Lösung
Das eigene Netz wird mit einem LWL-Backbone für die wichtigsten Stationen über entsprechende Switche realisiert. Die Stationen mit Kupferleitungen werden über Ethernet-Modem SHDTU-09is (2x G.SHDSL) oder SHDTU-10is (4x G.SHDSL) redundant an die Backbone-Switche angebunden. Bei Stationen mit LWL- und Kupfer-Anbindung kommen die SHDTU-08is-SFP (2x G.SHDSL und 2x SFP für LWL) zum Einsatz. Bei reinen LWL-Anbindungen werden gemanagte Switche eingesetzt, die ebenfalls alle Sicherheitsforderungen und Routing (Layer 3) unterstützen. Die Außenstationen werden mit DSR-Routern und einem zentralen VSS-01-Server an das Netz angebunden. Weiterhin werden alle Fernwirkstationen des eigenen Netzwerkes (Forderungen Punkt 1) mit DSR-Routern ausgerüstet, um eine geschlossene Benutzergruppe mit VPN-Schutz zu erreichen. Durch die Nutzung von VPN ist eine sichere Authentifizierung und eine starke Verschlüsselung garantiert, sodass nur Befugte auf die vertraulichen Firmendaten zugreifen können, vor allem bei der Übertragung über öffentliche Netze. Mit der VSS-Lösung geht DigiComm einen Schritt weiter, denn es müssen alle Teilnehmer – auch die im eigenen Netzwerk (zum Beispiel das Leitsystem) – eine VPN-Verbindung zum VSS-01 aufbauen. Damit bieten wir eine geschlossene Benutzergruppe in der nur zertifizierte Anwender VPN-verschlüsselt miteinander kommunizieren können. Eine zentrale Rolle im Betrieb eines Fernwirknetzes spielt die Zuordnung von Zugriffsrechten, d.h., wer mit wem kommunizieren darf.
Sicherheit in Gruppen
In der Regel fragt das Leitsystem die Außenstellen ab, muss also mit allen kommunizieren. Häufig besteht aber auch die Notwendigkeit, dass Stationen untereinander Daten austauschen müssen oder eine Fernwartung von externen Mitarbeitern durchgeführt werden muss. Speziell im Bereich der Fernwartung durch Fremdfirmen soll nicht auf das gesamte Netz, sondern nur auf spezielle Stationen zugegriffen werden. Im Falle eines zentralen Routers für VPN-Anbindungen erfordert das ein hohes Maß an Konfigurationsarbeiten. Bei der VSS-01-Lösung können Anwender einfach mit Gruppen arbeiten. Bei der Grundkonfiguration sind die Teilnehmer zunächst keiner Gruppe zugeordnet. Durch einfaches Einrichten einer Gruppe und Auswahl durch Klick auf die Stationen können Sie die Teilnehmer einer Gruppe auswählen. Jeder Teilnehmer kann Mitglied in beliebig vielen Gruppen sein. Im Hintergrund werden aus den Gruppenzuordnungen Firewallregeln erstellt, die in die Router der Außenstationen übertragen werden. Bei einer Neu- oder Umkonfiguration werden die geänderten Daten automatisch in die Router der Außenstationen übertragen. Im Beispiel (Bild 4) sind alle Teilnehmer mit Ausnahme des Laptops Teilnehmer der roten Gruppe und können miteinander kommunizieren. Der Laptop hat nur Zugriff auf die Station rechts unten (grüne Gruppe). Für die Konfiguration bedeutet es das Anlegen von zwei Gruppen:
- • 1. Rot = alle Teilnehmer mit Ausnahme des Laptops
- • 2. Grün = Laptop, NMS (Netzwerküberwachung) und Teilnehmer rechts unten
Die Stationen, die über eigene Kupferstecken angeschlossen werden, sind mit einem Ethernet-Modem der Serie SHDTU ausgerüstet. Diese Geräte unterstützen 2-, 4- oder 8-Drahtbetrieb im Punkt-zu-Punkt-, Linien- oder Ring-Betrieb über Entfernungen bis 25km mit Geschwindigkeiten von bis zu 60Mbps. Zusätzlich zu den integrierten Sicherheitsoptionen kann über die Kupferstrecke mittels VPN verschlüsselt übertragen werden. Für den Anschluss der Stationen, die über eigene LWL-Verbindungen angebunden sind, werden – bei zusätzlichen Kupferstrecken – SHDTU-08-is-SFP, ansonsten managebare Layer2-Switche eingesetzt, die ebenfalls alle Sicherheitsforderungen unterstützen. Die Switche im Backbone-Bereich sind routingfähig (Layer3) und können bei Bedarf eine zusätzliche Verschlüsselung bieten. Bei vorhandenen DSL-Anschlüssen können Router vom Typ DSR-111-N in Kombination mit dem industriellen DSL-Modem AM-200B eingesetzt werden. Die Anbindung der Stationen über das Mobilfunknetz wird über DSR-111-L-LTE-Router realisiert, die bei fehlender LTE-Abdeckung auch GPRS, UMTS oder HSDPA unterstützen. Für eine möglichst hohe Netzverfügbarkeit wird mit SIM-Karten gearbeitet, die National-Roaming unterstützen. Sie buchen sich unabhängig vom Provider in das Netz mit der besten Abdeckung ein und wechseln bei Netzausfall oder -störungen automatisch in das Netz eines anderen Anbieters, der am Standort verfügbar ist. Bei wichtigen Außenstationen ohne eigene Anbindung kann als Ersatzweg neben den öffentlichen Netzen auch eine Funkverbindung über private Frequenzen realisiert werden.
