Konfigurácia parametrov komunikačnej linky kategórií TCP/IP-TCP a TCP/IP-TCP Redundant
Linky kategórii TCP/IP-TCP a TCP/IP-TCP Redundant boli navrhnuté pre potreby komunikačných protokolov, ktoré sú postavené priamo nad TCP/IP. Podporený je IPv4 aj IPv6 protokol. Je podporené aj TLS kryptovanie a to buď pomocou certifikátov alebo zdieľaných kľúčov (PSK).
Linka TCP/IP-TCP Redundant umožňuje využívať redundantnú komunikáciu (redundantné sieťové trasy, redundantné sieťové rozhrania) a nakonfigurovať dve a viac IP adries partnerského počítača a vytvoriť dve paralelné TCP spojenia.
V súčasnosti sú podporené nasledovné protokoly:
Linka TCP/IP-TCP
- Allen-Bradley CSP/PCC
- Datalogger ESC8816
- DLMS/COSEM
- DNP3
- Ethernet/IP
- General Electric SRTP
- Generic User Protokol
- HART
- IEC 60870-5-104
- IEC 60870-5-104 Server
- IEC 60870-5-104 Sinaut
- IEC 60870-6 ICCP/TASE.2
- IEC 61850
- IoT over LoRaWAN/Sigfox
- Johnson Controls N2-Bus
- KMZ Lite protocol
- KMZ Protocol
- KNX protokol
- L&G TOCCATA
- MODBUS Client
- MODBUS Server
- MQTT Client (Message Queue Telemetry Transport)
- Omron FINS
- Orange GDEP
- SAE RTU
- Siemens SAPHIR
- Siemens SIMATIC S7 ISO on TCP
- Telegyr 809 Server
- Teltonika Codec14
Linka TCP/IP-TCP Redundant
- DLMS/COSEM
- Generic User Protocol
- HART
- IEC 870-5-104
- IEC 870-5-104 Sinaut
- IEC 60870-6 ICCP/TASE.2
- MODBUS Client
- Siemens SIMATIC S7 ISO on TCP
- Siemens SAPHIR
Konfiguračné parametre linky TCP/IP-TCP
Sekcia Server
Host
IP adresa alebo sieťové meno počítača. Ak je zadané meno počítača a nie adresa v tvare X.X.X.X, meno bude prevedené na IP adresu štandardným mechanizmom, ktorý zabezpečuje operačný systém (hosts, DNS, WINS ..).
Pokiaľ sa jedná o serverovský protokol, zadáva sa IP adresa, na ktorej KOM proces počúva, t.j. IP adresa jedného zo sieťových rozhraní počítača, na ktorom beží KOM proces. Príklad: 127.0.0.1 alebo localhost (lokálne rozhranie), 192.16.0.1.
Poznámka: Je možné použiť aj symbolickú adresu * alebo ALL (pre IPv4 protokol) resp [*] alebo [ALL] (pre IPv6 protokol), v tom prípade KOM proces počúva na zvolenom TCP porte na všetkých existujúcich sieťových rozhraniach.
Pokiaľ sa nejedná o serverovský protokol, ide o IP adresu partnerského zariadenia, ku ktorému sa KOM proces pripája.
Poznámka: Pokiaľ sa nejedná o serverovský protokol, pre niektoré protokoly je možné nakonfigurovať viacero IP adries alebo mien (oddelených čiarkou alebo bodkočiarkou). KOM proces bude pri pripájaní sa cyklicky používať tieto IP adresy/mená.
Port
Ak ide o serverovský protokol, tak zadajte číslo TCP portu, na ktorom KOM proces počúva, v opačnom prípade zadajte číslo TCP portu partnerského počítača, ku ktorému sa pripája.
Číslo linky
V niektorých protokoloch sa využíva na konfiguráciu konkrétneho parametra protokolu, v iných sa nepoužíva a môže to byť ľubovoľná číselná hodnota (napr. 0).
Sekcia TLS - certifikáty
Parametre umožňujúce nakonfigurovať TLS kryptovanie založené na verejných a súkromných kľúčoch. TLS kryptovanie je aktivované, ak je nakonfigurovaný parameter "Certifikát(y) partnera" a/alebo dvojica "Môj certifikát"/"Môj kľúč".
