# Aufbau internes Anlagen Netzwerk - Ideen | Kritik | Optimierung



## Peed (18 Oktober 2017)

Hallo,

Und zwar hoffe ich auf eure Anregungen bezüglich der nachfolgenden Thematik in Form von Ideen, Kritik & Optimierung.

Folgendes Projekt habe ich zu meiner Aufgabe gemacht. Ich würde gerne ein physikalisch getrenntes Netzwerk in unserer Firma aufbauen. Um nach und nach Zugriffe auf unsere Anlagen von verschiedenen Stellen aus zu realisieren. Kurz gesagt, ein eigenes Firmennetzwerk für die Anlagen.

Wichtig hierbei ist bei der Planung, dass ich so viele Fliegen mit einer Klappe erschlagen kann, um es entsprechend in verschiedenen Ausbaustufen was die Hardware an geht kalkulieren zu können. 
Das Ziel ist es irgendwann eine BDE am Laufen zu haben, sowie einen zentralen Leitstand dem ich Werte der einzelnen Anlagen zur Verfügung stellen möchte, sowie einen Zugriff über unser Office Netzwerk und daraus resultierend eine Fernwartung von außen. 

Jetzt ist die Frage machen meine Überlegungen Sinn oder kann etwas weg fallen oder vielleicht das ganze vereinfacht werden.

Was gilt es zu beachten beim Thema Sicherheit (Abschirmung vor Eindringen von außen), natürlich werde ich die IT Abteilung damit konfrontieren. Ich möchte jedoch im Vorfeld mit einigen Punkten bezüglich dessen vertraut sein, damit ich auch die passenden Antworten bzw. Vorschläge liefern kann, wenn ich das Layout der Infrastruktur präsentiere.

Der Zugriff auf die einzelnen SPS’en sowie HMI ist ja kein Problem sobald das physikalische Netz über einen Switch oder Gateway steht. Für mich stellt sich die Frage der Aufbau des Leitstands. Wie gehe ich dort am besten vor? Wie bereite ich am besten die Daten welche dann per runtime auf dem PC Leitstandes angezeigt werden auf? Ohne das ich mir die Zykluszeiten unnötige belaste.

Über einen IPC mit Hilfe eines OPC Servers? Der mir quasi die Daten aufbereitet und den entsprechenden Stellen zur Verfügung stellt?

Der Hauptfokus liegt aktuell auf die Umsetzung des Leitstands.

Hardware: 


SPS | HMI <- Siemens (S7-300 | S7-1200 | S7-1500)
IPC <- OPC Server
Kommunikationsprozessor (Karte) für PC?
Gateways?

Software: 



TIA Portal V13 – Simatic Manager
Welche Runtime?
Welcher OPC Server?
 
Reicht es eine WinCC Advanced Runtime Lizenz, welche ich auf dem Leitstand PC installiere, aus um zu kommunizieren?
Oder habt ihr eine gute Alternative? Vielleicht doch auf WinCC umsteigen?

Im Bereich SCADA und MES gab es bis Dato noch keine Verwendung, bis jetzt. Vielleicht macht es auch Sinn solch ein System einzupflegen und dies dann zu nutzen, anstatt wie jetzt auf der vielleicht komplizierteren Ebene rum zu tingeln. Denn ich denke die Anbindung ins ERP System wird früher oder später kommen.

Mein Konzept habe ich mal in ein Schema gepackt, damit man direkt sehen kann.


----------



## Larry Laffer (18 Oktober 2017)

Du kannst das prinzipiell so machen. Eines gebe ich nur zu bedenken :
Wenn deine SPS'en ggf. auch noch ProfiNet-Teilnehmer haben und du planst, sie über die CPU-Schnittstelle zu erreichen, dann hast du an deinem Gesamt-Netz auch alle PN-Teilnehmer mit dran hängen und somit auch den PN-Datenverkehr. Das kannst du zwar teilweise über gemanagede Switche einbremsen, so ganz kommst du aus der Nummer aber nicht raus was dann irgendwann zu Problemen führen wird.
Bei den größeren 1500er CPU hast du 2 unabhängige Schnittstellen an der CPU, bei den kleineren 1500er, den 1200er und sowieso den 300er würde ich hier für den Zweck über einen CP nachdenken.

Gruß
Larry


----------



## Blockmove (18 Oktober 2017)

Larry Laffer schrieb:


> Bei den größeren 1500er CPU hast du 2 unabhängige Schnittstellen an der CPU, bei den kleineren 1500er, den 1200er und sowieso den 300er würde ich hier für den Zweck über einen CP nachdenken.



*ACK*

Wir haben eine generelle Trennung zwischen Anlagen- und Firmennetz.
Alles andere gibt irgendwann mal Ärger


----------



## smoe (18 Oktober 2017)

Ich bin auch noch ein Freund von Stand Alone Netzwerk in der Feldebene. Ich halte nichts davon das alles vom PC des Chefs bis zum letzten Sensors alles im selben Netzwerk ist. Leider brauchen immer mehr Feldgeräte (Smartcameras, usw.) zusätzlich zur SPS eine Verbindung in die Leit- oder Maintenance Ebene. Somit stelle ich mir auch die Frage wie das werden soll. Momentan gefällt mir das "Routen" vom Leitnetzwerk zum Feldnetz. Obs auch so geht wie ich mir das vorstelle, weis ich allerdings noch nicht.

Zur Trennung der Leitebene zum Officenetz. Auf jeden Fall!!
Ich mache immer wieder die Erfahrung das die IT keine Freude hat wenn ihr unbekannte Geräte in "ihren" Netzwerk sind. Mach dir dein eigenes Netzwerk. Ein Gateway zwischen office und deinem Netz. Stell dir mindestens einen Projektierungsrechner in dein Netzwerk. (Kann auch virtuell sein) Dieser Rechner hat dann Zugriff auf alle deine Steuerungen. Die IT soll nur dafür sorgen dass du Remotzugang zu diesem Rechner hast. Und eine Möglichkeit die Archive wo zentral abzulegen. (wegen der Sicherung)


----------



## Morymmus (18 Oktober 2017)

Hallo,

ich hätte noch folgende Ideen:

- unbedingt verschiedene Kabel-Farben für die verschiedenen Netze verwenden, sonst hast Du ruck zuck aus versehen "Brücken" die Dein komplettes Konzept aushebeln.
- Bei meinem Ex-Arbeitgeber hatten wir jede Anlage ein eigenes Netz für die Kommunikation innerhalb der Anlage mit einer Extra-Schnittstelle an der SPS zum übergeordneten Produktionsnetz (z.B. Leitstand). War alles in Codesys realisiert. Die Kommunikation innerhalb der Anlage per Netzwerkvariablen, die, soweit ich weiß per UDP "gestreut" werden - wenn Du die daraus resultierende Kommunikation ausversehen auf das Office-Netz leitest macht Deinen Kollegen das surfen keinen Spass mehr 
- Je nachdem was ihr fertigt, würde ich auch noch eine Schnittstelle Auftragsplanung/Fertigung andenken. Wir hatten das damals so, das wir die Aufträge bekamen (Papier). An den Maschinen gab es dann die Möglichkeit die Auftragsnummer einzugeben (Scannen oder Manuell) und die Maschine holte sich dann vom Auftragsserver die Auftragsdaten. Bei neuen Produkten auch wirklich andere Produktionsdaten, bei Bestandsprodukten normalerweise das zugehörige "Rezept" mit angepasster Stückzahl. Eingepflegt wurden die Auftragsdaten zunächst von einem eigenen System, das aber später von SAP abgelöst wurde.


----------



## Fabpicard (19 Oktober 2017)

Bevor du dir die Frage stellst, ob du alle Anlagen noch mal mit eigenen Kabeln untereinander vernetzt oder für dein Vorhaben auch völlig ausreichend, das ganze über vorhandene Hardware mit VLans machen kannst, wären andere Eckdaten vermutlich mal wichtiger:
Welche IP-Adressen verwenden aktuell die Maschinen und welche das "Office-Netz" ? Ist hier etwas doppelt vergeben?
Und welche Netzwerkinfrastruktur habt ihr überhaupt schon dort rum stehen?

MfG Fabsi


----------



## Peed (19 Oktober 2017)

Vielen Dank euch für die schnellen Rückmeldungen.

Es gibt quasi kein PN Netz in unserer Feldebene, da wir uns bis dato nicht von MPI & Profibus DP los reißen konnten.
Der einzige Aufwand wird sein die Steuerungen mit CP's auszustatten.


Larry Laffer schrieb:


> Du kannst das prinzipiell so machen. Eines gebe ich nur zu bedenken :
> Wenn deine SPS'en ggf. auch noch ProfiNet-Teilnehmer haben und du planst, sie über die CPU-Schnittstelle zu erreichen, dann hast du an deinem Gesamt-Netz auch alle PN-Teilnehmer mit dran hängen und somit auch den PN-Datenverkehr. Das kannst du zwar teilweise über gemanagede Switche einbremsen, so ganz kommst du aus der Nummer aber nicht raus was dann irgendwann zu Problemen führen wird.
> Bei den größeren 1500er CPU hast du 2 unabhängige Schnittstellen an der CPU, bei den kleineren 1500er, den 1200er und sowieso den 300er würde ich hier für den Zweck über einen CP nachdenken.
> 
> ...



Also Fakt ist, ich möchte auf alle Fälle eine Physikalische Trennung zum Office netz. Das einzige was Aktuell realisiert werden soll, ist ein Zugriff vom Projektierungsrechner (mein Arbeitsplatz) auf die Steuerungen & HMI, für eine schnelle Fehlerdiagnose, über dieses Office Netz (unicast). Alle anderen werden ausgeschlossen. Ferner wird dann noch eine Fernwartung integriert.

Die Anlagen die wir vernetzen wollen sind von uns auch selber gebaut und Projektiert (Schaltschrank) und sind im Bereich der Verfahrenstechnik (Wasseraufbereitung) angesiedelt. Es hat niemand Einfluss drauf außer wir selbst. Das heißt wir möchten da unser System weiterhin pflegen & ausbauen. Hier kommt es also nicht auf Stückzahlen an.
Wir möchten einen Leitstand und eine Datenbank aufbauen um die Abläufe kontrolliert zu überwachen und zu erfassen.
Wir haben ein ERP System am laufen, welches unsere Produktion koordiniert.




Fabpicard schrieb:


> Bevor du dir die Frage stellst, ob du alle Anlagen noch mal mit eigenen Kabeln untereinander vernetzt oder für dein Vorhaben auch völlig ausreichend, das ganze über vorhandene Hardware mit VLans machen kannst, wären andere Eckdaten vermutlich mal wichtiger:
> Welche IP-Adressen verwenden aktuell die Maschinen und welche das "Office-Netz" ? Ist hier etwas doppelt vergeben?
> Und welche Netzwerkinfrastruktur habt ihr überhaupt schon dort rum stehen?
> 
> MfG Fabsi



Also Fremdanlagen sind natürlich untereinander vernetzt aber haben keinen Zugriff und Einfluss auf unser Office Netz Es sei denn sie werden über den VPN Router frei gegeben. 

Wir selber haben ja kein Anlagennetzwerk, deshalb sollte sich das mit den IP-Adressen selbst beantworten.


----------



## Larry Laffer (19 Oktober 2017)

Peed schrieb:


> Es gibt quasi kein PN Netz in unserer Feldebene, da wir uns bis dato nicht von MPI & Profibus DP los reiÃŸen konnten.



Naja ... irgendwann mit zukünftigen Anlagen wird sich das dann ggf. relativieren - dann denk halt an meine diesbezügliche Anmerkung ...

Gruß
Larry


----------



## Peed (22 Oktober 2018)

Nabend,

Und schon hat mich das Thema eingeholt, mit genau der Argumentation von Larry Laffer... 

Wir haben in zwei komplett neue Fertigungslinien investiert und siehe da, so schnell sind über den Daumen gepeilt 600 Profinet Teilnehmer im Haus.
Unser Controlling und die GF kamen auf die Idee relativ spontan eine BDE Flächendeckend über alle Anlagen installieren zu wollen. Für die 2 neuen Linien, kein Problem, da wir direkt die Anbindung über eine Kopfsteuerung mit gekauft haben.

Jetzt die Thematik mit er ich mich beschäftige, das Anlagen Netzwerk steht, die physikalische Trennung wurde auch berücksichtigt. Mir wurde das 172er Netz von der IT zur Verfügung gestellt.
Ich bin jetzt ein wenig in Diskussion mit der IT Abteilung, die sind der Meinung das ich Ihnen alle IP-Adressen auf der Feldebene schuldig bin & scheinen schwer verwundert, wie sowas einfach so ohne Zustimmung installiert werden konnte und wollen wissen woher die Adressbereiche kommen. Usw...
Meine Meinung in der Diskussionsrunde war folgende, Willkommen im 21 Jahrhundert!
Sobald ich eine Anbindung Richtung Anlagennetzwerk realisiere bin ich der Abteilung genau eine Adresse, die des Routers/CP‘s schuldig.
Also nach meinem Konzept, auf welches ich jetzt näher eingehen möchte.  

Jetzt zu meiner Planung, für mich ist eigentlich klar, ich muss im Anlagennetzwerk nochmal eine Trennung vornehmen zu der jeweiligen Maschine/Automatisierungszelle, sprich über das "interne SPS-Netzwerk".

Das erstmal der IT klar machen das ich einen Router Scalance S bzw. einen CP pro Zelle installieren möchte ist schon ein Kampf. Die IT schießt gegen mein Konzept mit dem Punkt Unwirtschaftlichkeit... ich könne ja die Adressen im Netzwerk sauber Unterlagern nach deren Vorgaben. Aktuell habe ich z.B. nur den letzten Adressbereich zur freien Verfügung. (172.22.10.xx). Strukturmäßig gar keinen Spielraum.

