La gran mayoría de autómatas actuales incorporan puertos Ethernet compatibles con el protocolo TCP/IP. Siendo así, resulta sencillo conectarse a ellos de forma remota...
La tecnología más utilizada con dicha finalidad se conoce como Red Virtual Privada (VPN).
La conexión suele realizarse con routers, que se emplean para conectar la red local a una red mayor (ya sea internet o una red formada por varias plantas).
El uso de acceso remoto vía VPN resulta muy beneficioso, tanto parar los fabricantes de maquinaria como los usuarios finales.
Pues el fabricante puede ayudar a resolver incidencias y hacer diagnósticos preventivos de la máquina.
Y el usuario final puede utilizar el acceso remoto para disponer de información en tiempo real sobre su producción.
¿COMO FUNCIONA?
Simplificándolo, una VPN establece una conexión entre dos puntos (dispositivos, routers o redes). Esta es una conexión segura, pues requiere autenticación (usuario-contraseña y/o certificado) y los datos transferidos se cifran.
Esto hace que sea muy poco probable que terceros puedan interferir en la conexión.
En una conexión VPN (también denominada túnel VPN), encontraremos los roles de cliente-servidor o, lo que es lo mismo, iniciador-destinatario.
Se establece la conexión del cliente al servidor (normalmente mediante internet).
Los routers de las máquinas tienen la función de cliente y se conectan al servidor (o servidores) permitiéndoles la conexión.
Una parte esencial de la VPN es el enrutamiento. Pues para que un dispositivo acceda a otro en remoto, necesita saber la dirección a la que enviar el mensaje si el destino no está en la red local...
Esto se gestiona en el router, que recibe un mensaje y lo reenvía a una dirección conocida hasta que se envía por internet (para que llegue al dispositivo destinatario).
El router tiene mínimo un puerto WAN (Wide Area Network) para conectarse a internet o una red mayor, y otro LAN (Local Area Network) para la red local. Cada uno en su rango de IP...
Para las conexiones VPN existe un alto nivel de estandarización en cuanto a protocolos/implementaciones.
No existe una VPN estándar, sino varias. Las dos principales son IPSec y OpenVPN (o SSL), incluidas en la gran mayoría de productos y/o servicios más utilizados.
¿EJEMPLO PRÁCTICO?
En la siguiente imagen se presenta un ejemplo de túnel VPN y los componentes utilizados para configurarlo:
En este caso, el fabricante quiere tener acceso remoto desde su red (oficina) a la máquina en casa del cliente (planta) para poder modificar el programa del PLC si se requiere.
La red de la máquina en planta tiene el rol de cliente VPN, pues el router al que se conecta la máquina inicia la conexión. Mientras que la oficina del fabricante es el servidor, con acceso inmediato a los datos de la máquina.
En la planta vemos la máquina (red LAN) está conectada a un router que tiene conexión a internet a través de la red de la planta (WAN).
Los servicios locales son:
- La VLAN (Vitual Local Area Network) se utiliza para independizar los puertos Ethernet del router en dos distintos... Una VLAN es la red local donde se conecta la máquina (rango de IPs fijo). La otra VLAN (WAN) forma parte de la red de planta y obtiene su dirección IP (entre otros parámetros) de un servidor DHCP que está en la red.
- El enrutamiento permite que se envíen mensajes de una VLAN a otra según la dirección de destino. También detiene los datos de red de planta (mensajes de multidifusión) para que no accedan a la red local de la máquina.
- El firewall se utiliza para detener los ataques a la red de planta.
El router de la máquina, como iniciador VPN, debe tener la hora bien sincronizada.
Normalmente, se obtiene de un servidor horario (NTP) ubicado en internet.
También requiere tener configurado el nombre de dominio del destinatario.
En la oficina del fabricante (destinatario), se deben configurar los siguientes elementos:
- De la misma forma que ocurre con el iniciador VPN, la hora del destinatario debe estar configurada correctamente. Puede utilizar el mismo servidor NTP para ello.
- Dado que el iniciador VPN busca al destinatario por su nombre, el router debe indicar su nombre y dirección IP regularmente a un servidor DNS en internet.
- La configuración de la conexión VPN del iniciador debe estar registrada en el destinatario, pues si se detecta una solicitud de conexión entrante se deben comprobar las credenciales para que se acepte y se abra el túnel.
Este ejemplo concreto se ha basado en una forma de acceso a internet por ADSL/cable.
En el caso de las conexiones inalámbricas directas o cableadas, la conexión es algo más simple pero la filosofía es la misma.
¿DATOS A ENVIAR?
Realmente viene a ser posible enviar cualquier tipo de datos IP a través de conexión VPN...
Seguidamente se enumeran algunos de los ejemplos prácticos más utilizados:
- Cargar nuevos programas al autómata en remoto (para modificaciones o actualizaciones que requiera la máquina).
- Posibilidad de conexión con el PLC de la máquina para ver como se ejecuta el programa e identificar averías.
- Comunicación bidireccional mediante una interfaz remota (p.e. SCADA) y la máquina.
- Notificación de alarmas y warnings de la máquina al fabricante.
- Recepción o transmisión de información a (y desde) un servidor de bases de datos remoto (p.e. Oracle).
... entre muchas otras posibilidades.
No hay comentarios:
Publicar un comentario