# Netzwerk bringt SPS Zykluszeit zum aussteigen



## bludie (23 Juli 2009)

Hallo,
ich habe ein Problem mit einer Berthel ECOcon 50  ( http://www.berthel-online.de/product...n_50_lay05.pdf) mit Profibus master und Ethernet Schnittstelle. 
Zur Hardware: Ecocon 50 als Profibus Master mit Anschaltung verschiedener Slaves von verschiedenen Hestellern ( Festo, Bosch-Rexroth, Pilz, Turk, ESR,...).
Als Visualisierungstool steht ein 10 Zoll Touch Panel (Vipa) mit Zenon 6.22 SP1 Runtime zur Verfügung. Soweit geht auch alles klar. 
Aber da ich über TCP IP auf die ECOCon und das Touch Panel zugreife ist ein 5-fach Switch im Schaltschrank an das Firmennetzwerk gekoppelt. Die normale Zykuszeit der CPU beträgt so ca. 35ms. Ab und zu habe ich aber Ausreißer dazwischen, die dann die Zykluszeit auf über 300ms ansteigenlassen, was dann zum Stop der CPU führt. Ich denke, das es mit unserem Netzwerk zu tun hat, denn wenn ich das Touch Panel über Crossover direkt an die ECOCon anschließe und den PC über Nullmodem an die ECOCOn, dann ist die Zykluszeit stabil.
Was gibt es für Möglichkeiten, zu verhindern, das das Firmennetz Daten an die CPU sendet, die diese zu einem Anstieg des Zyklusses zwingen. Bin da ziemlich ratlos.
Hatte dieses Thema hier schon mal aufgegriffen,
daraufhin sollte ich doch noch mal überprüfen, ob es wirklich mit dem Netzwerk zu tun hat. Heute kann ich sagen "JA".
Habe nämlich das Panel mit der SPS über einen längeren Zeitraum autark über einen 5-Port Switch laufen lassen, was zu keinen Problemen führte. Schließe ich nun das Netzwerk zusätzlich an den Switch mit an, so steigt mir die SPS so ca. 3-mal am Tag aus.
Wer weiss hier Rat?


----------



## Rainer Hönle (23 Juli 2009)

Kann es sein, dass die CPU ihre Daten nicht versenden kann und dabei etwas hängt? Und somit die Zykluszeit ansteigt? Was sagt Berthel dazu?


----------



## bludie (29 Juli 2009)

*Antwort von Fa. Berthel*

Der Support von Fa. Berthel schreibt das es ein Betriebssystemupdate geben könnte, welches dieses Problem evtl. abstellt. Dieses ist aber wohl von der Abt. Entwicklung noch nicht freigegeben worden.
Bin dann ja mal gespannt.
Sobald ich mehr weiss, werde ich es hier kundtun.


----------



## micha732 (17 August 2009)

*Warum Berthel SPS?*

Hi,

mich wundert schon ein wenig, warum du eine Bethel SPS an ein VIPA TP 10" anschließt und das ganze dann noch mit zenon visualisierts?

Warum verwendest du keine VIPA SPS?

Die sind doch auch mit STEP 7 programmierbar, du hast einen Ansprechparter für Bestellung, einen Supportansprechpartener für VISU und SPS!

Geht es hier nur ums Geld? Berthel ist einfach nur billig! 

Sprech doch mal deinen VIPA Vertriebler an. Vielleicht kann man da bei der SPS ja noch was machen.

Viele Grüße

micha732


----------



## Chefmech (18 August 2009)

Hast du evtl. einen Adresskonflikt, weil du deiner SPS eine statische IP im DHCP Bereich zugewiesen hast? Oder sogar einen Mac-Adressen konflikt?
Welches Subnet / Subnetzmask verwendest du, die selbe wie im Firmen Netzwek?

Evtl. mal einen HUB (keinen Switch!!) und deinen PC ranhängen (zwischen SPS und Switch) und mal mit Wireshark checken, was denn da so läuft auf deinem Netz.

www.wireshark.org


----------



## Maxl (22 August 2009)

micha732 schrieb:


> Hi,
> 
> mich wundert schon ein wenig, warum du eine Bethel SPS an ein VIPA TP 10" anschließt und das ganze dann noch mit zenon visualisierts?
> 
> ...


