Perguntas Frequentes

Como superar as limitações de uma VPN Tradicional

“Relay VPN” da Secomea e a VPN tradicional têm basicamente o mesmo propósito. Elas permitem que dois dispositivos IP em locais distintos se comuniquem de forma segura pela Internet, como se os dispositivos estivessem conectados na mesma rede física. Embora a VPN tradicional seja amplamente usada e atenda os propósitos gerais de conexão de redes remotas de forma normalmente satisfatória, ela possui sérias desvantagens para o monitoramento e gerenciamento remoto de dispositivos. A primeira geração da Secomea também era baseada na VPN tradicional, mas com otimizações significantes na criação mais simples dos túneis. A atual terceira geração da solução Secomea entretanto, evoluiu para uma tecnologia baseada em Internet que especificamente endereça os requerimentos de segurança e usabilidade dos engenheiros com os equipamentos industriais.

1. Conflitos de Subredes:

– As redes conectadas via uma VPN tradicional não podem usar a mesma subrede local. Mas um fabricante de máquinas ou integrador de sistemas gerenciam dezenas de instalações de clientes onde precisam lidar com localizações usando os mesmos endereços de subrede. Pedir ao cliente para alterar seus esquemas de endereçamento é raramente uma opção, e a manipulação de regras NAT para lidar com os esquemas de endereçamento existentes pode facilmente se tornar um pesadelo.

– Com a Solução Relay VPN da Secomea, todos os sites podem ter a mesma sub-rede e todos os equipamentos podem ter o mesmo endereço IP. O engenheiro e o dispositivo remoto são simplesmente conectados um ao outro de forma direta e inteligente.

2. Conexões pré configuradas são requeridas:

– As conexões entre os membros de uma VPN tradicional não podem ser estabelecidas dinamicamente sobre uma requisição, mas precisam ser configuradas de antemão. Isso precisa de envolvimento do pessoal de TI e leva tempo – todas as vezes.

– Uma vez que o engenheiro com o “LinkManager Client” possua uma conta no GateManager representada por seu certificado x.509 pessoal, o administrador do GateManager pode, por associação “point-and-click”, associar a conta com apenas o site ou grupo de equipamentos que o técnico dever ter acesso e, isso é atualizado imediatamente na lista de sites disponíveis no LinkManager client.

3. Desafios de roteamento:

– Conectar duas redes remotas com a VPN tradicional via um concentrador de VPN central requer configuração e gerenciamento de regras avançadas de roteamento. Além disso, o roteador normalmente precisa se capaz de suportar NAT-T (NAT transversal) e encapsulamento UDP.

– A solução Secomea não utiliza roteamento e consequentemente nenhuma regra NAT é requerida. Os endereços IPs são simplesmente ligados via um servidor proxy central. VPNs tradicionais são adequadas para conexões um-para-um ou vários-para-um, mas não para um-para-vários (um engenheiro para vários sites), ou vários-para-vários (vários engenheiros para vários sites). A solução de Acesso Remoto da Secomea administra facilmente milhares de engenheiros precisando de acesso a milhares de sites, incluindo gerenciamento de direitos de acesso, e até limitando acesso a específicos tipos de equipamento, ou protocolos/serviços específicos do equipamento.

4. Desafios na abertura do Firewall:

– A VPN tradicional baseada em IPSec requer que portas especiais e protocolos sejam abertos (permitidos) no firewall para que possam comunicar.

– Todas as conexões da solução Relay VPN da Secomea dos SiteManagers e LinkManagers são estabelecidas de dentro para fora, e apenas portas padrões da Web são usadas (como a 443). Todas essas conexões criptografadas são terminadas no servidor GateManager (baseada em Internet), e por meio dessas conexões criptografadas, a conexão entre os engenheiros e os dispositivos são estabelecidas dinamicamente.

5. Desafios de bloqueio no Firewall:

– A VPN roteia tudo e não apenas os protocolos que você precisa, a menos que esforços sejam feitos na criação e gerenciamento de um número de regras no firewall.

– Os dispositivos agentes definidos no SiteManager são automaticamente litados a apenas permitir o acesso para as portas ou serviços definidos para o tipo de agente; por exemplo, para um determinado PLC no SiteManager, as portas que são abertas são as portas TCP 987, 5120, 48897-48899 e UDP 48898-48899. Apenas essas portas são ativadas quando um LinkManager se conecta com o agente representando esse PLC.

6. Gerenciamento de Certificado:

– Uma boa solução VPN é normalmente baseada em certificados x.509 que são trocados ou assinados por uma Autoridade Certificadora (CA). Isso adiciona uma sobrecarga e torna cansativo a configuração de uma conexão individual.

– O GateManager age como a autoridade certificadora para ambos SiteManagers e clientes LinkManager. O acesso do cliente é protegido por um sistema duplo (certificado e senha), como no sistema bancário. Mas o certificado x.509 da solução Secomea não é apenas uma medida de segurança. Com a introdução do LinkManager, foi incluído no certificado todos os detalhes de configuração e assim elimina-se a necessidade do usuário configurar alguma coisa. Instalando-se o LinkManager e o certificado, o LinkManager saberá onde se conectar e com quem; nenhuma configuração adicional do LinkManager é necessária.

7. Registro de Atividade (Logging):

– O princípio da VPN tradicional é conectar duas redes e ter tudo acessível entre dois membros. Assim o registro de eventos é, na melhor das hipóteses, apenas feito quando se está estabelecendo a conexão, mas uma vez conectado, nada é registrado.

– O servidor GateManager irá não apenas centralizar o registro de quem fez a conexão e para o quê, mas também quando a conexão for estabelecida, e quais serviços foram acessados. O registro é mantido centralmente no GateManager e não pode ser deletado pelo administrador, e pode assim, funcionar como e vidência em caso de necessidade.

8. Gerenciando o ”Concentrador”

– A solução típica VPN baseada em IPSec requer um concentrador (administrado pelo pessoal de IT), uma vez que requer conhecimento de rede. Também, concentradores distribuídos precisam normalmente ser instalados em cada fornecedor de serviço (service provider), a fim de se evitar configurações muito complexas roteamento e firewall. Soluções de VPNs baseadas em SSL superam algumas questões das VPNs baseadas em IPSec, mas roteamento avançado e configurações de regras de firewall não são serviços expostos para clientes em soluções “hosted”.

