Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 18 von 18

Thema: Netzwerk bringt SPS Zykluszeit zum aussteigen

  1. #11
    Registriert seit
    20.11.2004
    Ort
    Linz, OÖ
    Beiträge
    1.365
    Danke
    96
    Erhielt 177 Danke für 133 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von micha732 Beitrag anzeigen
    Sorry,
    wollte hier keinen angreifen.
    Gruß
    micha732
    Es wird schon Gründe gegeben haben, warum er sich für diese Kombination entschieden hat, es steht uns frei uns unsere Meinung darüber zu bilden welche dies sind, es hilft aber nicht bei der Problembehebung.
    Es spricht allerdings nicht recht für die SPS, wenn Netzwerktraffik diese zum Absturz bringt, auch so Dinge wie IP-Adresskonflike usw. sollten einen solchen Fehler nicht verursachen dürfen.

    Nichtsdestotrotz bleiben aus meiner Sicht nur 2 Lösungen:
    Entweder Berthel behebt das mittels Firmware-Update, oder Du trennst deine SPS vom Firmennetz (mittels Firewall).
    Bin aufgrund §2 der "Rechte des Betreibers" der Forum-Regeln nicht mehr aktiv, da nicht nicht akzeptiere, dass Informationen und Erkenntnisse ohne Quellangabe weitergegeben werden sollen. Jedem steht frei, auf die gleichen Erkenntnisse durch Eigenversuche zu kommen, vor allem Buchautoren.

  2. #12
    Registriert seit
    20.11.2004
    Ort
    Linz, OÖ
    Beiträge
    1.365
    Danke
    96
    Erhielt 177 Danke für 133 Beiträge

    Standard

    Zitat Zitat von ToBo Beitrag anzeigen
    Ich habe nun ein PLC Ethernet Netzwerk, welches ich im IP Bereich 192 betreibe. Das Firmen-PC-Netzwerk liegt im IP Bereich 10.

    Nun koppel ich die beiden mit einem Router. Die erste Frage. Was für ein Router ? Ich kenne nur DSL etc. Router. Gibts da besondere?

    Zweite Frage. Wie komme ich aus dem Firmennetzwerk auf die einzelnen PLC ? Gibt es die Möglichkeit Routinglisten für beide Richtungen einzutragen und muss ich in beiden Netzwerken diesen Router als Gateway eintragen ?
    Darauf gibts keine Pauschalantwort. Router gibts von 30 € bis zu einigen 10k €. Es kommt drauf an was man machen will. Das SPS-Forum ist auch nicht das richtige Forum um dies alles im Detail durchzukauen.

    Die meisten handelsüblichen 08/15-Router sind dazu gedacht, um einem kleinen privaten Netz (LAN) den Zugang zu einem großen Netz (WAN) zu ermöglichen. Im LAN kommen üblicherweise 192er Adressen zum Einsatz, im WAN besitzt der Router genau 1 Adresse. Jeder Rechner aus dem LAN kann Verbindungen ins WAN aufbauen, vom WAN ins LAN gehts nicht (da der Router ja nur 1 Adresse hat, und ja nicht riechen kann welcher Teilnehmer im LAN denn nun angesprochen werden will).
    Bei Deiner Anwendung wäre nun das SPS-Netzwerk das LAN und das Firmennetz das WAN.

    Die meisten Router bieten nun eine Reihe einfacher Möglichkeiten, wie man dennoch ins LAN reinkommt.
    Die einfachste ist mal, wenn der Router vom LAN angesprochen wird, dass er sämtliche Anfragen an genau 1 IP-Adresse im LAN weitergibt. (damit hättest Du genau Zugriff auf 1 Gerät)
    Eine (ein bisschen bessere) Lösung ist das sogenannte Port-Forwarding. Je nachdem, welcher Port am Router angesprochen wird, leitet er diese Anfrage an eine bestimmte Adresse weiter. Dies wird über Tabellen festgelegt. Man könnte nun z.B. Port 80 und 102 an die SPS (.2) weiterleiten lassen, Port 3389 und VNC an einen Visu-PC (.3) usw. Da z.B. S7 immer mittels TCP-Port 102 auf die CPU zugreift, nützt Dir das recht wenig, da Du nur auf 1 CPU zugriff erhälst (bludie hingegen würde das schon helfen).
    Was Du brauchen würdest, wäre ein Router mit VPN-Server. Du wählst Dich mittels VPN-Client von deinem Arbeitsplatz aus auf den Router ein (mittels IPSec, User/Password, ...). Du wirst dadurch zum Teilnehmer des SPS-Netzwerkes (und erhälst auch eine 192er Adresse für die Dauer der Sitzung zugewiesen) und kannst nun zugreifen wie wenn Du direkt ins SPS-Netzwerk eingestöpselt wärst.

