Saltar a contenido

Posibles usos de los agentes y pasarelas

Red simple

Imagen: Red simple

Como se muestra arriba, el servidor octoplant se encuentra en una red aislada (DMZ) y por lo tanto no puede acceder directamente a los controladores en la red OT (con NAT).

Para realizar una copia de seguridad de los dos dispositivos, se debe utilizar un agente en la red OT. En ese caso, la comunicación entre el servidor octoplant y el agente debe seguir habilitada en el firewall, pero el agente dispone de dos puertos, lo que permite la comunicación directa con ambos dispositivos.

Otra posibilidad es acceder al PLC mediante el reenvío de puertos en el "router industrial". Sin embargo, esta opción no siempre está disponible y requiere un conocimiento detallado de los dispositivos.

Red distribuida

Imagen: Red distribuida

La red está dividida en diferentes zonas. Esto permite que varios UserClient se conecten al servidor octoplant a través de una pasarela CSC. Esta pasarela puede saltarse el firewall y garantizar que sólo se permite la comunicación con octoplant.

Esta configuración es ventajosa si la red contiene varios firewall y la (re)configuración de cada uno de ellos sería una tarea complicada. De este modo, un servidor octoplant puede utilizarse para conectarse a varias sedes de la empresa. Por motivos de seguridad, todas las comunicaciones a través de redes que no sean de confianza (por ejemplo, Internet) deben realizarse mediante VPN.

Conexión del agente a través de la pasarela

Imagen: Conexión de agentes a través de la pasarela

En este escenario de red, la red OT contiene una subred/subred dedicada (10.1.0.0/24). Solo dos dispositivos deben estar disponibles para las copias de seguridad.

Como hay dos "routers industriales" que proporcionan NAT, se puede desplegar un agente en la última red NAT (es decir, la subred que está a más paradas intermedias desde el punto de vista de octoplant ). Hay dos formas de establecer una conexión con el agente:

  • Utilizando una pasarela: el primer router ("router industrial 1") debe configurarse para que reenvíe las conexiones entrantes a la pasarela. La propia pasarela reenvía automáticamente todas las solicitudes al agente. No es necesario configurar el segundo router.
  • Configurar un segundo router para que reenvíe las conexiones: como antes, hay que configurar el primer router ("Industrial router 1") para que reenvíe las conexiones entrantes, pero esta vez al segundo router. El segundo enrutador ("Enrutador industrial 2") debe configurarse para que reenvíe la conexión entrante al agente.

En ambos casos, el agente puede llegar a todos los dispositivos de las dos subredes 10.1.0.0/24 y 10.0.0.0/24. (El segundo router ya realiza el enrutamiento NAT y reenvía todas las peticiones a la red 10.0.0.0/24).

Dos ubicaciones y múltiples subredes

Imagen: Múltiples subredes

Para conectar varias ubicaciones con un solo servidor octoplant, se puede establecer una conexión VPN como antes.

Los routers de la red OT deben estar configurados para reenviar la conexión del agente. Si existen varias redes OT, puede ser útil instalar una pasarela. De esta forma, sólo será necesario acceder a la pasarela desde el servidor octoplant (ubicación remota) y la conexión se reenviará automáticamente entre las redes OT. La pasarela también puede configurarse para que se conecte directamente a la red VPN y libere así a los dispositivos firewall.