Melden, informieren, schützen, fernwarten

Sicherheit - Industrial Ethernet ist als offenes System konzipiert und damit natürlich auch anfällig für ungebetene Gäste. Schutz vor unbefugter Nutzung bieten Security Router. Mit ihnen lässt sich eine komplette Anlage hinter einer einzigen IP-Adresse verbergen. Zugriffe auf das Netzwerk sind damit nur noch für die autorisierten Benutzer möglich.

20. Juli 2006

Router stehen für zwei typische Anwendungsgebiete: Sie trennen Ethernet-Netzwerke aus Gründen der Datensicherheit oder wegen der einfacheren Konfiguration, darüber hinaus eröffnen sie den Zugang ins Internet. Netzwerke wie sie bei der industriellen Fertigung, bei Maschinen oder in Büros vorkommen, verwenden zwar den gleichen Ethernetstandard, sie sind trotzdem unterschiedlich: Büronetzwerke verarbeiten größere Datenmengen bei relativ trägen Netzwerken, hier ist das ein akzeptabler Zustand. In industriellen Netzwerken dagegen resultieren zu lange Antwortzeiten in Stillständen und Fehlern und können keinesfalls akzeptiert werden. Eine völlige Trennung beider Netzwerke ist allerdings wegen der Unübersichtlichkeit nicht sinnvoll. Was also tun? Zum Isolieren und Priorisieren von Netzwerkdaten gibt es unterschiedliche Optionen, so etwa VLAN oder QoS für die Layer 2-Ebene. Security Router von Weidmüller filtert Daten auf IP-Ebene (Layer 3). Dank Features wie integrierte Firewall, Network Address Translation (NAT), Port Address Translation (PAT) und Fernzugriff über Modem ist ein solcher Router durchaus wirkungsvoll, um Netze zuverlässig zu trennen. Nur autorisierte Benutzer greifen von außen in das geschützte Netzwerk hinein und nur freigeschaltete Geräte versenden auch Daten aus dem geschützten Netzwerk heraus.

Anbindung an das Internet

Das NAT/PAT Feature verbirgt eine Maschine mit eigenem IP-Subnetz und mehreren Netzwerkteilnehmern hinter einer einzigen IP-Adresse. Externe Zugriffe auf diese IP-Adresse werden selbsttätig an eine vorbestimmte IP-Adresse im Netzwerk hinter den Router weitergeleitet. Bei Bedarf bleibt das Gerät somit von außen erreichbar.

Die beiden Industrial Access Router aus dem Hause Weidmüller, IE-AR-10T und IE-AR-10T ISDN, binden industrielle Ethernet-Netzwerke sicher und einfach ans Internet. Hierfür stehen das integrierte analoge oder ISDN Modem mit globalen Einsatzmöglichkeiten. Externe Modems (ISDN, GSM, analog) lassen sich einfach über die RS232-Schnittstelle anschließen. Eine integrierte Firewall schützt die Systeme . Die Programmierung/Konfiguration erfolgt über Browser oder Textkonsole bzw. SSH. Auch Laptops oder Handhelds lassen sich verwenden. Dies benötigt keine separate Konfigurationssoftware, sie ist bereits im Gerät implementiert. Aktualisiert wird die Software via Fernzugriff - im Rahmen der Fernwartung. Als Standard enthalten sind Funktionen wie VPN, DynDNS und Call Back.

Die meisten Fertigungs- und Produktionsanlagen sollen möglichst »rund um die Uhr« funktionieren. Stillstand und Produktionsausfälle gilt es zu verhindern oder zumindest zu minimieren. Und falls sie doch auftreten, sind sofort entsprechende Maßnahmen einzuleiten. Dazu gehört eine sofortige Benachrichtigung des Servicepersonals. Das GPRS-Alarmmodem (General Packet Radio Service) überwacht den Status von Maschinen und Anlagen. Es schlägt sofort Alarm, wenn eingestellte analoge Grenzwerte über- oder unterschritten bzw. wenn Schaltkontakte aktiviert werden. Dann sendet das Alarmmodem eine SMS zu einem Handy, überträgt ein Fax oder schickt eine E-Mail ab, auf Wunsch erfolgt ein Sprachanruf. M2M-Tarife erlauben dabei kostengünstige Lösungen. M2M steht für Machine-to Machine und bezeichnet die Datenübertragung in einer Automatisierungslandschaft via Netzwerk. Maschinen- und Anlagenbauer greifen im Wartungsfall mobil auf Anlagenteile rund um den Globus zu. Welche Meldung wann an wen verschickt wird, ist in einem Alarmplan hinterlegt. Die Alarmierung erfolgt durch einen frei konfigurierbaren Meldeplan. Acht Meldeketten stehen zur Speicherung von Zielnummern je Eingang zur Verfügung.

Global handlungsfähig

Das GPRS-Alarmmodul IE-GPRS-I/O besitzt ein stabiles Aluminiumgehäuse in Schutzart IP 20. Das robuste Metallgehäuse bietet folglich Schutz gegen elektromagnetische Einstrahlung. Mit lediglich 45 Millimetern ist das Modul zudem schmal gebaut (137 x 45 x 155 mm, L/B/H) und lässt sich auf Hutschiene TS 35 aufrasten oder optional an der Wand montieren. Am GPRS-Modul befinden sich eine Betriebsanzeige (Power aktiv), 4-8 digitale Ein- und 2-4 digitale Ausgänge, 2-4 analoge Eingänge sowie eine RS232-Schnittstelle. Jedes Alarmmodul besitzt eine redundante Stromversorgung (Eingangsspannung 8 - 24 V AC / 10 - 36 V DC redundant)

Die Halb-/Voll-Duplex GPRS-Alarmmodems von Weidmüller besitzt zudem GPRS/GSM- Modemfunktion, das heißt, es integriert einen Mikroprozessor mit GPRS/GSM-Übertragungsmodul und informiert somit Techniker weltweit. Das GPRS-Modul lässt sich auch über eine Modemverbindung fernwarten und konfigurieren. Die Modemfunktion nutzt AT-Befehle. Dank der integrierten RS-232-Schnittstelle ist ebenso ein Eingriff auf Anlagen rund um den Globus realisierbar. Sollen Daten aus Anlagenteilen verfügbar gemacht werden, die weder per Telefon noch per Netzwerk angebunden sind, so lässt sich das GPRS-Alarmmodem auch räumlich weitab platzieren. Das GPRS-Modul kann so überall dort lokalisiert werden, wo der Empfang eines GSM-Mobilfunknetzes gewährleistet ist.

Mit dem IE-GPRS-I/O können Anwender auch eine Standleitung aufbauen. Hierzu integriert das GPRS-Modul einen Web-Logger und eine Web-History. Ein zentraler Datenlogger mit gesicherter Internetanbindung erspart Anwendern aufwändige Datenlogger vor Ort. Unterstützt werden SMTP, POP3, FTP, DNS, IPTOP und UDP.

Das GPRS-Alarmodem (Datenrate max. 53,6 kb/s) überwacht das Datenvolumen, bezahlt wird also nur, was auch gebraucht wird.

Horst Kalla, Weidmüller

FAKTEN

- Industrial Access Router erlauben einfache, sichere Verbindungen zwischen Büronetzwerken oder dem Internet mit Fertigungsnetzwerken.

- in integriertes Modem macht den Router weltweit und zu jeder Zeit für Konfiguration, Veraltung und Überwachung verfügbar

- Eine VPN(Virtual Private Network)-Verbindung lässt sich zwischen zwei Routern über den lokalen Internet- Provider herstellen.

Erschienen in Ausgabe: DIGEST/2006