IoT-Portal MyREX24, Bild: Helmholz

Das IoT-Portal MyREX24 V2 dient als Vermittlungszentrale für die VPN-Kommunikation zwischen Bediener und dessen Anlagen. Bild: Helmholz

Über Switche läuft der Datenaustausch zwischen Controllern, SPSen und weiteren Netzwerkteilnehmern. Sie gehören damit zu den wichtigsten Netzwerk-Bestandteilen – auch zahlenmäßig. Selbst kleinste Optimierungen wirken sich bei diesen Komponenten deshalb spürbar aus. Das gilt auch für die Bauform, denn der Platz im Schaltschrank ist naturgemäß begrenzt.

Kompakt und robust

Ethernet-Switch, Bild: Helmholz
Der unmanaged Ethernet-Switch hat in der 5-Port-Version eine Baubreite von nur 49 Millimetern. Bild: Helmholz

Maßstäbe setzen hier die unmanaged Ethernet-Switche von Helmholz mit nur 49 Millimeter Baubreite in der Fünf-Port-Version oder 65 Millimeter für acht Ports. Durch ihre sehr kompakte Bauweise sind sie für vielfältige Industrieanwendungen einsetzbar. Das leichte, aber trotzdem robuste Industriedesign ist zur Montage auf der Hutschiene geeignet und lässt sich sehr einfach in das Netzwerk integrieren. Einmal gesteckt, sind sie durch die simple Plug&Play-Lösung sofort betriebsbereit. Die werkzeuglose Push-In-Anschlussklemme für die Spannungsversorgung unterstützt dabei die schnelle und unkomplizierte Installation. Der Einsatz von herkömmlichen Ethernet-Switchen in Verbindung mit Profinet-Netzwerken ist wegen der fehlenden Telegramm-Priorisierung und der damit einhergehenden Datenlast in vielen Maschinen-Netzwerken jedoch mit Vorsicht zu betrachten. Hier sind Profinet-Switche die deutlich bessere Alternative. Eine der wichtigsten Funktionen eines Profinet-Switches ist die Priorisierung des Profinet-Telegramm-Verkehrs im Maschinennetzwerk. Der managed Switch kann unterscheiden, ob es sich bei dem Telegramm um eine Webanfrage, eine FTP-Dateiübertragung, einen Medienstream oder ein Profinet-Telegramm handelt. Bei hoher Übertragungslast können somit die wichtigen Telegramme priorisiert werden, um zu verhindern, dass es zu Telegrammverlusten kommt oder das Profinet-Netzwerk nicht mehr erreichbar ist. Das bedeutet auch: eine klare und eindeutige Segmentierung zwischen Ethernet und Profinet.

Profinet-Switch,  Bild: Helmholz
Ein managed Profinet-Switch mit acht Ports. Bild: Helmholz

Kaum weniger häufig als Switche kommen Feldbus-Gateways zum Verbinden einzelner Automatisierungsnetzwerke zum Einsatz. Unabhängig vom jeweiligen Netzwerk-Bus (Profinet, CANopen, DP) zählt deshalb auch hier eine möglichst klein dimensionierte Bauform. Profinet-Profinet-Gateways von Helmholz sind zum Beispiel nur rund ein Viertel so groß wie vergleichbare Geräte anderer Hersteller. Darüber hinaus erfordert ihre Installation, wie auch die der Profinet-Switche, kein zusätzliches Software-Tool.

Maschinennetze sicher integrieren

IoT-Portal MyREX24, Bild: Helmholz
Das IoT-Portal MyREX24 V2 dient als Vermittlungszentrale für die VPN-Kommunikation zwischen Bediener und dessen Anlagen. Bild: Helmholz

Mit dem Siegeszug der Ethernet-Vernetzung spielt auch die Cybersecurity eine ganz zentrale Rolle. Gerade angesichts wachsender Datenmengen ist die Trennung oder Segmentierung von Netzwerken deshalb dringend zu empfehlen. Dabei geht es im Kern darum, Maschinennetze sicher in das übergeordnete Produktionsnetzwerk zu integrieren. Mit dem NAT-Gateway Wall IE bietet Helmholz dafür eine auf die wesentlichen Funktionen konzentrierte und damit entsprechend kostengünstige Lösung: Die robuste und besonders kompakte Ethernet-Komponente verbindet Bridge- und Firewall-Funktionen. Damit ermöglicht sie die einfache Integration von Maschinennetzen in das übergeordnete Produktionsnetz. Als positiver Effekt werden somit auch Broadcast-Domänen verkleinert. Konkret schützt die Komponente die Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität: Damit lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken. Als weitere Besonderheit kann die Wall IE sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert Wall IE als Layer-2-Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart die Paketfilterung möglich. Dadurch kann die Einschränkung des Zugriffs zu einzelnen Bereichen des jeweiligen Netzwerks erreicht werden, ohne dass hierfür unterschiedliche Netzwerke verwendet werden müssen. Im Router-Betriebsmodus, den die meisten Anwender nutzen, leitet die Wall IE den Datenverkehr zwischen verschiedenen IPv4-Netzwerken (Layer 3) weiter und nutzt Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetzwerk. Dabei wird die Adressübersetzung mittels Network Adress Translation (NAT) unterstützt. Die Verwendung von NAT ermöglicht es darüber hinaus, mehrere gleichartige Automatisierungszellen mit dem gleichen Adressbereich in das Produktionsnetz einzubinden. Im Router-Betriebsmodus unterstützt Wall IE zwei NAT-Funktionalitäten: Basic NAT (auch 1:1 NAT oder Static NAT genannt) und NAPT (Network Address and Port Translation, auch 1:N NAT oder Masque-rading genannt).

Sicherer Online-Fernzugriff

Nicht zuletzt ermöglicht der Hersteller auch einen sicheren und einfachen Online-Fernzugriff: Vor allem Maschinenbauer, aber auch Produktionsbetriebe nutzen die REX-Industrierouter, um direkt online auf die Ethernet-Netzwerke ihrer Maschinen und Anlagen zuzugreifen – etwa zur Fernwartung, zur Visualisierung, zum Datensammeln sowie für Diagnose-und-Web2Go (VNC und Remote Desktop)-Anwendungen. Die REX-Serie, die mit den Modellreihen REX100 und REX200/250 ein breites anwendungsspezifisches Spektrum abdeckt, bietet dafür diverse Zugriffsmöglichkeiten über Ethernet, 3G, 4G oder Wifi. Die Datenübertragung erfolgt bei allen REX-Modellen generell verschlüsselt über einen VPN-Tunnel. Die Grundlage dafür bildet das sichere Open- VPN-Protokoll.

IoT-Portal als Vermittlungszentrale

Das Helmholz-IoT-Portal MyREX24 V2 dient dabei als Vermittlungszentrale für die VPN-Kommunikation zwischen Bediener und dessen Anlagen. Beide Seiten können den VPN-Tunnel damit als ausgehende Verbindung aufbauen. Die Firewalls oder auch Beschränkungen von Diensten oder Mobilfunkbetreibern sind damit kein Thema mehr. Denn diese betreffen nur den Datenverkehr in das Netzwerk hinein, nicht aber den aus dem Netzwerk heraus. Die ausgehenden Verbindungen bleiben dann kurz in Wartestellung, bis der VPN-Tunnel steht. Dort erfolgt dann die eigentliche Kommunikation über das IoT-Portal. Das einfache und intelligente Benutzermanagement und die schnelle Konfiguration der REX-Industrierouter konnte schon viele Kunden überzeugen. Helmholz bietet hierfür einen speziellen Testaccount an, damit potenzielle Kunden die Leistungsfähigkeit des IoT-Portals schon vorab ausführlich testen können. aru