TIA Probleme mit PUT GET

[DCDCDC]

Zuviel Werbung?
-> Hier kostenlos registrieren

Würde das ganze auch über einen PN/PN Koppler lösen.

 

[Thomas_v2.1]

Bei dem heutigen Hype über Kommunikations-Verschlüsselung und Zertifikate muß man im Vergleich dazu PUT/GET einfach als unsicher bezeichnen. Nicht umsonst muß man die PUT/GET-Kommunikation extra erlauben/freischalten.

Ich habe aber nicht nach Hypes gefragt, sondern was für dich die sichere Variante ist.

 

[DCDCDC]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich habe aber nicht nach Hypes gefragt, sondern was für dich die sichere Variante ist.

Wie viele schon gesagt haben, PN/PN Koppler.

 

[Thomas_v2.1]

Wie viele schon gesagt haben, PN/PN Koppler.

Ich habe dich zwar nicht gefragt. Aber welche Sicherheitsmechanismen unterstützt denn der PN/PN-Koppler bzw. das Profinet-Protokoll. Authentifizierung? Schutz gegen Mitlesen der Daten und / oder Datenmanipulation? Siemens behauptet in seinen Dokumenten, dass Profinet nur in geschützten / abgetrennten und gesicherten Netzwerken einzusetzen ist, weil eben alles was für Datensicherheit spricht in diesem Protokoll nicht vorhanden ist.

 

[Oberchefe]

Der PN/PN-Koppler hat meiner Meinung nach den Vorteil, dass bei falscher Konfiguration im Partnerprogramm nicht versehentlich die falschen Daten im eigenen Programm überschrieben werden. Er hilft aber nicht, wenn jemand absichtlich mit entsprechender krimineller Energie und Know-How an die Daten will.

 

[DeltaMikeAir]

Zuviel Werbung?
-> Hier kostenlos registrieren

Früher haben wir Anlagenverbunde per MPI und PUT/GET verbunden. Z.b. 8x Palettierer + 2x Palettentransport.

Hat wunderbar funktioniert. DP/DP Koppler wurden aus Kostengründen nicht verbaut ( außer bei Kunden mit noch mehr Anlagen im Verbund ).

Aber:
Da muss man halt wissen, was man macht, wenn man sich mit dem PG an das MPI Netz hängt....

Wenn da jemand sagt "Ich habe doppelte IPs und Gerätenamen im Netz, warum geht die CPU in Stop" dann läuft was schief und ich Frage mich schon, ob man Geld für einen Koppler ausgeben muss nur um die Wissensdefizite ausgleichen zu müssen.

Das Ganze an Failsafe-Steuerungen wohlgemerkt.

 

[DeltaMikeAir]

Wie viele schon gesagt haben, PN/PN Koppler.

100% sicher ist ein PN/PN Koppler in dem Fall auch nicht. Wenn da Leute hantieren, die keine Ahnung haben, dann reicht es schon ein Netzwerkkabel am Koppler falsch zu stecken oder es im Betrieb umzustecken und schon stehen ( in dem Fall ) beide Anlagen.

 

[Onkel Dagobert]

Ich habe aber nicht nach Hypes gefragt, sondern was für dich die sichere Variante ist.

Sicher ist sicher nicht sicher, aber du kannst sicher darüber philosophieren.

 

[DCDCDC]

Zuviel Werbung?
-> Hier kostenlos registrieren

100% sicher ist ein PN/PN Koppler in dem Fall auch nicht. Wenn da Leute hantieren, die keine Ahnung haben, dann reicht es schon ein Netzwerkkabel am Koppler falsch zu stecken oder es im Betrieb umzustecken und schon stehen ( in dem Fall ) beide Anlagen.

Natürlich ist der auch nicht sicher, aber du hast immerhin dadurch immer noch eine Trennung von den beiden Netzen und immerhin etwas Möglichkeit für Diagnose (Datengültigkeit, Unterspannung usw.), zudem MUSS die Konfiguraion übereinstimmen in beiden Projekten bevor senden/empfangen funktioniert. Wenn das ganze auch noch mit managed Switches erfolgt, umso schöner.

