# Loop im Firmennetz, Ausbreitung verhindern



## the_elk (30 März 2016)

Hallo zusammen,

wir hatten heute einen Loop bei uns im Firmennetz. Es war leider auch nicht der erste. Vor ca 4 Jahren hatten wir das erste mal Probleme mit einem Loop. Damals hat in einem Büro jemand 2 Netzwerkdosen mit einem Netzwerkkabel gebrückt. Alle Anlagen mit Profinet sind uns damals ausgestiegen und erst nach der Beseitogung des Loops wieder in Betrieb gehen.

Unsere IT hat daraufhin die kleinen Switche, die so unter den Schreibtischen rumfuhren verboten und an "ihren" Swiches etwas eingestellt, was das Ausbreiten von Loops verhindern soll. Seither hatten wir nochmal 2 Loops, die an Produktionsanlagen verursacht wurden. Heute war ich der "Glückliche". Wir haben an einer Anlage einen neuen Steuerschrank in Betrieb genommen und auch alle Netzwerkleitungen dorthin neu gezogen. Ich hab dann blöderwiese 2 Kabel vertauscht und hatte auf einer ET dann das Kabel zum alten Switch und das Kabel zum neuen Switch. 
Damit hab ich dann alle Produktionsanlagen, die mit Profinet arbeiten außer Gefecht gesetzt. 

Die Kommunikation an den anderen Anlagen kann auch wieder aufgebaut werden, obwohl der Loop noch besteht. Wie ihr euch denken könnt, dauert es aber einige Zeit, bis man wieder alle Anlagen am Laufen hat. Vor allem einigen Servoreglern gefällt das nicht und sie laufen erst nach einem Spannungsreset wieder an.
Unsere IT scheint also an "ihren" Switches den Loop zu erkennen, den Verursacher aber wohl erst zu spät abzuschalten. 

Das Firmennetz wird von Seiten der IT betreut. Hier gibt es für die verschiedenen Bereiche Switche. Zu unseren Anlagen geht jeweils nur eine Leitung von diesen Switchen. IN den Anlagen verteilen wir das Netzwerk dann mit Siemens Scalance Switches. An den IT-Switches kann ich nichts machen. Unsere IT prüft nun, wie man das zukünftig verhindern kann.

Ich müchte mich nun aber selbst schlau machen und habe gesehen, dass man bei den Scalance-Switches eine Loop Detection einstellen kann. Wäre damit schon alles erledigt?
Wenn ja, wie müsste die korekte Konfiguration aussehen? Oder kann man an den Switchen der IT vielleicht noch was einstellen? Diese Switche sollten eigentlich so ziemlich alles können. Es handelt sich um HP Procurve Switche. Den Typ weiß ich leider nicht.

Kann mir fast nicht vorstellen, dass das Problem nur bei uns auftritt, habe im Netz allerdings nichts gefunden.


Gruß

the_elk


----------



## ducati (30 März 2016)

the_elk schrieb:


> wir hatten heute einen Loop bei uns im Firmennetz. Es war leider auch nicht der erste. Vor ca 4 Jahren hatten wir das erste mal Probleme mit einem Loop. Damals hat in einem Büro jemand 2 Netzwerkdosen mit einem Netzwerkkabel gebrückt. Alle Anlagen mit Profinet sind uns damals ausgestiegen und erst nach der Beseitogung des Loops wieder in Betrieb gehen.



Tja, das könnte ja als Lehrbuchbeispiel dienen, warum man Büronetz und Automatisierungsnetz und erst recht Feldbus (Profinet IO) voneinander trennen soll... und wenn schon nicht physikalisch dann wenigstens als VLAN...



the_elk schrieb:


> Damit hab ich dann alle Produktionsanlagen, die mit Profinet arbeiten außer Gefecht gesetzt.



und die Feldbusse verschiedener Anlagen sollten m.M. nach auch nicht auf einem Netz hängen...

Da Du jetzt aber sicherlich nicht das Konzept umschmeissen kannst, hilft nur, vor jedem Handgriff eher einmal mehr nachzudenken...

Gruß

PS: ich hab hier auch ständig das Problem, dass jeder, der zu Hause ne Fritzbox hat, auf einmal denk, er müsse beim Thema Industrial Ethernet mitreden... Und nicht alles was ne RJ45-Buchse hat, sollte man einfach so zusammenstecken...


----------



## the_elk (30 März 2016)

Danke für deine Antwort. wie könnte denn so eine Trennung aussehen? Im  Prinzip hat ja jede Anlage ihr eigenes Scalance-Switch, von dem pro  Anlage nur ein Zugang zum Firmennetz besteht. Im Prinzip könnte man  einfach diese Verbindung trennen und die Anlagen wären unabhängig. Es  soll aber von zuhause und aus den Büros auch auf die Anlagen zugegriffen  werden können. Das Büronetz und das Anlagennetz wurde vor 2 Jahren per  VLAN getrennt. Hilft das den Loop nicht weiter auszubreiten?

Die Loop Detection in den Scalance-Switchen würde nicht helfen?

