TIA SPS Lokal und im Netz

B

Bradli123

Level-2
Beiträge
40
Reaktionspunkte
3
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,

ich stehe gerade auf dem Schlauch. Ich habe in einem lokalen Netz eine S7-1500 mit mehreren Teilnehmern.
Da ich mit der SPS auf eine REST-Schnittstelle zugreifen möchte, benötige ich eine Verbindung sowohl zum IT-Netz meines Unternehmens als auch zum lokalen Netz, in dem die übrigen Teilnehmer eingebunden sind.
Meine SPS hat zwar zwei Ports, aber nur ein Interface, ebenso wie das Kommunikationsmodul.
Kann mir meine Switch dabei weiterhelfen? Ansonsten hätte ich auch Zugriff auf andere SPS, aber soweit ich weiß ist die zweite Schnittstelle immer nur DP.
Könnt ihr mir helfen?

Vielen Dank im Voraus :)
 
Die wichtigste Information hast du weggelassen.. nämlich welche Artikelnummer deine Steuerung hat.
Da gibts dann sowas neumordenes wie Datenblätter dazu, dort steht genau beschrieben welche Schnittstellen vorhanden sind und in welcher Ausführung und Anzahl

Aber ja, ein Switch kann dir helfen.. bitte sprich aber mit der Abteilung welche die Netzwerkinfrastruktur bei euch verwaltet, welche Anforderungen der Switch erfüllen muss um Security im IT und OT sicherzustellen
 
Zuviel Werbung?
-> Hier kostenlos registrieren
DCDCDC schrieb:
Die wichtigste Information hast du weggelassen.. nämlich welche Artikelnummer deine Steuerung hat.
Aber ja, ein Switch kann dir helfen.. bitte sprich aber mit der Abteilung welche die Netzwerkinfrastruktur bei euch verwaltet, welche Anforderungen der Switch erfüllen muss um Security im IT und OT sicherzustellen
Zum Vergrößern anklicken....
Ist eine 1511-1 PN
Artikelnummer: 6ES7 511-1AK02-0AB0

Die verbaute Switch, Scalance X-204IRT, hat auch nur ein Interface
 

Bradli123 schrieb:
Die verbaute Switch, Scalance X-204IRT, hat auch nur ein Interface
Zum Vergrößern anklicken....

Und jetzt? Was brauchst du denn (mehr)?

Es gilt:
DCDCDC schrieb:
bitte sprich aber mit der Abteilung welche die Netzwerkinfrastruktur bei euch verwaltet, welche Anforderungen der Switch erfüllen muss um Security im IT und OT sicherzustellen
Zum Vergrößern anklicken....
zusätzlich, wenn das ein Gebiet ist welches nicht dein erfahrenstes ist, besprich mit ihnen was du realisieren möchtest und was dafür notwendig ist.

Wenn du zwei getrennte Netze miteinander verbinden willst.. schätze ich wohl managed Switch wäre hier eine Lösung
 
Zuviel Werbung?
-> Hier kostenlos registrieren
DCDCDC schrieb:



Und jetzt? Was brauchst du denn (mehr)?

Es gilt:

zusätzlich, wenn das ein Gebiet ist welches nicht dein erfahrenstes ist, besprich mit ihnen was du realisieren möchtest und was dafür notwendig ist.

Wenn du zwei getrennte Netze miteinander verbinden willst.. schätze ich wohl managed Switch wäre hier eine Lösung
Zum Vergrößern anklicken....
Ich brauche Tipps, wie ich das einrichte und realisiere.
Ich habe mit der Programmierung von SPS zwar Erfahrung, aber nicht mit solchen Netzwerkübergreifenden Systemen.

Meine Gedanken dazu: Um in beiden Netzen zu kommunizieren, benötigt meine SPS auch für jedes Netz eine IP-Adresse.
Scheinbar weißt du mehr als ich und würde mich freuen, wenn du mir dabei helfen kannst.
 
Ich wiederhole mich jetzt nicht noch mal :D

Geh doch bitte einfach zu deiner IT und sag denen was du vorhast und dann werden die dir schon sagen was du brauchst um das umzusetzen. Wir kennen dein Unternehmen und auch die Anforderungen eures Netzwerks nicht, welche Lieferanten zugelassen sind, etc..

Wenn der Switch managbar ist, kann dort die IT mit Routing und vLan arbeiten um dir die Kommunikation zu ermöglichen
 
Hallo

Du benötigst entweder eine SPS mit 2 getrennt konfigurierbaren Ethernetports z.B unsere CC30xT oder zu deiner 1511 ein IE-CP kaufen.

Dann hast Du 2 Segemente im Netzwerk. Eins für lokales Netz und ein für übergeordnetes Netzsegment. Die IP Adresse für das übergeordnete Segment bekommst Du von deiner IT (feste IP-Adresse evtl. Gateway).
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Sollen außer der SPS auch andere Netzwerk-Teilnehmer von außerhalb des Netzes (z.B. für Fernwartung) erreicht werden? Z.B. HMI, FU, Servos, ...? Kann die SPS-CPU die benötigten Protokolle routen? Frag lieber vorher die IT-Abteilung des Kunden, bevor du an der SPS teuer eine zweite Netzwerkschnittstelle nachrüstest.
 
Also, wenn die PLC nur ein Netzwerk Interface besitzt, egal ob mit einem oder zwei Ports, dann brauchst du einen Router, der deine Kommunikation ins übergeordnete Netz realisiert. Denk daran, dann auch das Gateway (ip des Router) in der PLC Konfiguration ein zu tragen. Auch muss hier evtl. ein s.g. Port oder IP - Forwarding gemacht werden, damit die PalC von außen erreichbar ist.
Wenn du eine PLC mit zwei Netzwerk Interfaces hast, dann kann natürlich das eine Interface in das uber geordnete Netzwerk und das andere Interface ins Maschienen nahe.
Ob und mit wem du reden must, kann ich nicht sagen. Bei den meisten ist halt die IT zu frage, bevor man da was macht.
Tipp meinerseits. Immer einmal aufzeichnen, was man will, um Missverständnisse zu vermeiden.
 
Unsere Kunden und Partner lösen solche Anfragen gerne über Tosibox. Sicherer Zugriff von der IT-Seite in dein OT-Netzwerk. Wenn du fragen hast, kannst du dich gerne melden.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Naja, was konkret will der TE machen? 🤔

Aber grundsätzlich, Netze immer trennen!

D.h. entweder ne 1515 einbauen oder nen zusätzlichen Ethernet-CP oder CM nachrüsten.

Dann kann die SPS mit den Feldbusteilnehmern reden und zusätzlich mit was auch immer im IT-Netz.

Probleme im IT-Netz wirken sich dann nicht auf den Feldbus aus und umgekehrt. Weiterhin erleichert die klare Trennung auch den Zuständigkeitsbereich.

Router und wasweissich machens nur unnötig kompliziert und weichen die Zuständigkeitsgrenzen auf.

OT: Auf aktueller Baustelle wieder so ein IT-Problem, niemand krigts gelöst und niemand fühlt sich freiwillig zuständig... und das ist die Regel und nicht die Ausnahme.
 
