Switches für den industriellen Bereich weisen viele Besonderheiten auf, die es bei der Auswahl zu beachten gilt. Vor einem Kauf sollte ein Betreiber daher im Vorfeld Hardware, Funktionen und Kompatibilität mit Industriestandards analysieren und bewerten.

In industriellen Netzen stellen Switches die wichtigste Komponente der Infrastruktur dar. Über sie läuft der Datenaustausch zwischen den Controllern, speicherprogrammierbaren Steuerungen (SPS), Historians und weiter im Upstream gelegenen Steuerungen. Die Nähe zur Produktion, wo sehr spezielle Umgebungsbedingungen herrschen, erfordert besondere Switch-Modelle, was deren Widerstandsfähigkeit, Abmessungen und Stromversorgung angeht. In der Regel ist die Montage auf einer DIN-Schiene nach EN 60715 (Hutschiene) notwendig. Je kleiner der Switch ist, desto besser, denn Platz ist in den Schaltschränken der Maschinen normalerweise Mangelware. Dadurch bedingt sind ein effizienter Umgang mit Abwärme und ein höherer zulässiger Temperaturbereich für diesen Typ Switch, der auch ohne Durchlüftung zuverlässig arbeiten muss.

Andere Montagevarianten setzen die Switches der Umgebungsluft mit allen schädlichen Faktoren wie Staub und Feuchtigkeit direkt aus. Die Kühlung der Geräte sollte daher ohne Lüfter auskommen. Die Widerstandsfähigkeit gegen Feuchtigkeit und der Schutz gegen das Eindringen von Gegenständen wird über die IP-Schutzklasse angegeben. Leere Ports – und dies gilt für jedes Stecker- und Modulformat – müssen mit einer passenden Schutzhülle verschlossen sein.

Die Mehrzahl der industrietauglichen Switches ist für die Gleichspannungsversorgung mit 24 oder 48 Volt ausgelegt. Gegen die oft mit hochfrequenten Störungen belasteten Versorgungsspannungen bauen Hersteller normalerweise zusätzliche Filter sowie einen erweiterten Überspannungsschutz für einige Kilovolt ein. Auch Power over Ethernet wird von vielen Anwendern verlangt. Die Switches müssen dafür ein ausreichendes Energiebudget bereitstellen und die gebräuchlichen Standards 802.3af/at unterstützen. Die Ethernet-Ports sind normalerweise für Standard-RJ45-Stecker oder Glasfaser über GBICs mit LC-Format ausgelegt. Die RJ45-Variante ist auch in speziellen Ausführungen mit Spritzschutz oder Verschraubung verfügbar. Noch robuster und sicherer sind Sonderformate wie der M12-Stecker (D-Codierung), der bis 100 MBit/s freigegeben ist, und M12 in X-Codierung, der selbst 10 GBit/s übertragen kann.

Wurden früher im Automatisierungsbereich verschwindend geringe Datenmengen übertragen, sieht die Situation inzwischen anders aus: Zum einen sind mittlerweile mehr intelligente Elemente verbaut, die größere Datenmengen verschicken, zum anderen bietet sich das IP-basierte Netz auch für andere Aufgaben an. So lassen sich beispielsweise Videodaten von Überwachungskameras übertragen, was etwa im Umfeld von Smart Cities und Industrie 4.0 gefragt ist. In der Folge unterstützen einige Hersteller zusätzlich zu Fast Ethernet (100 MBit/s) Gigabit-Ports (1.000 MBit/s) und über GBICs noch höhere Geschwindigkeiten. Gerade Aggregations-Switches, die Daten von mehreren Bereichen sammeln und weiterleiten, sollte der Administrator im Hinblick auf die Zukunftssicherheit mit schnellen Uplink ausstatten können.

Vielfältige Optionen für die Netzkopplung

Je nach Architektur kommt den Ethernet-Verbindungen große Bedeutung zu. Für höhere Verfügbarkeit haben einige Hersteller proprietäre redundante Kopplungsverfahren zwischen Switches entwickelt. Andere verlassen sich auf die im Ethernet-Standard definierten Mechanismen wie Spanning Tree Protocol (STP). Existiert bereits Spanning Tree im Netz, ist die Technik zum einen bekannt und etabliert, zum anderen wird es auch intern Expertise für die Konfiguration und den Betrieb geben. Redundanz über proprietäre Standards hat hingegen den Vorteil, sehr simpel konfigurierbar zu sein, sodass auch Techniker aus der Automatisierung damit schnell ausfallsichere Netze aufbauen können. Aber eine solche Kopplung ist nur mit den Switches und Routern eines Herstellers umsetzbar – herstellerübergreifende Kompatibilität gibt es nicht.

Die Switches transportieren Datenpakete der diversen Feldbusse wie Modbus als Payload innerhalb von Ethernet ohne Probleme. Wenn die Feldbus-Daten allerdings im Switch ausgelesen oder manipuliert werden sollen, muss sie der Switch explizit unterstützen. Er kann dann beispielsweise die Registerinhalte eines Modbus-Frames auslesen und in einem eigenen Sub-Menü bereitstellen. Durch den direkten Zugriff haben die Anwender die Möglichkeit, Manipulationen, die nicht zeitkritisch sind, im Switch durchzuführen, ohne ein weiteres übergeordnetes Gerät wie ein Gateway damit zu belasten.

D-Link hat seine industrietauglichen Switches für den Einsatz im Automations- und Industrie-4.0-Umfeld oder in Smart Cities konzipiert. Bild: D-Link

Direkt am Einsatzort kommen normalerweise nicht verwaltbare Layer-2-Modelle zum Einsatz, die lediglich als simple Infrastruktur dienen. Eine Ebene höher, wo der Switch Daten aggregiert, manipuliert und weitere Eingriffe vornimmt, sollten es Layer-3-Switches mit Management-Funktionen sein. Einige erweiterte Ethernet-spezifische Funktionen, mit denen sich das Netz und der Datenverkehr optimieren lassen, sind besonders wichtig. Dazu gehört das Trunking, also die Kombination mehrerer Ports zwischen Switches zu einer virtuellen, leistungsfähigeren Pipeline. Neben dem höheren Durchsatz bietet dies im Industrieumfeld zusätzlich den Vorteil der erhöhten Redundanz. Die wichtigste Implementierung ist das Link Aggregation Control Protocol (LACP), entsprechend dem IEEE-Standard 802.3ad/802.1AX. Potenzielle Käufer sollten darauf achten, dass der Switch, selbst wenn eine proprietäre Lösung genutzt wird, zum Zweck der Investitionssicherheit trotzdem LACP unterstützt.

Multicast-Funktionen wie IGMP (Internet Group Management Protocol) sind gewöhnlich bei Layer-3-Switches als Standard eingebaut. Sie können sinnvoll sein, gerade wenn der Switch Videodaten aus IP-Kameras transportiert. Meist sind sie in ein übergreifendes QoS-Framework (Quality of Service) mit Traffic Shaping und Bandbreiten-Management eingebunden. Noch wichtiger ist eine umfassende VLAN-Unterstützung, die den aktuellen Standard 802.1Q beherrscht und nahtlos integriert ist. VLANs sind in Produktionsnetzen eine effektive und schnell umsetzbare Sicherheitsmaßnahme, um Produktions- und Management-Daten zu trennen.

Verwaltung und Sicherheit der Geräte

Während für das Management eine über HTTP erreichbare Web-Oberfläche Standard ist, sind nach wie vor konsolenbasierte Zugänge wichtig. Terminal-Emulationen und Telnet sollten dazu gehören, aber auch abschaltbar sein, sobald sie nicht mehr nötig sind. Selbst die klassische serielle Verbindung mittels RS-232-Schnittstelle ist im Industrieumfeld noch gebräuchlich. Generell sind verschlüsselte Verbindungen über HTTPS und SSH vorzuziehen. Wenn am Switch DIP-Schalter vorhanden sind, um bestimmte Parameter manuell einzustellen, sollten sie – wie USB-Ports oder SD-Karten-Slots – über die Management-Oberfläche abschaltbar sein. Eine Duale-Firmware-Verwaltung ist ebenfalls sinnvoll. So ist sichergestellt, dass immer eine funktionsfähige Firmware im Switch vorhanden ist.

Sicherheit ist ohnehin für Switches aufgrund ihrer exponierten Rolle ein maßgebliches Auswahlkriterium. Eine eigene Benutzerverwaltung mit Benutzername, Passwort und Rechtevergabe ist ebenso wichtig wie die Möglichkeit, sie in übergeordnete Verzeichnisdienste per LDAP einzubinden. Benutzerauthentifizierung per Radius und 802.1X sollte, zusammen mit MAC-basierter Zugangskontrolle, optional zum Funktionsspektrum gehören. Letztendlich müssen Switches im Produktionsumfeld in Absprache mit der IT-Abteilung immer ein fester Bestandteil des gemeinsamen IT-Sicherheitskonzepts sein.

Industriell genutzte Switches erfüllen zwar die gleichen Aufgaben wie Switches im Rechenzentrum, haben aber stellenweise ein deutlich abweichendes Anforderungsprofil. Doch inzwischen wachsen die Berührungspunkte von Automation und IT, vor allem was Sicherheit und gemeinsames Geräte-Management angeht. Wer Industrie-Switches auswählen will, tut gut daran, im Vorfeld strategische Entscheidungen der IT-Abteilung abzufragen und mit den eigenen Anforderungen in Einklang zu bringen.

Michael Müller ist Head of Product Management Central Europe bei D-Link Deutschland, www.d-link.de.