    noch Fragen?

    mfg Maxl
    Bin aufgrund §2 der "Rechte des Betreibers" der Forum-Regeln nicht mehr aktiv, da nicht nicht akzeptiere, dass Informationen und Erkenntnisse ohne Quellangabe weitergegeben werden sollen. Jedem steht frei, auf die gleichen Erkenntnisse durch Eigenversuche zu kommen, vor allem Buchautoren.

  3. Folgende 2 Benutzer sagen Danke zu Maxl für den nützlichen Beitrag:

    rostiger Nagel (24.08.2009),thomas_1975 (22.08.2009)

  4. #13
    Registriert seit
    20.11.2004
    Ort
    Linz, OÖ
    Beiträge
    1.365
    Danke
    96
    Erhielt 177 Danke für 133 Beiträge

    Standard

    dieser Router beherrscht z.B. VPN:
    http://www.lancom-systems.de/LANCOM-1611.99.0.html
    (ich hab selber bis jetzt aber nur den kleinen Bruder ohne VPN zur Einwahl über ISDN eingesetzt http://www.lancom-systems.de/LANCOM-800.92.0.html)
    Bin aufgrund §2 der "Rechte des Betreibers" der Forum-Regeln nicht mehr aktiv, da nicht nicht akzeptiere, dass Informationen und Erkenntnisse ohne Quellangabe weitergegeben werden sollen. Jedem steht frei, auf die gleichen Erkenntnisse durch Eigenversuche zu kommen, vor allem Buchautoren.

  5. #14
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.163
    Danke
    921
    Erhielt 3.286 Danke für 2.655 Beiträge

    Standard

    Zitat Zitat von bludie Beitrag anzeigen
    Was gibt es für Möglichkeiten, zu verhindern, das das Firmennetz Daten an die CPU sendet
    Einfach, indem die Automatisierungskomponenten IP-Adressen aus einem anderen IP-Subnetz als das Firmen-LAN erhalten.
    Allerdings kommt man dann auch nicht mehr aus dem Firmennetz auf die Automatisierungskomponenten.

    Zitat Zitat von bludie Beitrag anzeigen
    Aber da ich über TCP IP auf die ECOCon und das Touch Panel zugreife ist ein 5-fach Switch im Schaltschrank an das Firmennetzwerk gekoppelt.
    Wie Maxl schon schrieb, gibt es auf die Frage "Wie komme ich aus dem Firmennetzwerk auf die Automatisierungskomponenten?" keine Pauschalantwort.

    Die PC, die auf die Automatisierungskomponenten zugreifen sollen, müssen entweder Mitglied im PLC-Netzwerk werden
    oder ein Router zwischen dem Firmen-Netzwerk und dem PLC-Netzwerk muß her. Ein einfacher Switch ist nicht ausreichend.

    Für die technische Realisierung gibt es viele unterschiedlich aufwendige Lösungen.
    Nachfolgend nenne ich einige technischer Möglichkeiten, Verbindung zum PLC-Netzwerk zu erhalten.
    Es ist aber noch kein Schutz gegen unauthorisierte Zugriffe enthalten!

    Die Konfiguration der Netzwerk-Infrastruktur hat eigentlich nichts mehr mit SPS-Technik zu tun.
    Das sollte man immer dem örtlich verantwortlichen IT-Administrator überlassen.

    Wenn es nur 1 oder wenige PC sind, die Verbindung zum PLC-Netzwerk haben sollen, dann ist die einfachste Möglichkeit,
    wenn diese PC eine zweite Netzwerkkarte mit IP-Adresse aus der Range des PLC-Netzwerks haben und diese
    zweite Netzwerkkarte mit einem Netzwerkkabel direkt an den Switch im PLC-Netzwerk angeschlossen sind.
    (TCP/IP-Weiterleitung zwischen den Netzwerkkarten des PC muß ausgeschaltet sein!)