Gruß


----------



## holgermaik (30 März 2016)

Da hast du schon das nächste Problem


> zuhause und aus den Büros auch auf die Anlagen zugegriffen  werden können


Warum denkt heute jeder er muss vom Sofa auf eine Industrieanlage zugreifen können?
Das werde ich nie verstehen.


----------



## Ottmar (30 März 2016)

Hi!

Das Bedürfnis des Zugriffs "von überall" ist ja eine Sache, aber das "Wie" spielt wie überall eine große Rolle.
Es gibt schon gute Gründe dafür, welche man auch verstehen kann. Ich spreche da aus Erfahrung.

Noch vor 50-60 Jahren gab es für ein ganzes Haus eine einzige Sicherung (wenn überhaupt).
Heute schüttelt jeder den Kopf darüber und weiß es besser.
Genauso ist das mit den Firmennetzwerken.


Mein Tipp:
Setz dich mit euer IT zusammen und arbeitet zuerst ein vernünftiges Konzept für euer Unternehmensnetz aus.
Zugriffe von Außen (wenn zwingend notwendig) können mit geeigneten Geräten über VPN-Tunnel geschaffen werden.
Ganz wichtig ist, Netze zu trennen. Auch physikalisch.


Gruß,

Ottmar


----------



## adiemus84 (30 März 2016)

holgermaik schrieb:


> Warum denkt heute jeder er muss vom Sofa auf eine Industrieanlage zugreifen können?



Das frage ich mich auch schon seit Jahren.


----------



## the_elk (30 März 2016)

Der Zugriff von zuhause erfolgt per VPN-Tunnel. Welche Möglichkeiten gibt es denn die Netze physikalisch zu trennen?

Gruß


----------



## Fabpicard (31 März 2016)

the_elk schrieb:


> Das Büronetz und das Anlagennetz wurde vor 2 Jahren per  VLAN getrennt.



Wir haben vermutlich eine ähnliche Konstellation, wie ihr... (vermutlich nur "etwas" größer, da Konzernweit vernetzt...)

"Das Anlagennetz-VLan" klingt ja schon mal gut und ist auch der 1. Schritt in die richtige Richtung, nur eben nicht genug.

Bei uns bekommt schon mal jeder Anlagen-Hersteller sein eigenes VLan (und das jeweils pro Standort).
15 Hersteller sind dann schon mal 15 VLans 

Hängt viel PN-Hardware in einer Anlage, kann diese auch ihr "eigenes" VLan bekommen...

Wer jetzt von wo aus, auf was zugreifen darf, also VLan-Übergreifend ist sehr sehr restriktive geregelt.

Beispielsweise gibt es Keinen einzigen Zugriff. "Programmier-PCs" oder die Hersteller können sich von Außen per VPN in die jeweiligen Netze einwählen. (unsere eigenen PGs landen in einem speziellen Wartungs-VLan, wo dann der Zugriff auf alle PLCs möglich ist. Und nur die Geräte, die man auch braucht...)
Wenn Daten zwischen PLCs und "Firmen-Krams" ausgetauscht werden müssen, geht das nur über speziell gesicherte Server, die physikalisch einmal im Wartungs-VLan und einmal im Firmen-VLan hängen. (Klar, könnte man auch beide VLans an einen Switchport pappen, jedoch ist es einfach das auf dem Server mit 2 Netzwerkkarten zu restriktivieren   )

Falls nur noch Fragen hast, einfach her damit 

MfG Fabsi


----------



## the_elk (31 März 2016)

Also wäre es der richtige Weg für jede Anlage ein VLAN zu erstellen. Würde das die Ausbreitung von Loops sicher verhindern? 
Das aktivieren der Loop Detection an den Siemens Switches in den Anlagen würde vermutlich nicht ausreichen?


Gruß


----------



## mnuesser (31 März 2016)

1. SPS-Netze voneinander trennen: CPU mit Profinet für Anlageninternes Netz, CP für Anlagenexternes Netz
2. Büronetz wenn möglich vom Anlagenexternen Netz trennen, zur Not halt per VLAN
3. Alle unnötigen Ports schließen
4. VPN nur auf eine Programmierstation im Anlagenexternen Netz, per Routing kommt man dann auch ins Anlageninterne Netz
5. Für alle Controller und Chefs auf einem Server im Anlagenexternen Netz die Produktionsdaten aufzeichnen, und per 2. Netzwerkkarte im Büronetz
oder einem VPN-Tunnel aufgehübscht darstellen.


----------



## the_elk (31 März 2016)

Danke für eure Antworten!
Das mit dem CP für die Verbindung zum Anlagennetz scheint mir eine gute Lösung zu sein. Binmal gespannt, was unsere IT nächste Woche sagt.


----------



## INSEVIS-Service (31 März 2016)

Hallo

bei unseren neuen CPU sind ProfiNet , und je 2 Segmente Ethernet getrennt. Also  3  LAN nicht "nur" VLan. 

Das bedeutet das wir wie 2 zusätzliche CP arbeiten können. 
Das Loop Thema hatten wir noch nicht. 

