhaupt).
    Heute schüttelt jeder den Kopf darüber und weiß es besser.
    Genauso ist das mit den Firmennetzwerken.


    Mein Tipp:
    Setz dich mit euer IT zusammen und arbeitet zuerst ein vernünftiges Konzept für euer Unternehmensnetz aus.
    Zugriffe von Außen (wenn zwingend notwendig) können mit geeigneten Geräten über VPN-Tunnel geschaffen werden.
    Ganz wichtig ist, Netze zu trennen. Auch physikalisch.


    Gruß,

    Ottmar

  8. #6
    Registriert seit
    12.04.2006
    Ort
    Bayern/Oberpfalz
    Beiträge
    135
    Danke
    3
    Erhielt 15 Danke für 11 Beiträge

    Standard

    Zitat Zitat von holgermaik Beitrag anzeigen
    Warum denkt heute jeder er muss vom Sofa auf eine Industrieanlage zugreifen können?
    Das frage ich mich auch schon seit Jahren.

  9. #7
    Registriert seit
    21.04.2009
    Beiträge
    90
    Danke
    2
    Erhielt 3 Danke für 3 Beiträge

    Standard

    Der Zugriff von zuhause erfolgt per VPN-Tunnel. Welche Möglichkeiten gibt es denn die Netze physikalisch zu trennen?

    Gruß

  10. #8
    Registriert seit
    19.02.2016
    Beiträge
    462
    Danke
    8
    Erhielt 54 Danke für 49 Beiträge

    Standard

    Zitat Zitat von the_elk Beitrag anzeigen
    Das Büronetz und das Anlagennetz wurde vor 2 Jahren per VLAN getrennt.
    Wir haben vermutlich eine ähnliche Konstellation, wie ihr... (vermutlich nur "etwas" größer, da Konzernweit vernetzt...)

    "Das Anlagennetz-VLan" klingt ja schon mal gut und ist auch der 1. Schritt in die richtige Richtung, nur eben nicht genug.

    Bei uns bekommt schon mal jeder Anlagen-Hersteller sein eigenes VLan (und das jeweils pro Standort).
    15 Hersteller sind dann schon mal 15 VLans

    Hängt viel PN-Hardware in einer Anlage, kann diese auch ihr "eigenes" VLan bekommen...

    Wer jetzt von wo aus, auf was zugreifen darf, also VLan-Übergreifend ist sehr sehr restriktive geregelt.

    Beispielsweise gibt es Keinen einzigen Zugriff. "Programmier-PCs" oder die Hersteller können sich von Außen per VPN in die jeweiligen Netze einwählen. (unsere eigenen PGs landen in einem speziellen Wartungs-VLan, wo dann der Zugriff auf alle PLCs möglich ist. Und nur die Geräte, die man auch braucht...)
    Wenn Daten zwischen PLCs und "Firmen-Krams" ausgetauscht werden müssen, geht das nur über speziell gesicherte Server, die physikalisch einmal im Wartungs-VLan und einmal im Firmen-VLan hängen. (Klar, könnte man auch beide VLans an einen Switchport pappen, jedoch ist es einfach das auf dem Server mit 2 Netzwerkkarten zu restriktivieren )

    Falls nur noch Fragen hast, einfach her damit

    MfG Fabsi

  11. #9
    Registriert seit
    21.04.2009
    Beiträge
    90
    Danke
    2
    Erhielt 3 Danke für 3 Beiträge

    Standard

    Also wäre es der richtige Weg für jede Anlage ein VLAN zu erstellen. Würde das die Ausbreitung von Loops sicher verhindern?
    Das aktivieren der Loop Detection an den Siemens Switches in den Anlagen würde vermutlich nicht ausreichen?


    Gruß

  12. #10
    Registriert seit
    30.11.2008
    Ort
    Baesweiler
    Beiträge
    830
    Danke
    255
    Erhielt 120 Danke für 87 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    1. SPS-Netze voneinander trennen: CPU mit Profinet für Anlageninternes Netz, CP für Anlagenexternes Netz
    2. Büronetz wenn möglich vom Anlagenexternen Netz trennen, zur Not halt per VLAN
    3. Alle unnötigen Ports schließen
    4. VPN nur auf eine Programmierstation im Anlagenexternen Netz, per Routing kommt man dann auch ins Anlageninterne Netz
    5. Für alle Controller und Chefs auf einem Server im Anlagenexternen Netz die Produktionsdaten aufzeichnen, und per 2. Netzwerkkarte im Büronetz
    oder einem VPN-Tunnel aufgehübscht darstellen.
    gruss Markus

Ähnliche Themen

  1. Antworten: 9
    Letzter Beitrag: 19.09.2014, 23:48
  2. Vernetzung Anlage mit Ethernet Firmennetz
    Von bernd81 im Forum Simatic
    Antworten: 21
    Letzter Beitrag: 16.11.2011, 14:03
  3. Loop
    Von Wolflesch im Forum Simatic
    Antworten: 17
    Letzter Beitrag: 15.08.2008, 16:29
  4. Sortierstrecke (Loop)
    Von SinusQuadrat im Forum Programmierstrategien
    Antworten: 4
    Letzter Beitrag: 06.10.2007, 23:50
  5. loop Schleife
    Von Anonymous im Forum Simatic
    Antworten: 8
    Letzter Beitrag: 30.01.2006, 12:59

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •