WAN Zugriffsmethoden Kommunikation über das Internet via ... Schulungsunterlagen/Profinet Diagnose... · Applikation zur Kommunikation WAN Zugriffsmethoden Kommunikation über das

Applikation zur Kommunikation

WAN Zugriffsmethoden Kommunikation über das Internet via Standard DSL-Router mit Port Forwarding

Konfigurationsbeispiel

Gewährleistung, Haftung und Support

Port Forwarding Beitrags-ID: 26662448

V1.0 04.07.2007 2/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Hinweis Applikationen sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Applikationen stellen keine kundenspezifische Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Applikation enthebt Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Applikation erkennen Sie an, dass Siemens über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden kann. Wir behalten uns das Recht vor, Änderungen an diesen Applikationen jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesen Applikationen und anderen Siemens Publikationen, wie z.B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.

Gewährleistung, Haftung und Support

Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr.

Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Beispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z.B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden.

Copyright© 2007 Siemens A&D. Weitergabe oder Vervielfältigung dieser Applikation oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens A&D zugestanden. Bei Fragen zu diesem Beitrag wenden Sie sich bitte über folgende E-Mail-Adresse an uns:

mailto:[email protected]

mailto:[email protected]

Vorwort


V1.0 04.07.2007 3/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Vorwort Applikationen sind funktionsfähige und getestete Automatisierungs-konfigurationen auf Basis von A&D-Standardprodukten für die einfache, schnelle und kostengünstige Realisierung von Automatisierungsaufgaben. Jedes der vorliegenden Applikationen deckt dabei eine häufig vorkommende Teilaufgabe einer typischen Kundenproblemstellung ab.

Für diese Teilaufgaben finden Sie mit Hilfe der Applikationen Antworten darauf, welche Produkte benötigt werden und wie diese miteinander funktionieren.

Um die - dieser Applikation zugrunde liegende - Funktionalität zu realisieren, können aber je nach Anlagenerfordernissen auch eine Reihe anderer Komponenten (z.B. andere CPUs, Stromversorgungen, etc.) eingesetzt werden. Diese Komponenten entnehmen Sie bitte den entsprechenden Katalogen von SIEMENS A&D.

Referenz zum Automation and Drives Service & Support Dieser Beitrag stammt aus dem Internet Applikationsportal des Automation and Drives Service & Support. Durch den folgenden Link gelangen Sie di-rekt zur Downloadseite dieses Dokuments.

http://support.automation.siemens.com/WW/view/de/26662448

Dokumentationsreihe „WAN Zugriffsmethoden“ Diese Applikation ist Teil einer Dokumentationsreihe zum Thema „WAN Zugangsmethoden“. Diese Reihe besteht aus:

• Einer Applikation mit dem Thema WAN Zugriff mittels Port Forwarding, dem vorliegenden Dokument,

• Einer Applikation mit dem Thema WAN Zugriff mittels VPN Verbindungen,

• Einer Applikation mit dem Thema WAN Zugriff mittels Analoger Ethernet Dial In / Out Router, sowie

• Einem Übersichtsdokument mit Entscheidungshilfen,

die sukzessive entstehen.

http://support.automation.siemens.com/WW/view/de/26662448

Vorwort


V1.0 04.07.2007 4/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Inhaltsverzeichnis

Inhaltsverzeichnis......................................................................................................... 4

1 Einsatzbereiche und Nutzen.......................................................................... 5

2 Technische Grundlagen................................................................................. 9 2.1 Das IP Protokoll ................................................................................................ 9 2.1.1 IP Adressen ...................................................................................................... 9 2.1.2 TCP / UDP Ports............................................................................................. 10 2.2 DynDNS.......................................................................................................... 11 2.3 Statische - / Dynamische – Internetverbindung .............................................. 12 2.4 Port Forwarding .............................................................................................. 13

3 Aufbau ........................................................................................................... 15 3.1 Hardwareaufbau ............................................................................................. 15 3.2 Softwarevoraussetzungen .............................................................................. 17

4 Benötigte Hard- und Software-Komponenten............................................ 18

5 Projektierung und Inbetriebnahmen der Applikation................................ 19 5.1 Projektierung des Routers .............................................................................. 19 5.1.1 Anmeldung an den Router.............................................................................. 20 5.1.2 Grundeinstellungen des Internetzuganges ..................................................... 21 5.1.3 Internetverbindung prüfen............................................................................... 23 5.1.4 WAN Modus überprüfen ................................................................................. 24 5.1.5 DynDNS Parametrierung ................................................................................ 25 5.1.6 Einstellungen im Lokalen Anlagennetz........................................................... 26 5.1.7 Zusätzliche Services einrichten ...................................................................... 27 5.1.8 Port Forwarding .............................................................................................. 28 5.2 Vorbereitung der Steuerung im Anlagennetz.................................................. 31 5.2.1 Mögliche Kommunikationsprozessoren .......................................................... 31 5.2.2 Notwendige Netzwerk Parameter ................................................................... 32 5.2.3 Idle Timeout Workaround ............................................................................... 32 5.3 Anpassen / Bedienen der Anwendungen auf PC-Seite .................................. 33 5.3.1 Zugriff über den Webbrowser ......................................................................... 34 5.3.2 FTP Zugriffe auf das File System des CP ...................................................... 35 5.3.3 PG Funktionen................................................................................................ 36

6 Leistungseckdaten ....................................................................................... 39 6.1 Einschränkungen ............................................................................................ 39 6.2 Erfahrungen aus der Anwendung ................................................................... 39 6.3 Security Features............................................................................................ 40 6.4 Getestete Anwendungen ................................................................................ 41

7 Historie .......................................................................................................... 42

Einsatzbereiche und Nutzen


V1.0 04.07.2007 5/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

1 Einsatzbereiche und Nutzen

Automatisierungsaufgabe Über Ethernet soll ein Fernzugriff auf ein Automatisierungssystem (z.B. SIMATIC S7 bzw. HMI) realisiert werden. Hierbei sollen

• PG Funktionen (mit STEP 7) mit

– Diagnosefunktion

– Fernprogrammierung

– Fernwartung

möglich sein.

• Standard Ethernet Kommunikationsdienste wie FTP- und HTTP- Zugriffe möglich sein.

Der Zugriff auf die Daten erfolgt über das Internet, um eine maximale Flexibilität für den Zugriff zu gewährleisten.

Es soll nur eine Steuerung direkt durch den Fernzugriff erreichbar sein, der Zugriff auf weitere Steuerungen über PG-Routing sollte möglich bleiben.

Die Kommunikation soll ohne sicherheitsrelevante Funktionen, wie z.B. VPN erfolgen.



Automatisierungslösung Folgender schematischer Lösungsansatz wird angewendet: Abbildung 1-1

V1.0 04.07.2007 6/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Internet

ISP x

Anlagennetz

ISP y

DSL Modem / Routermit Port Forwarding

DynDNSProvider

Public IP Address Port Private IP Address Port

80 80

20 / 21

25

20 / 21

25

84.148.192.226

192.168.10.99

192.168.10.110

192.168.10.125

Public IP Adresse

Private IP Netzwerk

DynDNS Client

PC mit beliebiger Internetanbindung

Empfohlene Mindestausstattung:1 ISDN B Kanal mit 64 kBit Up-/Downstream

Empfohlene Mindestausstattung:DSL 1000 Anschluss

Anwendungen•STEP 7•HTTP Browser•FTP Client

PG

S7-300

SIMOTION D

…

Der in dieser Applikation behandelte Lösungsansatz basiert auf der Anbindung des Anlagennetzwerkes an das Internet über einen DSL Router. Dieser realisiert die Internetanbindung durch einen ISP (Internet Service Provider). Da die Internetanbindung über verschiedene Medien, z.B. DSL bzw. Kabel möglich ist, wird diese nicht detailliert betrachtet und als gegeben vorausgesetzt.

Folgende Mindestvoraussetzungen für die Internetanbindung des Anlagennetzes sind zu erfüllen:

• DSL 1000 Anschluss, oder vergleichbaren Anschluss

• DSL / Kabel Router mit NAPT (NAPT ist die aktuell gängige Variante von NAT/PAT)



V1.0 04.07.2007 7/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Die Anbindung des PCs an das Internet kann frei gewählt werden. Für die Kommunikation zur Anlage ist auf PC Seite weder eine gesonderte Software noch eine besondere Systemeinstellung notwendig.

Folgende Voraussetzungen der PC Anbindung an das Internet sind empfehlenswert:

• ISDN Anschluss mit 1 x B Kanal (d.h. 64 kBit Up-/Downstream)

Die für das Port Forwarding notwendigen Einstellungen am, in dieser Applikation verwendeten, Router, bzw. in den SIMATIC Applikationen werden im folgenden Dokument anhand einer Beispielkonfiguration über DSL vorgestellt.

Einsatzbereiche Diese Applikation eignet sich besonders für den Einsatz in offenen, ggf. durch weitere Software- / Hardware-Mechanismen geschützten, Systemen, die Weltweit erreichbar sein sollen. Diese Systeme können über:

• HTML Zugriffe

• FTP Kommunikation

• PG – Funktionen

erreicht werden.

Nutzen Durch die Nutzung dieser Applikation ist es dem Kunden auf einfache und kostengünstige Weise, ohne weiteren Aufwand an Material oder Parametrierung, möglich auf Daten einer spezifizierten Anlagenkomponente, bzw. durch PG Routing auf eine gesamte Anlage, zuzugreifen. Der Betrieb mit WinCC flexible verläuft Problemlos, sofern mit geringen Datenmengen gearbeitet wird und die Updatezeiten > 200 ms genutzt werden.

Einschränkungen Durch die Beschränkung der Up- und Downlink Bandbreite der Internetzugänge ist nicht jede Anwendung über das Internet möglich. Mit Einschränkungen im Betrieb mit hohen Datenlasten zu rechnen.

Weiterhin sind Einschränkungen gegeben, sofern Bedarf nach kurzen Reaktionszeiten besteht. Diese sind durch das Übertragungsmedium, das Internet, eingeschränkt.

Beachten Sie das Reaktionszeiten pro Auftrag im Internet, selbst auf geringen räumlichen Distanzen, in Zeitbereichen um 100 ms erreicht werden können.



V1.0 04.07.2007 8/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Risiken Da die Anbindung an das Internet in diesem Fall ungesichert erfolgt ist ein Zugriff unberechtigter dritter nicht auszuschließen.

Zusätzliche Sicherheitsmechanismen, wie eine Firewall, die Nutzung von VPN Tunneln oder ein zeitlich getriggerter Zugriff auf die Anlage, sind hier anzuraten.

Lösungen mit VPN Tunneln werden in weiteren Beispielapplikationen dieser Reihe behandelt.

Technische Grundlagen


V1.0 04.07.2007 9/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

2 Technische Grundlagen

2.1 Das IP Protokoll

Überblick • Das IP Protokoll stellt u.a. die für diese Applikation notwendige

Eigenschaft zur Verfügung, das es jedem Netzwerkteilnehmer eine eindeutige Adresse, die IP Adresse, in einem IP Netzwerk zuordnet. Unterschiedlicher IP Netzwerke können untereinander, mittels des IP Protokolls über Netzkomponenten (Router), kommunizieren.

• Der größte Verbund von IP Netzen bildet das Internet.

2.1.1 IP Adressen

Vergabe der IP Adressen im Internet Internet Service Provider vergeben, bei der Anmeldung an das Internet, jedem Nutzer eine eindeutige Internet IP Adresse.

Feste IP Adresse / dynamisch vergebene IP Adresse Wird kein gesonderter, in der Regel kostenpflichtiger, Dienst verwendet ändert sich diese IP Adresse bei jeder Einwahl in das Internet. Die IP Adresse ändert sich selbst bei Breitband Anschlüssen die kontinuierlich genutzt werden, da der ISP, nach im Schnitt 24 Stunden, die Verbindung unterbricht und damit eine Neueinwahl notwendig wird.

Da die Internet IP Adresse des Internetzuganges die Zugangsadresse des privaten Netzwerkes ist, in dem sich die zu bedienende Steuerung befindet, muß diese öffentliche IP Adresse einem Nutzer bekannt sein. Diese Adresse wird durch den koppelnden Partner genutzt.

Es gibt zwei Lösungen dies zu bewerkstelligen: Tabelle 2-1

Lösung Beschreibung

1. Nutzung einer festen IP Adresse ISP’s bieten, gegen Entgelt, die Möglichkeit eine feste Internet IP Adresse zu buchen, die bei den Anwendern verbreitet werden kann.

2. Nutzung von DynDNS Ein Dienst im Internet bei dem durch die Komponente die sich am Internet anmeldet, hier der Router, die gerade genutzte IP Adresse an einen DynDNS Server gemeldet wird. Die Adresse lässt sich daraufhin mittels eines im DynDNS Server vergebenen Namens in die IP Adresse auflösen. Diese Lösung wird im Folgenden weiter genutzt.



V1.0 04.07.2007 10/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

2.1.2 TCP / UDP Ports

Wofür werden Ports benötigt? Um es einem Gerät, das eine IP Adresse erhalten hat, zu ermöglichen

• unterschiedliche Dienste zu betreiben und

• mehr als eine Kommunikationsverbindung gleichzeitig zu nutzen

wurde eine weitere Adresskomponente eingeführt. Diese Adresskomponente des TCP / UDP Protokolls nennt sich Port.

Wie sieht ein Port aus? Ein Port ist eine Zahl die 16 Bit (ein Wort) groß ist, also Werte zwischen 0 und 65535 annehmen kann. Die Bereiche der Portadressen oberhalb des Ports 2000 sind gewöhnlich frei nutzbar. Bestimmte Anwendungen nutzen spezifische, bekannte Ports, diese speziellen Ports nennt man Well Known Ports.

Well Known Ports (kurze Übersicht) Die Folgende Liste enthält einige im SIMATIC Umgebung genutzte, bekannte Ports:

Tabelle 2-2

Port Bezeichnung Beschreibung

20, 21 FTP Protokoll Dateiübertragung über TCP/IP. 23 Telnet Terminalemulation 25 SMTP Grundlegendes E-Mail Protokoll. 80 http World Wide Web (HTTP). 102 ISO-TSAP RFC 1006 ISO on TCP / S7-Protokoll 123 NTP Uhrzeitsynchronisation im Internet.



V1.0 04.07.2007 11/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

2.2 DynDNS

Einleitung DynDNS (dynamischer Domain-Name-System-Eintrag) ist ein Internetdienst, der es ermöglicht, einen festen Hostnamen als Pseudonym für eine sich dynamisch ändernde IP-Adresse einzurichten. Er ermöglicht also einem Internetteilnehmer, trotz dessen sich ändernder IP Adresse, immer unter demselben Domainnamen erreichbar zu sein.

Anbieter im Internet Der Dienst DynDNS wird von den unterschiedlichsten Gruppen und Organisationen angeboten. Der Dienst ist in der Regel für Privatnutzer kostenlos, für die Anwendung mit erweiterten Diensten kann ein gewisses Entgelt gefordert werden. Folgende Tabelle enthält eine kleine Auswahl bekannter Anbieter:

Tabelle 2-3

Anbieter Anmerkung

DynDNS.org Der in der vorliegender Applikation verwendete Anbieter

TZO.com Kostenpflichtiger Anbieter mit mehreren Zusatzfeatures

Iego.net Asiatischer Anbieter.



V1.0 04.07.2007 12/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

2.3 Statische - / Dynamische – Internetverbindung

Online Zugänge über ISP ISP (Internet Service Provider) stellen den Zugang zum Internet zur Verfügung. Um diesen Zugang zu nutzen benötigt der Router, der den Zugang zum Internet vom lokalen Netzwerk aus steuert, eine Verbindung zum ISP und damit in das Internet. Router können diese Verbindung unterschiedlich aufbauen, und zwar mit:

• einer statische Verbindung, Der Router baut beim einschalten eine Verbindung auf und hält diese bis zum Abschalten.

• einer dynamische Verbindung, Der Router baut die Verbindung zum ISP und damit zum Internet nach Bedarf auf. Der Bedarf wird anhand der Anfragen des eigenen Netzwerkes geregelt. D.h. Die Verbindung zum Internet wird nur dann aufgebaut, wenn vom lokalen Netzwerk in das Internet Daten übertragen werden.

Die default Einstellung der Router ist eine dynamische Verbindung mit „Idle Timeout“ („Idle Timeout“ ist der Zeitraum über den die Verbindung ins Internet gehalten wird obwohl keine Daten aus dem lokalen Netzwerk übertragen werden).

Einstellungen im Router Dadurch das Internetverbindungen, in der Regel, mit einem „Idle Timeout” parametriert sind bleibt die Online Verbindung zum Internet nicht ständig aufgebaut. Es ist daher notwendig in gewissen zeitlichen Abständen, abgestimmt mit dem Timeout des verwendeten Routers, Daten in das Internet zu übertragen, oder, wenn möglich, eine statisch aufgebaute Internet-Verbindung zu parametrieren.

Abhilfe zum “Idle Timeout” Problem Wenn keine statische Verbindung zum Internet möglich ist, ist folgende Lösung für den „Idle Timeout“ des Routers möglich. Über eine UDP Verbindung kann in bestimmten Zeitintervallen, angepasst an den „Idle Timeout“ des Routers, eine kleine Datenmenge an einen beliebigen Teilnehmer im Internet übertragen werden. Hierzu genügt bereits ein einziges Byte das im Zyklus des Idle Timeouts übertragen wird. Hierdurch wird die Internet-Verbindung und damit die aktuelle IP Adresse aufrechterhalten.

Die Verbindung wird im Laufe der Zeit für den Zeitraum zwischen dem erzwungenen Verbindungsabbruch, durch den ISP (nach ca. 24 Stunden), und der nächsten Datenübertragung durch den Teilnehmer abgebaut bleiben. Wird der Idle Timeout sinnvoll gewählt kann dieser Zeitraum im Bereich weniger Minuten liegen. Eine 100%ige Abdeckung des gesamten Tages lässt sich auf diese Weise annähernd erreichen.



2.4 Port Forwarding

Definition Port Forwarding ist die Funktionalität eines Routers, die es erlaubt Verbindungen aus dem Public Internet über frei wählbare Ports zu Teilnehmern innerhalb eines Netzwerkes weiterzuleiten oder zu initiieren.

Beschreibung Folgende Grafik beschreibt die Systematik: Abbildung 2-1

V1.0 04.07.2007 13/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Public IP Address Port Private IP Address Port

102 102

20 / 21

80

20 / 21

80

84.148.192.226

192.168.10.99

192.168.10.110

192.168.10.125

IP 192.168.10.99

IP 192.168.10.125

IP 192.168.10.110

MODEM ROUTER

PWR TEST DSL100

LINK1 2 3 4 5 6 7 8

Internet

Public IP Private IP

Port Forwarding ListPublic IP Private IP

SIMATIC S7-300

PC

SIMOTION

Applikation

STEP 7

FTP Komm.

HTML Browser

ISP x

Der verwendete Router enthält eine Liste mit Verknüpfungen von IP Adressen und Ports. Diese Liste verknüpft die öffentlichen Ports und die damit verbundenen Ports und IP Adressen im Privaten Netzwerk. Die öffentliche IP Adresse wird, in der Regel, vom verwendeten ISP vergeben.

Wie in der Darstellung zu sehen ist können für unterschiedliche Anwendungen, den damit verwendeten Ports, unterschiedliche aber eindeutige Teilnehmer verknüpft werden, obwohl die gleiche öffentliche IP Adresse verwendet wird. Die Zuordnung erfolgt allein anhand der Port Forwarding List und kann vom Anwender an seine Anforderung angepasst werden. Jeder verwendete Dienst muß hierzu einzeln eindeutig verknüpft werden. Nicht verknüpfte Ports und damit deren Anwendungen, werden nicht weitergeleitet.



V1.0 04.07.2007 14/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

NAT – PAT – NAPT Folgende Tabelle enthält eine Übersicht und Erklärung zu einigen Schlagworten im Zusammenhang mit NAT.

Tabelle 2-4

Begriff Erläuterung

NAT Network Address Translation

NAT ist ein Sammelbegriff für technische Verfahren um Netzwerkteilnehmer unterschiedlicher Netze miteinander Kommunizieren zu lassen. Hierbei werden die IP-Adressen der einzelnen Teilnehmer eines Netzwerkes durch ein Netzwerkgerät in IP-Adressen gewandelt die im Zielnetzwerk frei und gültig sind. Die Umwandlung erfolgt:

n:n bzw. 1:1 Dieses Verfahren wird auch „basic NAT“ oder „static NAT“ genannt.

PAT Port Address Translation

PAT erweitert das NAT Konzept dahingehend das die Adressumsetzung sich auf eine IP-Adresse im Zielnetz beschränkt. Damit erfolgt die IP-Adressen Umwandlung im Modus:

n:1 Je nach Implementierung wird dieses Verfahren als „NAPT“, „dynamic NAT“ oder „IP-Masquerading„ bzw. „NAT-Masquerading“ bezeichnet.

NAPT Network Address and Port Translation

NAPT ist die üblichste Implementierung des NAT/PAT Verfahrens in den heutig üblichen Routern. Es beinhaltet auch Erweiterungen, so wie das „Port Forwarding” die das Thema dieses Dokumentes ist.

Aufbau


3 Aufbau

3.1 Hardwareaufbau

Übersicht Das folgende Bild zeigt den HW-Aufbau der vorliegenden Applikation. Abbildung 3-1

V1.0 04.07.2007 15/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Internet

ISP x

Anlagennetz

ISP y

DSL Routermit Port Forwardingund DynDNS Client

DynDNS.orgals Provider

Public IP Adresse

Private IP Netzwerk

PC mitInternetanbindung

MODEM ROUTER

PWR TEST DSL100

LINK1 2 3 4 5 6 7 8

Verwendete Schnittstelle:DSL 2000 Anschluss

Verwendete Schnittstelle:DSL 1000 Anschluss

Anwendungen•STEP 7•HTTP Browser•FTP Client•ISP Zugangs-SW

DSL ModemDSLModem

PowerSYNCATM10B ase T

DSLModem

PowerSYNCATM10B ase T DSL Modem

Anlagenseite Anlagenseitig besteht der Hardwareaufbau aus einem Marktüblichen DSL Router, an diesen ist eine S7-300 Steuerung, CPU 315-2 DP durch den CP 343-1 Advanced sowie ein Field PG angeschlossen. Der DSL Router ist über ein DSL Modem mit einem ISP und damit mit dem Internet Verbunden.

Aufbau


V1.0 04.07.2007 16/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

PC Seite PC-seitig besteht der Hardwareaufbau aus einem PC der über eine beliebige IP fähige Schnittstelle (z.B. Analog PSTN, ISDN oder DSL) mit dem Internet verbunden ist. In Unserem Beispiel wird ein DSL 1000 Anschluss mit entsprechendem Modem genutzt. Die Anbindung an das Internet wird über ISP Software bzw. über ein DFÜ Netzwerk mit PPPoE Protokoll realisiert. Auf PC-Seite ist keine weiteren Hardware Voraussetzungen notwendig.

Aufbau


V1.0 04.07.2007 17/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

3.2 Softwarevoraussetzungen

Anlagenseite Anlagenseitig ist, sofern die Steuerung bereits parametriert ist, nur ein Betriebssystem mit einem Funktionsfähigen Internet-Browser erforderlich.

PC Seite PC-Seitig sind neben dem Betriebssystem und den für den Internetzugang notwendigen Softwarekomponenten die Softwarekomponenten der anzuwendenden Applikationen notwendig, beispielsweise:

• Webbrowser

• FTP Client

• STEP 7 (ab STEP 7 V 5.3)

Benötigte Hard- und Software-Komponenten


V1.0 04.07.2007 18/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

4 Benötigte Hard- und Software-Komponenten

Produkte Tabelle 4-1

Komponente Anz. MLFB/Bestellnummer Hinweis

NETGEAR FVS338 1 … Als Standard-Router*

PS 305 1 6ES7 307-1EA00-0AA0 Standard PS CPU 315-2 DP 1 6ES7 315-2AG10-0AB0 Standard CPU CP 343-1 Advanced 1 6GK7 343-1GX21-0XE0 IT / Advanced CP**

Field PG 1 6ES7 712-1BB1.-0… MLFB je nach Ausstattung…

PC 1 … Beliebig, mit Internetanschluss.

* oder vergleichbarere Baugruppe mit NAPT Unterstützung. ** oder vergleichbare Baugruppe, siehe Kapitel 5.2.1 dieses Dokumentes

Zubehör Tabelle 4-2


DSL Modem 1 … Provider- / Routerabhängig***

Ethernetkabel > 4 6XV1 870-3Q… Längenabhängige MLFB

*** Es sind Modelle mit integrierten DSL Modem erhältlich.

Projektierungssoftware/-tools Tabelle 4-3


Webbrowser 1 --- Teil des PC-Betriebssystems.

STEP 7 (ab V 5.3) 1 6ES7 810-4CC08-0YA5 MLFB von STEP 7 V 5.4

Projektierung und Inbetriebnahmen der Applikation


V1.0 04.07.2007 19/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

5 Projektierung und Inbetriebnahmen der Applikation

Vorbemerkung Die vorliegenden Applikation bietet Ihnen anhand einer Step by Step Beschreibung Konfigurationshinweise zum Aufbau einer Kommunikation über IP Port Forwarding. Hierzu steht keine fertige Applikation zur Verfügung da hier zu viele mögliche Varianten zur Verfügung stehen. Aus diesem Grund beschränkt sich die Beschreibung auf die notwendigen Einstellungen auf Anlagenseite und den notwendigen Anpassungen auf PC Seite.

5.1 Projektierung des Routers

Der verwendete Router Der in dieser Applikation verwendete Router steht exemplarisch für die sich auf dem Markt befindlichen, vergleichbaren Baugruppen. Da sich die meisten Baugruppen dieses Typs per HTML Einstellungen über einen Web-Browser parametrieren lassen, wird der NETGEAR auch über diese Möglichkeit projektiert und parametriert. Folgende Step by Step Beschreibungen erläutern dies.



5.1.1 Anmeldung an den Router

Um die Parametrierung ausführen zu können wird ein Web-Browser benötigt. Öffnen Sie diesen auf Ihrem PG im Anlagennetzwerk.

Eine Parametrierung über das Internet kann in der Regel auch ausgeführt werden, hierbei ist auf ein sicheres Passwort und eine gesicherte Verbindung (z.B. über VPN) zu achten.

Hinweis

Tabelle 5-1

Schritt

V1.0 04.07.2007 20/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Beschreibung Hinweis / Erläuterung

1. Geben Sie in der Adressleiste die IP Adresse des Routers ein. Die IP Adresse ist bei der Erstinbetriebnahme vom Hersteller vorgegeben, häufig mit der Adresse: 192.168.0.1 Details entnehmen Sie bitte der mitgelieferten technischen Dokumentation.

Geben Sie den Benutzernamen und das Kennwort ein, dieses entnehmen Sie der Dokumentation der Baugruppe. Nach betätigen des Login Buttons öffnet sich die Parametrierung der Baugruppe

2.



5.1.2 Grundeinstellungen des Internetzuganges

Nach dem erfolgten Login an den Router öffnet sich die erste Seite der Router Konfiguration. Hierbei handelt es sich, in der Regel, um die Parametrierung des ISP (Internet Service Providers).

Da die Einstellungen der ISPs sehr unterschiedlich sein können und auch diverse Baugruppen mit Wizards arbeiten wird auf eine genaue Beschreibung der Vorgehensweise verzichtet.

Im Folgenden werden die häufigst verwendeten Grundparameter bezeichnet.

ISP Parameter Abbildung 5-1

V1.0 04.07.2007 21/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c



V1.0 04.07.2007 22/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Tabelle 5-2

Gruppe Beschreibung

ISP Login Das ISP Login enthält die Zugangsdaten des ISP. Diese können eine Login, ein Passwort und ggf. eine MAC Adresse enthalten. Einige ISPs Authentifizieren die Anwender allein anhand der MAC Adresse, damit ist hier das Feld Required a Login mit No zu beantworten. Ist eine spezielle MAC Adresse notwendig muß dies gesondert projektiert werden.

ISP Type Der ISP Type unterteilt sich in zwei Bereiche: • Verbindungstyp

Hier wird festgelegt welches Verfahren für die Datenübertragung verwendet wird. DSL verwendet in der Regel PPPoE (Peer to Peer Protocol over Ethernet)´

• ISP Parameter hier können, falls erforderlich, weitere Parameter hinterlegt werden. Für diese Applikation ist der Parameter Idle Time von Interesse, er legt fest wie lange die Internet Verbindung aufgebaut bleibt, ohne das Datenverkehr vom oder in das private Netzwerk stattgefunden hat. (Siehe Kapitel 2.3 Statische - / Dynamische - Internetverbindung)

Internet IP Address Hier wird die „öffentliche“ IP Adresse der Baugruppe parametriert. Standard ist hier die gezeigte Variante mit „Get Dynamically from ISP“, die IP Adresse wird vom ISP dynamisch an die Baugruppe vergeben. Hat der Anschluss eine feste IP Adresse muß diese hier hinterlegt werden.

Domain Name Server Hier wird festgelegt über welche DNS Server, Domain Namen in IP Adressen aufgelöst werden. Hier kann eine direkte Vorgabe erforderlich sein, u.a. wenn eine feste IP Adresse vergeben wird. Die default Einstellung ist die hier gezeigte, mit direkter Vergabe durch den ISP.

Besonderheit dieses Routers Da dieser Router neben der DSL Funktionalität als Fall back Strategie eine Dial-Up Schnittstelle für die Nutzung mit einem Analog-Modem unterstützt, ist noch eine zweite, vergleichbare Lasche für die Parametrierung der Dial-Up Schnittstelle vorhanden.



5.1.3 Internetverbindung prüfen

Der Router unterstützt den Anwender bei der Prüfung der Internetverbindung. Hierzu wird der Verbindungsstatus durch eine eigene Seite dargestellt.

Im Fall des NETGEAR Routers erfolgt dies direkt von der Startseite aus über die Option Broadband Status.

Abbildung 5-2

V1.0 04.07.2007 23/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Der Connection State zeigt an das die Internetanbindung erfolgreich hergestellt ist. Hieraus sind hier weiterhin die aktuelle öffentliche IP Adresse sowie die Gateway und DNS Daten zu entnehmen.



5.1.4 WAN Modus überprüfen

Einstellung der Routing-Methode und des verwendeten WAN Ports Mittels der Lasche WAN Mode, in der Projektierungsoberfläche des NETGEAR Routers, lassen sich die Einstellungen für:

• den verwendeten Routing Modus zwischen WAN und LAN festlegen. Hier kann zwischen NAT (Network Address Translation) und dem klassischen Routen gewählt werden. In dieser Applikation wird NAT verwendet.

• die zu verwendenden WAN Ports vornehmen. Hier kann gewählt werden ob DSL oder Dial-Up Schnittstelle verwendet wird, bzw. ob DSL mit Dial-Up als Backup verwendet werden soll. In dieser Applikation wird nur die Broadband Einstellung für DSL verwendet.

Abbildung 5-3

V1.0 04.07.2007 24/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c



5.1.5 DynDNS Parametrierung

Einführung DynDNS als Dienst wurde bereits im Kapitel 2.3 dieser Applikation behandelt. Im Folgenden wird nur auf die Anwendung mit dem NETGEAR Router eingegangen.

Vergabe der DynDNS Parameter Nach Auswahl des zu verwendenden DynDNS Providers muß eine Anmeldung bei diesem erfolgen. Je nach gewählten DynDNS Provider und gewähltem Dienst kann diese auch kostenpflichtig sein.

Bei der Anmeldung beim DynDNS Provider werden 3 wichtige Parameter von Ihnen gewählt:

• Der verwendete User Name Dieser identifiziert Sie als Anwender sowie die Geräte die den DynDNS Dienst nutzen.

V1.0 04.07.2007 25/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

• Das dem User Name zugeordnete Passwort Zur Absicherung der Authentifizierung des Users.

• Der Host / Domain Name Der DNS Name mittels dessen IP Adressen im Internet aufgelöst werden.

Diese Parameter müssen bei der DynDNS Parametrierung des Routers angegeben werden. Abbildung 5-4



5.1.6 Einstellungen im Lokalen Anlagennetz

IP Adresse / IP Band des Routers Mittels des LAN Setup ist es möglich die LAN Einstellungen des

• Routers, bzw. des

• DHCP Servers im

lokalen Netzwerkes anzupassen.

Wird die IP Adresse des Routers geändert ist nach Speicherung der Daten der Router nur noch über die neue IP erreichbar. Die Einstellungen des DHCP Servers erlauben es Baugruppen automatisch auf Änderungen der Netzeinstellungen durch Neuzuweisung einer IP Adresse bzw. der Gateway / DNS Parameter auf den Router eingerichtet zu werden.

Port Forwarding ist nicht mit Baugruppen möglich die über DHCP parametriert wurden, da sich die private IP Adresse ändern kann.

Hinweis

V1.0 04.07.2007 26/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c Abbildung 5-5



5.1.7 Zusätzliche Services einrichten

Einführung Wie bereits im Abschnitt IP Protokoll beschrieben werden innerhalb des TCP / UDP Protokolls Well known Ports für spezifische Anwendungen genutzt. Viele dieser Well known Ports sind den Baugruppen bereits bekannt, werden aber spezielle, zusätzliche Ports für gesonderte Anwendungen benötigt erlauben es Router zusätzliche Ports zu spezifizieren.

Service einrichten Die Sicherheitseinstellungen des NETGEAR Routers erlauben es zusätzliche Services einzutragen, die auch bei den Firewall Rules und damit für das Port Forwarding Gültigkeit erlangen.

Im Folgenden wird der Port 102 (TCP) für die S7 Kommunikation / PG Funktionen dem Router bekannt gemacht. Es können alternativ auch ganze Portbänder, andere Pakettypen bzw. ICMP Typen angegeben werden.

V1.0 04.07.2007 27/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Der hier verwendete Menüpunkt kann je nach Hersteller bzw. Version eine andere Bezeichnung tragen, die Funktion ist aber vergleichbar.

Abbildung 5-6



5.1.8 Port Forwarding

Vorgehensweise Die folgenden Schritte beschriebenen das Verschalten (Port Forwarding) der Ports der öffentlichen IP Adresse mit den Ports und IP Adressen im privaten Netzwerk.

Die hier verwendeten Menüpunkte können je nach Hersteller bzw. Version eine andere Bezeichnung tragen, die Funktion ist aber vergleichbar.

Beim Netgear Router erfolgt dies innerhalb der Firewall Rules des Sicherheitsmenüs.

Firewall Rules Abbildung 5-7

V1.0 04.07.2007 28/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Durch Einstellung der Firewall Rules im Bereich Security können sowohl der eingehende als auch der abgehende Datenverkehr beeinflusst werden.

Der ausgehende Datenverkehr wird in dieser Applikation durchgängig erlaubt.

Da für Port Forwarding nur der eingehende Datenverkehr von Interesse ist wird dieser weiter betrachtet.



Port Forwarding Regel einfügen Abbildung 5-8

V1.0 04.07.2007 29/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Durch die Schaltfläche „Add” wird eine neue Regel hinzugefügt. Diese Regel enthält:

• Den verwendeten Service, damit den genutzten Port.

• Die Schnittstelle zur öffentlichen IP Adresse

• Die private Ziel IP Adresse

Unter „Action“ ist hier die Einstellung „ALLOW always“ erforderlich.



Übersicht der Port Forwarding Einträge Abbildung 5-9

V1.0 04.07.2007 30/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Nach Zustimmung mit „Apply“ wird der Eintrag in der Liste zulässiger Services eingetragen.

Notwendige Anwendungsverknüpfungen Die gezeigten Schritte müssen für alle gewünschten Service - Teilnehmer Verknüpfungen, je nach geforderter Anwendung, durchgeführt werden.

Die verwendete Ziel IP Adresse im Privaten Netz ist die Adresse des CP 343-1 Advanced, hier die IP 192.168.10.99

Im Vorliegenden Fall gilt dies für die Anwendungen: Tabelle 5-3

Anwendung Port / Portbereich

FTP 21-22 HTTP 80

S7-Protokoll 102

Jeder Port kann nur einmal Forwarded werden. Eine Mehrfachverknüpfung, mit mehreren unterschiedlichen Baugruppen, ist nicht möglich.

Hinweis



V1.0 04.07.2007 31/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

5.2 Vorbereitung der Steuerung im Anlagennetz

Voraussetzungen Da sich die vorgestellten Anwendungen auf beliebige Konfigurationen anwenden lassen, wird auf eine detaillierte Beschreibung der Steuerung verzichtet.

Als einzig grundlegende Voraussetzung ist hier die Anwendung des Ethernet CP’s mit IT Funktionalität zu erwähnen, da die Anwendungen FTP und HTTP speziell auf dessen Funktionsumfang zugreifen.

