ipConv/VM

Universelle Protokollkonvertierung für VMware Workstation und VMware ESXi

  • ipConvVM

    ipConv/VM ist ein System zur universellen Protokollkonvertierung in virtuellen Maschinen und ermöglicht die Datenübertragung zwischen unterschiedlichen Protokollen.

    ipConv/VM basiert auf ipConv und bietet grundsätzlich die gleichen Fähigkeiten. Für die Konvertierung mit ipConv/VM stehen etablierte Standardprotokolle zur Verfügung, die auf bestehender Hardware flexibel genutzt werden können.

    Bereitstellung

    Die virtuelle Maschine wird in Form einer OVA-Vorlage (Open Virtualization Appliance) zum Herunterladen bereitgestellt. Diese Vorlage kann mit unterstützten Hypervisoren geöffnet bzw. importiert werden, um neue VM-Instanzen zu erstellen.

    Für den Betrieb der virtuellen Appliance ipConv/VM wird eine VMware Workstation (ab Version 11.x) oder ein VMware ESXi Hostsystem (ab Version 6.0) vorausgesetzt. Für Testzwecke kann ipConv/VM auch mit dem VMware Workstation Player eingerichtet werden.

    Lizenzierung

    Die Lizenzierung einer virtuellen Maschine erfordert keinen USB-Dongle: Eine VM-spezifische Lizenz erhalten Sie von uns in Form einer Lizenzdatei. So bleibt beim Verschieben oder Migrieren der VM die Lizenz bestehen. Durch Klonen bzw. Kopieren der VM wird die eingespielte Lizenz ungültig und muss erneut angefordert werden.

    Lieferumfang

    Neben der mitgelieferten Software zur Protokollkonvertierung ipConv/VM enthält die OVA-Vorlage unsere hauseigene Open-Source Linux-Distribution ipLinux, die bereits für das optimale Zusammenspiel mit virtuellen Maschinen vorkonfiguriert ist.

    Vorteile im Überblick

    • Verwendung bestehender Hardware
    • Reduktion physischer Geräte, d.h. Betriebskosten- und Energieeinsparung
    • Nutzung freier Ressourcen durch Konsolidierung mehrerer Systeme
    • Effiziente Bereitstellung und Administration von virtuellen Maschinen
      (Verschieben von VM-Instanzen, Live-Migration)
    • Schnelle Inbetriebnahme von Systemen
    • Geringerer Wartungsaufwand
Besonderheiten
    • Sicherheit auf höchstem Niveau
    • Kommunikation zwischen verschiedenen Datenquellen
    • Gleichzeitiger Einsatz unterschiedlicher Protokolle
    • Beliebiges Mapping von Informationen
    • Intelligente Informationsverarbeitung
    • Keine Programmierung erforderlich
    • Redundanz
Cybersicherheit
    • Gesicherter Zugriff auf alle administrativen Dienste (HTTPS, SSH, SFTP)
    • Rollenbasierte Zugriffskontrolle über Login/Passwort
    • Benutzerverwaltung für lokale Benutzer
    • Zentrale Benutzerverwaltung über Active Directory (LDAP) und / oder RADIUS
    • Crypto-Store zur Verwaltung von Zertifikaten
    • Generierung von selbst-signierten Zertifikaten und Certificate Signing Requests (CSRs)
    • Import und Export von Zertifikaten
    • Konfiguration von VPN-Tunneln (OpenVPN und IPsec)
    • Firewall
    • Gehärtetes Echtzeit Linux-Betriebssystem
Netzwerk-Features
    • Zuordnung mehrerer IP-Adressen zu einer physikalischen Ethernet-Schnittstelle
    • Netzwerkmanagement mittels SNMP Agent
    • Zeitsynchronisation via NTP
    • HTTPS/SSH/SFTP-Zugriff
    • DHCP
    • Bonding
    • PRP
    • VLAN
Konfiguration
  • Die Konfiguration des Systems erfolgt komplett über einen Webbrowser. Keine weiteren speziellen Konfigurationstools sind erforderlich, außer einem normalen Notebook mit Netzwerkschnittstelle und einem Webbrowser.
    Die aktuellste ipConv Version 3 bietet die Möglichkeit der verschlüsselten Kommunikation zwischen Webserver und Browser über das HTTPS-Protokoll.

    Die erste Seite erlaubt den Zugriff auf alle relevanten Funktionen von ipConv und zeigt auf einen Blick den Zustand des Systems.

    Folgende Funktionen stehen hier zur Verfügung:
    • Wechseln in den Betriebsmodus (unbeaufsichtigte Station) oder Wartungsmodus (Freischaltung der konfigurationsändernden Funktionen)
    • Sicherung und Wiederherstellung der kompletten Konfiguration
    • Lizenzverwaltung (ADMIN)
      Installation von (Demo-) Lizenzen, Lizenzen mit und ohne Laufzeitbeschränkung
    • Softwareupgrade (ADMIN)
    • Import von Konfigurationsinformationen aus Tabellen
    • Bearbeitung der Konfigurationsparameter
    • Freigabe und Versionierung einer Stationskonfiguration
    • Starten und Stoppen des Systems
    • Zugriffe auf Diagnoseinformationen (siehe Diagnose)
    • Zugriff auf das Prozessabbild und Simulation von Daten (siehe Simulation)
    • Anlegen eigener Logbücher
      Zustandsänderungen von normierten Informationen können bei Bedarf gezielt in konfigurierbare Logbücher übertragen werden, um sie über einen bestimmten Zeitraum zu verfolgen oder zu protokollieren.
    • Zugriff auf aktuelle Logdateien (siehe Logging)
    • Sprachwahl
    • Excel Import
      Die Excel-Datei kann direkt importiert werden (kein separates Erzeugen und Importieren von CVS-Dateien mehr nötig)
    • SNMP Agent
      System- und Statusmeldungen an den SNMP Client übertragen.
    • Folgende Meldungen erscheinen jetzt ebenfalls in der Historie: fehlgeschlagene Anmeldungsversuche, Wechsel der Betriebsart, Softwareaktualisierungen, erkannte Stromausfälle, Systemstopps durch Sicherheitsfunktionen (z.B. Gerätetemperatur)
    • VPN mit IPsec oder OpenVPN
    • 62351-3 TLS-Absicherung für IEC 60870-5-104, IEC 61850, DNP 3.0, TASE.2 Protokollstacks
    • PKI-Verwaltung für digitale X.509 Zertifikate
    • Zentrale Benutzerverwaltung via LDAP

     

    Nebenstehend findet sich ein Beispiel für die Konfiguration eines Protokollstacks (in diesem Fall  IEC 60870-5-101, Master). Hier werden alle Parameter mit den eingestellten Werten, den dazugehörigen Maßeinheiten und einer Kurzbeschreibung angezeigt.

    Durch Klicken auf den Parameternamen kann der Wert verändert werden. Dazu wird auch eine Langhilfe, falls vorhanden, eingeblendet. Der eingegebene Wert wird sofort auf den erlaubten Wertebereich überprüft bzw. durch eine Auswahlliste von vornherein auf gültige Werte eingeschränkt.

    Es werden nur die notwendigen Parameter eingeblendet, d.h. wenn z.B. der Typ der Linkschicht auf "unbalanced" gesetzt wird, werden auch nur die entsprechenden Parameter eingeblendet.

    Um große Mengen an Datenpunkten schnell und effektiv bearbeiten zu können, bietet ipConv die Möglichkeit, Daten aus Tabellen zu importieren. Die Tabellen werden aus Vorlagen erstellt und können mit einem Tabellenkalkulationsprogramm (z.B. MS Excel) bearbeitet werden. Durch Verwendung von Formeln wird die einzugebende Datenmenge auf ein Minimum reduziert. Dadurch wird auch die Fehlerrate erheblich gesenkt.
Diagnose
  • Bei einem Protokollkonverter ist es wichtig, jederzeit auf einen Blick den Zustand der Kommunikation auf allen Schnittstellen feststellen zu können. Besonders dann, wenn kein mit dem System vertrautes Personal auf der Anlage verfügbar ist, muss auch ein Laie dazu in der Lage sein.

    Über den Button "Diagnostics" auf der ersten Seite können die Diagnoseinformationen abgerufen werden. Hier werden in einer klar gegliederten Form die wichtigsten Informationen in Klartext mit Uhrzeit angezeigt. Durch farbliche Hinterlegung wird signalisiert, ob der Zustand normal ist oder nicht.

    Welche Informationen hier dargestellt werden, mit welchen Texten und in welcher Farbe, wird mittels Konfiguration festgelegt.

    Neben reinen Meldungen und Messwerten können hier auch Steuerbefehle, z.B. wie ein Button zum Auslösen einer Generalabfrage, dargestellt werden.

     

Logging
  • Bei Kommunikationsanwendungen ist es wichtig, jederzeit feststellen zu können, welche Daten über das Protokoll übertragen werden und wie die Daten von einem Protokoll in das andere konvertiert werden. Das ist besonders dann wichtig, wenn es Probleme bei der Übertragung gibt. ipConv verfügt über Fähigkeiten, alle Daten mitzuschreiben und diese zu archivieren.

    Zur Verfolgung des Systemzustands und des Informationsflusses innerhalb des Gateways bietet ipConv die Möglichkeit, alle bei den einzelnen Modulen anfallenden Informationen mitzuschreiben und für eine bestimmte Zeit zu archivieren. Folgende Daten können protokolliert werden:
    • Alle über das entsprechende Kommunikationsmodul gesendeten und empfangenen Daten zu/von ipConv
    • Systemmeldungen d.h. Verbindungsabbrüche, Kommunikationsfehlermeldungen etc.
    • Konfigurations- und Softwarefehlermeldungen

    Der Umfang der Daten, die protokolliert werden, wird durch die Loggingebene festgelegt, die dynamisch (zur Laufzeit) oder statisch (in der Konfiguration) pro Modul verändert werden kann.


    Die Loggingebene legt fest, in welcher Form die gesendeten und empfangenen Daten dargestellt werden. Man kann die Daten sowohl in Rohform (d.h. Hexdarstellung) als auch in dekodierter, symbolischer Form anzeigen lassen oder beides. Das nebenstehende Beispiel zeigt den Inhalt einer Logdatei erzeugt vom IEC 60870-5-101, Slave-Protokollstack.

    Die Daten werden direkt im lesbaren ASCII-Format abgelegt. Die Logdateien können über das Webinterface zur offline Diagnose heruntergeladen werden. Über den TCP/IP-Dienst "telnet" lässt sich die Kommunikation auch online verfolgen.

    Alle protokollierten Daten werden zyklisch archiviert. Damit lässt sich die Kommunikation über Tage bzw. sogar über Wochen (in Abhängigkeit vom Datenaufkommen) verfolgen.

    19.01.99 10:24:01 IECAppl CA=286 connected !
    (2): << M_EI_NA_1 SQ=0 NUM=1 T=0 P/N=0 CT=<init> CA=<286>
    0: COI=<00>
    (2): >> C_IC_NA_1 SQ=0 NUM=1 T=0 P/N=0 CT=<act> CA=<65535
    0: QOI=<14>
    (2): << C_IC_NA_1 SQ=0 NUM=1 T=0 P/N=0 CT=<actcon> CA=<28
    0: QOI=<14>
    (2): << M_SP_NA_1 SQ=0 NUM=61 T=0 P/N=0 CT=<inrogen> CA=<
    131584: SIQ=<OFF Q=<>>
    459272: SIQ=<OFF Q=<>>
    459273: SIQ=<OFF Q=<>>
    (2): << M_SP_NA_1 SQ=0 NUM=61 T=0 P/N=0 CT=<inrogen> CA=<
    524800: SIQ=<OFF Q=<>>
    852489: SIQ=<OFF Q=<>>
    (2): << M_SP_NA_1 SQ=0 NUM=61 T=0 P/N=0 CT=<inrogen> CA=<
    3015175: SIQ=<OFF Q=<>>
    3473923: SIQ=<OFF Q=<IV >>
    (2): << M_DP_NA_1 SQ=0 NUM=20 T=0 P/N=0 CT=<inrogen> CA=<
    3014916: DIQ=<DIST Q=<>>
    3539200: DIQ=<DIST Q=<IV >>
    3539204: DIQ=<DIST Q=<IV >>
    (2): << M_ME_NB_1 SQ=0 NUM=39 T=0 P/N=0 CT=<inrogen> CA=<
    131840: SVA=<0> QDS=<Q=<>>
    918784: SVA=<0> QDS=<Q=<>>
    983808: SVA=<0> QDS=<Q=<>>
    (2): << C_IC_NA_1 SQ=0 NUM=1 T=0 P/N=0 CT=<actterm> CA=<2
    0: QOI=<14>
    (2): << M_SP_TA_1 SQ=0 NUM=1 T=0 P/N=0 CT=<spon> CA=<286>
    1049088: SIQ=<ON Q=<>> BT3=<IV>
    
Simulation
  • Besonders hilfreich bei Signaltests während der Inbetriebsetzungsphase erweist sich die Fähigkeit von ipConv, alle Signale in einfacher, projektbezogener Form darstellen und simulieren zu können. Dadurch wird das Auffinden von Verdrahtungs- und Konfigurationsfehlern erheblich erleichtert.
    Alle Datenpunkte können in einer hierarchischen Form, die durch die Konfiguration vorgegeben wird, angezeigt werden. Die Benennung, Schachtelungstiefe und der Signalumfang sind frei wählbar und können projektspezifisch konfiguriert werden. Dadurch wird der Abruf von Informationen auch durch Personal möglich, das nicht mit ipConv bzw. dem entsprechenden Protokoll vertraut ist.

    Neben dem Signalnamen wird der Informationstyp, Wert, Qualitätskennung und der Zeitstempel (falls vorhanden) angezeigt.

    Gleichzeitig können die Daten und Befehle direkt vom Webbrowser simuliert werden. Dies ist besonders dann interessant, wenn nur ein Kommunikationspartner angeschlossen ist (Leitstelle oder RTU). Bei Vorabtests lassen sich so im Vorfeld die meisten Konfigurationsfehler ausräumen, auch wenn die gesamte Kommunikationsstrecke noch nicht in Betrieb ist.

    Mit Hilfe eines befehlsorientierten, interaktiven Tools kann man jederzeit auf alle Informationen über eine protokollspezifische Adressierung zugreifen. Diese Art des Zugriffs ist für Experten jederzeit möglich und muss nicht explizit konfiguriert werden.

Redundanz
  • Um auch erhöhten Sicherheitsansprüchen zu genügen, ist ipConv/VM mit Einsatz eines zweiten Gerätes voll redundanzfähig.

    • Linienredundanz (hot-standby)
    • Informationsredundanz
    • Geräteredundanz (Parallelbetrieb)

    Bei redundant ausgeführten Protokollkonvertern kann die Ausfallsicherheit nach dem "hot-standby" Prinzip sichergestellt werden. Dabei übernimmt jeweils nur ein Gerät die aktive Rolle, während das passive Gerät das aktive überwacht, und bei dessen Ausfall die Initiative übernimmt.
    Dadurch können beispielsweise Ausfallzeiten durch Wartungsarbeiten, oder Ausfälle von Komponenten und Schnittstellen minimiert werden.

    Die Redundanzkopplung kann sowohl über Ethernet, als auch über serielle Verbindungen erfolgen. Sollen einzelne serielle Kommunikationsverbindungen an beide redundante Geräte angeschlossen werden, kommt der Kanalumschalter CS (Channel Switch) zum Einsatz.

Verfügbare Protokollstacks

Database, Client

DNP V3.00, Master

DNP V3.00, Slave

ELCOM-90 Initiator, Client

ELCOM-90 Responder, Server

Simatic Fetch/Write, Master

IEC 60870-5-104, Master

IEC 60870-5-104, Slave

IEC 61850, Client

IEC 61850, Server

MQTT, Client

Modbus TCP/IP, Master

Modbus TCP/IP, Slave

OPC DAXML 1.01, Server

OPC UA 1.02, Client

OPC UA 1.02, Server

S7 Protokoll, Client

SNMP, Client

TASE.2, Client

TASE.2, Server