TIA Kann das Ethernet Firmennetz die CPU-Netzwerkverbindung 'töten'

volker

volker

Supermoderator
Teammitglied
Beiträge
5.891
Reaktionspunkte
1.063
Zuviel Werbung?
-> Hier kostenlos registrieren
Erst mal zum Aufbau

CPU 1518F
IPx1: internes Maschinennetz
IPx2: Firmennetz für Daten. z.b. 173.21.10.x
IPx3: Firmennetz für HMI. z.b 173.21.20.x

Innerhalb der Anlage gehen alle Firmennetz Verbindungen auf jeweils einen XC2xx und werden dort gesammelt.
Von diesen XC2xx je eine Verbindung aufs Firmennetz.

Heute hatten wir extreme Netzwerkprobleme innerhalb der Firma.
Ich konnte die Kollegen nur telefonisch unterstützen.
Aus dem Home-Office konnte ich x2 und x3 nicht mal anpingen (aber lassen wir das mal aussen vor)

Die Kollegen haben sich auf x2 und x3 per lan aufgesteckt.
Keine Verbindung zur CPU möglich.
Über Online Zugänge waren die Teilnehmer sichtbar.
Auch die externen Anlagen die über x2 mit der CPU Kommunizieren hatten alle einen Verbindungsfehler (auf die hatte ich Zugriff über HO)
Mit viel Bauchschmerzen habe ich die CPU spannungslos machen lassen.
Das hat aber nichts gebracht.
Online Diagnose der CPU hat nichts gebracht da der ganze Puffer voll war mir Bereichslängenfehlern. :(

Nach ca 1,5 Stunden suche war die CPU plötzlich wieder anpingbar und die Kollegen vor Ort sowie auch ich aus dem HO konnten sich wieder verbinden.

JETZT MEINE FRAGE
Kann es sein, dass ein Fehler zum Firmennetz das ja im Prinzip interne Netz (mal abgesehen von der einen Verbindung zum Firmennetz) kollabieren lassen kann?

EDIT:
eine grobe grafische Übersicht

1680540253191.png
 
Zuletzt bearbeitet:
volker schrieb:
Kann es sein, dass ein Fehler zum Firmennetz das ja im Prinzip interne Netzt (mal abgesehen von der einen Verbindung zum Firmennetz) kollabieren lassen kann?
Zum Vergrößern anklicken....
Hallo Volker,
ja ... das kann sein und das habe ich auch schon so erlebt (mehr als einmal). Allerdings nicht so einen langen Ausfall sondern "nur" ein mal kurzer Zusammenbruch des PN der Anlage (den aber dann öfter mal). Hier waren allerdings physikalisch auch alle PN-Teilnehmer (nicht nur von der einen Anlage) zwar über einen Switch aber komplett auf dem Firmennetz.
Allerdings sollte die von dir genannte CPU dieses Problem nicht haben, da die 3 Ports jeder für sich autark sein müßten - also wie unterschiedlich Netzwerkkarten in einem PC.
In welchem IP-Bereich läuft denn die IPx1 ?
Wie würde sich ein Ausfall der HMI auf die Anlage auswirken - doch eigentlich gar nicht (außer Bedienung) ?
Was ist wenn keine Daten mehr ankommen bzw. herausgehen können ?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Das mit den 3 Netzen sehe ich ähnlich.
Wie sich das interne Maschinennetz genau verhalten hat kann ich jetzt nicht genau sagen. Kann nur die Aussage der Kollegen zitieren 'alles steht'
Aber das ist jetz schwer zu beurteilen. ohne vor Ort geschaut zu haben.
Die IP-Range des internen Netz ist (ohne das ich das gerade nachschauen könnte (255.0.0.0 aber völlig andere IP (10.x.x.x) als das Firmennetz)
Die Range der IP1 und 2 sind 255.255.255.0. Die sollten sich also eigentlich nicht in die Quere kommen.
Der Ausfall der HMI(x2)ist erst mal nicht soooo tragisch (es sei den die Bediener müssen was von Hand eingeben,korrigieren)
Der Ausfall von x3 ist da schon tragisch. Hier werden DMC-Daten übertragen die für den Prozess unerlässlich sind. Spätestens nach 1 Stunde steht die Halle und die Leute müssen per Hand abpacken.
Die Daten aus den externen Anlagen werde dort zwar in einem Sendepuffer gespeichert (sind also erst mal nicht verloren) aber wenn diese Daten in einem Folgeprozess benötigt werden ist Holland in Not.
 