Zumal ich eine Produktion sicherstellen muss, im Bezug auf Anlagenverfügbarkeit und Security  und das kann ich nicht wenn alle Steuerungen, welche nichts miteinander zu tun haben, in einem Netzwerk habe. 
Was ich machen könnte, anstatt pro SPS einen Gateway zu installieren, gewisse Zonen festzulegen. Aber das ist aktuell ein wenig schwierig. Einfacher wäre es einfach jede Zelle sauber zu trennen. 
Ferner wird auch der VPN Zugang für ein wenig Remote Control von zuhause aus realisiert... Und spätestens an diesem Punkt will ich sicherlich nicht das wenn der Fall eintritt, dass jemand unbefugtes in das Netz eindringt Zugriff auf alle Steuerungen bzw. HMI’s und die dort hinterlegten Rezepte hat. 

Wie sind da eure Erfahrungen?
Bin ich auf dem richtigen Pfad? 
In meinen Augen ist eine saubere Trennung im Bezug auf „Industrie 4.0“ unabdingbar.

Ich werde mit Sicherheit keine Media Markt Hardware in unsere Anlagen einbauen nur um am Ende des Tages die Kosten zu senken und auf den großen Knall zu warten.


----------



## blackpeat (23 Oktober 2018)

Zu dem Thema gibt es von Siemens gemeinsam mit Festo einen sehr schönen Foliensatz. Den hat Siemens mal auf einem Vortag gezigt. Hier mal zwei Links die ich auf die Schnelle gefunden habe. Es gibt aber irgendwo in deisem Zusammenhang noch eine Netzwerkübersicht.

https://w3.siemens.com/mcms/industr...icherheit-im-Produktionsnetzwerk-Festo-AG.pdf

https://industrieanzeiger.industrie.de/technik/automatisierung/festo-schuetzt-datenuebertragung-im-produktionsnetz/

[url]https://w3.siemens.com/mcms/industrial-communication/de/ie/industrial-ethernet-switches-medienkonverter/Seiten/video-industrielle-netzwerke.aspx
[/URL]


----------



## Sven Rothenpieler (23 Oktober 2018)

Peed schrieb:


> Das erstmal der IT klar machen das ich einen Router Scalance S bzw. einen CP pro Zelle installieren möchte ist schon ein Kampf. Die IT schießt gegen mein Konzept mit dem Punkt Unwirtschaftlichkeit... ich könne ja die Adressen im Netzwerk sauber Unterlagern nach deren Vorgaben. Aktuell habe ich z.B. nur den letzten Adressbereich zur freien Verfügung. (172.22.10.xx). Strukturmäßig gar keinen Spielraum.


Meiner Meinung nach gehört das Anlagennetz sauber und physikalisch getrennt vom Firmennetzwerk. Natürlich ist es erst einmal günstiger, die Subnetze entsprechend anzupassen, sodass man weitere IP-Bereiche nutzen kann. Allerdings - wie du weiter schreibst - geht es dann weiter mit IT-Security und was viele verkennen, der Pflegeaufwand. Da wird mal hier ein Teil ausgetauscht und dort mal was verändert und jedes Mal musst du der IT Bescheid geben. Und spätestens dann wenn es um Zugangsberechtigungen, Zertifikatserstellung und -verwaltung geht, wird die IT feststellen, dass es womöglich doch günstiger gewesen wäre, einfach einen Industrierouter zur Netztrennung zu verwenden - zudem, weil mal hier noch ein paar mehr Möglichkeiten hat, was die Sicherheit angeht (Firewall (auch im VPN-Tunnel), Rechteverwaltung, etc.).

Wenn dein langfristiges Ziel, die Digitalisierung und das Vernetzen von Datenpunkten sein soll (du sprachst von OPC), dann schau mal auf www.insys-icom.de vorbei und/oder schreib mir eine PN mit deinen Kontaktdaten. Auf unseren Routern kannst du ein Stück Software laufen lassne (LXC Container), welche über einen OPC-UA Client verfügt oder eben nativ die Daten aus der S7 holen, verarbeiten (Berechnungen und Verknüpfungen auf dem Router) und an eine von dir gewünschte Datenbank / Leitstand weiterleitet. Dann würde zumindest schon einmal der PC vor Ort entfallen.

Gerade wenn man ein grundsätzliches Konzept von neu aufzieht, hat man ja die Möglichkeit - wie du selbst schreibst - viele Fliegen mit einer Klappe zu schlagen. Lass dir nicht von der IT in dein Konzept reinreden. Die mögen Plan von Ihrem Officenetzwerk haben, aber was in einem Industrienetzwerk benötigt wird und dass da auch keine Fritzbox oder ein PC mit TeamViewer hingehört, davon haben sie keine Ahnung.


----------



## DeltaMikeAir (23 Oktober 2018)

> Meiner Meinung nach gehört das Anlagennetz sauber und physikalisch  getrennt vom Firmennetzwerk.


