1. februarja, 2018

SINEMA Remote Connect – upravljalska platforma za oddaljeni dostop

Revija logo siemens1 - SINEMA Remote Connect – upravljalska platforma za oddaljeni dostopSiemens d.o.o.
Avtor: Primož Modrijan
2018_260_15

Mobilnost je v današnjem času nekaj samoumevnega, kar se seveda odraža tudi v industriji. Tehniki/vzdrževalci si želijo in potrebujejo možnosti oddaljenih dostopov za poenostavitev svojih poslovnih procesov, ki pa s tem postanejo tudi učinkovitejši. Pri oddaljenem dostopu pa je treba poskrbeti za varnost, sledljivost in zanesljivost.

260 15 01 300x180 - SINEMA Remote Connect – upravljalska platforma za oddaljeni dostop

Slika 1

Zaradi potreb po varnosti, sledljivosti in zanesljivosti je Siemens ponudil SINEMA Remote Connect (SINEMA RC), ki omogoča:

  • upravljanje VPN tunelov z enkripcijo med servisnim centrom, klientom in industrijsko opremo,
  • dvonivojsko avtentikacijo (kombinacija uporabniškega imena, gesla ter certifikata),
  • enostavno upravljanje z uporabniki in njihovimi pravicami,
  • sledljivost,
  • fleksibilnost,
  • neodvisnost od prenosnega medija/lokacije, kjer se nahaja klient.

Klient in industrijska oprema ločeno vzpostavljata VPN tunel s servisnim centrom, kjer je identiteta udeležencev preliminarno določena z izmenjavo poverilnic (credentials), vključno s certifikati. S tako arhitekturo dosežemo, da lahko vsak (seveda registriran oz. pooblaščen) uporabnik, oddaljeno dostopa do posameznih komponent v industrijskem okolju. Seveda pa ne smemo pozabiti tudi druge opcije, to je dostop do distribuiranih industrijskih komponent, ki so razširjene v različnih industrijskih okoljih:

  • 260 15 02 300x180 - SINEMA Remote Connect – upravljalska platforma za oddaljeni dostop

    Slika 2

    elektro distribucija,

  • pravljanje z vodo in odpadnimi vodami,
  • rafinerije ter plinovodi,
  • črpališča,
  • transport,
  • proizvodni obrati.

Na sliki 1 je prikazana najbolj osnovna arhitektura SINEMA RC dostopa, kjer je VPN tunel med klientom in Scalance S615 vzpostavljen pod nadzorom SINEMA RC strežnika. Ena veja (1) VPN tunela se vzpostavi s strani VPN klienta (SINEMA RC Client ali OpenVPN Client), druga veja (2) VPN tunela se vzpostavi s strani VPN klienta (Scalance S615 ali Scalance M). SINEMA RC strežnik pa čaka zahteve VPN klientov in jih avtorizira.

Na sliki 2 je prikazana funkcionalnost administracije uporabnikov v SINEMA RC, kar pomeni, da se za vsakega uporabnika ali skupino določi nivo pravic, ki definira do katere industrijske opreme ali posameznih sklopov opreme posamezni uporabnik ali skupina lahko dostopa.

260 15 03 300x123 - SINEMA Remote Connect – upravljalska platforma za oddaljeni dostop

Slika 3

Varnost je zelo pomemben dejavnik pri uporabi oddaljenega dostopa. Siemens ima v svojem portfelju opremo, ki zagotovi varnostne mehanizme kot so VPN, FW, IPsec,… :

  • Scalance M serija poskrbi za dostop preko javnih ali privatnih TK omrežij (GSM, UMTS, LTE, DSL, PSTN,..). Več podatkov o Scalance M seriji je dostopnih na:
    • http://w3.siemens.com/mcms/industrial-communication/en/industrial-remote-communication/remote-networks/Pages/modems-routers-ip-based-networks.aspx
  • Scalance S serija je namenjena za implementacijo varnostnih mehanizmov na območju industrijske celice (lahko ločuje posamezne celice, ali skrbi za ločevanje od drugih segmentov lokalnega ali javnega omrežja). Na eni strani terminacija EXT segmenta, na drugi strani pa INT segment. Torej industrijski segment, posebna izvedba podpira tudi DMZ segment. Več podatkov o Scalance S seriji je dostopnih na:
    • http://w3.siemens.com/mcms/industrial-communication/en/ie/industrial-ethernet-security/scalance-s/pages/default.aspx
  • 260 15 04 300x160 - SINEMA Remote Connect – upravljalska platforma za oddaljeni dostop

    Slika 4

    Na sliki 3 je praktični primer povezave s SINEMA RC klientom, kjer se vidi, da je Scalance S615 online (ena veja VPN tunela), »CONNECTED« pa pomeni da je VPN tunel vzpostavljen (druga veja VPN tunela). Na S615 imamo na EXT vratih (port), nastavljeno lokalno omrežje 192.168.1.0/24, na INT vratih (štirje porti) pa lokalno omrežje 192.168.10.0/24. Siemens PLC1200 (Siemensov krmilnik serije S7-1200) je priklopljen na INT-1 vrata z IP naslovom 192.168.10.4. Ko je tunel vzpostavljen (NAT funkcionalnost na S615 je izklopljena), je celotno INT lokalno omrežje vidno na strani klienta, kot 10.10.10.0/24 (to je nastavitev v SINEMA RC serverju za napravo S615). Če bi želeli uporabljati »lokalno« omrežje na strani klienta, bi v nastavitvah lahko nastavili NAT in v tem primeru bi bil PLC tudi na strani klienta viden z IP naslovom 192.168.10.4.

Kot je bilo omenjeno, SINEMA RC podpira tudi OpenVPN klienta (slika4), nameščenega npr. na iOS napravi. V spodnjem primeru, se vidi vzpostavljena povezava OpenVPN klienta na tablici in pa uspešna VPN povezava s krmilnikom preko brskalnika, seveda na IP naslovu 10.10.10.4. Glede IP naslovnega prostora velja isto kot pri SINEMA RC klientu.

Seveda pa obstajajo še druge metode oddaljenega povezovanja za drugačne aplikacije oziroma potrebe (npr. Telecontrol, Softnetclient, …). Za več informacij o možnostih povezovanja na daljavo, zajemanja podatkov na oddaljenih lokacijah, obiščite spletno stran, kjer so podrobnejši opisi različnih opcij za posamezne specifične primere. Oddaljenih omrežij (Remote Networks): http://3.siemens.com/mcms/industrial-communication/en/industrial-remote-communication/remote-applications/Pages/remote-applications.aspx

Siemens d.o.o.
Letališka cesta 29c
1000 Ljubljana
www.siemens.si
Tags: