Inhalt Übersicht Einleitung.2.6 1460830000 2014/2015.1
Einleitung Gigabit Sichere Datenkommunikation mit integrierter VPN-Technologie Sie möchten sicher, zuverlässig und standortunabhängig mit Ihren Maschinen und Anlagen kommunizieren? Ausschließlich legitimierte Daten sollen Zugang zu Ihrem Industrienetzwerk erhalten? Dann ist der neue Industrial Security Router von Weidmüller die richtige Wahl. Zudem sind Router mit integrierten VPN-Technologien bestens geeignet für den gesicherten Fernzugriff auf Komponenten und Systeme im LAN-Netzwerk, wahlweise über eine kabelgebundene oder mobilfunkgestützte Internetanbindung. Ausgehend von der stetig zunehmenden Daten- und Informationsvernetzung in der Bürokommunikation, gibt es einen starken Trend, die Vorteile der Ethernetkommunikation auch in der industriellen Automatisierungstechnik zu nutzen. Neben der Standardisierung durch die Ethernettechnologie ist die vertikale Datenintegration von der Feld-/ Produktionsebene über das Büronetzwerk bis hin zum Internet ein wichtiger Treiber für die rasante Ausbreitung von Ethernet in industriellen Applikationen. Dabei gewinnt neben den LAN-Switching-Technologien die Verwendung von industriellen Routern aus Sicherheitsgründen und zum effizienten Management des Datenverkehrs zwischen LANs immer mehr an Bedeutung. Leistungsmerkmale der Weidmüller Router auf einen Blick Kompaktes und robustes Industriegehäuse aus Metall (Aluminiumdruckguss) Gigabit Ethernet Interfaces (LAN/WAN) für hohen Datendurchsatz Digitale Ein-/Ausgänge (24 V D) für die Funktionen Abschalten WAN-Port, Signalisierung Alarmzustand, Start/Stopp konfigurierter VPN-Verbindungen und Signalisierung eines aktiven VPN-Tunnels Unterstützung aller Standardrouterfunktionen wie Static/Dynamic Routing, SNMP, DHP-Server, Dynamic DNS, Eventlogging oder DSL-Anbindung (PPPoE) über externes DSL-Modem Flexibel konfigurierbare Stateful-Inspection- Firewall mit Filterfunktionen sowohl auf Layer 3 (IP-Ebene) als auch auf Layer 2 (MA-address-Ebene) Umfangreiche Konfigurationsmöglichkeiten des IP-Address-Mappings (1:1 NAT, Virtual Mapping / NAT-Masquerading / Port-Forwarding / IP- Address-Forwarding) z. B. zur Anbindung mehrerer Maschinennetze mit denselben IP-Adressen in ein übergeordnetes Produktionsnetzwerk Integrierte VPN-Funktionalität (OpenVPN und IPsec) für den gesicherten Fernzugriff durch das Internet; Verwendung des Routers bei beiden VPN-Technologien sowohl als VPN-lient als auch als VPN-Server Variables Bandbreitenmanagement durch Priorisierung und Limitierung des Netzwerkverkehrs auf IP- und Ethernet-Protokollebene Variables Benutzermanagement über unterschiedliche Anwenderprofile mit detaillierter Rechtevergabe Integrierter Modbus/TP-Server zur Steuerung und Statusabfrage der digitalen Ein-/Ausgänge und vorkonfigurierter VPN-Verbindungen durch Modbus/ TP-fähige Endgeräte (z. B. SPS) lient-monitoring zur Überwachung von Netzwerkteilnehmern Remote apture -Funktion zur Überwachung des Netzwerkverkehrs mittels Wireshark Variante IE-SR-2GT-UMTS/3G Zusätzlich integriertes UMTS/3G/HSPA+ -Modem für Internetanbindung über Mobilfunk (max. Downlink 21,2 Mbit/s, max. Uplink 5,8 Mbit/s).2 1460830000 2014/2015
Einleitung Maschinen sicher in ein Produktionsnetz integrieren mit Gigabit-Ethernet Der Router ermöglicht den kontrollierten und gesicherten Datenaustausch zwischen geswitchten Ethernetnetzwerken (IP-Routing). Über die verschiedenen Ausprägungen der Funktion Network Address Translation (1:1 NAT, Masquerading, Virtual Mapping, Port- und IP- Weiterleitung) kann der Zugriff sowohl auf Sub-Netze als auch individuell auf einzelne Ethernetgeräte geregelt werden. Zudem können über die Funktion 1:1 NAT Maschinennetze mit denselben IP-Adressbereichen sehr einfach in ein übergeordnetes Produktionsnetzwerk eingebunden werden, so wie es typischerweise im Serien- Maschinenbau der Fall ist. Aufgrund der Highspeed- Performance der Gigabit-Interfaces ist der Router ideal geeignet, die zukünftig zunehmende Datenlast in den Ethernetnetzwerken problemlos zu bewältigen. Produktionsnetz Maschinennetz 1 Maschinennetz 2 Fernzugriff über sichere VPN-Verbindungen Weidmüller Industrial-Ethernet-Router ermöglichen mittels verschlüsselter VPN-Verbindungen (OpenVPN und IPsec) den gesicherten Zugriff auf Maschinen und Anlagen. Diagnose und Fehlerbehebung sind so unabhängig vom Standort möglich. Dadurch kann in vielen Fällen auf den Vororteinsatz eines Servicetechnikers verzichtet werden. Der Router unterstützt die Standard-VPN-Technologien OpenVPN und IPsec und kann jeweils als VPN-lient oder als VPN-Server (ohne Limitierung gleichzeitig nutzbarer lients) betrieben werden. Produktionsnetz VPN-Tunnel Maschinennetz 1460830000 2014/2015.3
Einleitung Steuerung und Überwachung über integrierte digitale Ein-/Ausgänge Der Router ist ausgestattet mit zwei digitalen Eingängen ( ut und VPN initiate ) und zwei digitalen Ausgängen ( Alarm und VPN active ). Über den 24-V-Eingang ut kann der RJ45-WAN-Port temporär deaktiviert werden, um z. B. bei Wartungsarbeiten im LAN-Netzwerk einen unbefugten Zugriff durch Dritte auf das WAN-Netz zu unterbinden. Der 24-V-Eingang VPN initiate ermöglicht das Starten und Stoppen einer vorkonfigurierten VPN- Instanz (lient oder Server). Eine Initiierung kann z. B. über einen externen Schlüsselschalter oder über einen digitalen Ausgang einer Steuerung (SPS) erfolgen. Ist ein VPN-Tunnel erfolgreich aufgebaut und aktiv, so wird dies über den digitalen Ausgang VPN active signalisiert. Der 24-V-Ausgang Alarm kann verwendet werden, um konfigurierbare Alarmzustände des Routers extern anzuzeigen. Ein Alarm kann ausgelöst werden durch eine Firewall-Regel oder wenn ein Netzwerkteilnehmer nicht mehr erreichbar ist (lient-monitoring). Intelligente Firewall: Stateful Packet Inspection Die integrierte Stateful-Inspection-Firewall kann verwendet werden für die Kontrolle des ein- und ausgehenden Verkehrs auf allen Router-Interfaces (LAN, WAN, UMTS, VPN-Tunnel) sowohl auf Layer 2 (Ethernet-Frames) als auch auf Layer 3 (IP-basiert). Zusätzlich ist eine Auto-Learning -Funktion ( SecureNow! ) implementiert, die eine automatische Analyse des Netzwerkverkehrs durchführen kann und als Ergebnis ein Regelwerk erstellt, welches der Anwender übernehmen oder bedarfsweise modifizieren kann..4 1460830000 2014/2015
Einleitung Benutzerfreundliche Konfiguration über Web- Interface Für die Konfiguration des Routers kann ein beliebiger Standardbrowser verwendet werden. Die übersichtliche Menüstruktur unterstützt eine schnell zu erlernende und intuitive Benutzerführung. Das Benutzer-Interface ist zweisprachig, es kann zwischen Deutsch und Englisch umgeschaltet werden. Zur Unterstützung des Anwenders bei der Konfiguration ist eine Onlinehilfe (Tool Tips) mit detaillierten Hinweisen zu den Einstellungsmöglichkeiten implementiert. Für unterschiedliche Anwender (Administratoren, eingeschränkte Benutzer etc.) können beliebig viele Nutzerprofile mit detaillierter Rechtevergabe erstellt werden. Router-Search-Utility Finden von Routern im Netzwerk Das frei verfügbare Softwaretool Weidmüller Router- Search-Utility erlaubt das Finden von Weidmüller Routern im lokalen Netzwerk bei unbekannter IP-Adresse. Zu allen gefundenen Geräten werden die wichtigsten Basisdaten wie Netzwerkparameter, Seriennummer, Gerätename etc. zur Geräteidentifikation angezeigt. Zudem kann die IP-Adresse eines Routers geändert oder das Web-Interface eines ausgewählten Routers direkt geöffnet werden. 1460830000 2014/2015.5