Oh ja, das ist wirklich wichtig. Wir haben einen Kunden, wo dies nicht der Fall ist. Bei folgendem Zwischenfall war ich vor Ort:
An einem Patch wurde ausversehen ein Patchkabel als Schleife gelegt ( Loop ). Folge: Komplettes Firmennetz + Telefonanlage
für ca. 45 Minuten ausgefallen bis man diesen Fehler gefunden hat.

Man sollte auch nicht unterschätzen, dass Monteure kommen, sich ins Netz einklinken und diese dann irgendeine IP Adresse haben,
um halt auch ihre CPU zu kommen. Ist diese Ip im Firmennetz schon vergeben? Überprüft der Monteur dies vorab, wenn ja wie,
wenn er sein PG noch nicht anschließen kann ( weil er nicht weiß, ob seine IP nicht schon belegt ist )


----------



## Lipperlandstern (24 Oktober 2018)

Peed schrieb:


> Nabend,
> 
> Und schon hat mich das Thema eingeholt, mit genau der Argumentation von Larry Laffer...
> 
> ...






Genau damit kämpfe ich auch grade. Die IT meint da ist Netzwerkkabel also wollen Sie über die Adressvergabe mitreden bzw. sind über meine Vergabe 172.20.11.xx entsetzt. Bis man denen erklärt hat das das Netz kein Netz sondern ein Bus ist vergeht so manche Besprechung. Bei Profibus hatte ich diese Probleme nie


----------



## PN/DP (24 Oktober 2018)

Falls Du in Deinen Maschinen-Netzen auch Profinet-IO betreibst dann sind die Netze ganz klar Feldbusse! und dürfen nicht mit der IT-Infrastruktur vermischt werden, auch nicht über VLANs. Die IT-ler lieben es, unangekündigt Updates in die Router-/Switche-Hardware einzuspielen oder sonstwie gerne auf Verdacht die Geräte mal neu "durchzustarten" - da würden jedesmal Deine Maschinen ausfallen.

Harald


----------



## ducati (24 Oktober 2018)

Es gab ja mal diese "Automatisierungspyramide" da ist auch kein Kabel von unten (Feldbus) nach oben (ERP) eingezeichnet. Da wusste auch sicherlich jemand warum...


----------



## Fabpicard (25 Oktober 2018)

Lipperlandstern schrieb:


> Die IT meint da ist Netzwerkkabel also wollen Sie über die Adressvergabe mitreden



War bei mir bisher ganz einfach, sagt man dem IT-ler einfach: Wenn du das anders haben willst, was eigentlich in Meinem Zuständigskeitsbereich liegt, lerne er TIA-Portal und alles andere aus der Automatisierung, ändere die Adressen selbst und stelle persönlich den 24/7/365 Support wie der Anlagenhersteller, weil der dann keinen mehr macht wenn du die Adressen geändert hast 

MfG Fabsi


----------



## Aunex (25 Oktober 2018)

Hallo Peed.
Zu diesem Thema halte ich fast täglich Workshops ab oder setzte zusammen mit unseren Kunden die Maschinanbindung für BDE, MES ...IIoT Systeme um.
Ich empfehle hier auch ganz klar die Trennung der OT und IT Ebene. In der OT Ebene (Maschinennnetzwerk) gibt es viel zu viele Komponenten, die angreifbar sind und nicht dem Stand der notwendigen Technik für sichere Netzwerke entsprechen. Zudem können die Richtlinien der IT hier oft nicht umgesetzt werden.
In die Steuerungen von Bestandsanlagen einen CP einzubauen ist in vielen Fällen nicht möglich und zudem oft teuer. Ich bevorzuge hier externe Gateway Lösungen mit zwei getrennten Netzwerkanbindungen. Die Daten werden über den OT Port aus den Steuerungen gelesen (z.B. RFC1006 Protokoll) und dann über den IT Port via OPC UA oder MQTT an die übergeordnete Software weitergeleitet. Da gibt es schon fertige Lösungen und die können auch alle Sicherheitslevel erfüllen. Zudem ist mit wenig Konfigurationsaufwand die Lösung in einem Tag fertig.
Ebenso könnte man auf einem IPC in der OT Ebene eine MiddleWare Lösung installieren, die sämtliche Date einsammelt und diese dann der übergeordneten Applikation auf sicherem Weg zur Verfügung stellt. Unsere Kunden sind dadurch sehr flexibel, wenn sich die Anforderungen ändern oder Erweiterungen anstehen.
Frank


----------



## ducati (26 Oktober 2018)

Aunex schrieb:


> Zudem ist mit wenig Konfigurationsaufwand die Lösung in einem Tag fertig.



