Beitragstyp: FAQ, Beitrags-ID: 38571711, Beitragsdatum: 27.11.2009
(0)
Bewerten

Was ist beim Fernzugriff auf eine SIMATIC S7 mit STEP 7 über das Internet zu beachten?

  • Beitrag
  • Betrifft Produkt(e)

Beschreibung:
Es wird ein Fernzugriff auf ein Automatisierungssystem (z.B. SIMATIC S7) über das Internet realisiert. Hierbei ist nur eine Steuerung direkt durch den Fernzugriff mittels Portweiterleitung erreichbar. Der Zugriff auf weitere Steuerungen in der Automatisierungszelle erfolgt über PG-Routing.


Bild 01

Es werden die PG-Funktionen mit STEP 7 genutzt, um vom externen Netz auf ein Automatisierungssystem (z.B. SIMATIC S7) im lokalen Netz zuzugreifen. Der Zugriff erfolgt über ein Gateway, das die Dienste NAT (Network Address Translation) und NAPT (Network Address Port Translation) nutzt. 


Bild 02

In den o. g. Beispielen ermöglichen die PG-Funktionen mit STEP 7:

  • Das Laden der Konfiguration und des Anwenderprogramms in die CPU zu ermöglichen,
  • Bausteine und Variablen zu beobachten.

Die PG-Funktionen, S7-Kommunikation etc. nutzen den Port 102 (TCP).
Informationen darüber welches Protokoll welchen TCP-Port verwendet, finden Sie unter der Beitrags-ID: 8970169.

In den o. g. Applikationen stellen Sie die Portweiterleitung im DSL Modem/Router auf der Anlagenseite bzw. im Gateway so ein, dass die Telegramme des Ports 102 aus dem externen Netz an den Port 102 der IP-Adresse der SIMATIC S7 weitergeleitet werden. Die IP-Adresse der SIMATIC S7 befindet sich im internen Netz.

Beispiel Portweiterleitung:
 

Beispiel externe
IP-Adresse
externer
Port
interne
IP-Adresse
interner
Port
Applikation
Fernzugriff über Internet
mittels Portweiterleitung
217.91.8.166 102 172.168.2.10 102 STEP 7
Zugriff über NAT/NAPT 192.168.2.1 102 172.168.2.10 102 STEP 7

Für folgende Anwendungen ist die feste externe IP-Adresse des DSL Modems/Routers auf der Anlagenseite bzw. die externe IP-Adresse des Gateways zu beachten:

  • Bausteine beobachten,
    damit über STEP 7 eine Online-Beobachtung von Bausteinen auf der SIMATIC S7 CPU möglich ist.
  • Downloadschnittstelle,
    damit über STEP 7 ein Download der Projektierung möglich ist.

Baustein beobachten
Um über STEP 7 eine Online-Beobachtung von Bausteinen auf der SIMATIC S7 CPU zu ermöglichen, ist folgende Änderung in der Hardware Konfiguration der SIMATIC S7 notwendig:

In der Hardware-Konfiguration der SIMATIC S7 wird die IP-Adresse der Schnittstelle, die den Zugang zum Internet ermöglicht (z.B. IE CP oder integrierte PN-Schnittstelle der CPU), durch die externe IP-Adresse des DSL Modems/Routers auf der Anlagenseite ersetzt.

Die geänderte Hardware-Konfiguration ist nur zum Beobachten der Bausteine und darf nicht in die CPU geladen werden, da diese Information im Projekt abgelegt wird und daher die Systemdaten im Projekt geändert werden. Ein Download ändert die Einstellungen des CPs oder der CPU und macht damit eine weitere Onlineverbindung unmöglich.

Ein Download der Systemdaten oder der Hardware-Konfiguration mit geänderter IP-Adresse unterbindet weitere Onlineverbindungen über Portweiterleitung.

Downloadschnittstelle
Bei der Einstellung der Downloadschnittstelle in STEP 7 erfolgt keine Änderung im Projekt. Hier bleibt die ursprüngliche IP-Adresse im Projekt erhalten. Nur die IP-Adresse als Ziel des Downloads wird durch die externe IP-Adresse des DSL Modems/Routers auf der Anlagenseite ersetzt.

Somit ist auch ein Download der Systemdaten und Hardware-Konfiguration möglich, ohne das die Onlineverbindung nach dem Download abbricht. Allerdings ist hier kein Baustein beobachten möglich.


Bild 03

Hinweis:
Beachten Sie, dass mit den o. g. Möglichkeiten des Fernzugriffs das lokale Netz nicht vor unbefugten Zugriffen geschützt ist. Daher empfehlen wir Ihnen für den Fernzugriff über das Internet ein VPN (Virtual Private Network) zu nutzen. Über VPN sind die PG-Funktionen mit STEP 7 nutzbar:

  • ohne in der Hardware-Konfiguration die IP-Adresse der Industrial Ethernet Schnittstelle zu ändern, um die Bausteine zu beobachten und
  • ohne die IP-Adresse der Downloadschnittstellen zu ändern, um die Hardware-Konfiguration oder das Anwenderprogramm in die CPU zu laden.

In folgenden Beiträgen finden Sie eine Anleitung zur Konfiguration eines VPNs mit SCALANCE S6x und SOFTNET Security Client:

Eine Beschreibung der verschiedenen WAN Zugangsmethoden für den Fernzugriff auf Automatisierungssysteme (z.B. SIMATIC S7) finden Sie unter der Beitrags-ID: 26662448.