5.2.1 Mögliche Kommunikationsprozessoren

S7-200 / S7-300 / S7-400 Folgende Liste enthält eine Übersicht der Kommunikationsprozessoren mit dieser Funktionalität:

Tabelle 5-4

Familie / Bezeichnung Bestellnummer

Familie S7-200 CP 243-1 IT 6ES7 243-1GX00-0XE0 Familie S7-300 CP 343-1 IT 6ES7 343-1GX00-0XE0 CP 343-1 IT 6ES7 343-1GX11-0XE0 CP 343-1 IT 6ES7 343-1GX20-0XE0 CP 343-1 Advanced 6ES7 343-1GX21-0XE0 Familie S7-400 CP 443-1 IT 6ES7 443-1GX00-0XE0 CP 443-1 IT 6ES7 443-1GX10-0XE0 CP 443-1 IT 6ES7 443-1GX11-0XE0 CP 443-1 Advanced 6ES7 443-1GX40-0XE0 CP 443-1 Advanced 6ES7 443-1GX41-0XE0



V1.0 04.07.2007 32/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

5.2.2 Notwendige Netzwerk Parameter

IP Parameter des CP’s Folgende Parameter sind für die Parametrierung des verwendeten CP’s erforderlich: Tabelle 5-5

Parameter Wert

IP Adresse 192.168.10.99 Subnetzmaske 255.255.255.0 Router / Gateway 192.168.10.1

5.2.3 Idle Timeout Workaround

Notwendigkeit Wird keine statische Verbindung zum Internet verwendet, ist im Anwenderprogramm der Steuerung ist eine Funktion notwendig um zu verhindern das der Router sich automatisch aus dem Internet abmeldet. (Siehe Kapitel 2.3) Eine dauerhafte Verbindung des Routers zum Internet ist notwendig um einen Verbindungsaufbau durch den PC über das Internet zu ermöglichen.

Vorgehensweise Um die Abmeldung zu verhindern ist es notwendig in zyklischen Abständen, dem im Router eingestellten Idle Timeout, Daten in das Internet zu senden.

Die einfachste Möglichkeit dies zu bewerkstelligen ist es ein UDP Telegramm zu versenden. Hierzu wird eine UDP Verbindung zu einer beliebigen IP-Adresse außerhalb des lokalen Netzwerkes projektiert, über die zyklisch ein Telegramm mit möglichst geringer Größe, Nutzdatengröße 1 Byte, übertragen wird.

Als günstige Idle Timeout Einstellungen haben sich Zeitspannen zwischen 10 und 25 Minuten erwiesen.



V1.0 04.07.2007 33/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

5.3 Anpassen / Bedienen der Anwendungen auf PC-Seite

Vorbereitungen Zur Anwendung der folgenden Funktionen ist der PC an das Internet anzubinden. Diese Anbindung wird, wegen der vielen möglichen Wege Internetanbindungen, vorausgesetzt.

Neben dem Windows 2000 / XP Pro Betriebssystem wäre eine installierte STEP 7 Variante mit einem Stand V 5.3 oder höher notwendig.

Weitere Vorbereitungen sind nicht notwendig.



5.3.1 Zugriff über den Webbrowser

DynDNS Die Anbindung des CP 343-1 Advanced über den Webbrowser ist, dank DynDNS, sehr einfach. Sie geben in das Adressfeld des Webbrowsers die DynDNS Adresse des Routers ein, woraufhin die Anfrage vom Router an den CP weitergeleitet wird. Die Daten des CP werden übertragen und im Webbrowser dargestellt. Alternativ zur DynDNS Adresse kann auch die IP Adresse des Routers verwendet werden.

Im Folgenden ein Screenshot eines solchen Aufrufs im IE 7: Abbildung 5-10

V1.0 04.07.2007 34/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Nutzbare Web-Dienste Alle durch den CP zur Verfügung gestellten Web basierenden Funktionen sind ausführbar, diese beinhalten u.a.

• JAVA Beans und

• JAVA Applets.

Diese Funktionen werden komplett über den für HTTP - Zugriffe freigegebenen Port 80 abgearbeitet.



5.3.2 FTP Zugriffe auf das File System des CP

Command line Interface FTP Funktionen sind Teil des Microsoft Betriebssystems. Das Betriebssystem selbst enthält bereits einen FTP Client, den man per Command line Interface nutzen kann. Das Schlüsselwort hierzu ist FTP. Geben Sie im Command line Interface folgendes ein:

FTP <DynDNS Name> und Sie erreichen den FTP Server auf dem IT CP. Nach Eingabe der Userdaten, wie Kennung und Passwort (Projektiert in der HW Config des CP‘s), ist das File System des CP geöffnet.

Anbei ein Beispiel: Abbildung 5-11

V1.0 04.07.2007 35/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Andere nutzbare FTP Clients Dies ist auch mit anderen FTP Clients, wie

• WS-FTP

• CuteFTP

• …

möglich.



5.3.3 PG Funktionen

Vorbereitung Da STEP 7 die Funktionalität von DynDNS bzw. DNS im Allgemeinen nicht unterstützt muß vor der Anwendung in STEP 7 die IP Adresse des Routers ermittelt werden.

Ping Zur Ermittlung der momentan genutzten IP Adresse ist die Command line Funktion Ping gut geeignet. Durch Eingabe von:

Ping <DynDNS Name> Wird die aktuelle IP Adresse durch den IP Stack des PCs ermittelt und angezeigt. Abbildung 5-12

V1.0 04.07.2007 36/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

IP Adresse des Routers Die IP Adresse des Routers ist demnach:

84.148.194.122

Die IP Adresse in STEP7 Die public IP Adresse ist bei den folgenden beiden Anwendungsfällen in STEP 7 zu beachten:

1. Baustein beobachten, damit über STEP 7 eine Online-Beobachtung von Bausteinen auf der S7-Steuerung möglich ist.

2. Als Downloadschnittstelle, damit über STEP 7 ein Download der „gültigen“ Projektierung (Mit der im lokalen Netz verwendeten IP Adresse) möglich ist.



V1.0 04.07.2007 37/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Baustein beobachten Die Parametrierung der Onlineschnittstelle im STEP 7 Anwenderprogramm ist notwendig um aus dem STEP 7 Manager heraus Bausteine auf der S7-Steuerung Online beobachten zu können. Die Parametrierung hierzu ist in der HW Config notwendig.