Wenn ich sowas lese, stellen sich mir immer alle Nackenhaare auf... 

aber ansonsten hast Du mit Deinem Kommentar schon recht 

Gruß


----------



## DeltaMikeAir (26 Oktober 2018)

> Zudem ist mit wenig Konfigurationsaufwand die Lösung in einem Tag fertig.





> Wenn ich sowas lese, stellen sich mir immer alle Nackenhaare auf... :wink:



Wenigstens ehrlich. Andere schreiben, man löst die Automatisierungsaufgabe in weniger als 10 Minuten ( ob da der Programstart inbegriffen ist? )
https://www.industry.siemens.com/topics/global/de/tia-portal/automation-tasks/seiten/default.aspx


----------



## Indu-Sol (26 Oktober 2018)

Hallo Peed,

ich bin beim Thema Netzwerkauslegung ganz anderer Meinung.
Der Ansatz von Dir und von einigen, die im Forum geantwortet haben, heißt wie so oft auf OT-Ebene: „Trenne was zu trennen geht“. Das ist meist der Tatsache geschuldet, dass wir auf OT-Ebene keine Netzwerkexperten sind wie die ITler und uns unsicher fühlen, wenn jeder mit jedem kommunizieren könnte. Auch haben wir uns noch nicht an entsprechende Werkzeuge im Netzwerk gewöhnt, mit denen man die freie Netzwerkkommunikation so ordnet und überwacht, dass man am Ende Herr des Netzwerkes bleibt. Dazu müsste man z.B. Switches nicht nur zum Switchen einsetzen, sondern auch managen!
Wie aber ebenfalls in einigen Antworten angeklungen ist, heißt die Aufgabe der Zukunft: "barrierefreie Kommuniktion auf allen Ebenen und über alle Ebenen im Netzwerk“.
Du siehst, da passt der Anspruch an die moderne, freie Netzwerkkommunikation mit den Ansätzen der OT zur strikten Trennung der Netzwerke nicht überein. Die Frage ist nun, welche Anforderung wird gewinnen, damit Du heute, wo Du das Netzwerk planst und aufbaust, nicht schon morgen vom Leben eingeholt wirst. Und ich glaube da braucht man kein Prophet zu sein, um zur Einsicht zu gelangen, dass die moderne, barrierefreie Kommunikation durch alle Ebenen des Unternehmens hindurch gewinnen wird.
Also befreie Dich vom Denken in Barrieren und Mauern und finde bei Deiner Planung Lösungen, wie Du die freie Kommunikation im Netzwerk zulassen kannst, ohne dabei die Ordnung, den Überblick und die Kontrolle zu verlieren.
Das ist kein Plädoyer dafür, ganz und gar auf Router zwischen den Ebenen zu verzichten, aber eben nur an den notwendigsten Stellen. Innerhalb einer Netzwerkebene gibt es dann nur ein Netzwerk, ohne Trennung, und Du musst mit Mechanismen wie VLAN, IP-Subnetzen usw. versuchen Ordnung rein zu bringen und vor allem eine Netzwerküberwachung vorsehen!

Ich hoffe, ich konnte Dir damit eine neue Sicht auf die Dinge näher bringen.

René Heidl


----------



## DeltaMikeAir (26 Oktober 2018)

> Das ist meist der Tatsache geschuldet, dass wir auf OT-Ebene keine Netzwerkexperten sind wie die ITler und uns unsicher fühlen



Naja, bei uns ist dies vor allem der Tatsache geschuldet, dass unsere Anlagen um die 20 Jahre laufen. Wie oft ändert sich in der Zeit etwas, einiges oder alles
im Firmennetz?

Daher versuchen wir unsere Anlage soweit es geht autark zu halten. Und natürlich aus anderen Sicherheitsaspekten


----------



## Peed (29 Oktober 2018)

Erstmal vielen Dank für alle Kommentare zu meinem Thema, das hat mir sehr weitergeholfen.




> Meiner Meinung nach gehört das Anlagennetz sauber und physikalisch getrennt vom Firmennetzwerk. Natürlich ist es erst einmal günstiger, die Subnetze entsprechend anzupassen, sodass man weitere IP-Bereiche nutzen kann. Allerdings - wie du weiter schreibst - geht es dann weiter mit IT-Security und was viele verkennen, der Pflegeaufwand. Da wird mal hier ein Teil ausgetauscht und dort mal was verändert und jedes Mal musst du der IT Bescheid geben. Und spätestens dann wenn es um Zugangsberechtigungen, Zertifikatserstellung und -verwaltung geht, wird die IT feststellen, dass es womöglich doch günstiger gewesen wäre, einfach einen Industrierouter zur Netztrennung zu verwenden - zudem, weil mal hier noch ein paar mehr Möglichkeiten hat, was die Sicherheit angeht (Firewall (auch im VPN-Tunnel), Rechteverwaltung, etc.).