– O ”concentrador” para a solução de Acesso Remoto da Secomea é um serviço central na forma do servidor GateManager, onde cada fornecedor de serviço (service provider) recebe uma conta isolada. Aqui o administrador gera os certificados das contas, organiza seus equipamentos e usuários em estruturas de domínios e controla dinamicamente a qual equipamento e a qual site cada engenheiro deve ter acesso. Não existe necessidade de habilidades de rede ou de TI.

1. Como a segurança é garantida na Fábrica

Na fábrica, o SiteManager é instalado. O SiteManager obtém um IP address via um servidor DHCP, como um PC. O SiteManager tipicamente utiliza a infraestrutura corporativa existente para acessar a Internet no intuito de estabelecer uma conexão criptografada por AES com um servidor GateManager via portas web padrões (https/443), da mesma forma que um browser web faz. Na instalação, o SiteManager é configurado para se conectar a um específico GateManager (IP ou DNS) e a um domínio específico do cliente no GateManager.

A conexão é baseada em TLS, e protegida contra-ataques “homem-no-meio”, fazendo com que cada GateManager possua um único certificado/chave TLS, ao qual o SiteManagers se associa (conhecido como ToFu “Trust-on-first-use). Para remover a associação entre o SiteManager e o GateManager, você precisa explicitamente reconfigurar as configurações do GateManager no SiteManager. Uma vez que o “homem-no-meio” não pode fazer isso simplesmente interceptando a conexão, ele não pode direcionar a conexão do SiteManager para um outro GateManager mesmo se ele tivesse um.

Numa configuração padrão, o SiteManager está conectado permanentemente e envia dados de “presença” (heartbeats) ao GateManager a cada 10 minutos. Mas acesso remoto do e para o SiteManager pode adicionalmente ser controlado pelo operador ou desligando o SiteManager quando ele não é usado, ou conectando uma chave on/off a uma entrada de sinal do SiteManager, que irá abrir e fechar a conexão com o GateManager.

No SiteManager, você configura os chamados Dispositivos Agentes que permitirão que usuários LinkManager, os quais receberam acesso aos agentes, se conectem com seus clientes LinkManager aos equipamentos representados pelo Dispositivo Agente. O usuário LinkManager não pode redirecionar um agente configurado para outro equipamento a menos que ele tenha recebido acesso para reconfigurar o SiteManager. Se por exemplo, um agente tenha sido definido como “Siemens / Ethernet”, esse agente abrirá apenas as portas relevantes ao equipamento Siemens. Ou se você configurar um PC como agente para um servidor Microsoft, usuários remotos poderão apenas acessar o Remote Desktop daquele servidor, mas nenhum outro serviço rodando no PC poderá ser acessado.

Alguns de nossos clientes avaliam “Segurança e Proteção” no mesmo processo. O SiteManager é preparado para diferentes regulações de proteção relacionadas à comunicação industrial, como a “EN415 Safety of packaging machines”, diretiva que entre outras coisas, requer que fabricantes de máquinas precisam garantir que serviços de acesso remoto às máquinas sejam adequadamente sinalizadas para o operador. Todos os SiteManagers possuem uma saída de sinal que pode ser ligada, por exemplo, à uma luz de alerta, que informará ao operador local que o acesso/manutenção remota está em progresso, e ele precisa ter atenção especial sobre a operação do equipamento.

2. Como a Segurança é garantida na rede Office

O SiteManager contém um firewall stateful inspection entre a porta Uplink que é usada para acesso ao GateManager, e a porta Device que conecta à rede do equipamento industrial. Isso significa que nenhuma comunicação pode ser feita da rede corporativa para a rede do dispositivo e vice-versa. O firewall é configurado simplesmente para bloquear toda a comunicação, exceto os dados autorizados e criptografados entre o SiteManager e o GateManager. Além disso, o SiteManager é baseado num Sistema operacional robusto, prevenindo que pessoas ou programas hostis explorem a conexão. Isso neutraliza tanto as ameaças internas como as externas.

O SiteManager pode ser configurado para conectar ao GateManager via Web Proxy Seguro (incluindo o NTLM) o que permite que os departamentos de TI tenham controle e monitorem seus acessos. O departamento de TI também pode decidir limitar o acesso à Internet baseado no IP Address ou MAC Address dos SiteManagers, ou alternativamente limitar sua conexão a uma outra porta (11444), o que permitirá que o departamento de TI distinga o tráfico Internet gerado pelo SiteManager do dos outros usuários.

Se as políticas corporativas de TI previnem qualquer forma de acesso à Internet via sua rede corporativa, você tem a possibilidade de conectar o Sitemanager via 2G/3G/4G. Mesmo os modelos SiteManager sem modems broadband embutidos podem acessar a Internet, simplesmente inserindo um modem USB no SiteManager. Essa opção também é ideal como uma solução temporária em caso do serviço remoto ter que ser iniciado antes do processo de aprovação de TI ser finalizado.

3. Como a Segurança é garantida no lado do Cliente Remoto

O LinkManager é o software cliente instalado no PC do técnico (que vai acessar remotamente).

O LinkManager se conecta ao GateManager da mesma forma que o SiteManager. O LinkManager lembra o certificado/chave de cada GateManager do qual ele tenha recebido um certificado LinkManager. Assim se um “homem-no-meio” intercepta a conexão, o LinkManager simplesmente não conecta. Combinado com a segurança de três fatores do LinkManager (usando um certificado x509 local com senha e SMS), o LinkManager representa segurança máxima.

Quando se conectando (logging in), o LinkManager irá estabelecer uma conexão criptografada via o adaptador virtual LinkManager no PC. O adaptador é fechado para todo os outros tráfegos não gerados por sua sessão com o GateManager. Quando conectado, o usuário LinkManager verá uma lista de sites e dispositivos que sua conta está permitida de se conectar. Ao se conectar com um dispositivo específico, uma entrada na tabela de roteamento do PC é criada, permitindo acesso ao IP Address e porta específica do dispositivo agente representando o dispositivo. O usuário LinkManager não tem a possibilidade de reconfigurar conexões no LinkManager.

Todas as informações sobre a quem o GateManager pode se conectar e contas são criptografadas no certificado x.509. Assim, o usuário LinkManager não configura nada, mas apenas instala o software LinkManager, instala o certificado x.509 e se loga com a senha associada. Isso também reduz consideravelmente a necessidade de suporte bem como garante que riscos de segurança devido às más configurações são eliminados. De fato, o maior risco é, se o PC com o LinkManager for roubado, e o certificado LinkManager tiver sido criado com uma senha frágil que possa ser facilmente descoberta. Se isso realmente acontecer, a conta LinkManager pode ser fechada por um simples clique do administrador do GateManager.

4. Como a Segurança é garantida no Servidor M2M Central

O Centro da solução é o servidor M2M GateManager que funciona como uma proxy Seguro para as conexões de dados entre o SiteManager e o LinkManager, baseado nas definições de acesso configuradas pelo administrador do GateManager.

O GateManager é o único componente na solução que possui portas expostas à Internet, mas apenas as conexões que possam ser validadas por um certificado x.509 apropriado serão permitidas. O GateManager pode também ser operado com segurança de três fatores pela combinação da senha e certificado com um código PIN único recebido por SMS. O único risco de segurança teórico seria se o “homem-do-meio” pudesse interceptor a chave privada. Assim a conexão TLS não pode ser estabelecida. Uma exploração conhecida do TLS é se iniciar com um certificado/chave e depois do handshake pedir para que a conexão TLS se ressincronize. (enquanto o “homem-do-meio” escuta). Nós eliminamos isso, simplesmente não deixando a possibilidade para que nossa implementação TLS se ressincronize, assim o “homem-do-meio” não pode explorar esse risco TLS.

Se alguém for capaz de obter acesso ao servidor onde o GateManager está sendo executado, ainda assim não será possível se conectar qualquer dos equipamentos gerenciados pelo proxy central, simplesmente porque as conexões não são abertas de forma estática como acontecem com uma solução VPN, mas são abertas apenas na requisição de um usuário LinkManager, e são acessíveis apenas por programas que estejam rodando naquele PLC LinkManager.

Além disso, o administrador GateManager precisa entrar com um browser web usando autenticação de dois fatores, o mesmo sistema conhecido das transações bancárias. As características mais importantes da interface gráfica do portal do administrador do GateManager são a criação das contas de usuário LinkManager, a organização dos SiteManagers e Dispositivos Agentes dentro de domínios lógicos, e garantir acesso  a usuários LinkManagers específicos a esses domínios. Um objetivo chave de design foi fazer isso muito intuitivo, eliminando-se o risco de conceder acesso de forma não intencional. Tudo isso é controlado por processo “drag and drop”, e com clara indicação de quem tem acesso a que.

De forma geral, a solução Secomea atende completamente todos os padrões de segurança estipulados pelo National Institute of Standards and Technology (https://www.nist.gov) para criptografia e negociação de chave. Ela possui segurança “fim a fim” completa, garantindo que ninguém – e nada – possa acessar o equipamento sem permissão.

Mais importante: o GateManager garante que todos os eventos são registrados. Quando um LinkManager estabelece uma conexão com um dado dispositivo, quando a configuração é alterada num SiteManager, quando um SiteManager é reiniciado, quando um firmware é atualizado, quando email ou SMS de alarme é disparado, etc. Todos esses eventos são registrados com time stamp, descrição e o usuário que causou o evento.

NOTA: A Secomea oferece a hospedagem de suas contas nos servidores GateManager da Secomea. Apenas pessoal autorizado da Secomea terá acesso à sua conta, e só acessará sua conta em relação a questões de suporte iniciadas pelo representante autorizado do cliente. Todas as ações realizadas pela Secomea serão registradas no registrador de eventos de sua conta.

Se suas políticas de TI ditam que não é permitido que terceiros acesse seus equipamentos ou se você possui uma política de não ser dependente de um terceiro, você pode decidir hospedar seu próprio GateManager. Um GateManager é fornecido ou como uma imagem virtual pronta para ser instalada num servidor a ESXi, VMWare ou HyperV, ou como um servidor (hardware) stand-alone com um Sistema operacional robusto que elimina a necessidade de se manter seu OS atualizado com patches de segurança. A solução Secomea está completamente alinhada como os critérios da I4.0.

Com o lançamento da versão LinkManager 8, fica a dúvida se ainda pode ser usada a versão do LinkManager 7 no PC. A resposta é sim, mas algumas informações e cuidados precisam ser tomados

O LinkManager 7 e o LinkManager 8 NÃO PODEM ser executados simultaneamente, mas podem estar instalados na mesma máquina Windows.

Nota: O LinkManager 7 roda numa Caixa virtual dentro de seu PC Windows, enquanto o LinkManager 8 roda como um serviço. Ambos usam o mesmo adaptador Ethernet virtual – por isso não podem ser executados simultaneamente.

Como executar o LinkManager 7 com o LinkManager 8 já e execução

1. Clique com o botão direito do mouse sobre o ícone do LinkManager 8 e clique em Exit.
   
   
   
   
2. Dê um duplo clique no ícone do LinkManager 7.
   
    
   
   
3. O LinkManager 7 será então iniciado e abrirá a interface do usuário no Browser.
   
   
   
   
4. Faça o Login, e utilize o LinkManager 7 normalmente.

Como executar o LinkManager 8 com o LinkManager 7 já em execução.

1. Feche seu LinkManager 7.
   
   
   
   
2. Faça o Login com sua conta LinkManager no seu GateManager.
   
   
   
   

Clique sobre as setas verdes e o LinkManager 8 se iniciará e estará pronto.

Troubleshooting:

Se você receber a mensagem pop-up mostrada da imagem abaixo, significa que seu LinkManager 7 ainda está em execução e precisa ser finalizado (como já explicado)

Antes de mostrar o procedimento de instalação do AMP, vamos entender o que é o AMP:

O AMP é um Plano Anual de Manutenção para todos os clientes que já possuam uma versão completa (Full Version) do Industrial versão 4.0 ou superior.

Com o AMP, você será capaz, dentro de um intervalo de 12 meses após o primeiro licenciamento, de fazer a atualização contínua para a última versão do Industrial HiVision.

Após os 12 meses, você está livre para decidir se quer ou não comprar um novo AMP.

Processo de atualização usando o AMP

Para a atualização do HiVision usando o AMP, alguns poucos passos devem ser seguidos:

1. Compre um plano AMP (contate a Baumier - 11 4332-3280 - para obter os códigos necessários).
2. Você receberá então o “registration code” do seu novo AMP.
3. Tenha em mãos a documentação da licença completa já instalada em seu computador (LEMBRE-SE, o AMP deve ser instalado apenas num PC que já tenha uma versão completa do Industrial HiVision versão 4.0 ou superior). Você precisará dela mais adiante.
4. Faça o download da última versão do Industrial HiVision no site hivision.de. Instale essa nova versão no seu computador (no computador que já possui a licença antiga Industrial HiVision que deseja atualizar).
5. Gere uma nova licença de upgrade na página de licenciamento (hivision.de). Para isso, utilize o seu AMP Registration Code e o seu Hardware Key.

6. Agora, abra o menu Preferências – Licença. Verifique se sua licença completa (item 3) está realmente instalada. Caso contrário, será necessário primeiro instalar a versão completa do Industrial HiVision. Com a licença completa (versão a ser atualizada) instalada, clique no Botão Novo e insira a nova licença de upgrade (item 5) para ativar a última versão do Industrial HiVision. PRONTO, o Industrial HiVision está atualizado e pronto para o uso.

Lembre-se:

o AMP não será renovado automaticamente. Após os 12 meses terem se passado, você deve decidir se quer ou não comprar outro AMP.

A auto-negociação é uma capacidade da comunicação Ethernet para permitir que dois dispositivos conectados no mesmo link possam trocar informações sobre suas capacidades de transmissão. Permite que o equipamento selecione automaticamente a velocidade correta para conexão, o modo duplex (half duplex ou full duplex) e o crossing, facilitando a tarefa de configuração.

Os dispositivos nas pontas do link, então se configuram dinamicamente para os melhores valores comuns possíveis, considerando:

A Velocidade

A velocidade é a taxa da interface, geralmente listada em megabits por segundo (Mbps). As velocidades Ethernet comuns incluem 10 Mbps, 100 Mbps e 1000 Mbps. A Ethernet de 1000 Mbps também é conhecida como Gigabit Ethernet.

O Modo Duplex

O Modo Duplex refere-se a como os dados fluem na interface. Em uma comunicação half-duplex, os dados podem ser transmitidos e recebidos pelos dispositivos, mas não simultaneamente. Como, por exemplo, em walk talkies.

Em uma comunicação full-duplex, por outro lado, os dados podem ser transmitidos e recebidos simultaneamente. Como em aparelhos celulares.

O Autocrossing

É a funcionalidade que permite ao equipamento descobrir a qual o tipo de interface (MDI ou MDI-X) ele está conectado automaticamente configurar sua interface para aceitá-lo e dessa forma, não dependerá do tipo de cabo (cross ou direto) para estabelecer a comunicação. Dispositivos iguais ambos (MDI ou ambos MDI-X) precisam de cabo cruzado para comunicação e dispositivos diferentes (1 MDI e outro MDI-X) precisam de cabos diretos.

MDI - Medium Dependent Interface; MDI-X - Medium Dependent Interface Crossing

Exemplos

Suponha dois dispositivos conectados. Se ambos estiverem com a opção auto-negociação habilitada, então a auto-negociação optará pelo full-duplex. As velocidades são diferentes, portanto será escolhida a maior comum entre ambos.

Quando um dispositivo em um lado da comunicação está configurado com auto-negociação e outro dispositivo do outro lado não possui auto-negociação ou está com uma configuração fixa em half duplex, a comunicação ocorrerá normalmente pois o lado que irá negociar encontrará a velocidade corretamente, mas será configurado para half-duplex também (que é o modo default quando a interface detecta que o outro lado não está configurado para a negociação automática).

Um problema comumente encontrado é o de Duplex Mismatch. Que ocorre quando um lado está em autonegociação e o outro fixo em Full Duplex.

Nesse caso, o lado que irá negociar será configurado para half-duplex, gerando assim, uma incompatibilidade de modo de operação. Quando isso ocorre, existe conectividade mas o desempenho da rede deixa a desejar (a rede fica mais lenta). Também é possível que não seja percebido, principalmente em momentos de baixa utilização da rede, somente nos momentos quando o enlace apresenta maior tráfego é que o problema ficará evidente.

Melhor Prática

Como recomendação, configure os dois dispositivos do link em autonegociação. Se isso não for possível, configurem ambos os dispositivos em fixo, usando a mesma configuração para ambos. Nunca habilite a auto-negociação em apenas um dispositivo do link.

Este guia fornece informação de como conectar a múltiplos agentes ao mesmo tempo sem suar a unção “Connect All”. Você pode ter usuários que só precisam ser capazes se de conectar a um grupo de agentes ao mesmo tempo sem serem capazes de alterar as configurações do SiteManager.

Grupo de Dispositivo

Você pode agrupar agentes nomeando-os da seguinte maneira:

$Nome do grupo:Nome do dispositivo

$Nome do Grupo = O nome do grupo de agentes que será ativado quando você se conectar a um agente

Nome do dispositivo = O nome que você dá a seu SiteManager de forma que possa diferenciá-lo.

Os nomes dos grupos podem ser livremente escolhidos, desde que o número de caracteres do campo “Device Name” não exceda o comprimento total do campo que é de 47 caracteres, no exemplo: '$group1: device1', '$group1: device2', '$group2: device1', e '$group2: device2'.

Nota: Exatamente os mesmos caracteres precisam ser usados para identificar um grupo, por exemplo, 'line1' e 'line 1' identificam dois grupos diferentes.

Os grupos só podem ser criados por meio de um SiteManager. Isso significa que você não pode se conectar a diferentes agentes em múltiplos SiteManagers ao mesmo tempo.

