IPv6 in der Automatisierungstechnik
Aufbruch in eine neue Kommunikationsära
Die Knappheit an IP-Adressen führt unweigerlich zum Übergang vom IPv4- auf das IPv6-Protokoll. Dies betrifft auch die Automatisierungstechnik. Durch mögliche Zweigleisigkeit ist ein Bestandsschutz für Altanlagen gegeben. Erste Automatisierungsprodukte mit IPv6-Unterstützung ermöglichen die Backbone-Anbindung, ohne auf eine spezielle Übergangstechnik angewiesen zu sein.Mit der Einführung des Internet-Protokolls in Version 6 (IPv6) in der Automatisierungstechnik erweitern sich die bisherigen IPv4-Adressen mit 32 Bit auf eine vier Mal so breite Adresse mit 128 Bit. Dadurch lässt sich der Adressraum massiv vergrößern. Dies erlaubt zugleich eine komplette Abkehr von den bisher eingeführten Adressumsetzungen im begrenzten IPv4-Adressraum. Somit ist zukünftig wieder eine problemlose Kommunikation direkt zwischen Endsystemen möglich. Eine komplizierte und fehleranfällige Adressdefinition via Network Address Translation (NAT) wird obsolet. In der Zukunft wird es nur noch zur reinen "End-to-End-Kommunikation" kommen. Einschränkende Techniken wie NAT und PAT (Port and Address Translation) sind nicht mehr erforderlich. Welche Nutzen ergeben sich für den Anwender von der Einführung der neuen IPv6-Technik? Dazu gehören sicher eine durchgängige Diagnose von der ERP-Ebene über die Leitebene bis in die Feldebene, ein hierarchischer Aufbau von Netzstrukturen und ein optimiertes Routing. Neue Informationstechniken werden ausschließlich auf IPv6 basieren. Zugleich ist in der Praxis jedoch die Koexistenz von IPv4 und IPv6 für eine lange Zeit zu berücksichtigen. Daher stellt sich heute nicht mehr die Frage, ob ein Übergang von IPv4 nach IPv6 stattfindet, sondern wann. Künftig wird auf der ERP-Ebene IPv6 vorherrschend sein, da neue Funktionen innerhalb der Software direkt auf den IPv6-Diensten aufsetzen. Durch die zunehmende Verzahnung der Automatisierung mit der Büro-IT-Kommunikation gewinnen auch die auf IPv6 basierenden Kommunikationsdienste mit durchgängiger Diagnosefähigkeit auch für Automatisierungsgeräte immer mehr an Bedeutung. Umstieg auf IPv6 notwendig Rückblick: Am 1. Februar 2011 war es soweit: Die Internet Assigned Numbers Authority (IANA) vergab den letzten freien Adressblock an das Asia Pacific Network Information Center (APNIC). Damit sind keine freien IPv4-Adressen zur Zuteilung an die fünf Regional-Internet-Registry(RIR)-Organisationen mehr möglich. Diese können nur noch die letzten, bei den RIR-Stellen verbliebenen IPv4-Adressen an ihre Anwender weitervergeben. Für die Nutzer von IPv4 beginnt damit ein Umstieg auf das bereits seit 15 Jahren definierte Protokoll IPv6. Betriebssysteme wie Windows oder Linux bieten bereits seit Jahren dazu die entsprechende Unterstützung an. Kurzfristig werden die Anwender noch IPv4-Adressen aus dem Pool der Regional Internet Registry erhalten, aber mittelfristig wird eine weltweite Erreichbarkeit darüber nicht mehr gegeben sein. Der einzige Ausweg aus dieser Misere ist die Verwendung von globalen, eindeutigen IPv6-Adressen, um die End-to-End-Kommunikation sicherzustellen. Die Standardisierung von IPv6 begann bereits im Jahr 1998 mit der Veröffentlichung der RFC-2460-Anfrage (Request for Comments). Dieser Stand gilt als offizieller Nachfolger des IPv4-Protokolls. Die Standardisierung befindet sich heute in einem stabilen Zustand. Viele Erweiterungen, wie die Koexistenz von IPv4 und IPv6, DHCPv6, Neighbour Discovery und vieles mehr, sind in der Zwischenzeit in den verschiedenen RFC-Spezifikationen beschrieben. Mit IPv6 genügend Adressen vorhanden Die IPv6-Adressen sind - anders als bei IPv4 - in 8 × 16 Bitfeldern in je vier hexadezimalen Ziffern geschrieben. Diese sind jeweils durch einen Doppelpunkt voneinander getrennt. Es gibt stets ein Subnet-Prefix bestehend aus 64 Bit und eine Interface-ID aus 64 Bit. Das Bild links zeigt ein Beispiel einer IPv6-Adresse. Mathematisch sind dadurch 340.282.366.920.938.463.463.374.607.431.768.211.456 Adressen möglich - also im Größenbereich von 3,4 × 1038. Diese unvorstellbar große Zahl lässt sich nur mit einem einigermaßen erfassbaren Vergleich darstellen: Jedem Proton im Universum ließe sich damit eine eigene IP-Adresse zuteilen - oder jedem der sieben Milliarden Menschen auf der Erde mehr als 1029 Adressen. Da nun genügend Adressen vorhanden sind, um eine eindeutige Adressierung und damit eine direkte Verbindung zwischen den Teilnehmern zu ermöglichen, entfällt die Notwendigkeit der Network Address Translation (NAT) oder auch der Port Address Translation (PAT). Viele Adressen an einem Interface Mit der IPv6-Adressierung erhält jedes Netzwerkinterface mindestens eine, meist jedoch mehrere Adressen. Dies kann neben der für die Adressvergabe wichtigen Link Local Address - LLA entsteht pro Interface immer automatisch - auch eine Unique Local Address (ULA) sein oder gleich eine so genannte Globale Address (GA) enthalten. Eine der wichtigsten Neuerungen bei IPv6 ist die automatische Adressvergabe. Mithilfe der Autokonfiguration kann sich jeder IP-Knoten selbst eine eindeutige Link-Local-Adresse erzeugen, ohne dazu auf eine manuelle Konfiguration oder einen DHCP-Server zurückgreifen zu müssen. Damit sind alle Geräte im lokalen Subnetz IPv6-technisch erreichbar und diagnostizierbar. Bei einer zusätzlichen Benutzung von Router Discovery erhält der Teilnehmer weitere IPv6-Adressen, Router-Adressen und weitere Konfigurationsparameter. Dieses Verfahren soll den Aufwand bei der Administration von Netzwerken deutlich reduzieren. Der Begriff Dual-Stack bezieht sich in der Regel auf eine vollständige Duplikation der IPv4- und IPv6-Stacks über alle Ebenen im Protokollstapel, also von der Anwendungs- bis zur Netzwerkschicht. Der Dual-Stack-Ansatz stellt sicher, dass die weiterentwickelten Komponenten stets über IPv4 mit Komponenten zusammenarbeiten können, die nur IPv4-fähig sind. In der Automatisierungstechnik ist darüber zudem die Kompatibilität zu bereits vorhandenen Anlagenteilen sichergestellt. Ein zusätzlicher IPv6-Support bei neuen Geräten sorgt für eine problemlose globale Erreichbarkeit ohne Auswirkungen auf die bestehenden Kommunikationsbeziehungen. Der gleichzeitige Betrieb von IPv4- und IPv6-Kommunikation erfordert aus Netzwerksicht vor allem Unterstützung in den Layer-3-Geräten (Routing). Vorhandene Layer-2-Geräte (Switches) erlauben zwar prinzipiell beide Protokolle, doch zur uneingeschränkten Unterstützung von IPv6 sind auch auf dieser Ebene Anpassungen nötig. Durch diese Zweigleisigkeit ist ein Bestandsschutz für Altanlagen vorhanden, und eine Umrüstung oder Hochrüstung kann die Ausnahme bleiben. Dass die Anbindung von Automatisierungskomponenten über IPv6-Kommunikation im Automatisierungsbereich leicht möglich ist, zeigen nachfolgende Beispiele: Bei Verwendung des Simatic-Net-OPC-Servers ist es bereits heute möglich, über IPv6 zu kommunizieren. Er übernimmt die Rolle eines Proxy-Servers, der einen komfortablen Zugriff auf die Automatisierungsdaten über IPv4 und IPv6 anbietet. Damit wird es den OPC-Clients (HMI/Scada) möglich, unabhängig davon, ob IPv4 oder IPv6 zum Einsatz kommt, die notwendigen Informationen aus der Automatisierungsanlage zu erhalten. Dies macht es vor allem in einer Übergangszeit leicht, sich an die unterschiedlichen Netze anzupassen. Über ein Backbone-Netzwerk greifen die Geräte auf eine Anlage zu, die noch IPv4-fähig ist oder die andere Feldbussysteme wie etwa Profibus unterstützen. Der OPC-Client oder ein entsprechender OPC-Browser müssen mit der richtigen IPv6-Adresse konfiguriert sein. Nach dem Zugriff auf den Server erscheinen die vorhandenen Variablen. Der Anwender merkt dabei keinerlei Unterschied, ob er sich über IPv4 oder IPv6 verbunden hat. Nur bei der Interface-Projektierung wird dies deutlich. Noch einfacher gestaltet sich das Vorgehen, wenn bei dem OPC-Server nur noch der Name einer PC-Station angegeben wird. Mit dem Kommunikationsprozessor CP 1543-1 stellt Siemens nach eigenen Angaben erstmalig ein PLC-Produkt vor, das speziell für die Anbindung an das IPv6-Backbone-Netzwerk entstand. Der CP 1543-1 bietet die Möglichkeit, über die TCP-Schnittstelle des PCs mit IPv6 über die bekannten Fetch/Write-Dienste auf Variablen der Simatic-S7-1500-Station zuzugreifen. Damit ist es möglich, dass in einem Leitsystem die vorhandenen Kommunikationsmechanismen bestehen bleiben oder sogar auf eine neue Transportschicht übergehen - in diesem Fall IPv6. Weitere Möglichkeiten zur Anbindung an eine neue IPv6-Infrastruktur bieten FTP (Client/Server) und Mail (nur Client). Kommunikationsprozessor CP1543-1 als FTP-Server Für die Konfiguration eines IPv6-FTP-Servers sind bei dem CP 1543-1 nur wenige Einstellungen über die Projektierungssoftware Step 7 V12.0 notwendig. Es sind: die IPv6-Adresse für den Kommunikationsprozessor CP 1543-1 festzulegen, das Protokoll FTP oder FTPS zu aktivieren, den Benutzer mit Namen und Kennwort anlegen und die Projektierungsdaten abzuspeichern und auf die Station zu übertragen. Damit ist die Projektierung in einer komfortablen Projektierungsoberfläche abgeschlossen, und ein Zugriff auf Daten des PLC-Programms ist möglich. Natürlich sind die Funktionen für IPv6 in dem Gesamtkonzept Security mit berücksichtigt. Der Anwender kann dabei festlegen, wie einzelne Benutzer oder Teilnehmer auf die Daten der Station zugreifen können. Der Zugriff auf die Daten in einem Automatisierungsgerät ist mit frei verfügbaren Tools unter IPv6 möglich. Die Bedeutung von IPv6 wird nicht zuletzt aufgrund der Verknappung von IPv4-Adressen zunehmen. Weltweit eindeutige IP-Adressen und die damit einhergehende Möglichkeit, Anlagen und Produktionsstätten global nahtlos zu vernetzen, werden dazu führen, dass IPv6 in den nächsten Jahren nach und nach Einzug in IT-Infrastrukturen halten wird. Die Entscheidung für die Einführung von IPv6 in einem Netzwerk hat weitreichende Konsequenzen. Eine gewissenhafte Planung zur Umstellung, Zeit zum Testen und eine Strategie, wie lange man die bisherige IPv4-Infrastruktur noch parallel betreiben kann, sind erforderlich. Alle Einstellungen, die unter IPv4 gesammelt wurden, sind bei einem Parallelbetrieb doppelt zu konfigurieren und pflegen. Ein kompletter Umstieg auf IPv6 ist erst möglich, wenn sämtliche Teilnehmer sich durch IPv6 adressieren lassen und auch im World Wide Web die notwendige Infrastruktur besteht. Aus der IT-Welt kommende Übergangstechniken wie zum Beispiel die Verwendung von IPv4-kompatiblen Adressen oder IPv4-Mapped-Adressen, Tunneling-Techniken (wie IPv6-over-IPv4 oder Teredo) erzeugen zusätzlichen Aufwand, reduzieren die Sicherheit und schränken teilweise die Funktionalität ein. Der Einsatz solcher Techniken ist daher gründlich abzuwägen. Um in Zukunft die Konnektivität zum Internet mit IPv6 sicherzustellen, ist die Einbindung der Automatisierungsnetze in die IPv6-Infrastruktur erforderlich. Erste Automatisierungsprodukte - etwa von Siemens - mit IPv6-Unterstützung ermöglichen diese Backbone-Anbindung, ohne auf die Verwendung von Übergangstechnik angewiesen zu sein. Sie gewährleisten so auch zukünftig die globale Vernet-zung von Produktionsanlagen.
Lesen Sie mehr zum Thema
