Flux de données du réseau de contrôle
Ce flux de données IP émane du réseau de contrôle.
Description
Pour contrôler l'accès aux serveurs de communication dans un produit intégré, la gestion du contrôle d'accès restreint le flux de données IP envoyé par le réseau de contrôle à une source autorisée ou à une adresse IP de sous-réseau.
Exemple d'architecture
La figure suivante montre le rôle et l'impact des paramètres de contrôle d'accès. Le contrôle d'accès gère le flux de données Ethernet provenant des équipements qui communiquent sur les réseaux d'exploitation et de contrôle (situés dans la zone grisée).
(*) Certains services nécessitent un accès au réseau d'équipements (par exemple, mise à jour du micrologiciel à l'horodatage de la source). Dans ce cas, un routeur/VPN en option permet de sécuriser le contrôle d'accès.
Configuration des adresses autorisées dans l'exemple d'architecture
Objectifs du contrôle d'accès :
Tout équipement connecté au réseau d'exploitation (adresse IP = 192.200.x.x) a accès au serveur Web de la CPU.
Tout équipement connecté au réseau de contrôle (adresse IP = 192.200.100.x) peut communiquer avec la CPU selon le protocole Modbus TCP et accéder au serveur Web de la CPU.
Pour limiter le flux de données dans l'exemple d'architecture ci-dessus, les adresses et services autorisés sont définis comme suit dans ce tableau de contrôle d'accès Control Expert :
Source |
Adresse IP |
Sous-réseau |
Masque de sous-réseau |
FTP |
TFTP |
HTTP / HTTPS |
Port502 |
EIP |
SNMP |
|---|---|---|---|---|---|---|---|---|---|
Gestionnaire de réseau |
192.200.50.2 |
Non |
– |
– |
– |
– |
– |
– |
+ |
Réseau d'exploitation |
192.200.0.0 |
Oui |
255.255.0.0 |
– |
– |
+ |
– |
– |
– |
Automation Device Maintenance / Unity Loader |
192.200.100.2 |
Non |
– |
+ |
– |
– |
– |
– |
– |
Réseau de contrôle |
192.200.100.0 |
Oui |
255.255.255.0 |
– |
– |
– |
+ |
– |
– |
+ Sélectionné - Non sélectionné ou aucun contenu |
|||||||||
Description des réglages
Une adresse autorisée est définie pour les équipements autorisés à communiquer avec la CPU selon le protocole Modbus TCP ou EtherNet/IP.
Explication des paramètres des services pour chaque adresse IP dans l'exemple ci-dessus :
| 192.200.50.2 (SNMP): | Configuré pour autoriser l'accès à partir du gestionnaire de réseau avec le protocole SNMP. |
| 192.200.0.0 (HTTP/HTTPS) : | Le sous-réseau du réseau d'exploitation est configuré pour autoriser tous les navigateurs Web connectés au réseau d'exploitation à accéder au navigateur Web de la CPU. |
| 192.200.100.2 (FTP): | Configuré pour autoriser l'accès à partir de Automation Device MaintenanceUnity Loader avec le protocole FTP. |
| 192.200.100.0 (Port502) : | Le sous-réseau du réseau de contrôle est configuré pour autoriser tous les équipements connectés au réseau de contrôle (OFS, Control ExpertAutomation Device MaintenanceUnity Loader) à accéder à la CPU via le Port502 Modbus. |
Dans l'écran de Control Expert, saisissez les règles propres à un sous-réseau dédié, avant la règle du sous-réseau. Exemple : Pour accorder un droit SNMP spécifique à l'équipement 192.200.50.2, saisissez la règle avant la règle de sous-réseau globale 192.200.0.0/255.255.0.0 qui autorise l'accès HTTP à tous les équipements du sous-réseau.