A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

Hochverfügbare Embedded-Server für sicheren Teleservice

Seit Mitte der 90er Jahre werden bis heute Teleservices größtenteils über Wählleitungen mit Analogmodems oder ISDN-Terminaladaptern erbracht. Neben dem hohen Aufwand für die Telefoninfrastruktur, den zusätzlichen Verbindungskosten und dem geringen Datendurchsatz haben Modemverbindungen zudem den Nachteil, dass jede einzelne Anbindung an das Telefonnetz als sogenannte „Backdoor“ auch ein zusätzliches Sicherheitsrisiko für das Unternehmensnetzwerk darstellt. Nicht zuletzt deshalb besteht für solche Dienste in letzter Zeit ein starker Trend zu modernen, breitbandigen, durch VPN- und Firewall-Technologie gesicherten Internet-Verbindungen.

Da moderne Maschinen und Anlagen meist über Ethernet-Schnittstellen verfügen und häufig bereits in Unternehmensnetzwerke integriert sind, liegt es nahe, die Fernwartung der Anlagen über eine TCP/IP-Internetverbindung via Ethernet zu realisieren. Die Nutzung von Internet-Verbindungen zur Fernwartung von Industrieanlagen und Maschinensystemen hat neben dem Einsparen von kostenintensiven Einsätzen vor Ort noch weitere Vorteile: Der Aufwand für die Telefoninfrastruktur, welcher für den Teleservice via Modem für jede einzelne Maschine betrieben werden musste, entfällt. Zudem fallen auch keine Verbindungskosten ins Ausland an, der Datendurchsatz wird gesteigert, und durch aktuelle Internet-Technologien wie Voice over IP und Streaming von Bild- und Videodaten ergeben sich zusätzlich neue, effiziente Serviceperspektiven und damit Wettbewerbsvorteile.

Wirtschaftliche Sicherheitslösung für Teleserviceanwendungen
Um jedoch von der Internetwelt auch auf Maschinenebene profitieren zu können, bedarf es zunächst einiger Sicherheitsvorkehrungen. Schließlich sollte keine Maschine ohne Weiteres direkt aus dem Internet erreichbar und damit für Dritte technisch kompromittierbar sein. Um den gewünschten sicheren Zugriff auf Systeme, Maschinen und ganze Maschinenetze via TCP/IP zu ermöglichen, suchen Hersteller und Betreiber deshalb nach einer wirtschaftlichen Sicherheitslösung für Teleserviceanwendungen. Diese soll durch Verschlüsselungstechnik die Authentisierung, Vertraulichkeit und Integrität des Datenverkehrs gewährleistet und den unerwünschten Datenverkehr durch Firewalls ausschließen. Im Idealfall sollte diese auch mit geringem Aufwand in die vorhandenen Netzwerkstrukturen integrierbar sein.
Eine solche Sicherheitslösung bietet Innominate, Spezialist für Network Security Appliances, mit seinem Mguard-Produktportfolio. Eine Innovation dieser integrierten Komplettlösung auf Basis bewährter Standard-Technologien besteht darin, den Ansatz für die Durchführung von Fernwartungsservices umzukehren: Musste bisher eine Verbindung vom Servicetechniker zum System aufgebaut werden, stellt beim Mguard-Teleservice-Konzept das System die Verbindung zum Service her. Der Verbindungsaufbau zur Maschine wird somit nicht mehr von außen initiiert, sondern beginnt bei der Maschine als ausgehende Verbindung zu einer vorher definierten Gegenstelle.
Das löst typische Zugangsprobleme aufgrund von Sicherheits-Policies und Firewalls, da ausgehende Internet-Verbindungen mit fest definierten VPN-Tunnelpartnern entscheidend einfacher und sicherer zu administrieren sind. Das Mguard-Konzept wurde speziell für den Einsatz im industriellen Umfeld entwickelt und kombiniert die Eigenschaften einer sogenannten Stateful Inspection Firewall, die eingehende und ausgehende Datenpakete anhand vordefinierter Regeln überwacht, mit der Möglichkeit einer sicheren und vertraulichen Kommunikation über verschlüsselte Virtual Private Network (VPN) Verbindungen.

Für jede Anlage die passende Lösung
Um Netzwerke, Produktionszellen oder einzelne Automatisierungsgeräte zu schützen, hat das Mguard-Portfolio verschiedene Network Security Appliances, die einfach in Ethernet-basierte Produktionsnetzwerke integrierbar sind. Feldtaugliche Mguard-Komponenten gibt es beispielsweise als externe Hutschienengeräte oder PCI-Karten für die Integration in die dezentralen Systeme. Eine interessante Variante für 19-Zoll-Umgebungen und hohe Verfügbarkeitsanforderungen ist darüber hinaus das Mguard Bladepack. Mit redundanter Stromversorgung und Hot-Swap-fähigen Blade-Einschüben kann dieses nicht nur bis zu zwölf Systeme oder Subnetze individuell vernetzen und absichern, sondern auch als VPN-Gateway von 250 bis 3 000 VPN-Tunnel skalieren.
Allen Geräten gemeinsam ist neben einem integrierten Web-GUI zur lokalen Administration die Fähigkeit zum zentralen Management durch den Innominate Device Manager. Dieser bietet einen Vorlagen-Mechanismus, mit dem Anwender zentral alle ihre Mguard-Geräte effizient konfigurieren und verwalten können. Ist die feldseitige Installation abgeschlossen, können die Geräte auf einzelne Anforderung oder permanent VPN-Verbindungen zu den zentralen Servicepunkten von Teleservice-Anbietern aufbauen. In der Regel erfolgt dies unter Kontrolle des Maschinen- oder Anlagenbetreibers, der den Teleservicedienst so nach Bedarf nutzen und den Verbindungszustand jederzeit überwachen kann. Um eine VPN-Verbindung aufbauen zu können, bedarf es natürlich auch einer Gegenstelle auf der zentralen Serviceseite. Genau für solche Gegenstellen hat Innominate ein System entwickelt, um diesen zentralen Knotenpunkt für die Verbindungen zu großen Mengen von Feldgeräten noch effizienter zu gestalten (Bild 1).

Sichere Anbindung vieler dezentraler Feldgeräte
Der Mguard-Centerport im 19-Zoll-Format erfüllt alle High-End-Firewall- und VPN-Gateway-Funktionen, die man für eine sichere Anbindung vieler dezentraler Feldgeräte benötigt. Vorteilhaft bei dem neuen System ist, dass alle VPN-Verbindungen über eine einzige öffentliche IP-Adresse geroutet werden. Beim bislang verfügbaren modularen Mguard-Bladepack waren dazu noch bis zu zwölf IP-Adressen erforderlich, also jeweils eine IP-Adresse pro Blade-Steckplatz. Das hat die Konfiguration und die Administration beim Mguard-Centerport erheblich vereinfacht, da man sich um das Load-Balancing zwischen verschiedenen Gateway-Adressen keine Gedanken machen muss und nur eine öffentliche IP-Adresse erforderlich ist. Ferner werden statt Fast-Ethernet- (100 Mbit/s) nun Gigabit-Ethernet-Schnittstellen (1.000 Mbit/s) eingesetzt, über welche der Mguard-Centerport 1.000 gleichzeitig aktive VPN-Tunnel aufrecht erhalten kann und dabei einen verschlüsselten Datendurchsatz von 300 Mbit/s erreicht – die gut vierfache Leistung eines Mguard-Blades (Bild 2).
Der Centerport ist kompatibel zu allen Mguard-VPN-Feldgeräten und dem Innominate Device Manager, wodurch sich Integration und Einrichtung einfach gestalten. Hardwareseitig genügt es, das Servicenetzwerk mit dem rückseitig ausgeführten LAN-Port zu verbinden und den WAN-Port mit einem Internet-Zugang zu versorgen. Über zwei redundante Netzteile mit Strom versorgt, lässt sich das Gateway nach seiner Inbetriebnahme über das integrierte Webinterface automatisiert über den Innominate Device Manager verwalten. Und sollte das System einmal neu gestartet werden, sind die bis zu 1 000 VPN-Tunnel dank der hohen Systemperformance in weniger als fünf min wieder aufgebaut, was höchste Verfügbarkeit für Teleserviceanwendungen gewährleistet.

„Six nines“ im Visier
Für die 19-Zoll-Lösung, die als Knotenpunkt im Unternehmensnetzwerk den Teleservice und damit die Verfügbarkeit zahlreicher Maschinen und Anlagen gewährleistet, wurden hohe Anforderungen an die Hardware gestellt. Das System sollte zum einen eine hohe Performance bieten, um die bis zu 1.000 VPN-Tunnel auch effizient und ohne spürbare Zeitverzögerungen zu handhaben. Zum anderen waren Bestwerte in Bezug auf MTBF (Mean Time Between Failures) gefordert. Schließlich werden an eine solche Serverplattform Anforderungen gestellt, die mit denen von Carrier-Grade-Telekom-Netzen vergleichbar sind. Zwar ist es nicht immer erforderlich, dass die Systeme redundant ausgelegt sind oder Hot-Swap-Baugruppen besitzen, doch in Hinblick auf die Qualität der verwendeten Komponenten und des Boarddesigns suchte man nach einer Lösung, die auf höchste Verfügbarkeiten ausgelegt ist und beispielsweise ein redundantes Netzteil sowie Raid-Festplattensupport bietet. So wollte man die anfälligsten Komponenten in Computersystemen möglichst ausfallsicher machen. „Ideale Voraussetzungen liefern Systeme, die an Verfügbarkeiten von 99,9999 % heranreichen, also „six nines“ bieten“, stellt Torsten Rössel, Director Business Development bei Innominate, fest. „Wir haben eine bezahlbare Lösung in diese Richtung gesucht.“

Systemhardware und Baugruppen aus einer Hand
Letztendlich entschied sich Innominate für die Serverfamilie Kiss von Kontron, die unter anderem in der Netzleittechnik von Energieversorgungsunternehmen, in der Leittechnik für den Schienenverkehr, in der Medizintechnik sowie in Kernkraftwerken zum Einsatz kommt und entsprechend hoch verfügbar sein muss. Dank Intel AMT Support können sie optional auch mit In-Band- sowie Out-Of-Band-Monitoring-Funktionen ausgerüstet werden und damit bis auf die Hot-Swap-Fähigkeit der Baugruppen nahezu alle Anforderungen erfüllen, wie sie auch in Carrier-Grade-Telekommunikationsnetzwerken gestellt werden. Der für Innominate mit redundantem Netzteil, GBit-Ethernet und Intel-Core2-Quad-Prozessor ausgerüstete 19-Zoll-/2-HE-Server Kiss 2U ist einer der derzeit kleinsten und schnellsten Hochverfügbarkeits-Server für langzeitverfügbare und robust auszulegende Applikationen (Bild 3).

Die Entscheidung für eine Hardwareplattform von Kontron hatte laut T. Rössel mehrere Gründe: „Kontron ist für uns ein namhafter und als Lieferant unseres Mutterkonzerns Phoenix Contact bereits bewährter Hersteller von Industrie-PC. Wichtige Aspekte waren aber auch eine geeignete Modellpalette mit Skalierbarkeit nach oben und unten, die mögliche Gestaltung des Systems als OEM-Produkt mit eigenem Branding, die längerfristige Verfügbarkeit einer genau spezifizierten Hardware-Konfiguration, die Produkt-Qualität sowie der lokale Support durch einen deutschen Hersteller.“ Für Innominate wurde der Server Kiss 2U mit einem platzsparenden PICMG 1.3 Slotboard, einer High-Performance Backplane, einer 4-Port-Gbit-Ethernet-Karte und einem kundenspezifischen Frontdesign ausgestattet. Das System und alle Baugruppen kommen dabei aus einer Hand, was die Kompatibilität und die Zuverlässigkeit des Gesamtsystems gewährleistet. Die MTBF liegt bei 50 000 h, was in etwa 5,7 Jahren Dauereinsatz entspricht. Zudem ist der Server mindestens fünf Jahre bei Kontron verfügbar. Das ermöglicht eine homogene Hardwarestruktur, was im Servicefall für Innominate effizient ist und die Investitionen in die kundenspezifische Hardwareplattform sicher macht.

Der Beitrag als pdf

Bild 1. Effiziente Serviceinfrastrukturen: Der auf Basis des Industrieservers Kiss 2U entwickelte Mguard Centerport bedient als zentrales Gateway die von den Feldgeräten eingehenden Anforderungen zum Aufbau von Virtual Private Networks

Bild 2. Skalierbar verbunden: Dank des Mguard Centerport können Servicezentralen und Condition Monitoring Dienste über verschlüsselte VPN-Tunnel mit bis zu 1000 weltweit verteilten Systemen gleichzeitig verbunden sein

Bild 3. Individuell konfigurierbar: Die Kiss-2U-Server sind individuell mit PICMG 1.3 und PICMG 1.0 Slotboards oder Flex-ATX-Motherboards bestückt und entsprechend besonders flexibel ausbaubar. Im Standardausbau mit Flex-ATX-Motherboards sind zwei PCI-Erweiterungskarten möglich

Autor: Günther Dumsky ist Director Systems and Boards bei der Kontron AG in Eching.