 

[DeltaMikeAir]

Man kann auch denn Ball einmal flach halten. Es geht hier darum, eine Kommunikation zwischen zwei eigenen Maschinen aufzubauen.

Früher hat man dann ein paar Meter Netzwerkkabel / Profibuskabel genommen, entsprechend parametriert und gut.

Jetzt brauchts PN/PN Koppler oder

managed Switches

??

Wenn es um Kommunikation zu Fremdsystemen geht, dann bin ich auch beim PN/PN Koppler. Aber zwischen zwei eigenen Maschinen?
Wie gesagt, die Problematik kam hoch weil der TE nicht weiß, dass mehrere Teilnehmer mit gleicher IP/Gerätenamen nicht funktionieren und sich wundert.

Da wäre mein erster Schritt einmal, sich in dem Bereich weiterzubilden und nicht als Ausweichmaßnahme PN/PN Koppler oder managed Switche einzusetzen. Oder glaubst du er kann einen managed Switch konfigurieren wenn er nicht einmal weiß dass zwei gleiche IP´s ein Problem darstellen?

 

[ducati]

Man kann auch denn Ball einmal flach halten. Es geht hier darum, eine Kommunikation zwischen zwei eigenen Maschinen aufzubauen.

Früher hat man dann ein paar Meter Netzwerkkabel / Profibuskabel genommen, entsprechend parametriert und gut.

Jetzt brauchts PN/PN Koppler oder

??

Wenn es um Kommunikation zu Fremdsystemen geht, dann bin ich auch beim PN/PN Koppler. Aber zwischen zwei eigenen Maschinen?
Wie gesagt, die Problematik kam hoch weil der TE nicht weiß, dass mehrere Teilnehmer mit gleicher IP/Gerätenamen nicht funktionieren und sich wundert.

Da wäre mein erster Schritt einmal, sich in dem Bereich weiterzubilden und nicht als Ausweichmaßnahme PN/PN Koppler oder managed Switche einzusetzen. Oder glaubst du er kann einen managed Switch konfigurieren wenn er nicht einmal weiß dass zwei gleiche IP´s ein Problem darstellen?

Naja, wenn die 2 SPSn scheinbar nicht im selben TIA-Projekt liegen und dort auch noch evtl. Profisafeteilnehmer drin sind, würd ich auf jeden Fall PNPN-Koppler einsetzen. Weil da müssen nicht nur IP-Adresse und PNIO-Gerätenamen eindeutig sein, sondern auch noch die Profisafe-Adressen. Falls jetzt die in den 2 Anlagen auch noch gleich sind, müsste der TE (oder auch sonst) das Safetyprogramm anpassen incl. neuer Checksumme und Safety-Prüfung und Dokumentation.

Also PNPN-Koppler zur Trennung von Netzen und Anlagen (erst recht bei F-Steuerungen) wär bei mir so oder so die erste Wahl...

 

[StP]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich habe dich zwar nicht gefragt. Aber welche Sicherheitsmechanismen unterstützt denn der PN/PN-Koppler bzw. das Profinet-Protokoll. Authentifizierung? Schutz gegen Mitlesen der Daten und / oder Datenmanipulation?

Nichts von alledem - das ist aber auch nicht seine Aufgabe.
Das Gute am PN-Koppler ist, dass er nur die reinen Profinet-Daten zwischen den beiden Schnittstellen routet, aber nicht den übrigen Netzwerkverkehr (zumindest mal theoretisch, ab das Siemens dann auch wirklich 100% sauber umgesetzt hat, weiß ich nicht, nehme aber grundsätzlich mal "ja" an).
Das heißt die beiden Netze sind komplett getrennt, können gleiche oder unterschiedliche Adresskreise und Adressen haben, es ist auch kein direkter Zugriff auf Teilnehmer im anderen Netz möglich.
Nutzdaten mitlesen und eventuell verändern wäre natürlich theoretisch möglich.
Ideal ist der Koppler zur Anbindung von Fremdsystemen, bei denen man außer einer definierten Schnittstelle keinerlei Zugriff haben will.