Gigabit 2 Gigabit Ports (LAN/WAN) Integrierte Firewall NAT masquerading, 1:1 network mapping und Port-Weiterleitung Fernzugriff via VPN (OpenVPN, IPsec, L2TP) Schlüsselschalterfunktion für De/Aktivierung der WAN/VPN-Verbindung Variante mit integriertem 3G/UMTS-Modem für schnellen, internetbasierten Mobilfunkzugriff Speicherung und Wiederherstellung der Gerätekonfiguration mittels SIM-Karte Technische Daten Betriebsarten IP-Router Transparent Bridge Netzwerkdienste Statisches oder dynamisches Routing, unterstützt RIPv2 / OSPF 2-Port-Switch mit zusätzlichem Layer-2 Filter DHP Server / DHP Relay DNS-Relay NTP-lient DynDNS (DHP-lient nach RF 2136) Firewall IPv4 Stateful Packet Inspection Firewall (ein-/ausgehend) NAT-Masquerading, 1:1 NAT, Portforwarding Layer-2/3-Filter (VLAN ID, VLAN QoS Tag, MA-Adresse, Ethertype Frame) Auto-Learning -Funktion zur Erstellung von Paket-Filterregeln (Analyse Netzwerkverkehr) Layer 2/3-basierte Paketpriorisierung (Ethernet Frame, IP Header, VLAN Tag) VPN OpenVPN Konfigurierbar als OpenVPN-Server oder -lient (Layer 2 und Layer 3) Authentifizierung über X.509 Zertifikate Tunnel-Unterstützung via HTTP-Proxy Maximal 10 unterschiedliche lient- oder Serverkonfigurationen Unbegrenzte Anzahl von lient-verbindungen im Server-Modus IPsec Konfigurierbar als IPsec-Server oder -lient Authentifizierung über PSK (Benutzerkennung, Passwort) oder X.509 Zertifikate Hardware-basierte Verschlüsselung für beschleunigten Datendurchsatz Maximal 64 gleichzeitige Verbindungen (Sub-Netz zu Sub-Netz oder als IPsec-Server) Verschlüsselungsalgorithmen DES-56, 3DES-168, AES-128, AES-192, AES-256 Management Konfiguration über WEB-Interface (HHTP/HTTPS) Sprach-Interface umschaltbar in deutsch oder englisch Konfigurationsunterstützung durch detaillierte Hilfe-Informationen (Tooltip) Konfigurierbarer Multi-User-Zugang mit frei definierbaren Rechten Unterstützung von SNMP v1/v2/v3, Eventlog/Syslog Sonstiges Modbus/TP Integrierter Modbus-TP-Server für Statusabfragen und softwarebasierter Aktivierung/De-Aktivierung von VPN-Verbindungen Diagnose Remote apture -Funktion zur Netzwerkdiagnose über einen angeschlossenen P (Wireshark) Überwachung lient-monitoring (per IMP) mit Alarmfunktion im Fehlerfall \ Schnittstellen RJ45-Ports 2x10/100/1000BaseT(X) USB-Port Option für zukünftige Erweiterungen SM-Kartenleser Speichern und Wiederherstellen der Konfiguration mittels Smart ard (Speicherchip) LED-Anzeigen Signalisierung der Zustände für Spannung, Status, ut, Alarm, aktiver VPN-Verbindung und aktiver UMTS-Verbindung Digitale Ausgänge Alarm > Signalisiert einen konfigurierbaren Netzwerkzustand oder Fehler (24 V out) VPN-active > Signalisiert eine aktive VPN-Verbindung (24 V out) Digitale Eingänge ut > Trennt physikalisch (Link Down) den WAN-Port (24 V in) VPN-initiate > Aktiviert eine vorkonfigurierte VPN-Verbindung (24 V in) Reset-Button Wiederherstellen der Werkseinstellung Spannungsversorgung Eingangsspannung 1x 24 V D (7 bis 36 Volt) Stromaufnahme max. 600 ma @ 24 V D Technische Daten (Gehäuse) Gehäuse Metall, Schutzart IP 20 Abmessungen (B x H x T) 35 x 159 x 134 mm (ohne Antenne) 35 x 255 x 134 mm (mit UMTS-Antenne) Montage TS 35 Umgebungsbedingungen Betriebstemperatur 20 bis +70 Lagertemperatur 20 bis +85 Umgebungsluftfeuchte 6 bis 90 % nicht kondensierend DSL und UMTS/HSPA DSL Anschluss des DSL-Modems über LAN- oder WAN-Port Freie Konfiguration der PPPoE-Zugangsdaten DynDNS Unterstützung der automatischen Registrierung UMTS/3G Integriertes Quad-Band UMTS/HSPA Modem (nur Variante IE-SR-2GT-UMTS/3G) Peak Downlink 21.1 Mbps, Peak Uplink 5.76 Mbps GSM/GPRS/EDGE: 850 Mhz, 900 Mhz, 1800 Mhz, 1900 Mhz UMTS/WDMA/HSDPA/HSUPA: 850 Mhz, 900 Mhz, 1900 Mhz, 2100 Mhz F, E, I, N, PTRB, Bell, AT&T Zulassungen Sicherheit UL508 EMV EN301 489-1/-7/-24, F Part 15 lass A, EN 55022 lass A, EN61000-4-2 (ESD), EN61000-4-3 (RS) EN61000-4-4 (EFT), EN61000-4-5 (Surge), EN61000-4-6 (S) Schock DIN EN 60068-2-27 Vibration DIN EN 60068-2-6 Gewährleistung Zeitraum 3 Jahre Bestelldaten Modelle Typ Best.-Nr. LAN/WAN-Router IE-SR-2GT-LAN 1345270000 LAN/WAN-Router mit integriertem UMTS/3G Modem IE-SR-2GT-UMTS/3G 1345250000.6 1460830000 2014/2015