Difference between revisions of "Uppsetning netkerfis"
(→VPN tenging verktaka) |
|||
| (7 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
[[File:Netkerfi01.PNG|right|500px|border|Tenging tækja við netkerfi (tækninet) og áfram til kerfiráðar. IP-tölur eru aðeins til útskýringar.]] | [[File:Netkerfi01.PNG|right|500px|border|Tenging tækja við netkerfi (tækninet) og áfram til kerfiráðar. IP-tölur eru aðeins til útskýringar.]] | ||
== Inngangur == | == Inngangur == | ||
| − | Stjórnbúnaður er gjarnan hafður á sérstöku sýndarneti og næst þannig aðskilnaður á milli upplýsingakerfa (IT - Information Technology) og tæknikerfa (OT - Operational Technology). Kerfiráðurinn er tölvuþjónn - oft á sýndarvél - sem oft er skilgreindur sem hluti af IT-kerfinu. Á OT-netinu (köllum þetta einnig tækjanet) eru kerfi sem hafa TCP/IP viðmót eins og t.d. iðntölvur, loftræsisamstæður, kælivélar og varmadælur, myndavélakerfi og brunaviðvörunarkerfi. | + | Stjórnbúnaður er gjarnan hafður á sérstöku sýndarneti (köllum það tækjanet) og næst þannig aðskilnaður á milli upplýsingakerfa (IT - Information Technology) og tæknikerfa (OT - Operational Technology). Kerfiráðurinn er tölvuþjónn - oft á sýndarvél - sem oft er skilgreindur sem hluti af IT-kerfinu. Á OT-netinu (köllum þetta einnig tækjanet) eru kerfi sem hafa TCP/IP viðmót eins og t.d. iðntölvur, loftræsisamstæður, kælivélar og varmadælur, myndavélakerfi og brunaviðvörunarkerfi. |
Öll tæki sem tengjast inn á tækjanetið þurfa að fá sína eigin föstu IP-tölu. Í dæminu á myndinni til hliðar eru loftræsikerfi, kælivél og stjórnskápar á tækjanetinu en kerfiráðurinn er á öðru sýndarneti og endurspeglast það í IP-tölu kerfiráðarins. | Öll tæki sem tengjast inn á tækjanetið þurfa að fá sína eigin föstu IP-tölu. Í dæminu á myndinni til hliðar eru loftræsikerfi, kælivél og stjórnskápar á tækjanetinu en kerfiráðurinn er á öðru sýndarneti og endurspeglast það í IP-tölu kerfiráðarins. | ||
| Line 11: | Line 11: | ||
* GenBroker: 38080 | * GenBroker: 38080 | ||
* Modbus TCP: 502 | * Modbus TCP: 502 | ||
| + | * BACnet IP: 47808 | ||
* PLC samskipti: 28784 | * PLC samskipti: 28784 | ||
Önnur port kann að þurfa að opna ef aðrir samskiptahættir eða þjónustur eru notaðar. | Önnur port kann að þurfa að opna ef aðrir samskiptahættir eða þjónustur eru notaðar. | ||
| Line 16: | Line 17: | ||
== Tölvupóstur frá kerfi == | == Tölvupóstur frá kerfi == | ||
Hægt er að láta stýrikerfið senda tilkynningar og viðvaranir með tölvupósti og skeytum í síma tæknimanna. Þá þarf að vera aðgangur frá stýrikerfinu að SMTP-póstþjóni. Þannig verður að vera opin leið frá iðntölvu og kerfiráði að póstþjóninum með tilheyrandi SMTP-porti. | Hægt er að láta stýrikerfið senda tilkynningar og viðvaranir með tölvupósti og skeytum í síma tæknimanna. Þá þarf að vera aðgangur frá stýrikerfinu að SMTP-póstþjóni. Þannig verður að vera opin leið frá iðntölvu og kerfiráði að póstþjóninum með tilheyrandi SMTP-porti. | ||
| + | |||
| + | '''Dæmi''': Ef notast er við póstþjón postur.simnet.is þarf að vera opið frá stýrikerfi að IP-tölu 194.105.232.70 og porti 25. | ||
== VPN tenging verktaka == | == VPN tenging verktaka == | ||
Við gangsetningu og eftirfylgni kerfa er æskilegt að Iðnaðartækni fái VPN aðgang þannig að hægt sé að vinna bæði á kerfiráði (gegnum Remote Desktop) og beint á iðntölvu frá skrifstofu. Með slíkum aðgangi eru möguleikar til breytinga, prófana og bilanagreininga miklu betri en ella. Fyrir tíma VPN var gangsetningarvinna þunglamalegri og krafðist oft mikilla ferðalaga en nú til dags geta sérfræðingar Iðnaðartækni tengt sig beint inn á kerfi þegar upp koma spurningar eða athugasemdir og hægt er að leiðbeina eða leiðrétta eftir því sem við á. | Við gangsetningu og eftirfylgni kerfa er æskilegt að Iðnaðartækni fái VPN aðgang þannig að hægt sé að vinna bæði á kerfiráði (gegnum Remote Desktop) og beint á iðntölvu frá skrifstofu. Með slíkum aðgangi eru möguleikar til breytinga, prófana og bilanagreininga miklu betri en ella. Fyrir tíma VPN var gangsetningarvinna þunglamalegri og krafðist oft mikilla ferðalaga en nú til dags geta sérfræðingar Iðnaðartækni tengt sig beint inn á kerfi þegar upp koma spurningar eða athugasemdir og hægt er að leiðbeina eða leiðrétta eftir því sem við á. | ||
| + | |||
| + | '''Sterklega er mælt með því að VPN tenging sé varin með tveggja þátta auðkenningu.''' | ||
| + | |||
| + | == Hugbúnaðarleyfi == | ||
| + | Skjámyndakerfið er leyfisskylt og fara þarf með gát ef tölvan sem kerfið keyrir á er flutt. [[Kerfiráður|Sjá nánar í kafla um kerfiráð.]] | ||
Latest revision as of 13:14, 7 March 2024
Contents
Inngangur
Stjórnbúnaður er gjarnan hafður á sérstöku sýndarneti (köllum það tækjanet) og næst þannig aðskilnaður á milli upplýsingakerfa (IT - Information Technology) og tæknikerfa (OT - Operational Technology). Kerfiráðurinn er tölvuþjónn - oft á sýndarvél - sem oft er skilgreindur sem hluti af IT-kerfinu. Á OT-netinu (köllum þetta einnig tækjanet) eru kerfi sem hafa TCP/IP viðmót eins og t.d. iðntölvur, loftræsisamstæður, kælivélar og varmadælur, myndavélakerfi og brunaviðvörunarkerfi.
Öll tæki sem tengjast inn á tækjanetið þurfa að fá sína eigin föstu IP-tölu. Í dæminu á myndinni til hliðar eru loftræsikerfi, kælivél og stjórnskápar á tækjanetinu en kerfiráðurinn er á öðru sýndarneti og endurspeglast það í IP-tölu kerfiráðarins.
Port opnun
Ef upplýsinganet og tækjanet eru aðskilin þarf að tryggja að eftirfarandi port séu opin í eldvegg milli kerfiráðar og tækjanets:
- HTTP: 80 og 8080
- HTTPS: 443
- GenBroker: 38080
- Modbus TCP: 502
- BACnet IP: 47808
- PLC samskipti: 28784
Önnur port kann að þurfa að opna ef aðrir samskiptahættir eða þjónustur eru notaðar.
Tölvupóstur frá kerfi
Hægt er að láta stýrikerfið senda tilkynningar og viðvaranir með tölvupósti og skeytum í síma tæknimanna. Þá þarf að vera aðgangur frá stýrikerfinu að SMTP-póstþjóni. Þannig verður að vera opin leið frá iðntölvu og kerfiráði að póstþjóninum með tilheyrandi SMTP-porti.
Dæmi: Ef notast er við póstþjón postur.simnet.is þarf að vera opið frá stýrikerfi að IP-tölu 194.105.232.70 og porti 25.
VPN tenging verktaka
Við gangsetningu og eftirfylgni kerfa er æskilegt að Iðnaðartækni fái VPN aðgang þannig að hægt sé að vinna bæði á kerfiráði (gegnum Remote Desktop) og beint á iðntölvu frá skrifstofu. Með slíkum aðgangi eru möguleikar til breytinga, prófana og bilanagreininga miklu betri en ella. Fyrir tíma VPN var gangsetningarvinna þunglamalegri og krafðist oft mikilla ferðalaga en nú til dags geta sérfræðingar Iðnaðartækni tengt sig beint inn á kerfi þegar upp koma spurningar eða athugasemdir og hægt er að leiðbeina eða leiðrétta eftir því sem við á.
Sterklega er mælt með því að VPN tenging sé varin með tveggja þátta auðkenningu.
Hugbúnaðarleyfi
Skjámyndakerfið er leyfisskylt og fara þarf með gát ef tölvan sem kerfið keyrir á er flutt. Sjá nánar í kafla um kerfiráð.
