Fehlersuche im Netz

Bei der Datenübertragung werden die Datenströme in Datenframes aufgeteilt, die mit einer Quell- und Zieladresse ergänzt werden. In der IT-Welt ist dies die IP-Adresse, welche lokal vergeben wird und aus vier Zahlen zwischen 0 und 255 besteht, die durch Punkte getrennt sind. Im OT-Umfeld, also in der Automatisierungstechnik, wird hingegen schwerpunktmäßig mit MAC-Adressen gearbeitet Die MAC-Adresse ist an die Hardware gebunden und wird auch als physische Adresse bezeichnet, weil sie vom Chip-Hersteller vergeben und in manchen Fällen unveränderbar gespeichert wird.

Auch bei der Datenübertragung gibt es bei IT und OT Unterschiede. Das Standard-Internet ist nicht deterministisch und es kann prinzipbedingt nicht sichergestellt werden, dass die Übertragung innerhalb einer bestimmten Zeit abgeschlossen ist. Bei Büroanwendungen, etwa bei der Kommunikation zwischen einem PC und einem Drucker, kommt es auf ein paar Millisekunden nicht an. In der Automatisierungstechnik muss der Datenaustausch zwischen verschiedenen Komponenten jedoch innerhalb einer definierten Zeit erfolgen, weil sonst der gesteuerte Prozess unterbrochen werden kann. Deshalb wurden die sogenannten Industrial-Ethernet-Protokolle, wie Profinet oder Ethercat, so erweitert, dass eine echtzeitfähige Kommunikation möglich ist.

Obwohl es möglich ist eine Profinet-Installation auch mit Komponenten, wie Patchkabel und Switche, aus dem Büroumfeld aufzubauen, wird davon allgemein abgeraten, auch dann, wenn kein Determinismus erforderlich ist. In der OT herrschen einfach andere Umgebungsbedingungen als in der IT, was eine der vielen Ursachen bei Netzwerkfehlern sein kann.

Tools zur Netzwerkanalyse

Bei der Suche nach Fehlern ist die Verwandtschaft zwischen Ethernet und Profinet ein großer Vorteil. Zahlreiche Tools aus dem Ethernet-Umfeld, die als Bordmittel, als Freeware- oder als Open Source-Software verfügbar sind, sind zum großen Teil auch für die Diagnose von Profinet-Netzwerken nützlich.

Hier ein paar Beispiele:

• Das Kommandozeilentool Ping ist in fast jedem Betriebssystem mit Netzwerkanbindung vorhanden. Mit ping 168.192.5.5 lässt sich prüfen, ob dieser Teilnehmer erreichbar ist. Es ist jedoch zu beachten, dass manche Geräte wie Router aus Gründen der Security nicht auf einen Ping antworten.
• Mit einem Netzwerkscanner kann man sich einen Überblick über alle Netzwerkteilnehmer verschaffen. Es werden die erreichbaren Teilnehmer, die Antwortzeiten und die Paketverluste angezeigt. Mit ihm lassen sich auch doppelt vergebene IP-Adressen und DHCP-Server finden. Im Gegensatz zur IT-Welt sind die Antwortzeiten bei Profinet nicht so relevant, da bei Profinet die Kommunikation in einem festen Zeitraster erfolgt.
• Wireshark ist eine frei verfügbare Software zum Mitlesen, Protokollieren und Analysieren von Kommunikationsprotokollen. Sie verbindet viele Funktionen zum Netzwerk-Monitoring, zum Troubleshooting und zur Protokollanalyse. Um die vielfältigen Funktionen zu nutzen, ist ein gewisses Know-how zu Protokoll-Interna hilfreich. Ein weiteres Einsatzgebiet von Wireshark ist das Aufspüren von Schwachstellen in der IT-Sicherheit.
• Das Inbetriebnahme- und Diagnose-Tool Proneta gibt es kostenlos (mit Einschränkungen) oder als lizenzierte Ausführung. Mit ihm kann man einfach die Topologie von Profinet-Netzwerken darstellen und erfährt nebenbei über die Nachbarschaftserkennung Details über die Netzstruktur.

Installationsfehler finden

Bei der Suche nach der Ursache für Fehler in der Profinet-Kommunikation wird zwischen zwei Fehlerursachen unterschieden: Installations- und Verbaufehler, die von Anfang an da sind – und die Alterungseffekte. Alterungseffekte beziehen sich auf alle Schwachstellen, die im Laufe der Zeit durch Umwelteinflüsse, wie Temperaturschwankungen, Vibrationen, Wechselbiegebelastungen oder Materialmüdigkeit, verursacht werden. Bei den hier genannten Tools geht es in erster Linie um Installationsfehler, wie etwa doppelt vergebene IP-Adressen – das heißt zwei Baugruppen haben identische Adresse. Das kann bei Neuinstallationen oder Anlagenerweiterungen leicht passieren.

DHCP-Server deaktivieren

Ein DHCP-Server vergibt automatisch eine IP-Adresse, sobald ein neuer Teilnehmer ans Netzwerk kommt. In der Büroumgebung ist das komfortabel, weil es Administrationsaufwand spart. In einem Profinet-Netzwerk werden die IP-Adressen allerdings immer manuell vergeben, weil genau bekannt sein soll, welcher Teilnehmer mit welchem anderen Teilnehmer Daten austauscht. Wenn trotzdem ein DHCP-Server aktiv ist, kann das zu einer Doppeladressierung führen, was die Profinet-Kommunikation stören kann.

Außerdem benötigen viele Dienste und Services zur Kommunikation nicht nur die IP-Adresse, sondern auch einen sogenannten Port. Allerdings sollten nur die Ports freigegeben sein, die auch tatsächlich benötigt werden, da sich Hacker häufig über offene Ports unbefugt Zugang zum Netzwerk verschaffen.

Vorsicht mit den Tools

Da die hier vorgestellten Tools auch in Hackerkreisen im Einsatz sind, stehen sie bei so manchem Netzwerkadministrator auf der „Roten Liste“. Dementsprechend ist es wichtig, den Einsatz dieser Hilfsmittel mit dem Administrator abzustimmen. Zudem sollte man die zusätzliche Netzwerklast dieser Tools nicht unterschätzen. Es ist daher eventuell sinnvoll, den Einsatzzeitpunkt in ein Wartungsfenster zu legen oder einzelne Adressbereiche nacheinander zu scannen, damit die punktuelle Netzwerklast nicht zu groß wird. Es ist ebenfalls wichtig, sich die Quellen genau anzuschauen, wo man diese Tools downloaden kann. Bei unseriösen Quellen wäre es denkbar, dass das Tool zwar bei der Fehlersuche hilft, jedoch gleichzeitig die Anlage ausspioniert und Daten abzieht.

Workshop Profinet-Diagnose

Auf dem Automatisierungstreff 2024 bietet Leadec einen eintägigen Workshop, bei dem eine ganze Reihe von Tools zur Fehlersuche in der Netzwerktechnik behandelt werden. Ein weiterer Schwerpunkt dieses Workshops ist die korrektive Instandhaltung von industriellen Netzwerken wie Profinet. Von der korrektiven Instandhaltung ist die Rede, wenn Konstruktions- oder Installationsfehler im Netzwerk oder Feldbus vorhanden sind und korrigiert werden sollen. Hans-Ludwig Göhringer und Gunter Ehlert, Netzwerk-Spezialisten bei Leadec, geben Erläuterungen und Antworten auf Fragen, etwa wie Installationsfehler zuverlässig erkannt und beseitigt werden oder wie ein konstruktiv-begleitender Prozess aussieht, um Installationsfehler von vornherein zu vermeiden. Die Leadec NetApp zur systematischen Fehlersuche rundet den Workshop ab. Sie ermöglicht eine Netzwerk-Diagnose per Sichtprüfung und dient zur Dokumentation von Profinet-Installationen über den gesamten Lebenszyklus. Abschließend wird besprochen, welche Auswirkungen durch die Erweiterung von Profinet mit der TSN-Funktionalität (Time-sensitive Networking) zu erwarten sind.