Nach einer etwas längeren Diskussion bei der letzten Besprechung, scheint es so langsam Klick gemacht zu haben, wer der Herr im im Bereich der Feldbusse ist. 




> War bei mir bisher ganz einfach, sagt man dem IT-ler einfach: Wenn du das anders haben willst, was eigentlich in Meinem Zuständigskeitsbereich liegt, lerne er TIA-Portal und alles andere aus der Automatisierung, ändere die Adressen selbst und stelle persönlich den 24/7/365 Support wie der Anlagenhersteller, weil der dann keinen mehr macht wenn du die Adressen geändert hast




Nach ungefähr solch einem Satz, mit der zusätzlichen Absicht das Projekt in Richtung IT abzugeben, war dann erstmal Ruhe und Stillschweigen im Saal und der IT'ler hat dann kleinlaut versucht zurück zu rudern mit der Argumentation, er wüsste ja noch nicht mal was eine SPS ist. 


Also das Thema ist soweit jetzt durch, ich werde also jetzt anfangen neue & alte Anlagen auf unser Anlagen Netzwerk patchen.




> Das ist kein Plädoyer dafür, ganz und gar auf Router zwischen den Ebenen zu verzichten, aber eben nur an den notwendigsten Stellen. Innerhalb einer Netzwerkebene gibt es dann nur ein Netzwerk, ohne Trennung, und Du musst mit Mechanismen wie VLAN, IP-Subnetzen usw. versuchen Ordnung rein zu bringen und vor allem eine Netzwerküberwachung vorsehen!




Dies ist jetzt die Hauptaufgabe, ein Konzept zu entwickeln, welches wirtschaftlich, sowie sicher und sinnvoll integriert werden kann. 
Wir haben eine bunte Mischung an Steuerungen, sowie Hersteller der einzelnen Anlagen. Deshalb ist die Kernaufgabe erstmal diese Bereiche voneinander abzuschotten. 


Ich möchte natürlich auch für unsere Jungs (Instandhaltung) den entsprechenden Vorteil dieser Vernetzung raus schlagen und einen direkten Zugang mit unserem Projektierungsrechner. 
Dies wiederum bekräftigt mein Thema zum Auswahl der Hardware.
Ich habe mir jetzt folgendes Überlegt.


Reine Profibus DP Automatisierungszelle: IBH-Link S7++ <-> Anlagen Netzwerk
Profinet / IE / PB DP : Switch Zelle <-> Wall IE (Helmholz) <-> Anlagen Netzwerk. 
Habe den Router für eine Testphase von 6 Wochen geordert, habe mich heute ins Handbuch eingelesen und finde den Router sehr ansprechend und benutzerfreundlich.


Diese Komponenten würde ich entsprechend standardisieren damit auch jeder damit arbeiten kann.


Durch viele Whitepapers und viel mitlesen im Forum stellt sich mir jetzt auch die Frage, ob ich nicht direkt mit OPC UA einsteigen sollte. Das setzt voraus erstmal einen OPC UA Server ans laufen zu bringen. 

Das hätte natürlich den schmackhaften Vorteil, dass all unsere 3. Anbieter Systeme ohne Probleme auf die Daten Zugriff hätten. (BDE System / Energiemonitoring / ERP) <- 3 verschiedene Systeme <=> 1 Zugriff! 
Zudem würde ich die PUT/GET Bausteine aus der Steuerung raus werfen, was wiederum den Vorteil der kontrollierten Daten und Zugriffe mit sich bringen würde <- Keine Zugriffsmöglichkeit über Absolut Adressierung auf die gesamte Steuerung.
Natürlich würde auch die Möglichkeit einer Kopfsteuerung bestehen, quasi als "Gateway", um die Zugriffe nur auf vordefinierte DB's zu gestalten. Aber das sprengt den Rahmen. 

In meinen Augen wäre dies zum heutigen Zeitpunkt beste Weg in Richtung "IoT";Industrie 4.0;... jedoch mit mehr Aufwand verbunden und ein wenig Wissensaneignung. 
Ich weiß es ist ein wenig schwammig, aber wie gesagt es handelt sich Aktuell noch um den Status: Planung/Konzept & was wollen wir am Ende alles damit realisieren möchten.
Der eine Chef legt seinen Fokus auf OEE, der andere auf den Bereich Energiemanagement und dann wäre da noch die QS, jetzt muss ich die Themen miteinander verschmelzen. 
Also ich bin der Meinung mit OPC UA würden wir weitestgehend alle Anbindungen, welche zu 80% in sehr kurzen Abständen gefordert werden erschlagen. Gerade das Thema Energiemonitoring läuft darauf hinaus.