Und ihr seid sicher das da nicht irgendwo am Firmennetzwerk gebastelt wurde ? Serverupdate oder neue Hardware eingebaut ?

Kenne ich alles zur Genüge… „och, hat dir keiner Bescheid gesagt“ 💁🏻💩
 
ja. das ist sogar sehr wahrscheinlich. die it bastelt mal wieder schwer rum um die sicherheit zu erhöhen.
mein prob ist aber doch, dass die it mein mehr oder weniger autarkes netz zum kollabieren bringen kann.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
volker schrieb:
ja. das ist sogar sehr wahrscheinlich. die it bastelt mal wieder schwer rum um die sicherheit zu erhöhen.
mein prob ist aber doch, dass die it mein mehr oder weniger autarkes netz zum kollabieren bringen kann.
Zum Vergrößern anklicken....
wer weiß. Vielleicht ne Firewall Supersafe 5000 installiert und die Portfreigaben und ähnliches erst später wieder eingepflegt. Das erklärt warum es nach 1,5 Stunden wieder lief.
Ich gehe mal davon aus das dein Maschinennetz nicht betroffen war.

Ich hatte die Tage PanelPCs (neu vom Lieferanten) bei denen der Ping blockiert war. Warum macht man so etwas ?
 
Lipperlandstern schrieb:
wer weiß. Vielleicht ne Firewall Supersafe 5000 installiert und die Portfreigaben und ähnliches erst später wieder eingepflegt. Das erklärt warum es nach 1,5 Stunden wieder lief.
Zum Vergrößern anklicken....
Das würde sicherlich erklären warum ich von extern nicht mehr Zugriff hatte.
Aber die Leute vor Ort die direkt auf der CPU aufgesteckt waren hätten Zugriff haben müssen.

In wie weit das Maschinennetz (10...) betroffen war kann ich jetzt nicht sagen. Ich weiss nur das (fast) nichts lief. Aber das kann durchaus aus der fehlenden kommunikation der andern Anlagenteile liegen

Und warum man einen Ping blockt..... Nun ja...... Ich habe hier auch diverse VORGESETZTE die so ein bisschen .... ich nenn es mal paranoia haben.
 
Ohne natürlich euer Firmenkonstrukt zu kennen.
Das netzwerktechnisch "dümmste" Phänomen, was ich je hatte war ein vom Elektroinstallateur auf der IBN neu gezogenes PN-Kabel, bei dem der besagte Herr einseitig den Anschlussstecker bereits montiert und am Switch eingesteckt hat. Auf der anderen Seite abisoliert und 2 Adern miteinander in Kontakt gekommen sind.
Das bringt dir das gesamte (Profinet-)Netzwerk zum abschmieren bis nichts mehr geht.
Inkl. keinerlei gefundene Teilnehmer im Lokalnetz.
Erledigt wars dann am nächsten Tag, nachdem das neue Kabel im Klemmkasten eingefädelt und mit Stecker versehen war...

Ich war wirklich bei allem am Zweifeln...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Was auch ein Phänomen sein kann ist dass, wenn Netzwerkkabel an Switches umgesteckt werden und Teilnehmer nicht mehr über die im Switch hinterlegten Tables erreichbar sind. Switches legen intern Listen an, welche MAC Adressen über welchen Port erreichbar sind. Wenn nun die Netzwerkkabel umgesteckt werden, dann kann es bei manchen Herstellern dazu kommen, dass die Liste durch das kurze Abziehen des Kabels nicht abgelöscht werden. Somit leiten die Switches die Pakete an den falschen Port raus und kommen nicht ans Ziel.
 
Möglich wäre, dass Netze mit gleichen IP-Adressen zusammengeschaltet wurden. Wenn mit "Teilnehmer sichtbar über Online-Zugang" die Funktion um Profinet erreichbare Teilnehmer zu suchen verwendet wurde, würde das auch erklären warum das funktioniert, weil das nicht auf IP-Adressen basiert. Aber einfach so übernehmen Router und Switche auch nicht eine neue MAC Adresse in ihre Tabelle, da muss es schon eine Unterbrechung gegeben haben und dann waren andere zuerst da.

Oder was auch schon mal vorkommt, dass jemand einen Ring zusammenpatcht, dann kommt auch das ganze Netz zum erliegen.
 