    Sollen mehrere PC Zugriff auf das PLC-Netzwerk haben, dann kann auf einem PC mit den zwei Netzwerkkarten
    ein Software-Router mit Firewall (z.B. M0n0wall) laufen.
    Die anderen PC richten sich dann eine statische Route mit "route add ..." zu dem Router-PC ein.
    Der stromfressende Router-PC muß dann aber immer und stabil laufen.

    Besser sind spezialisierte Hardware-Router
    * VLAN-fähiger Switch
    * managed Layer-3 Switch
    * richtig teure Router-Lösungen
    * ...

    VPN-Fähigkeit wird normalerweise nur benötigt, wenn vom Internet (WAN) zugegriffen werden soll.
    Innerhalb des Firmen-LAN könnte VPN aber als eine Authorisierungs-Möglichkeit genutzt werden.

    Soll aus dem Internet auf die Automatisierungskomponenten zugegriffen werden, so verweise ich mal
    auf einige Fernwartungs-Varianten im Thread Fernwartung über das Internet


    Damit man sich halbwegs ein Bild der verwendeten Techniken machen kann, hier eine Linksammlung:
    http://de.wikipedia.org/wiki/VLAN
    http://de.wikipedia.org/wiki/Router
    http://de.wikipedia.org/wiki/Layer-3-Switch
    Anleitung: VLAN Installation und Integration mit M0n0wall
    Anleitung: VLAN Routing über 802.1q Trunk auf MS und Linux Server o. PC und Intel NIC

    Speziell für die einfache Lösung mit 2 Netzwerkkarten:
    Routing mit 2 Netzwerkkarten unter Windows u. Linux
    Grundlagen zum TCP/IP-Routing für Windows NT
    Aktivieren der TCP/IP-Weiterleitung in Windows XP
    Aktivieren der TCP/IP-Weiterleitung in Windows 2000
    Standardgateway-Konfiguration für mehrfach vernetzte Computer
    TCP/IP- und NBT-Konfigurationsparameter für Windows XP

    ... da gibts doch auch was von Siemens ...
    Industrial Ethernet Switches / SCALANCE X-300 und X-400

    Gruß
    PN/DP
    Zitieren Zitieren Verbindung Firmen-LAN zu PLC-Netzwerk  

  6. Folgende 3 Benutzer sagen Danke zu PN/DP für den nützlichen Beitrag:

    rostiger Nagel (24.08.2009),shevek (20.11.2009),thomas_1975 (24.08.2009)

  7. #15
    Registriert seit
    05.06.2006
    Ort
    PLZ 97xxx
    Beiträge
    274
    Danke
    31
    Erhielt 44 Danke für 36 Beiträge

    Standard

    Du kannst auch eine FritzBox verwenden.
    Läßt sich als IP-Router betreiben und hat nen VPN-Server "onboard".

    z.B.
    http://www.avm.de/de/Produkte/FRITZB...3270/index.php

    habe ich selbst im Einsatz als IP-Router und VPN-Server.
    Läuft bisher astrein.

  8. #16
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.163
    Danke
    921
    Erhielt 3.286 Danke für 2.655 Beiträge

    Standard

    @Sarek

    Das klingt ja interessant.

    Kann die Fritzbox 3270 an den 4 LAN-Anschlüssen unterschiedliche IP-Bereiche?
    z.B.
    LAN1: 192.168.1.1 zu einem Switch im Firmen-LAN
    LAN2: 192.168.192.1 zum Switch PLC-Netzwerk

    und dann von 192.168.1.x zu 192.168.192.x und zurück routen?

    Gruß
    PN/DP
    Zitieren Zitieren Fritzbox als LAN-Router  

  9. #17
    Registriert seit
    05.06.2006
    Ort
    PLZ 97xxx
    Beiträge
    274
    Danke
    31
    Erhielt 44 Danke für 36 Beiträge

    Standard

    Zitat Zitat von PN/DP Beitrag anzeigen
    @Sarek

    Das klingt ja interessant.

    Kann die Fritzbox 3270 an den 4 LAN-Anschlüssen unterschiedliche IP-Bereiche?
    z.B.
    LAN1: 192.168.1.1 zu einem Switch im Firmen-LAN
    LAN2: 192.168.192.1 zum Switch PLC-Netzwerk

    und dann von 192.168.1.x zu 192.168.192.x und zurück routen?

