Duplikacja adresów IP w aplikacjach przemysłowych. Jak rozwiązać ten problem?
Materiał prasowy (ELMARK Automatyka) print
Jeśli na kilku liniach produkcyjnych pracują urządzenia o takiej samej adresacji IP, stajemy przed faktem duplikacji. Jest ona tym większym problemem, że system SCADA potrzebuje odczytu danych telemetrycznych z tych urządzeń. Rozwiązaniem może być translacja adresów IP NAT. NAT pozwala jednocześnie wyeliminować problem wyczerpywania się przestrzeni adresowej IPv4.
Bardzo często w codziennej pracy spotykam się z pytaniem o propozycję rozwiązania następującego problemu. W aplikacji przemysłowej (lub maszynie) zamontowane są urządzenia z pewną konfiguracją (a także adresacją IP) przygotowaną przez integratora lub producenta danej maszyny. Nie ma dostępu do plików źródłowych, aby zmienić adresy IP. W jaki sposób możemy podłączyć te urządzenia do naszego systemu SCADA/monitoringu? Wspomniany problem klienta przedstawiamy na rys. 1.
Kilka linii produkcyjnych zawiera urządzenia o takiej samej adresacji, np. trzy sterowniki PLC o adresie 192.168.1.1. Adresacja IP została narzucona przez producenta maszyny, a zmiana konfiguracji może zakończyć się utratą gwarancji. Jednocześnie system SCADA potrzebuje odczytu danych telemetrycznych z tych sterowników. Zachowując obecną konfigurację adresów IP, napotkamy problem ich duplikacji. Jest on poważny, ponieważ powoduje błędy w działaniu sieci, a w skrajnych przypadkach może prowadzić do awarii systemu. Rozwiązanie jest proste. Jeżeli nie możemy wpłynąć na adresację maszyn, to musimy wykorzystać translację adresów IP NAT, aby zmienić je wirtualnie. Przykład rozwiązania problemu duplikacji adresów IP z linii produkcyjnych (rys. 1) został przedstawiony na rys. 2.
Wykorzystana została tutaj translacja adresów 1-1. Adres 192.168.1.1 z linii produkcyjnej nr 1 został zmieniony na adres IP 10.0.0.1. Adres IP 192.168.1.1 z linii produkcyjnej nr 2 został zmieniony na adres 10.0.0.2. Adres 192.168.1.1 z linii produkcyjnej nr 3 został zmieniony na 10.0.0.1. Dzięki zastosowaniu trzech urządzeń NAT-102, system nadrzędny może komunikować się z każdą linią produkcyjną z wykorzystaniem adresów IP z podsieci 10.0.0.x.
Czym jest NAT?
NAT (Network Address Translation) zapewnia tłumaczenie adresów prywatnych na publiczne. Dzięki temu urządzenie z prywatnym adresem IPv4 może uzyskać dostęp do zasobów spoza sieci prywatnej, takich jak te znajdujące się w Internecie. NAT, w połączeniu z prywatnymi adresami IPv4, okazał się metodą na zabezpieczenie się przed wykorzystaniem wszystkich dostępnych publicznych adresów IPv4. Pojedynczy, prywatny adres IPv4 może być współużytkowany przez setki, a nawet tysiące urządzeń, z których każde jest skonfigurowane z unikalnym publicznym adresem IPv4. Bez NAT wyczerpanie przestrzeni adresowej IPv4 nastąpiłoby jeszcze przed 2000 r.
Rozwiązanie najczęściej jest wykorzystywane w sytuacjach, gdy:
- chcemy podłączyć do sieci WAN urządzenia, które mają tylko adresy prywatne,
- zmieniamy dostawcę usługi internetowej i konieczne jest przypisanie nowej adresacji,
- niezbędne jest zarządzanie podsieciami z taką samą adresacją urządzeń.
NAT ma dodatkową zaletę polegającą na wzmocnieniu stopnia prywatności i bezpieczeństwa, ponieważ ukrywa on wewnętrzne adresy IPv4 przed sieciami zewnętrznymi.
Typy NAT
Wyróżniamy kilka typów NAT: SNAT, DNAT i Port Forward NAT.
SNAT – inaczej nazywany NAT N-to-1
Ten typ jest najczęściej stosowany, jeśli użytkownik chce ukryć wewnętrzny adres IP przed kimś spoza sieci LAN. Tryb N-to-1 zastępuje źródłowy adres IP zewnętrznym adresem IP. Jednocześnie dodaje logiczny numer portu, aby zidentyfikować połączenie tego wewnętrznego/zewnętrznego adresu IP. Ta funkcja jest nazywana również „translacją portu sieciowego” (NAPT) lub „maskowaniem IP”.
Tryb N-to-1 zapewnia jednokierunkową komunikację z wewnętrznej/prywatnej sieci, z siecią zewnętrzną/zdalną. Użytkownik może zainicjować połączenie z sieci wewnętrznej do zewnętrznej, ale może nie być w stanie zrobić tego w odwrotnym kierunku.
DNAT
Ten typ NAT pozwala na translację
1–do–1 między lokalnym a globalnym adresem IP. Statyczny NAT wymaga, aby dla każdego prywatnego adresu NAT istniał jego publiczny odpowiednik.
1–to–1 NAT umożliwia dwukierunkową komunikację między urządzeniami.
Port Forward NAT
Ten tryb działa podobnie do trybu N-to-1 NAT, ale do ramki danych dodawany jest numer portu urządzenia, które powinno otrzymać te dane. Numer portu jest używany przez warstwę transportową w modelu OSI do identyfikacji lokalnego hosta. Port Forward umożliwia wykorzystanie warstwy transportowej do znalezienia odpowiedniego hosta i pozwala zdefiniować (teoretycznie) do 65 000 hostów na jednym adresie IP.
Przykład zastosowania tego trybu został przedstawiony na rys. 4. Urządzenie w sieci prywatnej ma adres IP 192.168.127.10 z portem 80. Użytkownik może utworzyć regułę NAT na routerze, która zezwoli zdalnemu użytkownikowi z zewnętrznego adresu IP 10.10.10.1 i portu 8080 uzyskać dostęp do urządzenia w sieci prywatnej.
Funkcja Port Forward zapewnia jednokierunkową komunikację ze zdalnego, niezabezpieczonego obszaru (WAN) do sieci lokalnej (LAN). Użytkownik może zainicjować połączenie z sieci zewnętrznej do wewnętrznej, ale nie odwrotnie.
Jakiego urządzenia potrzebujemy do realizacji usługi NAT?
Realizacja translacji adresów IP wymaga zastosowania urządzenia pracującego przynajmniej w warstwie L3 modelu ISO/OSI. Z oferty producenta Moxa można wykorzystać następujące rozwiązania:
- NAT-102 – dwuportowe urządzenie dedykowane do konfiguracji translacji adresów NAT w środowisku przemysłowym,
- EDR-G9010 – bardziej zaawansowany router przemysłowy, który oprócz NAT oferuje również dynamiczny routing, VPN, DPI dla protokołów przemysłowych oraz IPS,
- UC-2100 – komputer przemysłowy o architekturze ARM z systemem operacyjnym Linux Debian, na którym translację adresów IP można osiągnąć dzięki iptables.
Dedykowanym urządzeniem Moxa, które sprawdzi się w większości aplikacji jest NAT-102.
Jego najważniejsze funkcje to:
- wbudowany wizzard upraszczający konfigurację urządzenia,
- rozbudowana funkcjonalność NAT,
- firewall,
- automatyczne zapamiętywanie podłączonych IP (adresów MAC) urządzeń i dopisywanie ich do listy zaufanych adresów,
- kompaktowe wymiary ułatwiające montaż w szafkach teletechnicznych,
- praca w temperaturze od –40 °C do 75 °C,
- przemysłowe certyfikaty: EN 50121-4, NEMA TS2, ATEX/C1D2.
Podsumowanie
Usługa NAT jest rozwiązaniem problemu wyczerpywania się przestrzeni adresowej IPv4. Dla protokołu IPv4 umożliwia administratorom sieci korzystanie z prywatnej przestrzeni adresowej, zapewniając jednocześnie łączność z Internetem przy użyciu pojedynczej lub ograniczonej liczby publicznych adresów.
Każda linia produkcyjna może mieć taką samą adresację NAT, co umożliwia bezproblemową zdalną komunikację i integrację z systemami SCADA. Najczęściej jest to wykorzystywane w poniższych sytuacjach:
- rozwiązanie problemu duplikacji adresów,
- zabezpieczanie dostępu do urządzeń,
- umożliwienie komunikacji urządzeń z takich samych przestrzeni adresowych,
- brak możliwości komunikacji bram domyślnych – niektóre urządzenia nie mają takiej możliwości, natomiast NAT 1-1 nie potrzebuje bram domyślnych, aby umożliwić komunikację.
ELMARK AUTOMATYKA SA
ul. Bukowińska 22 lok. 1B,
02-703 Warszawa
e-mail: elmark@elmark.com.pl
tel. 22 541 84 92
source: Automatyka 5/2023