Das was @Thomas_v2.1 da schreibt (Ring zusammenpatched oder auch 2 unterschiedliche Netze verbunden) habe ich tatsächlich auch schon erlebt. Hierbei ist es "toll", dass sich das nicht sofort auswirkt sondern erst mit einer gewissen Zeitverzögerung ... und gleichzeit führt ein Beheben auch nicht zum sofortigen Erfolg. Es hätte aber auch die von dir beschriebene Auswirkung ...
Wenn es so etwas war wirst du das aber wahrscheinlich nie herausbekommen - weil das ist nie einer gewesen und so etwas kommt auch nicht vor ... :cool:

Ich nehme mal an, dass aus der CPU-Diagnose zum PN selbst nichts herausgelesen worden ist (oder nichts aussagekräftiges drin stand).
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Was sagt denn eure IT zu dem Ausfall?

So wie Du es beschreibst ist das ja nicht unerheblich und kann zu massiven Problemen in der Produktion führen,
da werden sie Dich ja kaum mit einem Schulterzucken abwimmeln können?

Was viele nicht verstehen ist ja das es nicht um Schuldzuweisung oder Fingerzeigen geht, sondern das man Probleme löst / verhindert.

Grüße

Marcel
 
Matze001 schrieb:
Was viele nicht verstehen ist ja das es nicht um Schuldzuweisung oder Fingerzeigen geht, sondern das man Probleme löst / verhindert.
Zum Vergrößern anklicken....
Es ist aber schon ein Zusammenhang da - wenn man nicht weiß (oder wissen will) wer Schuld hatte oder was Schuld war dann kann man es auch für die Zukunft nicht verhindern ...
 
Nein ich meine damit das man jetzt nicht sagen will das Max Mustermann ein Trottel ist und an allem Schuld ist, und das die ach so blöde IT das verbockt hat. Sondern wichtig ist das man rausfindet das ein Fehler der in der IT gemacht werden kann dazu führt da die Produktion steht, der Fehler besteht darin das ein Mitarbeiter versehentlich Option X aktiviert, und damit alles killt. Dieser Ausfall soll jetzt als Weckruf gesehen werden solche Fehler zu finden und zu verhindern, bzw. das was passiert ist nicht nochmal passieren zu lassen.

Fehler sind normal und menschlich. Es werden immer welche passieren. Wichtig ist das man sie sauber kommuniziert und es dann besser macht.

Grüße

Marcel
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Eine Frage habe ich dazu.
Du hast geschrieben aus dem HO war X2 und X3 nicht pingbar.

Mit Ausnahme einiger Fernwartungsrouter, hat man doch von außen ein anderes Subnetz als Firmennetz 1 und Firmennetz 2.
An der CPU sollte eigentlich nur auf einer Schnittstelle ein Gateway hinterlegt sein wenn ich nicht irre, von daher sollte es so oder so nur möglich sein eine der 2 Schnittstellen von einem fremden Subnetz aus zu erreichen.

Wir hatten vor einiger Zeit mal einen Ring im Anlagennetz, war schön anzusehen, die HMI wurden sehr langsam aber haben noch funktioniert. und je nach dem wie die Geräte zum eigentlichen Ring in der Topologie standen liefen sie noch oder nicht mehr.
 
chbg schrieb:
Wir hatten vor einiger Zeit mal einen Ring im Anlagennetz, war schön anzusehen, die HMI wurden sehr langsam aber haben noch funktioniert. und je nach dem wie die Geräte zum eigentlichen Ring in der Topologie standen liefen sie noch oder nicht mehr.
Zum Vergrößern anklicken....
Es gibt Switches die eine Loop-Erkennung besitzen, und zumindest versuchen einen Zusammenbruch des Netzes zu vermeiden.
 
Thomas_v2.1 schrieb:
Es gibt Switches die eine Loop-Erkennung besitzen, und zumindest versuchen einen Zusammenbruch des Netzes zu vermeiden.
Zum Vergrößern anklicken....
Dann muss aber immer eingestellt werden.
Bei Scalance switchen ist das nie eingestellt.

Bei uns hatten wir auch mal einen Loop, dieser hat die gesamte Holding inclusive Anlagennetz stillgelegt.
Seit dem haben wir 2 komplett getrennte Netze.

Switching-Loop – Wikipedia

de.wikipedia.org de.wikipedia.org
 

Similar threads

D
TIA SITOP UPS1600 kann nicht gefunden werden
Antworten
4
Aufrufe
840
ChristophD
ChristophD
Zurück
Oben