PS: Ich könnte es mir so einfach und unsicher wie möglich machen, SPS ans Netzwerk und fertig, jedoch ist dies nicht mein Ziel...! Zudem sieht mein Budget eine saubere Anbindung vor und am besten zukunftsorientiert.


----------



## Fabpicard (30 Oktober 2018)

Bei uns ist das Konzept recht einfach aber sehr effektiv gestrickt:
Jeder Hersteller bekommt zuerst einmal sein eigenes VLan mit einem /24er Adressbereich zugewiesen (aktuell 15/20/25 ? keinen Überblick gerade daheim   )

Dann kommt es darauf an, wie die Anlagen seitens des Herstellers aufgebaut sind und wie die den Fernwartungszugriff wünschen/vorgeben...
Variante 1:
Eine größere Anlage mit einigen Netzwerkkomponenten liegt direkt in diesem Netz (hier kann es beispielsweise innerhalb der Anlage noch weitere "Subnetze" für PN/IO-IRT geben, die natürlich nicht direkt am "Firmen"-Netzwerk hängen)
Hersteller greift hier über unseren gestellten VPN-Zugang auf die Anlage von Außen zu.

Variante 2:
Mehrere kleinere und meist ältere Anlagen, die teils nur MPI/PB haben. Hier ist die "Netzwerkanschaltung" dann über einen PB/IP-Dongle (wie der LinkS7++ o.ä.) gelöst.
Hersteller greift hier ebenfalls über einen VPN von uns zu und erreicht darüber alle seine Anlagen

Variante 3:
Hersteller schreibt ein "Nach-Hause-Telefonier-Modem" vor und greift hierüber auf seine Anlagen zu.
Da sitzt dann je Anlage ein Mikrotik-Router zwischen dem Lan-Kabel der IT und dem Anlagen-Router, der auch eine Netzwerkverbindung ins Maschinen-Netzwerk hat.
Damit kann ich dann die für uns interessanten Geräte-IPs einfach auf IPs in dem entsprechenden VLan durch reichen, ohne am Maschinen-Netz irgendwelche Änderungen machen zu müssen.
(1-2 Anlagen haben dann auch gleich 2 "Maschinen-Netzwerke" die eben dann beide auf meinem Router liegen     )
Ebenso gibt es Anlagen, die im groben und ganzen quasi "Baugleich" sind. Hier hat der Hersteller dann jeder der x CPUs jeweils die gleichen IP im jeweiligen Maschinen-Netz verpasst. Stört mich nicht, da ich diese in dem VLan auf unterschiedlichen Adressen über meine Router abbilde 


Zuletzt gibt es dann noch ein VLan, welches ausschließlich für die Instandhaltung ist. Hier kommen beispielsweise "Minianlagen" rein, die wir selbst erstellt haben oder für die es vom Hersteller keinen wirklichen Fernzugriff gibt, weil nicht benötigt.
In diesem VLan gibt es 2 wichtige Adressbereiche:
Einmal 9 reservierte IP-Adressen für Server, die Verbindungen zu den Anlagen haben und auch die absolut Einzigen sind, die aus dem Firmen-Netzwerk erreichbar sein dürfen.
Die "Server" erhalten jeweils nur die für Datenkommunikation nötigen Freigaben in der Firewall. (also bsp. auf die S7-CPUs mit Port 102/TCP, sonst nichts)
Dann noch 10 reservierte IP-Adressen die für die PGs gedacht sind, auch wenn es aktuell natürlich nicht so viele sind. Diese Adressen haben in der Firewall dann Vollzugriff auf sämtliche Hersteller-VLans. Und dieses VLan ist (ohne DHCP versteht sich) auf unserem Mash-WLan als weitere SSID aufgeschaltet, das die PGs mit entsprechender Konfiguration auch auf die Anlagen eben über WLan zugriff haben.


Wichtigste Voraussetzung hierfür: Von der IT bekomme ich zu Jeder Anlage genau 1 Netzwerkkabel, dahinter ist Meine Baustelle! Es läuft keine Produktions-Wichtige Kommunikation über Hardware der IT. (kann der Maschinenführer am Haupt-HMI sich halt nicht das HMI der Zusatzmaschine aufrufen, muss er halt paar Meter laufen, aber die Karre läuft komplett weiter)

Dazu gibt es natürlich immer ein paar "Sonderkonstruktionen", bei denen man dann abwägen muss, ob man das so umsetzt oder doch irgendwann nach obiger Struktur ummodeln kann  (und die üblichen Probleme mit der Konzern-IT, weil man bei >10k an Mitarbeitern im Konzern ja leider immer auf der Ebene ein paar Flötenköpfe hat, die es nicht einsehen, das der kleine Mann unten doch mehr Ahnung in dem Bereich hat, als sie  )

MfG Fabsi


----------

