Integracja w sieciach Ethernet/IP z użyciem protokołu NAT (Network

Integracja w sieciach Ethernet/IP z użyciem protokołu NAT (Network

Integracja w sieciach Ethernet/IP
z użyciem protokołu NAT (Network Address Translation)
v1KS
Strona 2
NAT
NAT (Network Address Translation) jest protokołem sieciowym odpowiedzialnym za
tłumaczenie adresów IP (tzw. maskarada sieci). Technologia polega na podmianie adresów
IP źródłowych lub docelowych, również portów w pakietach przepływających przez punkt
łączący różne sieci/podsieci.
Protokół daje dużą elastyczność przy tworzeniu maszyn oraz integracji podsystemów
sieciowych z systemami nadrzędnymi przy zachowaniu tej samej lokalnej adresacji. NAT
spełnia w sposób naturalny funkcję bezpieczeństwa, ponieważ z jednej strony separuje
urządzenia w podsieci, z drugiej, daje dostęp z zewnątrz do wybranych urządzeń tylko, jeśli
jest to konieczne.
Jest alternatywą dla klasycznego routingu, który wymaga większej wiedzy, czasu i
administracji ze strony IT.
Wyobraź sobie fabrykę z 12 maszynami pakującymi. Każda wyposażona w sterownik
CompactLogix z wbudowanymi I/O i modułem Ethernet/IP. Maszyny są identyczne,
dostarczane od jednego OEMa. Wszystkie maszyny muszą być podłączone do jednej /
wspólnej sieci korporacyjnej, aby komunikowały się z systemem wizualizacyjnym i
centralnym historianem.
Rozwiązanie bez NATa:



Dostawca (OEM) maszyny musi nadać wszystkim 12 maszynom unikalne adresy
IP
12 różnych projektów ACD na poszczególne sterowniki
1 zmiana w projekcie = 12 modyfikacji
Rozwiązanie z NATem:


Każda maszyna z identycznym adresem IP
1 wspólny projekt na 12 maszyn
Stratix 5700
Zarządzalny switch warstwy 2. Oparty na technologii i systemie CISCO. Posiada wiele
ciekawych rozwiązań takich jak protokół REP, statyczny routing i NAT.
Implementacja NAT w Stratix 5700:


One-to-One NAT: każdy adres źródłowy tłumaczony jest na unikalny adres
docelowy (w odróżnieniu do One-to-Many, gdzie wiele adresów źródłowych może
współdzielić ten sam adres docelowy).
Implementacja w 2 Warstwie: na poziomie 2 (MAC) switch tłumaczy adresy IP i
nie działa jako router.
Strona 3
Konfiguracja
Oprogramowanie wykorzystane w ćwiczeniach:



