Configurazione attraverso interfaccia di rete

Il capitolo descrive come configurare un dispositivo Router attraverso l’uso della connessione Ethernet.

Accendere UBIQUITY Router e collegarlo attraverso l’interfaccia Ethernet identificata con WAN alla rete locale alla quale è connesso il PC con Control Center.

Avviare Control Center e connettersi al Dominio al quale si desidera registrare il dispositivo UBIQUITY Router.

Suggerimento

Se Control Center non è connesso al Dominio, sarà possibile impostare solo alcuni dei parametri (configurazione di rete, password, seriale) ma non eseguire la registrazione del Router sul dominio. Per la prima configurazione di un Router si consiglia comunque di operare con Control Center connesso al Dominio interessato.

Dopo aver cliccato sull’icona “router” nella barra dei pulsanti, selezionare l’icona “Local Area Network”.

Control Center supporta il riconoscimento automatico dei UBIQUITY Router presenti nella rete a prescindere dalla classe della rete stessa.

Suggerimento

Si noti che la procedura di “discovery” di UBIQUITY Router da parte di Control Center non richiede nessuna connettività a Internet.

Ogni dispositivo UBIQUITY Router prevede una protezione locale per prevenire l’accesso non desiderato alla modifica della sua configurazione. La protezione consiste in un utente (definito come “admin”, non modificabile) e una password che al momento della configurazione in fabbrica è impostata al valore standard di “admin” e che dovrà essere cambiata successivamente con l’opportuna procedura illustrata in seguito in questo capitolo.

Successivamente alla prima configurazione del Router, che deve avvenire con l’utente “admin”, UBIQUITY Router permette l’accesso ad un subset dei parametri di configurazione nella modalità cosiddetta “utente” attraverso la quale un utilizzatore finale può cambiare la configurazione dell’interfaccia di rete per la connettività Internet, senza poter intervenire su parametri critici. La modalità utente è per default disabilitata. Per abilitarla si veda il capitolo User accounts.

Dopo aver digitato la password, per attivare il processo di riconoscimento, cliccare sul tasto “Discovery”.

Suggerimento

La procedura di Discovery utilizza un protocollo crittografato per soddisfare i requisiti di sicurezza imposti dalle normative. Qualora si voglia abilitare il supporto per i sistemi Router con versioni precedenti alla 8, deve essere spuntata la casella “Enable support for router less than version 8”.

Control Center popolerà la casella “UBIQUITY Router Found” con la lista dei dispositivi trovati con password corrispondente a quella inserita, identificandoli dall’accoppiata dei MAC address delle due interfacce di rete.

Cliccando sulla riga corrispondente al Router che si desidera configurare, sarà reso accessibile il tasto “Configure” che permette di passare alla fase successiva La figura seguente mostra la schermata con le opzioni per la configurazione del Router.

Le opzioni presenti possono dipendere dal modello di Router che si sta configurando.

image35

General Options

Questa sezione permette d’impostare la modalità di connessione, la configurazione dell’accesso attraverso un Proxy se necessario e la configurazione delle impostazioni di data e ora. Per gli UBIQUITY Router di seconda generazione è possibile impostare il nome del dispositivo (Hostname) e decidere su quali interfacce è accessibile la configurazione via web (Web server binding).

Per modificare la password del dispositivo, inserire prima la password esistente e in seguito fornire la nuova.

Suggerimento

La conformità allo standard IEC 62443-3-3 (che regola la sicurezza dei sistemi e delle reti di comunicazione industriali) richiede la modifica della password del Router durante la prima configurazione del dispositivo. I requisiti delle password sono gli stessi che si applicano alle password per gli utenti.

Suggerimento

In caso di prima configurazione è necessario preventivamente modificare la password del Router e successivamente effettuare una nuova scansione, utilizzando le nuove credenziali, per una nuova identificazione del Router.

Le scelte disponibili sono le seguenti:

Availability mode, che ha quattro opzioni al suo interno:

  1. Always-on

  2. Digital input

  3. SMS

  4. Digital input and SMS

Nel caso sia selezionata l’opzione “Always-on”, il Router eseguirà la connessione al server subito dopo l’accensione e non appena sarà disponibile una connessione Internet funzionante; ripristinerà inoltre il collegamento in caso d’interruzione.

Nel caso sia selezionato “Digital input”, il Router si collegherà al Dominio configurato solo ed esclusivamente quando l’opportuno consenso elettrico arriverà all’IN0. Vedere Comandi e I/O digitali.

Nel caso sia selezionato “SMS” il Router si collegherà al Dominio configurato solo ed esclusivamente quando riceverà un SMS da parte dell’utente.

La sintassi da utilizzare è la seguente:

<Username> <Password> CONNECT – il Modem eseguirà una connessione al Dominio

<Username> <Password> DISCONNECT – il Modem eseguirà una disconnessione dal Dominio

Le credenziali sono quelle di amministrazione locale del Router, inizialmente stampate sul retro o modificate mediante apposita procedura.

Suggerimento

Dopo il riavvio del Router sarà necessario attendere almeno tre minuti per poter inviare l’SMS di connessione.

Nel caso sia selezionato “Digital input and SMS”, il Router si collegherà al Dominio configurato solo ed esclusivamente quando l’opportuno consenso elettrico arriverà all’IN0 e quando riceverà un SMS da parte dell’utente. Vedere Comandi e I/O digitali.

Suggerimento

Nel caso in cui il consenso elettrico venga tolto mentre il Router è connesso al Dominio sarà necessario inviare nuovamente l’SMS di connessione.

Internet connectivity ha tre opzioni:

  1. Auto

  2. WAN oppure WAN/Wi-Fi (se il dispositivo include la scheda Wi-Fi)

  3. Modem

Nel caso sia selezionato “Auto”, il Router tenterà la connessione tramite WAN. Nel caso non fosse possibile tale connessione, il Router tenterà la connessione tramite modem.

Nel caso sia selezionato “WAN”, il Router tenterà la connessione solo tramite WAN.

Nel caso sia selezionato “Modem”, il Router tenterà sempre la connessione tramite modem.

Suggerimento

Le informazioni complete per il cablaggio degli ingressi digitali sono contenute nel manuale hardware a cui si rimanda per riferimento.

A partire dalla versione 9 di UBIQUITY Router è possibile impostare manualmente la data, l’ora e il fuso orario. Per gli UBIQUITY Router di seconda generazione è possibile inoltre scegliere se la configurazione della data e dell’ora avviene automaticamente tramite un server NTP (Network Time Protocol) specificandone l’indirizzo IP oppure il suo nome. Dopo aver impostato i parametri premere il tasto “Apply” per renderli attivi.

Suggerimento

Il cambio Data/Ora non è disponibile tramite configurazione USB.

La casella Set local NTP server interfaces abilita il server NTP locale sulle interfacce selezionate.

Nota

Tale funzione è disponibile nei Router e negli HMI di seconda generazione UBIQUITY a partire dalla versione 12.1. I Router di prima generazione basati su piattaforma Windows CE non sono supportati.

User accounts

Questa sezione permette di modificare la password di default del Router relativa all’utente admin e di abilitare l’utilizzo della modalità utente attraverso l’attribuzione di una password all’utente “user”.

Per cambiare la password locale di dispositivo è necessario inserire la password attuale e quindi la nuova.

Suggerimento

Il soddisfacimento delle normative IEC 62443-3-3 sulla sicurezza dei sistemi e delle reti di comunicazione industriali richiede che la password del Router venga cambiata durante il processo di prima configurazione. I requisiti per la password da utilizzarsi sono i medesimi di quelli validi per la password sicura degli utenti.

Suggerimento

Nel caso si tratti di prima configurazione deve essere innanzitutto cambiata la password; successivamente va effettuata una nuova scansione utilizzando le nuove credenziali per l’individuazione del Router.

Modalità utente

Dopo la prima configurazione del dispositivo è possibile abilitare l’utente “user” selezionando l’utente dal menu “User name” e attribuendogli una password.

La password attribuita all’utente “user” potrà poi essere eventualmente sostituita dall’utilizzatore stesso. L’amministratore, se necessario, potrà resettare la password dell’utente “user” in qualsiasi momento rendendo di fatto inutilizzabile l’account in modalità utente.

La modalità utente può essere utilizzata per accedere alla configurazione del Router sia da Control Center sia da interfaccia web.

Le opzioni accessibili in modalità utente sono le seguenti:

  • General options, senza le opzioni “Availability mode” e “Set local NTP server interfaces”

    Nota

    La sezione Date and Time è disponibile nei Router e negli HMI di seconda generazione con UBIQUITY a partire dalla versione 12.1. I Router di prima generazione basati su piattaforma Windows CE non sono supportati.

  • Password, per il cambio della password di accesso dell’utente “user”

  • WAN

  • Modem

  • Ping

  • Export diagnostic logs

  • System information

Avvertimento

Nel caso in cui venga smarrita la password dell’utente “user”, essa non è recuperabile ma può essere cambiata dall’utente “admin”.

Domain Registration

Nel caso della configurazione attraverso rete Ethernet la registrazione al Dominio è eseguita da Control Center previo accesso al dominio al quale si desidera associare il Router.

Se Control Center non è connesso al Dominio la sessione in oggetto non sarà accessibile.

Una volta marcata la casella per la creazione dell’identità in fase di registrazione, va specificato il nome iniziale che sarà attribuito al Router ed il percorso della cartella in cui installare il Router.

Avvertimento

Si noti che l’esecuzione di una seconda registrazione di uno stesso Router associato al medesimo Dominio corrisponde alla sovrascrittura dell’identità in precedenza creata. Non si tratta quindi di una semplice operazione di “cambio nome”, ma di sostituzione con conseguente perdita di tutti i dati, i record e le statistiche associate alla prima registrazione.

Avvertimento

Una volta eseguita la registrazione di un Router su un Dominio, è possibile eseguire l’operazione di “Unregister” secondo la disattivazione della licenza. Si veda inoltre il paragrafo Protezione contro il cambio non autorizzato di Dominio.

WAN

In questa sezione è possibile configurare l’interfaccia di rete WAN attraverso la quale UBIQUITY Router accederà alla rete Internet.

Le informazioni mostrate nella schermata alla sua apertura corrispondono ai valori dei parametri attuali presenti nel dispositivo.

La casella “Obtain IP configuration from DHCP server” deve essere marcata nel caso in cui si desideri utilizzare un server DHCP per l’assegnazione dell’indirizzo IP.

Nel caso in cui si desideri specificare un indirizzo fisso, va rimossa la marcatura e va specificato l’indirizzo IP, la maschera, il Gateway ed il DNS nelle caselle sottostanti.

Suggerimento

Se la porta WAN è configurata in DHCP e il server DHCP deve fornire dei parametri aggiornati rispetto a quelli attuali è necessario un riavvio del Router affinché tali parametri possano essere recuperati ed utilizzati correttamente.

LAN

In questa sezione è possibile configurare i parametri dell’interfaccia di rete LAN, collegata alla sottorete di automazione che si desidera poi raggiungere attraverso il collegamento VPN.

I dati mostrati al primo ingresso nella schermata sono quelli della configurazione attuale del Router.

La casella “Obtain IP configuration from DHCP server” deve essere marcata nel caso in cui si desideri utilizzare un server DHCP per l’assegnazione dell’indirizzo IP.

Nel caso più comune in cui si desideri specificare un indirizzo fisso, va rimossa la marcatura e va specificato l’indirizzo IP e la maschera nelle caselle sottostanti. Cliccando poi il tasto “Add” l’indirizzo IP viene aggiunto alla lista.

Suggerimento

Si noti come l’interfaccia LAN ammetta l’utilizzo di indirizzi IP multipli. Per aggiungere un indirizzo, semplicemente si può ripetere la sequenza di inserimento. Tutte le classi/sotto-reti configurate saranno raggiungibili attraverso il tunnel VPN.

Wi-Fi

Mode. La scheda Wi-Fi supporta tre modalità: Disabled (default), Adapter e Access Point. Le due modalità operative richiedono una configurazione specifica e sono descritte di seguito.

Adapter

Il Router si connette ad una rete Wi-Fi esistente. I parametri da configurare sono i seguenti:

  • Network Name (SSID). Scrivere il nome della rete Wi-Fi a cui connettersi.

  • Obtain IP configuration from DHCP server. Se l’opzione viene selezionata (default) allora la scheda riceverà i parametri di configurazione di rete da un server DHCP, altrimenti dovranno essere specificati manualmente.

  • IP address, Mask, Gateway, DNS 1 e DNS 2. I parametri di configurazione della rete Wi-Fi da specificare se non viene utilizzato un server DHCP per settarli in automatico.

  • Security mode. Il tipo di protocollo di sicurezza WPA2 utilizzato. Può assumere i valori WPA2-Personal (default) oppure WPA2-Enterprise.

  • Username. Il nome utente da utilizzare per connettersi ad una rete Wi-Fi se viene selezionata la modalità WPA2-Enterprise.

  • Security key. La chiave di sicurezza da utilizzare per connettersi alla rete Wi-Fi.

Access point

Il Router diventa un access point Wi-Fi, accessibile a dispositivi esterni. I parametri da configurare sono i seguenti:

  • Network Name (SSID). Scrivere il nome della rete Wi-Fi che si vuole creare.

  • IP address e Mask. L’indirizzo IP e la maschera del Router.

    L’indirizzo IP deve appartenere ad una rete privata diversa da quelle utilizzate per configurare le porte WAN e LAN. Per esempio, se la porta WAN ha un indirizzo appartenente alla classe 172.16.0.0/12 e la porta LAN ha un indirizzo appartenente alla classe 192.168.0.0/16, allora è possibile assegnare alla rete Wi-Fi un indirizzo che appartiene alla classe 10.0.0.0/8.

  • Security key. La chiave di sicurezza da utilizzare per connettersi all’access point. Il protocollo di sicurezza utilizzato è WPA2.

  • Enable access to LAN network (NAT). Abilita l’accesso a alla rete LAN ai dispositivi connessi in Wi-Fi al Router.

    Nota

    La funzione lavora a livello 3 dello modello ISO/OSI; i protocolli di livello 2, come ad esempio i protocolli di discovery del device, non funzionano.

In questa modalità, il Router, tramite il suo server DHCP, assegna ai dispositivi che si connettono un indirizzo IP compatibile con quello inserito nel campo IP address. Per esempio, se viene specificato un indirizzo IP 10.0.10.1, al primo dispositivo che si connetterà verrà assegnato l’indirizzo IP 10.0.10.2, al secondo l’indirizzo IP 10.0.10.3 e così di seguito. Se è attiva la condivisione Internet (vedi Internet Sharing) sull’interfaccia di rete Wi-Fi, il Router attiva solo quest’ultima il suo server DNS, così tutti i dispositivi che si connetteranno potranno accedere alla rete Internet senza necessità di specificare manualmente dei server DNS.

Modem

Questa sezione permette di configurare i parametri del modem integrato.

Status può assumere i seguenti valori:

  • Connected - il modem è connesso

  • Disconnected - il modem è disconnesso

  • Error: <ErrorCode> - è stato rilevato uno tra i seguenti errori:

    • No SIM

    • PIN required

    • PIN2 required

    • PUK required

    • PUK required

    • Wrong PIN

    • Only one PIN insertion retry left

    • NO PIN insertion retry left

    • Modem not present or initialized

    • A valid APN was not found for the current operator

  • Initialization – il Modem è in fase di inizializzazione

Carrier mode visualizza il tipo di tecnologia utilizzata dall’infrastruttura radio per la comunicazione con il modem.

Signal strength esprime la potenza del segnale rilevata dal modem.

Il campo PIN code permette di inserire il codice PIN della scheda SIM, quando richiesto.

La casella di selezione Automatic APN configuration abilita la ricerca automatica delle impostazioni di connessione: APN, Username e Password. Se la ricerca ottiene un esito positivo i valori trovati vengono riportati nei corrispettivi campi, altrimenti il campo Error riporta la causa dell’errore. Il processo di ricerca automatica dei parametri viene rieseguito nel caso in cui la SIM venga cambiata.

Nota

La funzione è disponibile nei Router e negli HMI di seconda generazione dotati di scheda add-on con modem e con UBIQUITY a partire dalla versione 11.2. I Router di prima generazione basati su piattaforma Windows CE non sono supportati.

Il campo APN permette di inserire l’Access Point Name, richiesto per la connessione Internet del modem.

I campi Username, Password e Domain permettono di inserire le eventuali credenziali fornite dal provider per la connessione Internet del modem.

Il campo Dialed number permette di inserire il numero di telefono verso cui effettuare la chiamata di connessione del Modem.

Il casella di selezione Set service center permette di impostare il numero del Centro Servizi Messaggi nella SIM in uso.

La casella Data roaming permette di abilitare l’utilizzo del traffico dati anche in roaming.

Avvertimento

Non è possibile rimuovere o sostituire la SIM con il Router in funzione.

Suggerimento

L’invio di SMS da parte del Router viene gestito dal progetto Premium HMI (si veda il capitolo Allarmi/Alarm Dispatcher). Per poter inviare l’SMS, la scheda SIM deve essere correttamente configurata nella sezione Modem.

Limitazioni all’utilizzo del modem

L’utilizzo del modem per la connettività Internet introduce alcune limitazioni nella possibilità di utilizzare la funzione di Internet Sharing (ICS), virtualizzazione della Serial Port e gateway MPI.

La tabella seguente riassume le condizioni di utilizzo. Le prime due colonne mostrano le quattro possibili combinazioni di connettività (modem/Ethernet) e utilizzo della funzione ICS (attiva/non attiva).

Le ultime due colonne indicano se nella data condizione sono utilizzabili il gateway MPI e la funzione di seriale virtuale.

Connettività

Internet connection sharing

MPI

Serial port

Modem

NO

NO

Modem

NO

NO

Ethernet

NO

Ethernet

VPN

In questa sezione è possibile controllare come viene assegnato l’indirizzo IP all’interfaccia virtuale UBIQUITY VPN del computer con Control Center durante la connessione VPN.

Per la descrizione di dettaglio si veda il capitolo Assegnazione degli indirizzi IP all’interfaccia virtuale sul PC con Control Center.

Nell’ambito dell’assegnazione automatica è possibile opzionalmente specificare sul Runtime di UBIQUITY quale deve essere l’intervallo di indirizzi IP all’interno del quale individuare quello assegnabile all’interfaccia virtuale del PC con Control Center.

Nella schermata “List of reserved static IP pool” è possibile inserire uno o più intervalli di indirizzi IP.

Avvertimento

Gli indirizzi IP inseriti nel pool non sono soggetti alla verifica di univocità; è responsabilità dell’utente assicurare che sulla sottorete non ci siano conflitti.

Serial Port

Questa sezione permette di configurare il comportamento della porta seriale.

Cliccando sulla combo-box si potrà accedere alle opzioni disponibili, che sono le seguenti:

  • RS-232C

  • RS-422

  • RS-485

  • MPI

Selezionando MPI si predispone il Router all’utilizzo di una funzione speciale che permette di effettuare il gateway tra l’interfaccia Ethernet e la porta seriale configurata per la comunicazione MPI.

Avvertimento

La modalità MPI è disponibile solo negli UBIQUITY Router appartenenti alla prima generazione.

Si veda il capitolo Gateway Protocollo Simatic S7 MPI per le informazioni relative alla configurazione dei parametri e del servizio.

Avvertimento

L’utilizzo dell’interfaccia seriale, inclusa la modalità MPI, è soggetto a limitazioni. Consultare il capitolo sulla Limitazioni all’utilizzo del modem per i dettagli.

Internet Sharing

Questa sezione permette di configurare la condivisione Internet.

image39

Avvertimento

L’utilizzo della funzione condivisione Internet, è soggetto a limitazioni. Consultare il capitolo sulla configurazione del modem per i dettagli.

NAT rules

Il NAT consiste nel modificare gli indirizzi IP dei pacchetti in transito tra le due interfacce del Router all’interno di una comunicazione tra due host.

UBIQUITY Router implementa il D-NAT, che comporta la modifica dell’indirizzo di destinazione del pacchetto che inizia la nuova connessione.

Il D-NAT permette ad esempio l’implementazione del “port forwarding”, ovvero l’operazione che consente il trasferimento dei dati (forwarding) da un computer a un altro tramite una specifica porta di comunicazione. Questa tecnica può essere usata per permettere ad un utente esterno di raggiungere un host con indirizzo IP privato (all’interno di una LAN) mediante una porta dell’IP pubblico del Router.

I parametri presenti nelle NAT rules sono i seguenti:

  • Rule name: nome assegnato alla regola, sono ammessi duplicati

  • Direction: direzione dei pacchetti tra le interfacce

  • Incoming IP addresses: lista di indirizzi IP da cui arriveranno i pacchetti. Si possono inserire singoli indirizzi IP oppure intervalli di indirizzi IP.

    Nota

    La configurazione dell’indirizzo in ingresso è disponibile solo per i Router UBIQUITY di seconda generazione a partire dalla versione 13.1 e tramite Configurazione attraverso interfaccia web.

  • Incoming port: numero della porta sulla quale UBIQUITY Router rimarrà in ascolto

    Avvertimento

    L’utilizzo della porta 443 renderà la configurazione di UBIQUITY Router da Web inaccessibile. L’utilizzo della porta 80 renderà inaccessibile la configurazione Web via HTTP ma via HTTPS rimarrà disponibile.

  • Destination IP address: indirizzo IP di destinazione

  • Destination port: numero della porta di destinazione

  • Protocol: protocollo Ethernet sul quale la regola verrà applicata; le opzioni possibili sono le seguenti:

    • TCP

    • UDP

    • FTP

    • HTTP

  • Translate source address: abilitato per default. La regola di NAT esegue la traduzione dell’indirizzo IP sorgente.

Suggerimento

Se viene utilizzata l’opzione di traduzione dell’indirizzo IP sorgente, il destinatario riceve un pacchetto nel quale l’indirizzo sorgente è stato modificato per essere compatibile con la sua sotto-rete invece di restare quello del pacchetto originario. Questo permette al destinatario di rispondere direttamente a questo indirizzo sorgente evitando d’inviare la risposta al gateway di rete. Il Router si prenderà poi cura di eseguire l’istradamento corretto a ritroso. Di conseguenza non è necessario impostare il gateway sul dispositivo di destinazione. Si veda nel seguito Utilizzo dell’opzione “Translate source address”.

  • Enable: permette di abilitare o disabilitare la singola regola. La dicitura “Disabled” apparirà a fianco del nome della regola se questa sarà disabilitata.

Per creare una nuova regola è sufficiente inserire i parametri richiesti e cliccare il tasto “Save”.

Suggerimento

La combinazione “Incoming port”, “Destination IP address”, “Destination port” e “Protocol” è univoca; Control Center esegue un controllo all’inserimento della regola.

È possibile modificare una regola esistente selezionandola dalla lista, apportando i cambiamenti necessari e salvandoli con Il tasto “Save”.

Il tasto “New” cancella eventualmente i campi inseriti e permette di impostarli nuovamente per creare una nuova regola.

Il tasto “Remove” permette di cancellare una regola dalla lista.

Utilizzo dell’opzione “Translate source address”

Supponiamo che un dispositivo “A” nella sotto-rete WAN voglia comunicare con un dispositivo “D” nella sotto-rete LAN all’indirizzo 10.20.0.10 sulla porta 5000.

image40

La regola di NAT può essere impostata come indicato nella figura seguente. In generale l’impostazione della porta di ascolto (Incoming port) dipende dal protocollo utilizzato nella connessione.

image41

Per il traffico TCP in arrivo alla porta 102 dell’interfaccia WAN del Router la comunicazione avverrà in questo modo:

  1. I’interfaccia A (IP 172.19.17.101) inizia una comunicazione con UBIQUITY Router.

    Il frame da A verso UBIQUITY Router (interfaccia B) ha le seguenti caratteristiche:

    Source IP

    Destination IP

    Source Port

    Destination Port

    172.19.16.101

    172.19.17.102

    X

    102

  2. UBIQUITY Router traduce il pacchetto ricevuto e lo invia a D tramite l’interfaccia C

    Source IP

    Destination IP

    Source Port

    Destination Port

    172.19.16.101

    10.20.0.10

    X

    5000

  3. D risponde a C; l’indirizzo di destinazione è esterno alla sottorete di C e quindi D deve conoscere l’indirizzo del gateway che nell’esempio si assume sia stato impostato coincidente con l’indirizzo dell’interfaccia C

    Source IP

    Destination IP

    Source Port

    Destination Port

    10.20.0.10

    172.19.16.101

    5000

    X

  4. UBIQUITY Router traduce il pacchetto ricevuto e lo invia ad A tramite l’interfaccia B

    Source IP

    Destination IP

    Source Port

    Destination Port

    172.19.17.102

    172.19.16.101

    5000

    X

Se il gateway non viene specificato nei dispositivi connessi alla LAN, essi non potranno inoltrare i pacchetti verso l’esterno.

Abilitando “Translate source address” l’IP sorgente verrà tradotto a sua volta. I dispositivi invieranno pertanto i pacchetti all’IP sorgente senza conoscere l’indirizzo del gateway.

La comunicazione avverrà in questo modo:

  1. Il dispositivo “A” (IP 172.19.16.101) inizia una comunicazione con UBIQUITY Router. Il frame da “A” verso UBIQUITY Router (interfaccia “B”) è così formato

    Source IP

    Destination IP

    Source Port

    Destination Port

    172.19.16.101

    172.19.17.102

    X

    102

  2. UBIQUITY Router traduce il pacchetto ricevuto e lo invia a D tramite l’interfaccia C; l’indirizzo sorgente è ora quello dell’interfaccia C

    Source IP

    Destination IP

    Source Port

    Destination Port

    10.20.0.33

    10.20.0.10

    Y

    5000

  3. D risponde a C; la risposta è inviata all’indirizzo compatibile con la sotto rete di D

    Source IP

    Destination IP

    Source Port

    Destination Port

    10.20.0.10

    10.20.0.33

    5000

    Y

  4. UBIQUITY Router traduce il pacchetto ricevuto e lo invia ad A tramite l’interfaccia B

    Source IP

    Destination IP

    Source Port

    Destination Port

    172.19.17.102

    172.19.16.101

    102

    X

Suggerimento

La medesima traduzione avviene anche per il MAC address.

Accesso al desktop di un PC su rete LAN da rete WAN

Il caso d’uso è illustrato nella figura seguente.

image42

A scopo dimostrativo si noti l’utilizzo della porta 546 nel client RDP. Il server RDP accetta di default connessioni sulla porta 3389.

La regola deve essere impostata pertanto come mostrato dalle figure seguenti.

image43

image44

La regola si legge quindi come: tutto il traffico “TCP” in ingresso sulla porta 546 dell’interfaccia WAN viene instradato verso l’indirizzo “10.20.0.2” sulla porta “3389” della sottorete LAN.

Accesso al desktop di un PC su rete WAN da rete WAN

Il caso d’uso è illustrato nella figura seguente.

image45

A scopo dimostrativo si noti l’utilizzo della porta 546 nel client RDP. Il server RDP accetta di default connessioni sulla porta 3389.

La regola deve essere impostata pertanto come mostrato dalla figura seguente.

image46

image47

La regola si legge quindi come: tutto il traffico “TCP” in ingresso sulla porta 546 dell’interfaccia LAN viene instradato verso l’indirizzo “172.19.17.85” sulla porta “3389” della sottorete WAN.

Comunicazione bidirezionale tra PLC su sotto reti distinte

Il caso d’uso è illustrato nella figura seguente. Il PLC1 deve scambiare dati con il PLC2 e viceversa.

Si assume che entrambi i PLC accettino connessioni entranti sulla porta 102.

image48

Sul Router A devono essere impostate le seguenti regole di NAT.

Per comunicare con il PLC1, il PLC2 deve inviare pacchetti all’indirizzo dell’interfaccia LAN del Router B.

Per comunicare con il PLC2, il PLC1 deve inviare pacchetti all’indirizzo dell’interfaccia LAN del Router A.

La regola PLC2_2_PLC1 instrada il traffico WAN proveniente dal PLC2, al PLC1 sulla LAN del Router A.

La regola PLC1_2_PLC2 instrada il traffico LAN proveniente dal PLC1, verso l’interfaccia WAN del Router B.

image49

image50

Analogamente sul Router B devono essere impostate le seguenti regole di NAT.

La regola PLC1_2_PLC2 instrada il traffico WAN proveniente dal PLC1, al PLC2 sulla LAN del Router B.

La regola PLC2_2_PLC1 instrada il traffico LAN proveniente dal PLC2, verso l’interfaccia WAN del Router A.

image51

image52

Programmazione di un PLC Siemens S7 300

Il caso d’uso è quello di un PLC S7-300 (per esempio) sulla sottorete LAN che deve essere programmato utilizzando un PC sulla rete WAN.

Si assume che il PLC sulla LAN abbia indirizzo IP 10.90.0.90.

Si assume inoltre che l’interfaccia WAN del Router abbia indirizzo 172.19.17.45.

La regola di NAT da configurare è mostrata nella figura seguente dove la porta 102 è quella di default utilizzata dal protocollo S7 TCP.

image53

I parametri che si devono impostare sul PC della WAN con il software di programmazione del PLC sono indicati nella figura seguente.

image54

Routing rules

Questa funzione permette di configurare regole di routing statico tra le due interfacce del Router (LAN e WAN. È possibile applicare regole per instradare singoli indirizzi IP o range di indirizzi.

Le regole vanno applicate sia sull’interfaccia LAN che sull’interfaccia WAN, indicando quali sono gli indirizzi interessati al routing su entrambe le interfacce.

L’esempio seguente mostra come realizzare un instradamento tra un indirizzo IP nella sottorete LAN e un indirizzo IP nella sottorete WAN.

image55

Il primo passo serve ad istruire il Router sull’instradamento tra le due interfacce LAN e WAN, come mostrato dall’immagine seguente.

image56

Occorre quindi impostare una regola di routing sul PC nella WAN, in modo da instradare al Router i pacchetti destinati alla rete LAN. Da un terminale diamo il comando:

C:\Windows\system32>route add 10.20.0.10 mask 255.255.255.255 172.19.17.102 if 11

Suggerimento

Il parametro dopo “if” rappresenta il numero dell’interfaccia di rete sulla quale applicare la regola. Tale parametro è riportato nella schermata “route print”.

Suggerimento

Per rendere persistenti le modifiche apportate alla routing table del PC è sufficiente aggiungere il parametro “-p” al comando sopracitato.

Per verificare che la regola sia stata impostata correttamente, aprire un terminale e digitare: C:\Windows\system32>route print

Se tutto è stato svolto correttamente, i valori precedentemente immessi dovrebbero riapparire nell’editor sotto la voce “IPv4 Route Table”.

In alternativa è possibile impostare la medesima regola sul dispositivo che fa da gateway alla rete WAN.

Come ultimo passo è necessario impostare il gateway del PLC come l’indirizzo IP dell’interfaccia LAN del Router.

Avvertimento

La funzione LAN-WAN routing NON è supportata nei seguenti scenari:

  • Connessione ad Internet attraverso modem

  • Indirizzo del gateway NON specificato per l’interfaccia WAN

  • Condivisione della connessione Internet abilitata. Vedere Internet Sharing.

  • Utilizzo di indirizzi link-local, appartenenti alla classe 169.254.0.0/16

Trasferimento della configurazione al Router

Per trasferire la configurazione al Router è sufficiente cliccare il tasto “Apply” che si trova in fondo alla schermata.

Un messaggio confermerà l’avvenuto trasferimento.

A seconda delle impostazioni modificate nelle sezioni precedentemente descritte sarà richiesto o meno un riavvio del dispositivo. Quando necessario, il riavvio sarà comandato direttamente da Control Center.