 

[DCDCDC]

Nichts von alledem - das ist aber auch nicht seine Aufgabe.
Das Gute am PN-Koppler ist, dass er nur die reinen Profinet-Daten zwischen den beiden Schnittstellen routet, aber nicht den übrigen Netzwerkverkehr (zumindest mal theoretisch, ab das Siemens dann auch wirklich 100% sauber umgesetzt hat, weiß ich nicht, nehme aber grundsätzlich mal "ja" an).
Das heißt die beiden Netze sind komplett getrennt, können gleiche oder unterschiedliche Adresskreise und Adressen haben, es ist auch kein direkter Zugriff auf Teilnehmer im anderen Netz möglich.
Nutzdaten mitlesen und eventuell verändern wäre natürlich theoretisch möglich.
Ideal ist der Koppler zur Anbindung von Fremdsystemen, bei denen man außer einer definierten Schnittstelle keinerlei Zugriff haben will.

Zu dem Fall mit Datenmanipulation.. bräuchte es nicht dazu einen Port der den Datenverkehr spiegelt?

 

[StP]

Zu dem Fall mit Datenmanipulation.. bräuchte es nicht dazu einen Port der den Datenverkehr spiegelt?

Ja, plus wireshark oä.
Aber das ist mMn eher für Diagnosezwecke nützlich, als für Sabotage - wenn ich den Zugang zum Netzwerk habe, kann ich auch einfach einen Hammer oder Seitenschneider verwenden, um Chaos und Zerstörung zu schaffen.

 

[Thomas_v2.1]

Zuviel Werbung?
-> Hier kostenlos registrieren

Sicher ist sicher nicht sicher, aber du kannst sicher darüber philosophieren.

Ich habe nicht die These mit "unsicher" in den Raum gestellt. Derjenige der das getan hat, verweigert sich ja jeglicher Aussage. Was auch eine Aussage ist.

 

[Thomas_v2.1]

Das Gute am PN-Koppler ist, dass er nur die reinen Profinet-Daten zwischen den beiden Schnittstellen routet, aber nicht den übrigen Netzwerkverkehr (zumindest mal theoretisch, ab das Siemens dann auch wirklich 100% sauber umgesetzt hat, weiß ich nicht, nehme aber grundsätzlich mal "ja" an).

Stelle mal bei Siemens eine Anfrage, du benötigst ein Beleg für eine Anwendung in einer Kritis-Umgebung, dass der PN/PN-Koppler keine anderen Daten durchleitet.

Außerdem ist Profinet nicht manipulationssicher. Der PN/PN Koppler kann die Daten beliebig verändern, ohne dass einer der beiden Teilnehmer davon erfahren würde.

 

[Onkel Dagobert]

Ich habe nicht die These mit "unsicher" in den Raum gestellt. Derjenige der das getan hat, verweigert sich ja jeglicher Aussage. Was auch eine Aussage ist.

Du weißt sehr genau, dass Harald den Begriff "sicher" anders verwendet hat, als du jetzt hinein interpredierst. Es wird gerade etwas albern.

 

[DeltaMikeAir]

Zuviel Werbung?
-> Hier kostenlos registrieren

Zusammenfassend ist wohl die Kommunikation am sichersten, die nicht existiert.

 

[ducati]

Vielleicht sollte man Grundsatzdiskussionen häufiger auslagern und persönliche Anliegen privat diskutieren.
Aber häufig ist die Antwort auf die Frage eben nen ganz anderes Konzept. So wie hier, warum geht PutGet nicht? Antwort, nimm nen PNPN-Koppler...warum, weils in dem Fall einfach schneller, besser, einfacher, billiger, "sicherer"... ist.
Wie halt auch beim Kunden, meine Sicherung zeigt ständig Störung, kannst Du den Eingang invertieren? Nöö..., kann ich nicht, schalte doch einfach die Sicherung wieder ein und schau, warum die immer rausfliegt

Gibt halt zwei Arten von Leuten, die einen wolln nur schnell nen konkretes Problem lösen und dann schnell nach Hause, die anderen wolln die Hintergründe hinter dem Problem exakt verstehn...