Industrielle Datenverbindungen zum Fernwarten und Fernwirken im GSM-Mobilfunknetz 1

Gerade Anlagen zur Gewinnung erneuerbarer Energie sind oft klein und verteilt. Dennoch müssen sie zuverlässig ihren Beitrag leisten. Um Kontrolle und Wartung zu erleichtern, bieten sich die modernen Methoden der Fernwartung an. Dank Mobilfunk ist das auch ohne aufwendig zu verlegende Telefonleitungen möglich.Zum Fernwirken müssen in der Energietechnik oft entlegene Außenstationen permanent über eine Datenverbindung mit der Leitzentrale kommunizieren. Um die erheblichen Reisekosten im Wartungsfall zu vermeiden, verbindet sich der Servicetechniker über eine temporäre Datenverbindung mit der Applikation, sodass er Fehler aus der Ferne diagnostizieren und beheben kann.

Für die Kommunikation wird dabei meist das vorhandene öffentliche Telefonnetz verwendet. Hier kommen analoge Modems zum Einsatz, die eine Übertragungsrate von bis zu 33,6 kBit/s zwischen zwei Modems ermöglichen. Die temporären Verbindungen werden durch Anwahl der entsprechenden Telefonnummer hergestellt.

Sollen permanente Verbindungen aufgebaut werden, haben die Anwender bislang eine Standleitung vom Telefonanbieter angemietet. Allerdings hat die Deutsche Telekom ihre analogen Standleitungen zum 30. September 2009 abgekündigt. Die als Ersatz angebotenen ISDN-Standleitungen sind voraussichtlich auch nur noch maximal fünf Jahre verfügbar.

Weltweit verfügbares GSM-Mobilfunknetz

Maschinen ohne Festnetz-Anbindung, schwer zugängliche Anlagen und mobile Applikationen können Daten über das GSM-Mobilfunknetz (Global System for Mobile Communication) austauschen. GSM-Netze in den vier Frequenzbändern 850, 900, 1800 und 1900 MHz sind in über 200 Ländern vorhanden.

Die GSM-Quadband-Modems von Phoenix Contact unterstützen diese Frequenzen, sodass sie bis auf Japan und Südkorea nahezu weltweit einsetzbar sind. Für den Betrieb eines solchen Modems ist eine SIM-Karte notwendig, wie sie auch in Mobiltelefonen verwendet wird. Die Karte muss für den jeweiligen Dienst, beispielsweise Datenrufnummer oder GPRS, frei geschaltet sein.

Der Verbindungsaufbau kann dann wie beim analogen Modem über eine Wählleitung erfolgen, die im GSM-Mobilfunknetz als CSD-Verbindung (Circuit Switched Data) bezeichnet und in der Regel nach der Verbindungsdauer berechnet wird.

Da sich die Verbindung durch die direkte Anwahl einer Telefonnummer aufbaut, reicht ein Passwort aus, um die bis zu 14 400 Bit/s schnelle Datenübertragung zu schützen. Aufgrund der einfachen Handhabung und der relativ konstanten Signallaufzeit ist die CSD-Wählverbindung ein gängiges Verfahren zur globalen Fernwartung von Maschinen und Anlagen.

Im Rahmen von Wählverbindungen lassen sich analoge und GSM-Modems beliebig miteinander kombinieren. Schneller und kostengünstiger Für die Prozessdatenerfassung, die eine permanente Kommunikation erfordert, stellt das GSM-Mobilfunknetz den GPRS-Dienst (General Packet Radio Service) zur Verfügung.

GPRS-Verbindungen werden nicht nach der Verbindungszeit, sondern dem entstandenen Datenvolumen berechnet. Auf diese Weise lassen sich zum Beispiel Pumpstationen 24 Stunden pro Tag kostengünstig an die Leitzentrale ankoppeln. Statt über eine Telefonnummer wird die Verbindung nun über eine IP-Adresse aufgebaut.

Bei EDGE (Enhanced Data Rates for GSM Evolution) handelt es sich um eine Weiterentwicklung von GPRS mit einer höheren Übertragungsrate von bis zu 210 kBit/s. EDGE nutzt die Infrastruktur des GSM-Mobilfunknetzes, sodass die Technologie im Gegensatz zu UMTS (Universal Mobile Telecommunications System) auch in entlegenen Gebieten verfügbar ist.

Bessere Erreichbarkeit durch IP-Adressen

Ein standardmäßiger Wechsel der dynamischen IP-Adressen erschwert die Erreichbarkeit von Modems im GPRS- oder EDGE-Netzwerk. Deshalb bieten einige Provider und Systemhäuser Lösungen mit festen IP-Adressen in virtuellen geschlossenen privaten Netzwerken an. Im Rahmen des Vodafone-Konzept CDA (Corporate Data Access) werden alle eingesetzten SIM-Karten vom Anwender auf dem CDA-Server registriert und bekommen eine fixe IP-Adresse.

Die GPRS-Verbindung wird nicht mit zusätzlichem Datenvolumen für einen VPN-Tunnel (Virtual Private Network) belastet, denn aus dem öffentlichen Internet kann nicht mehr auf die Modems zugegriffen werden. Lediglich die Verbindung zwischen CDA-Server und Leitstand über das kabelgebundene Internet ist durch einen VPN-Tunnel gesichert.

Befindet sich die Anwendung im Ausland, erhält der Hersteller oftmals keine festen IP-Adressen oder ein geschlossenes Netzwerk für GSM-Mobilfunkverbindungen. Möchte er trotzdem über GPRS oder EDGE kommunizieren, muss das öffentlich zugängliche Internet genutzt werden.

Das Problem der dynamischen IP-Adressen lässt sich hier mit Hilfe von DynDNS (Dynamic Domain Name System) lösen, einem Dienst, den verschiedene Anbieter im Internet zur Verfügung stellen. Dazu wird ein Domain-Name beim Betreiber des DynDNS-Servers angelegt.

Soll das Modem trotz wechselnder IP-Adressen unter diesem Namen erreichbar sein, muss ein DNS-Client dem DNS-Server die aktuelle IP-Adresse übermitteln. In das GSM/ETH-Modem von Phoenix Contact ist deshalb ein solcher DynDNS-Client integriert worden. So bald ihm der Mobilfunk-Provider eine neue IP-Adresse zuweist, wird diese automatisch und passwortgeschützt an den DynDNS-Server weitergeleitet.

Somit ist das Modem und damit das gesamte angeschlossene Netzwerk unter dem Domain-Namen erreichbar. Führt eine GPRS- oder EDGE-Verbindung direkt durch das Internet müssen die sensiblen Daten durch einen VPN-Tunnel geschützt werden.

Zur Absicherung der VPN-Verbindung vor unbefugten Zugriffen hat sich das in der Fachwelt vorherrschende Sicherheitsprotokoll IPsec (Internet Protocol Security) etabliert. IPsec ist eine IP-Erweiterung, die neben der Verschlüsselung Authentifizierung, Integrität und Transparenz bietet.

Das bedeutet, dass IP-Verbindung transparent für alle Applikationen und IP-Protokolle auf der Netzwerkebene verschlüsselt und signiert werden. IPsec umfasst mit AH (Authentication Header) und ESP (Encapsulating Security Payload) zwei verschiedene Protokolle, die entweder im Tunnel- oder Transportmodus angewendet werden. Die Verschlüsselung und Authentifizierung wird durch PSK (Pre Shared Key) oder X509-Zertifikate sichergestellt.

Zum Verbinden von zwei Ethernet-Netzwerken über das GSM-Mobilfunknetz nutzen die GSM-Modems von Phoenix Contact ESP zur Verschlüsselung sowie den Tunnelmodus, damit alle Teilnehmer über den VPN-Tunnel kommunizieren können.

Außerdem werden Zertifikate verwendet, sodass die Authentifizierung von sämtlichen IP-Adressen aus möglich ist. Jedes IP-Datenpaket wird für den Versand durch den VPN-Tunnel in ein IPsec-Paket gekapselt und mit der neuen IP-Adresse versehen. So lassen sich sichere Daten zwischen zwei Modems austauschen.

Für Daten-Integrität sorgen

Mobilfunk-Provider setzen oftmals die NAT-Technologie (Network Address Translation) ein. NAT verändert das Adressfeld des IPsec-Pakets und macht so die im Paket enthaltene Checksumme ungültig. Das GSM/ETH-Modem von Phoenix Contact erkennt deshalb automatisch, ob NAT auf dem Datenpfad genutzt wird und verwendet in diesem Fall NAT-T (NAT-Traversal), das die IPsec-Pakete in UDP-Pakete (User Datagram Protocol) kapselt.

Dadurch kann die Adress- und Port-Information durch NAT geändert werden, ohne die Integrität der Daten zu beeinträchtigen. Selbst wenn sich entlegene Stationen nur über GSM-Mobilfunk in das Unternehmensnetzwerk einbinden lassen, ist in der Zentrale meist eine Internet-Verbindung vorhanden.

In diesem Fall bietet sich der Einsatz des Sicherheits-Routers FL MGuard von Phoenix Contact an, mit dem bis zu 250 Modems gleichzeitig über eine sichere IPsec-Verbindung via Internet kommunizieren können. Falls eine Firewall genutzt wird, müssen die Protokolle IKE (Internet Key Exchange), UDP-Port 500 und ESP, IP-Port 50 freigegeben werden. Arbeitet die Anwendung mit NAT-T, genügt der UDP-Port 4500. Viele Firewalls erlauben bereits die vereinfachte Freigabe „IPsec Passthrough“.

www.phoenix-contact.de