Zuletzt bearbeitet:
Ich plane bei so einem Thema immer einen Helmholz Wall-IE ein. Find ich für die sauberste Lösung, weil ich der Meinung bin, dass die IT gar nix mit der CPU direkt am Hut haben sollte...
Das gibt irgendwie immer irgendwann ein Thema. Und wenn es nur um "Was ist mit Sicherheits-Updates?" geht.
Der Wall-IE ist ein spezieller Router für genau den Fall und wird bei mir immer mit einer Whitelist-Regel konfiguriert. Das heißt, grundsätzlich wird alles geblockt und bei Bedarf explizit mit IP und Port für den anderen Partner freigegeben.
Und falls man Probleme mit der Konfiguration hat: Einfach bei Helmholz anrufen und denen das Problem beschreiben. Der SPSler ist bei denen die Regel und nicht die Ausnahme ;)
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Holzmichl schrieb:
Ich plane bei so einem Thema immer einen Helmholz Wall-IE ein. Find ich für die sauberste Lösung, weil ich der Meinung bin, dass die IT gar nix mit der CPU direkt am Hut haben sollte...
Das gibt irgendwie immer irgendwann ein Thema. Und wenn es nur um "Was ist mit Sicherheits-Updates?" geht.
Der Wall-IE ist ein spezieller Router für genau den Fall und wird bei mir immer mit einer Whitelist-Regel konfiguriert. Das heißt, grundsätzlich wird alles geblockt und bei Bedarf explizit mit IP und Port für den anderen Partner freigegeben.
Und falls man Probleme mit der Konfiguration hat: Einfach bei Helmholz anrufen und denen das Problem beschreiben. Der SPSler ist bei denen die Regel und nicht die Ausnahme ;)
Zum Vergrößern anklicken....
...und damit baut mann neben der IT-Infrastruktur parallel eine OT-Infrastruktur auf. Das gehört gemeinsam gelöst und nicht zwei separate Lösungen. Der IT-Admin muss sich bewegen und sich in der Automatisierungswelt einarbeiten und der Automatisieren muss wenigstens die Grundlagen von IT und Netzwerken verstehen.

keine Schatten-IT in der Automatisierungswelt, das geht auf Dauer nicht gut. Man muss sich mit beiden Seiten an einen Tisch setzten und eine für alle passende Lösung finden
 
Onkel_Karl schrieb:
...und damit baut mann neben der IT-Infrastruktur parallel eine OT-Infrastruktur auf. Das gehört gemeinsam gelöst und nicht zwei separate Lösungen
Zum Vergrößern anklicken....
Das Handling und das Passwort zum Wall-IE geht dann zur IT.
Die Konfig kann man sauber exportieren und dokumentieren.
Updates kann man dann auch wie gewünscht per IT handeln.

Das Problem, in das ich immer laufe, ist die ITler-Denke, dass alle Netzwerkgeräte im IT-Netz in deren Hoheitsbereich fallen.
Wenn ich dann sage, dass Sie das gerne machen dürfen, aber ich hier über 100 Netzwerk-Teilnehmer mit Industrieprotokollen (Profinet) inkl Personensicherheit habe, wird ganz schnell abgewunken und gefragt, wie man das am Besten kapseln kann.

Dann gibt es z.B. ein VLAN in der IT-Infrastruktur für alle Produktionsanlagen, die IP des Wall-IE darf gern von der IT vorgegeben werden und man hat eine perfekt saubere Schnittstelle. Wie ich die IP-Struktur im Profinet belege, bleibt dann schön mein Thema und alle sind glücklich.
 
Vlans und Segmentierungen danach und die Aufteilung in Bereiche für Maschinen/Anlagen/Stationen ist auch eine saubere Lösung.. so ist auch geklärt wer etwas wo und wie verwaltet und administriert. Natürlich kann man sich dann auch noch mal beidseitig auf gewisse Prozesse/Standards festlegen zB wie Adressen vergeben werden usw usw.. das Zusammenspiel beider Bereiche schafft am Ende eine saubere Struktur.
 

Similar threads

L
TIA keine erreichbaren Teilnehmer
2
Antworten
31
Aufrufe
2K
wdjn
W
M
TIA PUT/GET Fehler 10: Zugriff auf lokalen Anwenderspeicher nicht möglich
Antworten
19
Aufrufe
995
Medium9
M
H
TIA Keine erreichbaren Teilnehmer TIA V18
2
Antworten
24
Aufrufe
4K
Pipboy
Pipboy
D
TIA Tia Portal V20 und neue S7 1200 oder KTPxxx Basic PN HMI
Antworten
6
Aufrufe
406
PN/DP
PN/DP
R
TIA Teamviewer: VPN Zugriff auf SPS OK auf HMI Panel im selben TIA Projekt nicht
Antworten
4
Aufrufe
2K
Pipboy
Pipboy
Zurück
Oben