Conexão a partir do LinkManager

Quando você precisar se conectar a um grupo, tudo o que precisa fazer é se conectar a um dos agentes no grupo e você automaticamente se conectará com todos os agentes desse grupo.

Isso significa que quando você se conecta ao $Group1:Test1 conforme imagem acima, você irá se conectar com todos os agentes que estão no grupo $Group1, como pode ver a seguir

Aqui vamos mostrar como configurar um cenário de port forwarding de dispositivo para dispositivo em dois SiteManagers. Isso é muito útil se você quiser comunicar entre dois dispositivos “por meio” da interface do SiteManager, seja da porta Uplink para a rede de dispositivo ou vice-versa.

Exemplo de um cenário para forward: Rede office – PC atrás de um SiteManager precisa acessar um servidor web de um PLC atrás de outro SiteManager

Configuração do SiteManager

Vá em “GateManager – Agents” e escolha a opção, “Custom (Advanced)” e “Forwarding” no campo “Device Type”.

SiteManager 1:

SiteManager 2:

De maneira simples, uma LAN Virtual (VLAN) consiste em se criar um grupo de participantes em um segmento de rede que comunicam entre si como se participassem de uma LAN diferente. Em outras palavras nada mais é do que a criação de uma rede lógica dentro de uma mesma rede Local, por meio da criação de grupos de comunicação que só irão se comunicar de acordo com um determinado critério utilizado (Tráfego, Departamento ou grupos de dispositivos), sendo que essa comunicação obrigatoriamente passará por um dispositivo responsável pelo controle do tráfego entre as distintas VLANS - o switch.

Os benefícios mais importantes das VLANs são:

Limitar o tráfego da rede 
As VLANs reduzem consideravelmente o tráfego de pacotes desconhecidos de broadcast, multicast e unicast.

Flexibilidade
Você tem a opção de formar grupos de usuários de forma flexível com base na função dos participantes e não na sua localização física.

Facilidade na Manutenção
As VLANs dão às redes uma estrutura mais clara e facilitam no momento da manutenção. 

Exemplo de configuração de VLAN utilizando switches Hirschmann:

Ao configurar as VLANs, você cria regras de comunicação para cada porta que você inseriu nas tabelas de entrada (Ingress) e de saída (Egress).

A tabela de entrada define qual VLAN ID o frame Ethernet receberá ao entrar pela porta do switch. Nesse exemplo a configuração ficará da seguinte forma:

Ao terminar confirme com o botão SET

1. A tabela de saída define em qual porta do switch é permitido o trafego de determinada VLAN.
   Remover as portas 6, 7 e 8 da VLAN 1;
   
   
2. Criar novas entradas de VLAN através do botão Create
   
   
3. Configurar a Vlan correta para as portas de acordo com a definição abaixo:
   • U – Untagged – O Frame Ethernet deverá sair do switch sem o TAG de Vlan ID. Normalmente utilizado para comunicar com dispositivos terminais.
   • T – Tagged – Nas portas de uplink o TAG do Vlan ID deverá ser mantido. Normalmente utilizado na comunicação entre switches.

Ao terminar confirme com o botão SET.

Não esqueça de salvar a configuração na memória Flash do switch para evitar que a configuração seja perdida em caso de desernegização do switch.

Quando não utilizamos as configurações para a entrada redundante de alimentação nos switches gerenciáveis Hirschmann, podem ocorrer indicação de falha.

Isso porque, o switch gerenciável vem configurado de fábrica para monitorar as duas entradas de alimentação e sinalizar como falha caso uma dessas entradas não esteja recebendo alimentação. Essa indicação de falha é exibida tanto na frontal do equipamento, com o LED FAULT ficando vermelho, como também na página de Gerenciamento Web do switch.

Ou seja, quando o seu switch está conectado a circuitos de alimentação independentes, essa opção garante que o seu equipamento não irá desligar, seja por uma possível falha em um desses circuitos que o alimenta ou por desligar uma das redes de alimentação momentaneamente para alguma manutenção preventiva da área.

Há três formas de removermos esta indicação de falha:

1) Aproveitar a funcionalidade e providenciar uma segunda alimentação independente para o switch.

2) Realizar um “jumper” da Power Supply 1 com a Power Supply 2 e “enganar” o switch para faze-lo pensar que a entrada secundária está conectada.

3) Desabilitar o monitoramento da Power Supply 2 através do Gerenciamento Web do switch.

Na figura abaixo, demonstramos como realizar o 3º tipo de solução.

Primeiro iremos exibir essa falha em questão. Na página Web do switch, dentro do menu Basic Settings>System Page, é possível observar que temos um indicador vermelho referente a falha na Power Supply 2.

Para desabilitar o monitoramento e remover essa falha, nós devemos ir até o menu Diagnostics>Device Status. Na página em questão, devemos modificar a função Monitoring Status of Power Supply 2 de “Monitor” para “Ignore” e então clicar no botão Set.

Se estiver próximo ao switch, no momento que desabilitar o monitoramento, será possível ouvir um click e também verá que o LED Fault na frontal do switch, irá desligar, indicando que a falha foi eliminada. Se voltarmos para o menu Basic Settings>System poderemos ver que a falha foi removida.

Além disso, caso também esteja utilizando a saída relé do switch para indicar a falha, você também precisará fazer algo similar dentro do menu Diagnostics>Signal Contact como mostramos a seguir:

Para que as alterações tenham efeito, devemos salva-las dentro da NVRAM do switch. Vá para o menu Basic Settings, depois em Load/Save > Save-ToDevice > Save.

Pronto! Sua nova configuração está salva e você não precisará mais se preocupar com a falha de sinalização da fonte de alimentação do seu switch.

Na tentativa de gerenciar os switches e roteadores Hirschmann via um web browser, alguns clientes se deparam com dificuldades operacionais e de login relacionadas a seus ambientes Java. Para resolver isso, a Hirschmann desenvolveu um aplicativo que elimina todas as complicações associadas com as revisões e atualizações do Java em sua máquina local. 

O HiView não necessita de nenhuma instalação, não altera nenhuma entrada nos registros do PC e apenas grava informações em sua própria pasta. Também funciona diretamente de mídia removível como USBs e cartões SD, com grande capacidade de portabilidade. 