Vielen Dank für diesen Beitrag, der bis jetzt mit Abstand am meisten zur Lösung des Problems beigetragen hat, und schöne Grüße nach Herzogenaurach.


----------



## Maxl (22 August 2009)

Chefmech schrieb:


> Hast du evtl. einen Adresskonflikt, weil du deiner SPS eine statische IP im DHCP Bereich zugewiesen hast? Oder sogar einen Mac-Adressen konflikt?
> Welches Subnet / Subnetzmask verwendest du, die selbe wie im Firmen Netzwek?
> 
> Evtl. mal einen HUB (keinen Switch!!) und deinen PC ranhängen (zwischen SPS und Switch) und mal mit Wireshark checken, was denn da so läuft auf deinem Netz.
> ...


Falls Du damit nicht weiterkommst, bleibt als letzte Lösung nur noch ein Router zwischen Firmennetz und Switch. Je nachdem, worauf Du vom Firmennetz aus Zugriff brauchst, kann ein einfaches Modell genügen.

mfg Maxl


----------



## PN/DP (22 August 2009)

*Trennung PLC-Netzwerk von Firmen-PC-Netzwerk*

Hallo bludie,

wie schon von Maxl vorgeschlagen: mach einen Router zwischen Dein PLC-Netzwerk und das Firmen-PC-Netzwerk. Das ist quasi Pflicht und anerkannte technische Regel. Gib der SPS und den anderen Automatisierungskomponenten feste IP-Adressen aus einer ganz anderen Netzwerk-Range, z.B. 192.168.192.x

Damit hältst Du schon mal den allermeisten unerwünschten Traffik von Deinem PLC-Netzwerk und damit von Deiner Berthel-SPS fern. Und nur so bekommst Du das Problem der möglichen und möglicherweise verheerenden unauthorisierten Zugriffe auf Deine Automatisierungskomponenten mit vertretbarem Aufwand in den Griff.

MfG
PN/DP


----------



## ToBo (22 August 2009)

Dieses Thema interessiert mich 


Ich habe nun ein PLC Ethernet Netzwerk, welches ich im IP Bereich
192 betreibe. Das Firmen-PC-Netzwerk liegt im IP Bereich 10.

Nun koppel ich die beiden mit einem Router. Die erste Frage. Was
für ein Router ? Ich kenne nur DSL etc. Router. Gibts da besondere?

Zweite Frage. Wie komme ich aus dem Firmennetzwerk auf die einzelnen
PLC ? Gibt es die Möglichkeit Routinglisten für beide Richtungen
einzutragen und muss ich in beiden Netzwerken diesen Router als
Gateway eintragen ?


----------



## micha732 (22 August 2009)

*Sorry, mich hat nur die Zusammenstellung gewundert*



Maxl schrieb:


> Vielen Dank für diesen Beitrag, der bis jetzt mit Abstand am meisten zur Lösung des Problems beigetragen hat, und schöne Grüße nach Herzogenaurach.


 
Sorry,

wollte hier keinen angreifen.

Gruß
micha732


----------



## Maxl (22 August 2009)

micha732 schrieb:


> Sorry,
> wollte hier keinen angreifen.
> Gruß
> micha732


Es wird schon Gründe gegeben haben, warum er sich für diese Kombination entschieden hat, es steht uns frei uns unsere Meinung darüber zu bilden welche dies sind, es hilft aber nicht bei der Problembehebung.
Es spricht allerdings nicht recht für die SPS, wenn Netzwerktraffik diese zum Absturz bringt, auch so Dinge wie IP-Adresskonflike usw. sollten einen solchen Fehler nicht verursachen dürfen.

Nichtsdestotrotz bleiben aus meiner Sicht nur 2 Lösungen:
Entweder Berthel behebt das mittels Firmware-Update, oder Du trennst deine SPS vom Firmennetz (mittels Firewall).