In der Konfigurierung der Hardware wird die private IP Adresse des CP’s durch die public IP Adresse des Routers, also der 84.148.194.122 ersetzt.

Dies ermöglicht es STEP 7 auf die Bausteine der Steuerung zuzugreifen. Diese Information muß im Projekt abgelegt werden und ändert daher die Systemdaten im Projekt. Ein Download dieser Daten ändert die Einstellungen des CP und macht damit eine weitere Onlineverbindung unmöglich.

VORSICHT Ein Download der Systemdaten oder der HW Config mit geänderter IP Adresse unterbindet weitere Onlineverbindungen über Port Forwarding.

Hinweis Nutzen Sie in den Einstellungen der PG/PC Schnittstelle Ihres PC die Projektierung für die feste IP Adresse.

Die Funktion TCP/IP (Auto) -> [Netzwerkkarte] funktioniert nicht sobald unterschiedliche IP Subnetze verwendet werden. Dies liegt daran, dass diese Funktion eine IP Adresse des Ziel-IP-Subnetzes am PC einrichtet. Mit der geänderten IP Adresse verliert der PC die Zuordnung zum lokalen Router und die Verbindung kann nicht aufgebaut werden.



Die Downloadschnittstelle Im Unterschied zur Einstellung für Baustein beobachten, erfolgt bei der Einstellung der Downloadschnittstelle in STEP 7 keine Änderung im Projekt. Hier bleibt die ursprüngliche IP Adresse im Projekt erhalten, nur die IP Adresse als Ziel des Downloads wird durch die public IP Adresse des Routers ersetzt. Abbildung 5-13

V1.0 04.07.2007 38/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

Somit ist auch ein Download der Systemdaten und der HW Config möglich, ohne das die Onlineverbindung nach dem Download abbricht. Hier ist allerdings keine Baustein beobachten möglich.

Workaround Um beide Funktionalitäten in STEP 7 nutzen zu können legt man in einem STEP 7 Projekt zwei Versionen der gleichen Steuerung an.

• Eine Version für Baustein beobachten, in der die HW Config mit der jeweiligen IP Adresse des Routers angepasst wird.

• Eine Version für Downloads, die die ursprüngliche Variante des Projektes mit HW Config und der Verbindungsprojektierung enthält.

Leistungseckdaten


V1.0 04.07.2007 39/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

6 Leistungseckdaten

6.1 Einschränkungen

Technische Randbedingungen Aus technischer Sicht sind zwei entscheidende Einschränkungen zu nennen die im Folgenden kurz betrachtet werden.

• Die anwendbaren Datenbandbreite; Die Datenbandbreite ergibt sich aus dem verwendeten Kommunikationsanschluss. Wird z.B. ein TDSL 1000 Anschluss verwendet ergibt sich daraus eine Bandbreite von, 1000 kBit Down- und 128 kBit Upstream. Es ist also nur möglich bis zu 128 kBit an Daten von Anlagenseite an den Kommunikationspartner zu senden, dies entspricht 2 ISDN B Kanälen.

• Die Reaktionszeit; Die Reaktionszeit bezeichnet den Zeitraum den die Kommunikation benötigt um die Gegenstelle zu erreichen und beantwortet zu werden. Dieser Zeitraum ist in einem lokalen Netzwerk sehr klein, meistens < 1ms. Im Internet kann diese Reaktionszeit schnell auf > 100 ms anwachsen.

6.2 Erfahrungen aus der Anwendung

Für den Einsatz über den Fernzugriff für:

• Diagnosedaten auslesen

• Programm Downloads

• Variablen- / Bausteinbeobachten

Mit STEP7 ist diese Lösung gut geeignet, es waren keine Einschränkungen erkennbar.

Das beobachten der Bausteine ist, gesehen von der Refresh rate der Daten, vergleichbar mit einer Onlineschnittstelle direkt über Ethernet.

Leistungseckdaten


V1.0 04.07.2007 40/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

6.3 Security Features

Mögliche Sicherheitsmechanismen Folgende Liste enthält die mit der vorliegenden Applikation möglichen Sicherheitsmechanismen auf Anlagenseite, sortiert nach den verwendeten Komponenten:

Tabelle 6-1

Komponente Funktion Beschreibung

Firewall Einstellungen - Port Forwarding

Hier kann selektiert werden von welcher / welchen Quelladressen Daten an das private Netzwerk weitergeleitet werden können. Dies ist aber nur dann sinnvoll wenn die Partnerseite eine feste IP Adresse hat.

Router

Firewall Einstellungen Der allgemeine Verkehr in und aus dem privaten Netzwerk kann eingeschränkt werden.

CP 343-1 IT / Advanced IP Accesslist Diese Liste kann IP Adressen enthalten die Zugriff auf den CP bekommen, andere IP Adressen werden missachtet. Dies ist bei Internetzugriffen über ISP ohne feste IP nicht anwendbar.

Andere Sicherheitsmechanismen sind in dieser Applikation, mit den angewendeten Komponenten, nicht möglich.

ACHTUNG Die in der Applikation vorgestellte Methode ist nicht für den Einsatz in sicherheitsrelevanten oder kritischen Anlagenbereichen anwendbar, da keine gesicherte Datenübertragung gewährleistet werden kann.

Leistungseckdaten


V1.0 04.07.2007 41/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

6.4 Getestete Anwendungen

Getestet Software Mit der vorliegenden Applikation wurden die folgenden Softwareversionen erfolgreich getestet:

Tabelle 6-2

Anwendung Erfolgreich getestete Software

HTML Zugriff Internet Explorer 6 und IE 7, Firefox, Opera FTP Zugriffe FTP Client von Windows XP SP 2, WS-FTP PG Funktionen STEP7 V 5.4 SP 1

Historie


V1.0 04.07.2007 42/42

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2666

2448

_DS

L_P

ort_

Forw

ardi

ng_V

1.0_

d.do

c

7 Historie Tabelle 7-1

Version Datum Änderung

V1.0 04.07.2007 Erste Ausgabe

Documents

WAN Zugriffsmethoden Kommunikation über das Internet via ... Schulungsunterlagen/Profinet Diagnose... · Applikation zur Kommunikation WAN Zugriffsmethoden Kommunikation über das