O HiView disponibiliza uma seleção de tela com os switches que você acessou recentemente, ordenados pela frequência de acesso. Apenas clique sobre qualquer switch para abrir sua interface gráfica ou simplesmente digite o endereço IP de qualquer novo dispositivo que deseja abrir e pressione “Enter” . O HiView sempre utilizará automaticamente o protocolo de transmissão mais seguro (HTTPS se estiver disponível no switch).

Assim que a conexão tenha se estabelecido com sucesso, a tela típica de login aparecerá:

Após o Login, você terá o acesso com o mesmos benefícios e possibilidades de configuração como a interface Web que você já está familiarizado. Neste ponto, você tem acesso complete a seu dispositivo Hirschmann sem nenhuma das frustrações que algumas vezes se encontram nas revisões e atualizações do Java em sua máquina local.

A nova versão do HiView (versão 3.0.0) inclui também a ferramenta HiDiscovey para detecção de todos os dispositivos Hirschmann em sua rede (mesmo que estejam ainda sem configuração de IP). Entretanto, o HiDiscovery incluso no HiView é compatível apenas com as seguintes versões de firmware:

• Classic Switch - a partir da versão 09.0.01
• HiOS - a partir da versão 06.0.00
• HiSecOS - a partir da versão 03.0.00

Inserindo um endereço IP num switch gerenciável Hirschmann pela primeira vez

A primeira etapa de configuração para um switch gerenciável Hirschmann novo (ou em sua configuração original de fábrica) é a inserção de endereço IP de gerenciamento. A forma mais simples de cumprir essa etapa é usando a aplicação HiView.

1. Instale o aplicativo HiView em seu laptop. A última versão do aplicativo pode ser obtida no site da Hirschmann: Clique aqui para ir ao site

Nota: Dependendo da versão utilizada, a tela de apresentação do HiView pode variar. Independentemente da versão utilizada, o procedimento é sempre o mesmo.

2. Energize o switch. (Neste exemplo vamos mostrar um switch novo, sem nenhuma configuração existente).

3. Conecte um cabo Ethernet entre seu laptop e o switch (o seu laptop deve possuir um endereço IP fixo já definido, na mesma faixa de IP que deseja colocar seu novo switch).

4. Abra o aplicativo HiView e vá até a aba “DISCOVERY” encontrada na parte superior e a figura a seguir será mostrada (ela pode variar dependendo da versão do HiView instalada). O HiView listará todos os switches Hirschmann conectados na mesma rede layer 2.

Nota: Caso tenha mais de uma interface Ethernet em seu PC, será necessário informar para o HiView qual interface Ethernet deve ser usada para a varredura dos switches, caso não saiba a rede a função “Every Network Interface” fará a pesquisa de todas as interfaces.

5. Para configurar o endereço IP, simplesmente dê um duplo clique sobre o switch que deseja configurar (identificado pelo MACH Address do switch) e a seguinte caixa de diálogo aparecerá. NOTA: Caso tenha mais de um switch na lista e a identificação pelo MAC Address do switch for difícil de se realizar, selecione um switch na lista e clique na caixa de seleção “Signal” (em destaque na figura acima). Os LEDs das portas do switch selecionado com a opção “Signal” começarão a piscar, indicando que o switch foi selecionado.

6. Configure agora o endereçamento (endereço IP, Subnet mask e Gateway) conforme sua necessidade e pressione OK para salvar as alterações no switch. Pronto, agora o switch pode ser acessado via seu novo endereço IP (via web browser ou HiView, por exemplo)

A Solução LogTunnel SECOMEA é baseada em um SiteManager localizado numa central de registros, que funciona como um LogTunnel Mestre, enquanto os SiteManagers remotos funcionam como LogTunnel Clientes.

O LogTunnel Mestre pode ser configurado para agir com a função “Pull” ou com a função “Push”. No modo “Pull” o servidor de registros é a parte ativa que se conecta aos dispositivos e coleta suas informações. No modo “Push”, o servidor de registros é a parte passiva, para a qual os dispositivos irão ativamente entregar dados. Ambos os modos podem ser facilmente combinados.

As VANTANGENS do LogTunnel sobre as outras soluções

• Disponível para as opções tanto em hardware como em software do SiteManager
  
  
• Configuração simples por “drag-and-drop” no portal GateManager
  
  
• Nenhuma configuração de roteamento, firewall ou túnel é requerida
  
  
• O acesso para manutenção corretiva (LinkManager) é suportado de forma concorrente
  
  
• Sem necessidade de endereço público exposto na Internet
  
  
• Sem dependência de endereços IPS estáticos
  
  
• Sem problema de conflitos de sub-redes IPs nos sites remotos
  
  
• O uso de dados é registrado centralmente no GateManager
  
  
• O LogTunnel permite tunelamento completo de dados para uma melhor liberdade da aplicação
  
  
• Isso signifia que qualquer um pode usar a solução - sem envolvimento do departamento de TI – e seu acesso do Linkmanager não é afetado
  
  
• LogTunnel é desenhado para que pessoas que não pertençam ao mundo de TI possam facilmente configurar uma infraestrutura completa de central de registros (LOG server), por exemplo para um sistema SCADA central ou um OPC server.
  
  

A seguir alguns exemplos de utilização do LogTunnel

Exemplo 1:

Exemplo 2:

Muitas mudanças ocorreram nos últimos anos na comunicação de um chão de fábrica, podemos dizer que a mais significativa foi a introdução da rede Ethernet utilizada nos sistemas de controle da indústria.

A rede do sistema de controle é o sistema nervoso central em um processo de manufatura permitindo a comunicação coordenada e previsível dos equipamentos pertencentes a essa rede. Quando a rede de comunicação desses equipamentos não é eficaz ou é interrompida, o processo fabril sofre com perda de produção e eficiência.

Por esse motivo, é crucial que os problemas na comunicação sejam diagnosticados rapidamente, e se possível, prevenidos de ocorrerem todos ao mesmo tempo, em forma de cascata.

Ao adotar a comunicação via rede Ethernet, os fabricantes desenvolveram switches sem funcionalidades ou meios de configuração, do tipo plug-and-play, sem a disponibilidade de monitoramento de estatísticas de rede e funções de diagnóstico.