----------



## Maxl (22 August 2009)

ToBo schrieb:


> Ich habe nun ein PLC Ethernet Netzwerk, welches ich im IP Bereich 192 betreibe. Das Firmen-PC-Netzwerk liegt im IP Bereich 10.
> 
> Nun koppel ich die beiden mit einem Router. Die erste Frage. Was für ein Router ? Ich kenne nur DSL etc. Router. Gibts da besondere?
> 
> Zweite Frage. Wie komme ich aus dem Firmennetzwerk auf die einzelnen PLC ? Gibt es die Möglichkeit Routinglisten für beide Richtungen einzutragen und muss ich in beiden Netzwerken diesen Router als Gateway eintragen ?


Darauf gibts keine Pauschalantwort. Router gibts von 30 € bis zu einigen 10k €. Es kommt drauf an was man machen will. Das SPS-Forum ist auch nicht das richtige Forum um dies alles im Detail durchzukauen.

Die meisten handelsüblichen 08/15-Router sind dazu gedacht, um einem kleinen privaten Netz (LAN) den Zugang zu einem großen Netz (WAN) zu ermöglichen. Im LAN kommen üblicherweise 192er Adressen zum Einsatz, im WAN besitzt der Router genau 1 Adresse. Jeder Rechner aus dem LAN kann Verbindungen ins WAN aufbauen, vom WAN ins LAN gehts nicht (da der Router ja nur 1 Adresse hat, und ja nicht riechen kann welcher Teilnehmer im LAN denn nun angesprochen werden will).
Bei Deiner Anwendung wäre nun das SPS-Netzwerk das LAN und das Firmennetz das WAN.

Die meisten Router bieten nun eine Reihe einfacher Möglichkeiten, wie man dennoch ins LAN reinkommt.
Die einfachste ist mal, wenn der Router vom LAN angesprochen wird, dass er sämtliche Anfragen an genau 1 IP-Adresse im LAN weitergibt. (damit hättest Du genau Zugriff auf 1 Gerät)
Eine (ein bisschen bessere) Lösung ist das sogenannte Port-Forwarding. Je nachdem, welcher Port am Router angesprochen wird, leitet er diese Anfrage an eine bestimmte Adresse weiter. Dies wird über Tabellen festgelegt. Man könnte nun z.B. Port 80 und 102 an die SPS (.2) weiterleiten lassen, Port 3389 und VNC an einen Visu-PC (.3) usw. Da z.B. S7 immer mittels TCP-Port 102 auf die CPU zugreift, nützt Dir das recht wenig, da Du nur auf 1 CPU zugriff erhälst (bludie hingegen würde das schon helfen).
Was Du brauchen würdest, wäre ein Router mit VPN-Server. Du wählst Dich mittels VPN-Client von deinem Arbeitsplatz aus auf den Router ein (mittels IPSec, User/Password, ...). Du wirst dadurch zum Teilnehmer des SPS-Netzwerkes (und erhälst auch eine 192er Adresse für die Dauer der Sitzung zugewiesen) und kannst nun zugreifen wie wenn Du direkt ins SPS-Netzwerk eingestöpselt wärst.

noch Fragen?

mfg Maxl


----------



## Maxl (22 August 2009)

dieser Router beherrscht z.B. VPN:
http://www.lancom-systems.de/LANCOM-1611.99.0.html
(ich hab selber bis jetzt aber nur den kleinen Bruder ohne VPN zur Einwahl über ISDN eingesetzt http://www.lancom-systems.de/LANCOM-800.92.0.html)


----------



## PN/DP (23 August 2009)

*Verbindung Firmen-LAN zu PLC-Netzwerk*



bludie schrieb:


> Was gibt es für Möglichkeiten, zu verhindern, das das Firmennetz Daten an die CPU sendet


Einfach, indem die Automatisierungskomponenten IP-Adressen aus einem anderen IP-Subnetz als das Firmen-LAN erhalten.
Allerdings kommt man dann auch nicht mehr aus dem Firmennetz auf die Automatisierungskomponenten.



bludie schrieb:


> Aber da ich über TCP IP auf die ECOCon und das Touch Panel zugreife ist ein 5-fach Switch im Schaltschrank an das Firmennetzwerk gekoppelt.


Wie Maxl schon schrieb, gibt es auf die Frage "Wie komme ich aus dem Firmennetzwerk auf die Automatisierungskomponenten?" keine Pauschalantwort.

Die PC, die auf die Automatisierungskomponenten zugreifen sollen, müssen entweder Mitglied im PLC-Netzwerk werden 
oder ein Router zwischen dem Firmen-Netzwerk und dem PLC-Netzwerk muß her. Ein einfacher Switch ist nicht ausreichend.

Für die technische Realisierung gibt es viele unterschiedlich aufwendige Lösungen.
Nachfolgend nenne ich einige technischer Möglichkeiten, Verbindung zum PLC-Netzwerk zu erhalten. 
*Es ist aber noch kein Schutz gegen unauthorisierte Zugriffe enthalten!*

Die Konfiguration der Netzwerk-Infrastruktur hat eigentlich nichts mehr mit SPS-Technik zu tun.
*Das sollte man immer dem örtlich verantwortlichen IT-Administrator überlassen.*

Wenn es nur 1 oder wenige PC sind, die Verbindung zum PLC-Netzwerk haben sollen, dann ist die einfachste Möglichkeit, 
wenn diese PC eine zweite Netzwerkkarte mit IP-Adresse aus der Range des PLC-Netzwerks haben und diese 
zweite Netzwerkkarte mit einem Netzwerkkabel direkt an den Switch im PLC-Netzwerk angeschlossen sind. 
(TCP/IP-Weiterleitung zwischen den Netzwerkkarten des PC muß ausgeschaltet sein!)

Sollen mehrere PC Zugriff auf das PLC-Netzwerk haben, dann kann auf einem PC mit den zwei Netzwerkkarten 
ein Software-Router mit Firewall (z.B. M0n0wall) laufen.
Die anderen PC richten sich dann eine statische Route mit "route add ..." zu dem Router-PC ein.
Der stromfressende Router-PC muß dann aber immer und stabil laufen.

Besser sind spezialisierte Hardware-Router
* VLAN-fähiger Switch
* managed Layer-3 Switch
* richtig teure Router-Lösungen
* ...

VPN-Fähigkeit wird normalerweise nur benötigt, wenn vom Internet (WAN) zugegriffen werden soll.
Innerhalb des Firmen-LAN könnte VPN aber als eine Authorisierungs-Möglichkeit genutzt werden.

Soll aus dem Internet auf die Automatisierungskomponenten zugegriffen werden, so verweise ich mal 
auf einige Fernwartungs-Varianten im Thread Fernwartung über das Internet


Damit man sich halbwegs ein Bild der verwendeten Techniken machen kann, hier eine Linksammlung:
http://de.wikipedia.org/wiki/VLAN
http://de.wikipedia.org/wiki/Router
http://de.wikipedia.org/wiki/Layer-3-Switch
Anleitung: VLAN Installation und Integration mit M0n0wall
Anleitung: VLAN Routing über 802.1q Trunk auf MS und Linux Server o. PC und Intel NIC

Speziell für die einfache Lösung mit 2 Netzwerkkarten:
Routing mit 2 Netzwerkkarten unter Windows u. Linux
Grundlagen zum TCP/IP-Routing für Windows NT
Aktivieren der TCP/IP-Weiterleitung in Windows XP
Aktivieren der TCP/IP-Weiterleitung in Windows 2000
Standardgateway-Konfiguration für mehrfach vernetzte Computer
TCP/IP- und NBT-Konfigurationsparameter für Windows XP

... da gibts doch auch was von Siemens ...
Industrial Ethernet Switches / SCALANCE X-300 und X-400

Gruß
PN/DP


----------



## Sarek (24 August 2009)

Du kannst auch eine FritzBox verwenden.
Läßt sich als IP-Router betreiben und hat nen VPN-Server "onboard".

z.B.
http://www.avm.de/de/Produkte/FRITZBox/FRITZ_Box_WLAN_3270/index.php

habe ich selbst im Einsatz als IP-Router und VPN-Server.
Läuft bisher astrein.


