Nový průmyslový NAT Gateway Firewall WALL IE Compact

  • úterý, 06 únor 2024 10:07

Ihned v lednu se na trhu objevila novinka firmy Helmholz další WALL IE což je průmyslový NAT a firewall. Takže se nyní můžete s tímto přístrojem seznámit, jak jsme si jej vyzkoušeli i my.


Tento kompaktní WALL IE rozšiřuje řadu těchto přístrojů. Funkce zůstává obdobná jako u předchozích modelů, kromě zmenšených rozměrů se ale vyznačuje několika dalšími plusy, jak uvidíme dále.
V prvé řadě adaptéry WALL IE slouží ke zvýšení bezpečnosti komunikace. Díky možnosti nastavení/omezení komunikace mezi definovanými zařízeními se do průmyslové sítě (případně na cílový stroj) nepřipojí nikdo nezvaný.


Tak tady máme WALL IE Compact naživo, jak jsme jej měli k dispozici na náš test.

wallie 02


Ten hlavní rozdíl proti starším verzím jsou menší rozměry, jen dva porty, ale hlavně gigabitový ethernet, tedy můžeme přes WALL IE tahat i data třeba z průmyslových kamer a nebude to pro data úzké hrdlo.
Všechny informace a další manuály najdete na webu výrobce tady.

wallie 10


Dvě PLC s periferiemi PROFINET v síti, WALL IE pak propojuje PLC síť do kancelářské sítě a internetu.

wallie 04


Skutečné zapojení, nějaká taková nebo podobná tabulka je pro správné nastavení nezbytná, pokud si to všechno nepamatujete. Takže v PLC síti LAN na CPU s IP x.1.101 je aktivován webový server a na F-CPU s IP x.1.105 se připojíme z prostředí TIA Portal. PC s IP x.1.15 je v PLC síti a slouží k programování jednotlivých PLC.
Druhé PC s IP x.0.15 je již v kancelářské WAN síti s dalšími počítači a připojením do internetu. Jediné spojení těchto dvou sítí je přes WALL IE Compact.

wallie 11


Na WAL IE máme k dispozici MAC adresy na boku přístroje, tak uvidíme jak nám nastavení půjde.

wallie 05


Nový WALL IE má nastavenu defaultní adresu webového serveru na LAN portu v adresním řádku, jinak se k němu připojit nejde. Při tomto prvním připojení je nezbytné nastavit administrátorské heslo, pak teprve můžeme firewall nastavit.
Klikněte na obrázek pro zvětšení

wallie 13b


Nastavení IP adres pro WAN/LAN interface.

wallie 14


Když se nyní podíváme na naši PLC síť vidíme už s IP x.1.199 LAN port WALL IE Compact, také PLC s IP x.1.101 a 105 dále nějaké PC a periferie IM151 od Siemens a TB20 od Helmholz. Na tyhle PLC se budeme potřebovat přes WALL IE dostat z jiné sítě.
Detaily i v dokumentu rychlé nastavení WALL IE zde.

wallie 12


Ve WALL IE si aktivujeme režim NAT, překladač adres. Externí adresy x.0.0200 a 201 v kancelářské síti jsou virtuální, interní jsou skutečné adresy fyzických PLC v dílenské síti. WALL IE umí i režim Bridge, oddělení PLC od PC ve stejné síti.
Jak jsme uvedli v praxi je nutné v nastavení přidat i filtrování paketů a přístupu podle MAC adres zařízení, neboť přístup z kancelářské do dílenské, výrobní sítě musí být jasně definován a chráněn.
Klikněte na obrázek pro zvětšení

wallie 15b


Tak se připojíme do kancelářské sítě a nastavíme pevnou IP adresu našeho PC x.0.15.

wallie 16


A znovu se podíváme na účastníky v kancelářské síti. IP x.0.104 je WAN port na WALL IE a 200 s 201 jsou ty virtuální adresy na které se budeme připojovat, které jsou ve firewallu provázány s konkrétním CPU.

wallie 17


Protože na tomto PC provozujeme virtuální PC pod VMware, tak z VMware musíme také vidět do kancelářské sítě.

wallie 18


Pokud nemáme nějaký softwarový nástroj pro vyhledávání účastníků v síti, je ideální ověřit vše příkazem ping. Ten je ale defaultně ve FW deaktivován a je nutné ho ručně povolit. To stejné platí pro mnoho dalších zařízení, v rámci bezpečnosti bývá vypnut.

wallie 19


Do prohlížeče napíšeme adresu x.0.201 a ihned se provážeme na webový server PLC v dílenské síti. Jak jednoduché. :)

wallie 21


Pro přístup do PLC z prostředí TIA Portal si nejprve musíme v projektu nastavit v HW konfiguraci možnost přímé nastavení IP adresy. Na toto se často zapomíná, nefunguje pak možnost připojení vzdálené správy.

wallie 25


Potom přes Online access do políčka adresy zařízení zadáme tu naši virtuální x.0.200.
Klikněte na obrázek pro zvětšení

wallie 25


A stačí aktivovat tlačítko Go online.

wallie 25


Žlutá LED na WALL IE indikuje přenos dat mezi oběma sítěmi.

wallie 25


Je to hotovo, jsme připojení na CPU přes WALL IE Firewall v jiné síti.
V podnikových sítích není výjimkou, že průmyslové stroje jsou přímo připojené do klasické sítě podniku, kde probíhá komunikace mezi počítači, tiskárnami, kamerami a dalšími zařízeními. S použitím WALL IE a režimu Bridge je možné zabránit, aby tato nežádoucí komunikace nevstupovala do průmyslové sítě a tím jí nezahlcovala. Pak nebude přenos dat mezi PLC rychlostně omezován.
Klikněte na obrázek pro zvětšení

wallie 25


Jakmile si to vyzkoušíte a nastavíte takto zatím bez filtrování paketů a MAC adres, tak nyní je již jednoduché nastavit i tyto další pravidla, aby se nikdo nemohl dostat z nějakého kancelářského nebo cizího počítače do výrobní sítě s PLC.

wallie 25


Podívejte se na videoukázku jak je vše nastaveno a funguje. Two minutes video.


Závěr:
WALL IE Compact by neměl chybět u žádného zařízení ve výrobní sféře. S použitím adaptéru WALL IE je také možné připojit do podnikové sítě stroj, s jinou IP adresou než má nastavenou. Toto je výhoda pro výrobce strojů, kteří při instalaci nemusí již měnit programové nastavení a nastaví jen adaptér WALL IE dle požadavků místních IT správců.
Více v dokumentu zde.

 Jaroslav Blažek


Doplňující odkazy k článku: 

Všechny výrobky od Helmholz najdete zde.
Prodejce a technické podpora Helmholz v ČR, INTERSOFT - Automation s.r.o, Plzeň.

 

Pro psaní komentářů se přihlašte

Kontakt

email : blaja @blaja.cz
email reklama: info @blaja.cz
email adresy bez mezery 
před zavináčem

Jaroslav Blažek
Štěpánská 1888
755 01 Vsetín
+420 608 180 209