Esses switches foram denominados não gerenciáveis e devido ao seu baixo custo em comparação aos switches gerenciáveis, eram os mais comumente utilizados no inicio da rede Ethernet.

Do outro lado, switches gerenciáveis são criados com funcionalidades que permitem o controle e o gerenciamento dos frames Ethernet que trafegam por eles. Características de gerenciamento comum como VLAN (Virtual Local Area Network), IGMP (Internet Group Management Protocol) e protocolos de redundância de rede como o RSTP (Rapid Spanning Tree). Dependendo dos requisitos da aplicação, esses recursos podem ser configurados de uma maneira personalizada em um switch, melhorando muito a disponibilidade, estabilidade e eficiência de uma determinada rede.

A maioria dos switches gerenciáveis também possui o SNMP (Simple Network Management Protocol) para controle e monitoramento remoto. O uso do SNMP com um software NMS (Network Management System), como o Hirschmann Industrial HiVsion, dá aos funcionários da manutenção e do setor administrativo o status e a saúde da rede em tempo real.

Essa visibilidade reduz drasticamente o tempo associado à solução dos problemas da rede e previne problemas de maneira antecipada antes que afetem negativamente o processo fabril.

A economia de custos que existe ao escolher um switch não gerenciável em comparação a um gerenciável rapidamente desaparece quando incluímos os custos relacionados com o tempo prolongado de resolução de problemas na rede.

Gerenciar uma rede com switches não gerenciáveis é como “correr as cegas no escuro”, deixando as equipes da manutenção e administrativo com poucas opções para diagnosticar e evitar os problemas da rede, que de qualquer forma, ameaçam a estabilidade do processo.

Nos últimos anos a diferença de preços entre os switches gerenciáveis e não gerenciáveis diminuíram consideravelmente tornando os switches gerenciáveis financeiramente justificáveis em uma ampla variedade de aplicações. Por essa razão recomendamos a utilização de switches gerenciáveis para novas aplicações e também a substituição dos switches não gerenciáveis existentes na rede, quando aplicável.

O MRP é padronizado pela IEC 62439-2 desde 2008.

Sua Estrutura: Anel, formado “Ring Switches (RS)” e um Ring Manager (RM). O Ring Manager transmite periodicamente pacotes de teste em ambas as suas portas do anel registrando a recepção na porta do anel aposta. Uma das portas do anel – a porta standby - em seu estado normal, bloqueia pacotes normais de dados (apenas os pacotes de testes podem passar por essa porta). Após a perda de um número definido de pacotes de teste, a porta standby se abre para o tráfego de dados normais, indicando assim uma falha de link ou uma falha no switch do anel (Ring Switch). Se um “Ring Switch” reconhece uma falha de link em uma de suas portas, ele pode sinalizar esse evento para o Ring Manager, que no modo Avançado (Advanced Mode) não precisa aguardar até que suficientes pacotes de testes sejam perdidos, mas ativa imediatamente a segunda porta do anel (porta standby), aumentando a velocidade da recuperação da redundância consideravelmente.

Parâmetros

• Pacotes MRP EtherType 0x88E3
• Pacotes de testes com MAC Address de destino 01:15:4E:00:00:01
• Alteração de Topologia/Link com MAC address de destino MAC 01:15:4E:00:00:02
• Tempo de recuperação configurável (max.): 500 ms ou 200 ms (menos pacotes de testes e assim pode ser menos estável)
• Tempo de recuperação típico é de 100 ms num anel com 50 switches
• A Hirschmann suporta até 200 switches em um anel.

Regras de Configuração

1. Exatamente 1 Ring Manager (RM) em um anel MRP
2. Todos os dispositivos no anel precisam suportar o mesmo protocolo - MRP
3. Todos os dispositivos no anel precisam estar conectados por suas portas do anel
4. Nenhum outro dispositivo em rede “tree” conectadas deve ser configurado como RM ou RS
5. Configuração de VLAN para as portas MRP: - ingress rules: PVID arbitrário, ingress filtering = off - egress rules: portas do anel nas VLAN configurada no menu MRP, tagged ("T")
6. RM não deve participar do Redundant Ring Coupling, ou seja, CS ou CM

Atenção: qualquer desvio dessas regras pode causar problemas.

Os cabos Ethernet (Cat 5e, Cat 6 e Cat 6A) foram inicialmente desenvolvidos para aplicações prediais internas. Eles são tipicamente instalados em áreas com temperatura controlada, dentro de paredes e não estão expostos a fontes de calor, abrasividade, luz solar, componentes químicos ou ruído irradiado. Sempre que você estressa um cabo Ethernet, você diminui seu desempenho.

A BELDEN fabrica uma linha de produtos Ethernet Industrial que são desenvolvidos para aplicações em ambientes agressivos. Entre essas aplicações estão: alimentos e bebidas, utilidades, petroquímica e qualquer outro ambiente agressivo. Esses ambientes levam o cabo Ethernet convencional a seu limite, o que pode resultar em paradas, falhas e custos com substituição.

A BELDEN patenteou uma solução chamada Bonded Pair Technology. Bonded Pairs (cabos colados) podem garantir o desempenho da Ethernet em ambientes agressivos. O conceito do desenho Bonded Pair Design é “colar” o par condutor entre si. Garantindo assim o espaçamento ou centricidade condutor-condutor. 

Na instalação de cabos Ethernet, eles são torcidos, puxados, dobrados…. Qualquer prática de instalação normal cria uma “lacuna” ou perda da centricidade num cabo Ethernet convencional, que irá reduzir o desempenho geral do cabo. 

A tecnologia Bonded Pair elimina essas “lacunas” que podem alterar a impedância do cabo. Quando isso acontece, o desempenho elétrico do cabo irá degradar, incluindo NEXT e RL (*). Teste de laboratório mostram que cabos não colados (convencionais) podem ter uma degradação RL acima de 12 dB (mais de 15 vezes pior do que seu desempenho na instalação). 

Com a cabos com tecnologia Bonded Pair, as especificações elétricas são muito próximas as do período de instalação, atingindo assim, um “desempenho estável” ao longo do tempo.

(*)

NEXT – Near end crosstalk: é a tendência que sinais de um par de dados tem de induzir sinal em um outro par – como analogia, seria o equivalente a você ouvir uma conversa de fundo enquanto usa o telefone. O crosstalk é testado entre cada combinação par a par no cabo.

RL – Return Loss: é a medição de todas as reflexões que são causadas por erros de impedância em todas as partes do link e é expresso em decibeis (dB). O impacto da impedância característica incorreta no cabo é mais precisamente medida e representada pela quantidade de RL.

Para facilitar a instalação da ferramenta Hivision, criamos um breve procedimento com passo a passo, Para baixá-lo basta clicar aqui.

Para o download automático da ferramenta, preencha este formulário.

Você também pode baixar e instalar o Industrial HiVision de uma das opções que aparecem no site.

Hirschmann Support Center (https://hirschmann-support.belden.com/en) - Necessário criar uma conta para o download.

Downloads > Industrial HiVision > escolher a versão do Hivision

https://hirschmann-support.belden.com/en-US/downloads/files/ihivision08400-windowsexedownloadzip

A partir do HiVision já instalado, ir ao item no menu Preferências.

A esquerda, clicar em Licença e copiar a Chave de Hardware

Ir ao site http://license.ihivision.de/createPromotionLicense.htm.

Preencher os campos obrigatórios (Nome, Chave de hardware).

A licença gerada para a chave de hardware informada será enviada ao e-mail cadastrado.

Copiar a licença enviada no e-mail, entrar novamente no Industrial HiVision > Preferências > Licenças e clicar em novo e inserir a licença.

PRONTO!

O Industrial HiVision está pronto para ser usado e sua licença é vitalícia!

Estamos familiarizados com muitos protocolos industriais de redundância, como por exemplo HiperRing, TurboRing, S-ring, N-ring, etc. Esses protocolos tipicamente possuem um tempo de recuperação na casa de 30 a 300 ms, dependendo da configuração, número de switches envolvidos na topologia, etc.

A grande maioria das aplicações industriais estaria coberta com tais sistemas de redundância industrial. Mas e se esse tempo de 30 ms fosse muito alto para sua aplicação? Pense aplicações em energia/subestação Elétrica, onde se espera que um trip de falha se entregue em 4 ms. Nesse caso, seria necessário a utilização de outros mecanismos de redundância.

Pensando nisso, um grupo de trabalho, com a participação de várias empresas, desenvolveu o que hoje está descrito como padrão IEC 62439-3. Isso mesmo, um padrão aberto, independente de fabricante. Esse padrão definiu dois protocolos para aplicações com tempo zero de perda de comunicação. Você não entendeu errado, a redundância acontece sem perda de pacotes e sem perda de tempo.

Esses protocolos são assim chamados: Parallel Redundancy Protocol (PRP) e High availability Seamless Redundancy (HSR). Ambos possuem tempo zero de convergência, operando em princípios que outros protocolos de redundância não podem fornecer.

Basicamente, os pacotes são enviados para ambos os links e são avaliados pelos nós que os recebem. Aqui já fica claro que o nó que recebe os pacotes (pode ser um IED, um computador ou um switch) precisa ser capaz de processar essa informação, ou seja, tem que estar preparado para isso - esses dispositivos normalmente possuem um FPGA para tal função). Assim, o nó receptor aceita o primeiro frame e descarta o segundo.

Essa é a diferença principal entre os outros protocolos de redundância, que utilizam apenas o link primário e boqueiam o link secundário, a menos que uma falha no link primário ocorra. A seguir as características desses dois protocolos:

Diagrama modelo do PRP:

• Os frames são duplicados no "Redbox" e enviados pelas duas redes (LAN A e LAN B) para os dispositivos (DAN's). O dispositivo (DAN) aceitará primeiro frame que receber e descartará o segundo.
  
  
• PRP é tipicamente uma topologia que utiliza duas redes locais (LAN) separadas – essas redes não podem se interconectar
  
  
  
  
• DAN - Dual Attached Node
• SAN - Single Attached Node
• VDAN - Virtual DAN

Diagrama modelo do HSR:

• Os frames são enviados em ambas as portas (A e B) pelo nó transmissor ao nó receptor. O nó receptor aceitará o primeiro frame que receber e descartará o segundo.
  
  
• HSR é tipicamente uma topologia em anel.
  
  
  
  
  

Como vantagem dos protocolos PRP e HSR podemos citar:

• Tempo zero de convergência em caso de falha de um link ou nó
• Sem ponto único de falha
• Ideal para topologia estrela/barramento dupla (PRP)
• Ideal para topologia de anel (HSR)

O Centro de sua Solução

O Servidor M2M GATEMANAGER é o componente central da solução SECOMEA. Tipicamente, ele é um servidor hospedado pela SECOMEA ou por um de seus distribuidores, mas você também tem a opção de hospedar o seu próprio GATEMANAGER. Por meio do portal GATEMANAGER baseado em WEB, você pode administrar suas contas, gerenciar seus SITEMANAGERS e dispositivos e muito mais.

O GateManager também opera como um ponto terminal Seguro para todos os LinkManagers e SiteManagers. Todas as conexões e o tráfego criptografado entre os LinkManagers e os dispositivos controlados pelos SiteManagers são gerenciados pelo GateManager, também com registrando todos os eventos (auditoria).

O servidor de nuvem GateManager foi desenvolvido para entregar a conveniência do acesso via WEB simples e fácil, enquanto evita as configurações de seus próprios servidores. Quando você escolhe o servidor de nuvem GateManager, você recebe um domínio isolado e privado no servidor M2M GateManager.

 No portal GATEMANAGER você pode:

• Configurar o LogTunnel com drag’n’drop
• Administrar todas as contas de usuário
• Configurar os SiteManagers individualmente ou em massa
• Substituir SiteManagers baseados em auto backups
• Organizar contas e dispositivos em domínios
• Atualizar SiteManagers individualmente ou em massa
• Atualização em massa de firmware SiteManagers
• Administrar acesso a dispositivos específicos
• Configurar alertas de eventos
• Monitorar registros de eventos
• Analisar estatísticas de uso