Ist aber sehr interessant.


----------



## W_Hafner (12 April 2016)

Ich komme aus der Netzwerk- und IT-Security Welt, auch wenn ich hier als Hersteller von Fernwartungssoftware aktiv bin.

Ein paar ungeordnete Gedanken dazu:

- ja, Cisco, HP, etc haben eine "Loop Detection" in ihren Switches. Die greift allerdings nur heuristisch, d.h. es wird erkannt, ob MAC Adressen auf mehreren Ports reinkommen, ob es einen Broadcast Storm gibt, etc. - funktioniert mehr oder weniger, meist weniger.  - Jedenfalls ist das mehr ein "Airbag" Feature als ein "Sicherheitsgurt" Feature. 

- Segmentierung ist hier die beste Lösung. Netzwerktechnisch und sicherheitstechnisch. Das haben ja schon einige hier gesagt. Entweder per VLANs oder per klassischem Routing. Wenn es nur um Segmentierung geht ist ein Router meist Overkill, zu teuer und auch zu langsam. Da reichen VLANs in einem Layer 3 Switch. Aber Vorsicht: Layer 3 Switches sind schnell falsch konfiguriert. ProCurves z.B. fangen von sich aus mit Inter-VLAN Routing an, sobald der Switch in mind. 2 VLANs eine IP Adresse hat.

- Helfen könnte auch ein Network Monitoring Tool wie z.B. PTRG - da gibts ja genug von. Wichtig ist, dass sie "nahe Echtzeit" arbeiten, was z.B. ein Nagios/Icinga/Cacti, etc nicht tun. Hier kann ich sehr "ArpGuard" als Layer 2 Security Lösung empfehlen. Verkaufen wir auch, bei Interesse bitte melden (ok, schon wieder genug der Werbung )

- Als Sicherheitsfeature würde ich VLANs an sich übrigens nicht sehen, weil gängige Layer 3 Switches meist nur einfache ACLs beherrschen. Für ein Cisco IOS mit Stateful Firewall Feature Set zahlt man richtig Geld. Da konfiguriert man dann besser eine pfSense mit VLANs als Firewall. Google Stichwort wäre hier "Firewall on a stick". 

- Eine Alternative bzw. Zusatzfeature könnte Spanning Tree sein, bzw. heute eig. nur noch Rapid Spanning Tree. Bessere Switches unterstützen das  - Die Switches tauschen sich untereinander aus wer wohin verbunden ist und wenn sie eine Loop in der Topologie erkennen, schalten sie Leitungen ab. Mal knackig und stark vereinfacht gesagt. Das schützt allerdings nicht vor Loops ausserhalb des Spanning Trees. HP hat da auch mal ein Per-VLAN Spanning Tree Protokoll entwickelt, aber ich glaube, das ist nicht herstellerneutral.

- Büro- und Produktionsnetz gehören nicht nur per VLAN segmentiert, sondern mindestens durch eine sehr restriktive Firewall. Ende der Diskussion. Es sollten auch - ganz banal - verschieden farbige Kabel für Büro und Produktion verwendet werden! Entsprechend auch für VoIP, Management-Netz etc.

- Zum Thema "Warum muss eine Anlage im Internet sein" habe ich als Fernwartungssoftware-Anbieter natürlich auch eine Meinung. Die hat mit dem Thema "Loop" aber nichts zu tun. Können wir gerne in einem eigenen Thread abhandeln.


-Walter Hafner


----------



## Bits_And_More (12 April 2016)

holgermaik schrieb:


> Da hast du schon das nächste Problem
> 
> Warum denkt heute jeder er muss vom Sofa auf eine Industrieanlage zugreifen können?
> Das werde ich nie verstehen.



Wenn Beispielsweise die Anlage in Russland steht, bist du froh wenn du nicht jedes Mal in den Flieger steigen musst...

Die Lösung hierzu ist aber ganz klar VPN


----------



## Matze001 (12 April 2016)

Man könnte auch noch darüber nachdenken jede Anlage mit Profinet "abzukapseln".

Dies könnte man z.B. mit einem Gateway machen (z.B. Siemens Scalance (teuer) oder Helmholz Wall IE (knapp 300€ Liste).
Braucht man dann noch Fernwartung auf einzelne Anlagen, so könnte man statt einem Gateway ein VPN-Router einsetzen (z.B. auch Siemens, Helmholz oder MB Connect, Deltalogic, etc) - Diese können MEIST auch Gatewayfunktionen erfüllen.

Grüße

Marcel


----------



## the_elk (19 Mai 2016)

Sorry, dass ich mich erst so spät melde und vielen Dank für eure Antworten! Unsere EDV hat sich nun entschieden. Auf den Scalance-Switchen in den Anlagen wird die Loop-Protection aktiviert. Wurde dann getestet. Die Scalanceswitche verhindern das Ausbreiten des Loops wohl. Die HP-Switche in unseren EDV-Verteilern schaffen es wohl nicht, trotz Spanning-Tree-Protokoll. Aber da muss die EDV jetzt ran.

Gruß

the_elk


----------