Studio 5000 v21
Putty
Firefox / Internet Explorer



CompactLogix
System Point I/O
Stratix 5700 z opcją NAT
Sprzęt
Konfiguracja sieci Ethernet/IP Maszyny 1 i Maszyny 2
Urządzenie
CompactLogix
PointIO
PowerFlex
PanelView
Stratix5700 NAT
Komputer Lokalny
Port wyjściowy NAT
Adres IP
192.168.1.12
192.168.1.8
192.168.1.20
192.168.1.30
192.168.1.51
192.168.1.201
Port switcha maszyny
Fa 1/1
Fa 1/2
Gi 1/1
Gi 1/2
Switch główny (Sieć Produkcyjna)
Programator
Switch M1
Switch M2
Switch Główny
Adres IP
10.10.10.202
Port Switcha
Fa 1/1
Fa 1/2
Fa 1/3
10.10.10.100
Strona 4
Laboratorium 1
Wstęp
Masz przed sobą dwie podobne do siebie „maszyny”: Maszyna 1 i Maszyna 2
reprezentowane przez dwie skrzynki demonstracyjne. Każda z nich posiada urządzenia
sieciowe Ethernet/IP we własnej sieci lokalnej 192.168.1.0 opartej na switchu Stratix 5700 z
opcją NAT.
W tej chwili chcąc wgrać lub zmodyfikować program w wybranej maszynie musisz wpiąć się
programatorem do lokalnego switcha z ustawieniami lokalnej sieci.
Twoim zadaniem jest podłączenie maszyn do nadrzędnej sieci produkcyjnej (10.10.10.0)
bez zmiany adresacji ich podsieci. Celem jest możliwość zaprogramowania sterowników
Maszyny 1 i Maszyny 2 przez programator ulokowany w sieci produkcyjnej.
Widok na topologię całej sieci przemysłowej Twojej fabryki
Strona 5
Sied lokalna Maszyny 1 i Maszyny 2 włączona do Switcha Głównego
192.168.1.51
Strona 6
Podgląd sieci produkcyjnej
1. Przejdź do stanowiska z programatorem.
2. Uruchom program RSLinx klikając na pasku na ikonę
3. Otwórz okno RSWho i rozwiń driver EthernetNAT.
4. Na potrzeby tego ćwiczenia protokół NAT został już skonfigurowany w Maszynie 1.
Jak widać sterownik CompactLogix jest już dostępy z poziomu sieci produkcyjnej.
Zauważ, że sterownik jest widoczny pod adresem sieci produkcyjnej 10.10.10.101,
pomimo, że w rzeczywistości posiada inny adres 192.168.1.12. W kolejnych krokach
wyjaśnione zostaną szczegóły adresacji i translacji protokołu NAT.
Strona 7
Konfiguracja NAT w switchu zarządzalnym
Stratix 5700 przez interfejs WEB
1. Podłączymy teraz Maszynę 2 (a dokładnie jej sterownik) do Sieci Produkcyjnej
wykorzystując technologię NAT.
2. Przejdź do Stacji Lokalnej. Upewnij się, że komputer jest podłączony do portu G1
switcha Maszyny 2.
3. Uruchom przeglądarkę Firefox (ikona na pulpicie)
4. Wprowadź adres przełącznika Stratix 5700 192.168.1.51
5. W okienku uwierzytelnienia pole User name pozostaw puste, w polu password
wprowadź rockwell.
6. Kliknij Continue w oknie Startup Report.
7. Zamknij okno Help, jeżeli się pojawi.
8. Jesteś w menadżerze Stratix 5700. W lewej ramce okna znajduje się drzewo opcji.
Rozwiń katalog Configure i wybierz NAT.
Strona 8
9. W tym momencie nie ma żadnej konfiguracji NAT. Za chwilę dodasz nową instancję
z translacją.
10. Kontynuuj klikając Create
Strona 9
W celu uruchomienia translacji NAT musisz skonfigurować przynajmniej jedną instancję (w
typowych rozwiązaniach wystarczająca jest jedna). Instancja NAT zawiera przede
wszystkim translacje wybranych adresów.
Translacje, które definiujesz zależą od tego czy komunikacja będzie routowana przez
switcha warstwy 3 (opcja Gateway Translation) czy warstwy 2.
11. Wprowadź nazwę instancji i zaznacz port wyjściowy Gi_1/2. Następnie kliknij
Create Entry/Range aby skonfigurować nową translację.
Strona 10
12. Chcemy, aby sterownik Maszyny 2 o adresie lokalnym 192.168.1.12 był widoczny w
sieci produkcyjnej, np. pod adresem 10.10.10.102 (Zauważ, że adres 10.10.10.101
był już przypisany do Maszyny 1 w sieci produkcyjnej – jest już zajęty). Wprowadź
translację.
13. W tym dwiczeniu nie będziemy używad routingu (na poziomie sieci produkcyjnej) stąd, aby
RSLinx mógł widzied nasz sterownik musimy zmapowad adres programatora (10.10.10.202)
w sieci lokalnej, np. pod adresem 192.168.1.202. Wybierz zakładkę Public to Private
(translacja adresu publicznego na adres lokalny).
Wybierz Create Entry/Range.
Strona 11
14. Wprowadź nową translację.
15. Potwierdź dwa razy Done i kliknij Submit aby potwierdzić wszystkie zmiany.
16. Od tej chwili możesz połączyć się ze sterownikiem Maszyny 2
Strona 12
Test Połączenia
1. Przejdź do programatora
2. Na pasku kliknij Start a w szybkim wyszukiwaniu wpisz cmd
3. W linii komend wpisz komendę ping 10.10.10.102
Powinieneś dostać odpowiedź od wskazanego adresu, pod którym kryje się
sterownik Maszyny 2.
4. Uruchom RSLinx i otwórz okno RSWho. Następnie kliknij PPM na driver
EthernetNAT i wybierz Configure Driver
Strona 13
5. W okienku wprowadź adres IP Maszyny 2 widziany po translacji w sieci produkcyjnej
Potwierdź OK
Strona 14
6. Po rozwinięciu drzewa drivera EthernetNAT zobaczysz drugi sterownik!!!
Strona 15
Wgranie projektu do sterownika
1. Posiadasz już dostęp do sterowników Maszyny 1 i Maszyny 2. Teraz możesz
wgrać programy. Na pulpicie znajdziesz katalog Midrange. Otwórz go.
Twoim zadaniem jest wgranie programu do Maszyny 2 (Maszyna 1 posiada już
właściwą wersję programu). Kliknij dwa razy na pliku Maszyna_2.ACD. Po chwili
otworzy się środowisko Studio 5000 z projektem.
Na cele tego ćwiczenia maszyny różnią się między sobą sterownikami oraz projektami. W
rzeczywistości maszyny mogą być identyczne, co za tym idzie, wystarczy jeden wspólny
na wszystkie jednostki plik z projektem.
2. Na głównym pasku projektu wybierz Communications i wybierz Who Active
3. W okienku Who Active rozwiń driver EthernetNat i zaznacz właściwy procesor
(czyli sterownik Maszyny 2 pod adresem 10.10.10.102)
Strona 16
4. Po prawej stronie wybierz przycisk Download i wgraj projekt do sterownika
(potwierdź Download gdy pojawi się okienko z pytaniem).
5. Gdy pojawi się poniższe okienko wybierz Yes.
6.
Gratulacje !!! Maszyna 2 posiada już właściwy program. Zamknij program Studio
5000.
Strona 17
Laboratorium 2
Wstęp
W poprzednim ćwiczeniu podłączyliśmy maszyny do sieci produkcyjnej i wgraliśmy do ich
sterowników programy. Tematem tego ćwiczenia jest komunikacja między podsieciami NAT,
a celem, skomunikowanie między sobą Maszyny 1 i Maszyny 2. Zauważ, że sterownik
Maszyny 2 sygnalizuje błąd na diodzie I/O - sterownik chce się skomunikować ze
sterownikiem Maszyny 1 ale niestety konfiguracja NAT na to jeszcze nie pozwala.
Konfiguracja NAT na switchu Maszyny 2
1. Upewnij się, że komputer lokalny jest podłączony do portu Gi1/1 switcha Maszyny 2.
2. Uruchom przeglądarkę Firefox i wprowadź adres przełącznika Stratix 5700
192.168.1.51.
3. W okienku uwierzytelnienia pole User name pozostaw puste, w polu password
wprowadź rockwell .
Strona 18
4. Kliknij Continue w oknie Startup Report.
5. Zamknij okno Help, jeżeli się pojawi.
6. Jesteś w menadżerze Stratix 5700. W lewej ramce okna znajduje się drzewo opcji.
Rozwiń katalog Configure i wybierz NAT.
7. W konfiguracji istnieje już instancja NAT, którą stworzyłeś w poprzednim ćwiczeniu.
Musisz ją zmodyfikować. Zaznacz opcję Select i kliknij Modify.
8. Aby sterownik Maszyny 2 mógł skomunikować się ze sterownikiem Maszyny 1
musisz sterownikowi Maszyny 1 nadać adres w sieci Maszyny 2.
Sterownik M1 w sieci produkcyjnej ma adres 10.10.10.101. Musisz ten adres
przetłumaczyć do sieci M2, np. na adres 192.168.1.13 (Pamiętaj, że między innymi
adres 192.168.1.12 jest już zajęty przez sterownik M1).
Wybierz zakładkę Public to Private i kliknij Create Entry/Range.
Strona 19
9. Wprowadź translację.
Potwierdź dwukrotnie klikając Done, następnie Submit.
10. Podobną konfigurację należy przeprowadzić na switchu Maszyny 1. Musisz
przetłumaczyć adres sterownika M1 (10.10.10.102) na adres w sieci lokalnej
Maszyny 1 (dowolny, ale wolny adres, np. 192.168.1.13).
11. Podłącz się Komputerem Lokalnym do switcha Maszyny 1 i wprowadź stosowne
zmiany.
Strona 20
Modyfikacja programu w sterowniku Maszyny 2
1. Przejdź do programatora i otwórz program Maszyna_2.ACD (z katalogu Midrange,
który znajduje się na Pulpicie)
2. Zauważ, że sterownik Maszyny 2 cały czas sygnalizuje błąd sprzętowy – migająca
dioda I/O na procesorze. Błąd jest spowodowany błędną konfiguracją połączenia z
procesorem z Maszyny 1. Naprawimy ten błąd.
3. W konfiguracji sprzętowej otwartego projektu zmapowany jest procesor z M1. Kliknij
na niego dwukrotnie.
4. Zauważ, że procesor Maszyny 1 skonfigurowany jest pod adresem 10.10.10.101.
Czy to właściwy adres? Być może byłby to właściwy adres, gdybyśmy korzystali z
routingu (prowadzący może to wyjaśnić) ale w naszej sieci sterownik pracuje lokalnie
i łączy się tylko z adresami z sieci 192.168.1.0.
Problem jest już praktycznie rozwiązany, ponieważ przed chwilą dokonaliśmy
translacji adresu Maszyny 1 na adres 192.168.1.13! Twoim zadaniem jest
wprowadzenie właściwego adresu w poniższym oknie.
Strona 21
5. Potwierdź klikając OK i wgraj program do sterownika (w ten sam sposób co w
poprzednim ćwiczeniu)
6. Zauważ, że dioda I/O świeci na zielono, co oznacza, że konfiguracja sprzętowa jest
poprawna.
7. Na pulpicie Maszyny 1 wciśnij zielony przycisk
Maszyna 2 powinna reagować żółtą lampką. Dwie maszyny z identyczną adresacją
Strona 22
IP komunikują się.
8. Gratulacje !!! Ukończyłeś Laboratorium NAT 
Strona 23