Poznámka: TLS kryptovanie založené na certifikátoch má prednosť pred kryptovaním založeným na zdieľaných kľúčoch (Pre-shared keys, PSK).
Certifikát(y) partnera
Dôveryhodný certifikát(y), pomocou ktorého sa overí druhá strana. Tento parameter umožňuje overiť, že druhá strana je dôveryhodná, pretože jej verejný kľúč je podpísaný jedným z nakonfigurovaných certifikátov (certifikačných autorít).
Tento parameter udáva cestu k certifikátom. Je možné uviesť aj viacero certifikátov oddelených čiarkou. V ceste sa môže vyskytovať symbolická konštanta #APPDIR# označujúca aplikačný adresár (napr. D:\D2000\D2000_APP\MyApp).
Príklad: D:\some.crt,#APPDIR#/another.crt
Pozn: štartovacím parametrom /DC je možné na úrovni D2000 KOM procesu vypnúť overovanie druhej strany - napr. ak expiruje certifikát druhej strany alebo dôjde k inej havarijnej situácii, pričom nie je možné operatívne rekonfigurovať druhú stranu.
Môj certifikát
Certifikát (verejný kľúč) používaný D2000 KOM procesom. V ceste sa môže vyskytovať symbolická konštanta #APPDIR# označujúca aplikačný adresár (napr. D:\D2000\D2000_APP\MyApp).
Príklad: #APPDIR#/my.crt
Môj kľúč
Súkromný kľúč používaný D2000 KOM procesom. V ceste sa môže vyskytovať symbolická konštanta #APPDIR# označujúca aplikačný adresár (napr. D:\D2000\D2000_APP\MyApp).
Príklad: #APPDIR#/my.key
Ochrana kľúča
Poznámka 1: Kvôli bezpečnosti odporúčame nastaviť prístup k súkromnému kľúču tak, aby bol prístupný iba pre užívateľa, pod ktorým je spustený D2000 KOM proces (štandardne Local System na Windows a d2000 na Linux/RPI)
Poznámka 2: Súkromný kľúč je možné ochrániť pomocou zašifrovania heslom. V takom prípade zadajte heslo ku kľúču do položky "Zdieľaný kľúč" v sekcii "TLS - zdieľaný kľúč".
Poznámka 3: Nastavenie hesla na súkromný kľúč je možné utilitou OpenSSL.
Príklad spustenia: vstupom je nechránený kľúč my.key, výstupom je heslom zašifrovaný kľúč my_protected.key, na kryptovanie sa použije metóda kryptovania AES-256.
openssl.exe rsa -aes256 -in my.key -out my_protected.key
Je možné použiť nasledovné metódy kryptovania:
| Parameter | Metóda kryptovania |
|---|---|
| -aes128 | AES-128-CBC: 128-bit key in CBC mode |
| -aes192 | AES-192-CBC: 192-bit key in CBC mode |
| -aes256 | AES-256-CBC: 256-bit key in CBC mode |
| -des3 | 3DES (Triple DES) |
| -aria128 | ARIA-128: ARIA with a 128-bit key |
| -aria192 | ARIA-192: ARIA with a 192-bit key |
| -aria256 | ARIA-256: ARIA with a 256-bit key |
| -camellia128 | Camellia-128: 128-bit key |
| -camellia192 | Camellia-192: 192-bit key |
| -camellia256 | Camellia-256: 256-bit key |
Knižnica OpenSSL-3.4 už nepodporuje tieto typy kryptovania:
| Parameter | Metóda kryptovania |
|---|---|
| -des-ecb | DES-ECB: DES in ECB (Electronic Codebook) mode |
| -des-cbc | DES-CBC: DES in CBC (Cipher Block Chaining) mode |
| -idea | IDEA |
| -bf | Blowfish |
| -rc2 | RC2 |
Pokiaľ používate v hesle diakritiku, tak je nutné pred použitím utility openssl nastaviť na Windows kódovú stránku UTF-8 príkazom
chcp 65001
keďže v D2000 sú texty uložené v UTF-8 kódovaní.
Sekcia TLS - zdieľaný kľúč
Zdieľaný kľúč
Zdieľaný kľúč použitý na zašifrovanie komunikácie. Tento kľúč musí byť identický na strane D2000 KOM procesu aj na strane partnerského počítača.
Konfiguračné parametre linky TCP/IP-TCP Redundant
Sekcia Primárne zariadenie
Host
Primárna IP adresa alebo primárne sieťové meno partnerského počítača, ku ktorému sa KOM proces pripája. Ak je zadané meno počítača a nie adresa v tvare X.X.X.X, meno bude prevedené na IP adresu štandardným mechanizmom, ktorý zabezpečuje operačný systém (hosts, DNS, WINS ..).
Port
Číslo primárneho TCP portu partnerského počítača, ku ktorému sa KOM proces pripája.
Sekcia Záložné zariadenie
Použi záložné zariadenie
Pokiaľ nie je zaškrtnutá táto voľba, KOM proces sa nepripája na záložnú IP adresu a linka funguje podobne ako linka TCP/IP-TCP, t.j. bez redundancie.
Host
Sekundárna IP adresa alebo sekundárne sieťové meno partnerského počítača, ku ktorému sa KOM proces pripája. Ak je zadané meno počítača a nie adresa v tvare X.X.X.X, meno bude prevedené na IP adresu štandardným mechanizmom, ktorý zabezpečuje operačný systém (hosts, DNS, WINS ..).
Poznámka: implementácia redundancie závisí od protokolu. Pre niektoré protokoly (napr. IEC 870-5-104) je vytvorené paralelné spojenie k sekundárnemu zariadeniu. Pre niektoré protokoly (napr. Modbus Client) vytvorí proces KOM jediné pripojenie pomocou všetkých adries IP/mien nakonfigurovaných ako primárne/záložné zariadenia (v prípade rozpadu spojenia alebo neúspechu pri nadväzovaní spojenia skúša všetky zadané IP adresy).
Port
Číslo sekundárneho TCP portu partnerského počítača, ku ktorému sa KOM proces pripája.
Sekcie "TLS - certifikáty" a "TLS - zdieľaný kľúč"
Viď popis parametrov pri linke TCP/IP-TCP vyššie.
Poznámka k zadávaniu parametra Host
Parameter Host môže obsahovať niekoľko (až 8) IP adries alebo sieťových mien počítačov oddelených čiarkou, resp. bodkočiarkou, napr. 172.16.0.1; 172.16.0.2 (pred, resp. za IP adresou môžu byť kvôli čitateľnosti medzery). Záleží na konkrétnom komunikačnom protokole, či takto zadané adresy použije. Napr. protokol IEC 870-5-104, pokiaľ má takto nakonfigurovaných viacero IP adries (na linke TCP/IP-TCP alebo TCP/IP-TCP Redundant), tak po štarte komunikácie nadväzuje spojenie s prvou IP adresou. Po prerušení spojenia sa snaží obnoviť spojenie s druhou IP adresou atď. Po využití všetkých IP adries ide opäť od prvej IP adresy.
Takáto konfigurácia je použiteľná, pokiaľ existuje niekoľko partnerských počítačov, ktoré sú buď rovnocenné (poskytujú platné údaje) alebo iba ten, ktorý je aktívny, komunikuje.
Ďalšie protokoly (napr. MODBUS Client) v súčasnosti používajú iba prvú nakonfigurovanú IP adresu.
Poznámka k redundancii sieťovej komunikácie
V súčasnosti sú implementované iba dva protokoly podporujúce linku TCP/IP-TCP Redundant. Protokol IEC 870-5-104 Sinaut je špecifická implementácia protokolu IEC104 navrhnutá pre redundantnú komunikáciu so systémom Sinaut Spectrum. Oveľa častejšie sa v praxi stretnete s protokolom IEC 870-5-104, ktorý má implementované rozsiahle možnosti nastavovania parametrov redundancie.
Blog
O kryptovaní linky TCP/IP-TCP si môžete prečítať aj blog Komunikácia - kryptovanie.
Súvisiace stránky:
Pridať komentár