Vai al contenuto
PLC Forum


Connettere un impianto alla rete aziendale


marco1278

Messaggi consigliati

Ciao, 

apro questa diacussione perché vorrei avere qualche consiglio su come collegare nel modo migliore degli impianti ad una rete aziendale. 

 

Mi spiego meglio: ammettiamo di avere 3 impianti identici. Ogni impianto è dotato di plc, hmi, inverter e varie periferiche in profinet. 

 

Con questi impianti devo poter:

1. Scambiare dati con il server per il MES aziendale

2. Garantire connessione da remoto per teleassistenza del fornitore

3. Garantire connessione dai pc dell'ufficio manutenzione aziendale al fine di eseguire una diagnostica di primo livello (con diagnostica intendo potersi collegare al generico inverter o alla generica periferica profinet). 

 

Per fare tutto ciò le strade che posso usare sono queste:

 

A - assegneno a ogni dispositivo un indirizzo IP della rete aziendale e metto tutto sulla rete aziendale. Il fornitore si collegherà con VPN che gli fornisco. 

 

PRO: ho tutto in rete e posso accedere senza problemi

CONTRO: devo fornire svariati IP ai vari dispositivi e poi ho la rete di campo visibile sulla rete aziendale. 

 

 

B - faccio montare una CP sul PLC che collego alla rete aziendale e uso per la comunicazione con il server. 

Lascio montare al fornitore un eWon per potersi collegare da remoto. 

 

PRO: La rete di campo è isolata. 

CONTRO: se mi devo collegare ad un dispositivo devo andare fisicamente sull'impianto

 

 

C - monto una CP sul PLC per il collegamento con il server, lascio montare eWon per il collegamento da remoto e in più faccio installare un secondo eWon o un gateway che uso io per collegarmi. 

 

PRO: La rete di campo è isolata. 

CONTRO: mi posso collegare ad una macchina per volta

 

Considerando che devo per forza scendere a compromessi... voi quale scegliereste? 

 

Avete altre opzioni da suggerirmi? 

 

Grazie in anticipo per il vostro supporto. 

 

Ciao

 

 

 

 

 

Link al commento
Condividi su altri siti


Sinceramente nessuna di quelle scelte.

 

Io mi farei creare una Vlan dedicata ai PLC che ovviamente sarà propagata con un'altra subnet.

Le regole di acesso (rotte ricorsive) saranno impostate sul firewall/router dall'IT che in questo modo potrà decidere chi e come vede cosa.

Gl indirizzi potranno essere impostati staticamente sui device, oppure con assegnazione statica attraverso il DHCP server.

 

 

Se questo non fosse possibile potresti utilizzare un Mikrotik che propagherà lui la Vlan e farà da gateway con per tutta la parte automazione; fa anche tutto (e molto più) di quello che puoi fare con un eWON.

Unica noia il NAT con la rete aziendale.

 

 

 

Io in genere in tutte le applicazioni networking un Mikrotik lo metto sempre; per me è il mio coltellino svizzero e mi permette di accedere sempre e comunque da remoto indipendentemente dal router aziendale (salvo che ci siano forti regole di firewall in uscita che bloccano i tunnel; in tal caso inserisco una SIM iOT).

Link al commento
Condividi su altri siti

@Andrea Annoni grazie per la risposta.

In azienda abbiamo già rete induatriale divisa dalla rete dei PC, ma sono comuqnue visibili. 

Non ho capito come fare per la rete di campo?!

La lascio isolata o gli assegno io degli IP che voglio? 

 

Grazie

Ciao

Link al commento
Condividi su altri siti

No, l'ideale è creare una Vlan dedicata (es. Vlan50) e su questa Vlan si taggano i vari device (questo dipende da come è costituita la rete; se gli switch sono managment lo si può fare direttamente con la porta fisica; altrimenti si posso impostare anche sui PLC ecc.....se non sono prodotti vecchiotti lo hanno tutti).

Ovviamente devono appartenere tutti a una nuova subnet con classe di rete differente dalla aziendale.

 

Ad esempio la rete aziendale è 10.1.1.0/24 la rete PLC potrebbe diventare 10.50.1.0/24; sul router/firewall dell'azienda si impostano le regole; ad esempio i PLC non possono uscire su internet, piuttosto che solo determinati indirizzi aziendali possono "vedere" la rete dei PLC.

Insomma puoi fare davvero un po' di tutto (in realtà dipende dal firewall aziendale, ma ormai sono cose che fanno anche quelli economici).

 

Chi vede cosa è una decisione che deve prendere l'IT in accordo con le esigenze produttive.

Link al commento
Condividi su altri siti

Ok, penso di aver capito. 

Alla prima macchina assegno 10.50.1.xx e ci metto dentro plc, hmi, inverter, ecc. 

Alle seconda macchina assegno 10.50.2.xx e ci metto dentro plc, hmi, inverte, ecc

Alla terza 10.50.3.xx e così via. 

 

Poi al firewall di stabilimento dico quali ip possono uscire e quali posso vedere dallesterno.

 

Diciamo che alla fine è simile alla mia soluzione "A" solo su VLAN separate. 

Facendo così devo far cambiare gli indirizzi IP al fornitore della macchina. 

 

 

Link al commento
Condividi su altri siti

Ripeto, sono scelte. Puoi anche usare un Mikrotik per ogni macchina e fare tutto in autonomia lasciando gli indirizzi che decide il fornitore.

La differenza tra la soluzione A è che cosi facendo c'è più sicurezza, in quanto appunto è il firewall aziendale che stabilisce chi può vedere cosa

 

Link al commento
Condividi su altri siti

Grazie per le risposte! 

Mettere il Mikrotik vuol dire che devo fare NAT su tutti gli indirizzi della macchina... Troppo macchinosa come cosa. 

 

 

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
×
×
  • Crea nuovo/a...