----------



## PN/DP (24 August 2009)

*Fritzbox als LAN-Router*

@Sarek

Das klingt ja interessant.

Kann die Fritzbox 3270 an den 4 LAN-Anschlüssen unterschiedliche IP-Bereiche?
z.B.
LAN1: 192.168.1.1 zu einem Switch im Firmen-LAN
LAN2: 192.168.192.1 zum Switch PLC-Netzwerk

und dann von 192.168.1.x zu 192.168.192.x und zurück routen?

Gruß
PN/DP


----------



## Sarek (25 August 2009)

PN/DP schrieb:


> @Sarek
> 
> Das klingt ja interessant.
> 
> ...


 
Man kann die FritzBox 3270 für Internetzugang über IP konfigurieren.
Dabei wird eine der LAN-Anschlüße für die "ausgehende" Verbindung benutzt.

Bei mir zuhause habe z.B. folgendes damit realisiert.

Fli4l-Router mit IP 10.10.10.1
alle meine Rechner liegen in diesem Subnet

FritzBox als Access Point und IP-Router
internes Netz 192.168.178.x
externe IP 10.10.10.3
DNS + Gateway 10.10.10.1

An der FritzBox hängt mein Nachbar per WLAN und kann nicht auf meine
Netzwerkfreigaben zugreifen.
Ich genauso wenig auf seine.

Der Nachbar kann aber aufs Internet zugreifen. (via Fli4l)



Was jetzt für dich interessant sein dürfte ist ein Konfig wie ich sie im Büro
betreibe.
Könnte für ein PLC-Netz und Werksnetz z.B. so aussehen.

PLC-Netz: 192.168.178.0 Subnet 255.255.255.0
Werksnetz: 192.168.0.0 Subnet 255.255.255.0

Um sich nun gegen unauth. Zugriffe aus dem Werksnetz ins PLC-Netz zu
schützen und trotzdem auth. Zugriffe aus dem Werksnetz zu zulassen
kann folgendes tun:

Fritz IP (internes Netz): z.B.  192.168.178.1
Fritz IP (externes Netz): z.B. 192.168.0.x

VPN-Server auf der FritzBox einrichten
(Anleitung bei AVM)
mit VPN Client vom Werksnetz aus in die Fritzbox einwählen.
(als VPN-Client kannst Du ShrewVPN benutzen)

Als Router-Adresse in Geräten des PLC-Netzes muß natürlich die
interne Fritz-IP 192.168.178.1 angegeben werden.
(z.B. CP343 oder TP,MP)

Im ShrewVPN-Client kannst Du einstellen welchen IP-Bereich du tunneln 
willst, was ein riesen Vorteil ist da andere Lösungen den gesamten
Netzwerkverkehr der nicht ins eigene Subnet gehört (z.B. Internetzugriff)
in den Tunnel schicken.
=> wenn VPN aufgebaut ist, dann kein Internetzugriff möglich


Ablauf:
Du sitzt mit Deinem PG im Werksnetz und willst auf eine S7 mit CP343
im PLC-Netz zugreifen.

mit ShrewVPN Verbindung aufbauen
=> alle Verbindungen zum IP-Bereich des PLC-Netzes werden in den Tunnel
geschickt

Step7 starten und online gehen

Anfrage geht in den Tunnel zur FritzBox und werden zur S7 weitergeleitet
die Antwort geht zurück auf den in der HW-Konf eingestellten Router
(=FritzBox) und von da aus wieder in den Tunnel zu Deinem PG


----------



## PN/DP (25 August 2009)

*Danke*

Hallo Sarek,

gute Idee, gute Konfig und gute Erklärung - Danke!
Und so ganz nebenbei auch noch ne Authorisierung.

Ich sagte bereits "Das klingt ja interessant."

Gruß
PN/DP


----------