    Gruß
    PN/DP
    Man kann die FritzBox 3270 für Internetzugang über IP konfigurieren.
    Dabei wird eine der LAN-Anschlüße für die "ausgehende" Verbindung benutzt.

    Bei mir zuhause habe z.B. folgendes damit realisiert.

    Fli4l-Router mit IP 10.10.10.1
    alle meine Rechner liegen in diesem Subnet

    FritzBox als Access Point und IP-Router
    internes Netz 192.168.178.x
    externe IP 10.10.10.3
    DNS + Gateway 10.10.10.1

    An der FritzBox hängt mein Nachbar per WLAN und kann nicht auf meine
    Netzwerkfreigaben zugreifen.
    Ich genauso wenig auf seine.

    Der Nachbar kann aber aufs Internet zugreifen. (via Fli4l)



    Was jetzt für dich interessant sein dürfte ist ein Konfig wie ich sie im Büro
    betreibe.
    Könnte für ein PLC-Netz und Werksnetz z.B. so aussehen.

    PLC-Netz: 192.168.178.0 Subnet 255.255.255.0
    Werksnetz: 192.168.0.0 Subnet 255.255.255.0

    Um sich nun gegen unauth. Zugriffe aus dem Werksnetz ins PLC-Netz zu
    schützen und trotzdem auth. Zugriffe aus dem Werksnetz zu zulassen
    kann folgendes tun:

    Fritz IP (internes Netz): z.B. 192.168.178.1
    Fritz IP (externes Netz): z.B. 192.168.0.x

    VPN-Server auf der FritzBox einrichten
    (Anleitung bei AVM)
    mit VPN Client vom Werksnetz aus in die Fritzbox einwählen.
    (als VPN-Client kannst Du ShrewVPN benutzen)

    Als Router-Adresse in Geräten des PLC-Netzes muß natürlich die
    interne Fritz-IP 192.168.178.1 angegeben werden.
    (z.B. CP343 oder TP,MP)

    Im ShrewVPN-Client kannst Du einstellen welchen IP-Bereich du tunneln
    willst, was ein riesen Vorteil ist da andere Lösungen den gesamten
    Netzwerkverkehr der nicht ins eigene Subnet gehört (z.B. Internetzugriff)
    in den Tunnel schicken.
    => wenn VPN aufgebaut ist, dann kein Internetzugriff möglich


    Ablauf:
    Du sitzt mit Deinem PG im Werksnetz und willst auf eine S7 mit CP343
    im PLC-Netz zugreifen.

    mit ShrewVPN Verbindung aufbauen
    => alle Verbindungen zum IP-Bereich des PLC-Netzes werden in den Tunnel
    geschickt

    Step7 starten und online gehen

    Anfrage geht in den Tunnel zur FritzBox und werden zur S7 weitergeleitet
    die Antwort geht zurück auf den in der HW-Konf eingestellten Router
    (=FritzBox) und von da aus wieder in den Tunnel zu Deinem PG

  10. Folgende 2 Benutzer sagen Danke zu Sarek für den nützlichen Beitrag:

    PN/DP (25.08.2009),shevek (20.11.2009)

  11. #18
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.163
    Danke
    921
    Erhielt 3.286 Danke für 2.655 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hallo Sarek,

    gute Idee, gute Konfig und gute Erklärung - Danke!
    Und so ganz nebenbei auch noch ne Authorisierung.

    Ich sagte bereits "Das klingt ja interessant."

    Gruß
    PN/DP
    Zitieren Zitieren Danke  

Ähnliche Themen

  1. was bringt gleichzeigtiger Zugriff auf viele S7 ?
    Von Fliegertiger im Forum Hochsprachen - OPC
    Antworten: 23
    Letzter Beitrag: 21.01.2010, 20:18
  2. Zusammenhang Zykluszeit Profibus Zykluszeit SPS
    Von Peltzerserbe im Forum Feldbusse
    Antworten: 1
    Letzter Beitrag: 28.04.2008, 22:09
  3. Wie bringt man den Code in den Anhang
    Von xhasx im Forum Stammtisch
    Antworten: 3
    Letzter Beitrag: 18.12.2007, 08:09
  4. SFC15 im FB bringt Fehler!
    Von INST im Forum Simatic
    Antworten: 15
    Letzter Beitrag: 30.03.2007, 12:03
  5. AuthorsW bringt Fehlermeldung
    Von Input im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 27.04.2005, 11:32

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •