Zum Inhalt

Einsatzmöglichkeiten von Agents und Gateways

Einfaches Netzwerk

Abbildung: Einfaches Netz

Wie oben dargestellt, befindet sich der octoplant Server in einem isolierten Netzwerk (DMZ) und kann damit nicht direkt auf die Steuerungen im OT-Netzwerk (mit NAT) zugreifen.

Um ein Backup der beiden Geräte durchzuführen, muss ein Agent im OT-Netzwerk eingesetzt werden. Die Kommunikation zwischen dem octoplant Server und dem Agent muss dann zwar immer noch in der Firewall freigeschaltet werden, der Agent verfügt aber über zwei Ports, was eine direkte Kommunikation mit beiden Geräten ermöglicht.

Alternativ kann der Zugriff auf die SPS über eine Portweiterleitung auf dem “Industrierouter” erfolgen. Diese Möglichkeit besteht jedoch nicht immer und erfordert detaillierte Kenntnisse der Geräte.

Verteiltes Netzwerk

Abbildung: Verteiltes Netz

Das Netzwerk ist in verschiedene Zonen unterteilt. Dadurch können sich mehrere UserClients über ein CSC-Gateway mit dem octoplant Server verbinden. Dieses Gateway kann die Firewall umgehen und sicherstellen, dass nur octoplant Kommunikation zugelassen wird.

Dieser Aufbau ist von Vorteil, wenn das Netzwerk mehrere Firewalls enthält und die (Neu-)Konfiguration jeder Firewall eine komplizierte Aufgabe wäre. Ein octoplant Server kann damit für die Verbindung zu mehreren Unternehmensstandorten verwendet werden. Zur Sicherheit sollte die gesamte Kommunikation über nicht vertrauenswürdige Netzwerke (z. B. Internet) über VPN erfolgen.

Agent-Verbindung über Gateway

Abbildung: Agent-Verbindung über Gateway

In diesem Netzwerkszenario enthält das OT-Netzwerk ein dediziertes Subnetz/Subnetzwerk (10.1.0.0/24) . Es müssen lediglich zwei Geräte für Backups zur Verfügung stehen.

Da zwei "Industrierouter" vorhanden sind, die NAT bereitstellen, kann im letzten NAT-Netzwerk (also im Subnetz, das aus der Sicht von octoplant die meisten Zwischenhalte entfernt ist) ein Agent eingesetzt werden. Um eine Verbindung zum Agent herzustellen, gibt es zwei Möglichkeiten:

  • Verwendung eines Gateways: Der erste Router ("Industrierouter 1") muss so konfiguriert werden, dass er eingehende Verbindungen an das Gateway weiterleitet. Das Gateway selbst leitet wiederum alle Anfragen automatisch an den Agent. Auf dem zweiten Router ist keine Konfiguration erforderlich.
  • Konfiguration eines zweiten Routers zur Weiterleitung von Verbindungen: Wie zuvor muss der erste Router ("Industrierouter 1") so konfiguriert werden, dass er eingehende Verbindungen weiterleitet, diesmal aber an den zweiten Router. Der zweite Router ("Industrierouter 2") muss so konfiguriert werden, dass er die eingehende Verbindung an den Agent weiterleitet.

In beiden Fällen kann der Agent alle Geräte in den beiden Subnetzen 10.1.0.0/24 und 10.0.0.0/24 erreichen. (Der zweite Router führt bereits NAT-Routing durch und leitet alle Anfragen an das 10.0.0.0/24-Netzwerk weiter).

Zwei Standorte und mehrere Subnetze

Abbildung: Mehrere Subnetze

Um mehrere Standorte mit nur einem octoplant Server zu verbinden, kann wie bisher eine VPN-Verbindung aufgebaut werden.

Die Router des OT-Netzwerks müssen so konfiguriert werden, dass sie die Verbindung des Agents weiterleiten. Wenn mehrere OT-Netzwerke existieren, kann es sinnvoll sein, ein Gateway zu installieren. Auf diese Weise muss nur das Gateway vom octoplant Server (entfernter Standort) erreichbar sein und die Verbindung wird automatisch zwischen den OT-Netzwerken weitergeleitet. Das Gateway kann auch so konfiguriert werden, dass es sich direkt mit dem VPN-Netzwerk verbindet und die Firewall-Geräte damit entlastet.