Inbetriebnahme
Last updated
Last updated
Die obige Abbildung stellt einen integrierten SPARK in eine beispielhafte Kunden-Infrastruktur dar. Grundsätzlich lässt sich die Inbetriebnahme eines SPARKs in zwei Teilschritte mit verschiedenen Zielen unterteilen:
Integration in ein Netzwerk mit Internetzugriff Hierbei ist das Ziel, eine Verbindung zwischen dem SPARK und der ENLYZE Plattform herzustellen.
Integration in das Maschinennetz oder direkter Anschluss an eine Steurung Bei diesem Schritt es darum, eine Verbindung zu relevanten Steuerungen und Geräten herzustellen, die von der ENLYZE Plattform ausgelesen werden sollen.
Ein Kernelement des SPARKs ist es, dass dieser in keiner Weise als Router betrieben wird und somit keine Netzüberbrückung stattfindet.
Jeder SPARK ist Teil eines ENLYZE internen VPN mit der CIDR 10.21.0.0/16.Aufgrund dessen ist eine Integration in ein kollidierendes Netzwerk nicht möglich. Kollidierend ist jedes Netzwerk, welches mit 10.21 beginnt.
Wenn du dir nicht sicher bist, schreib uns einfach! Wir helfen dir gerne weiter 👋
Im Folgenden wird die Inbetriebnahme eines SPARKs beschrieben. Um diese durchzuführen, werden folgende Informationen benötigt:
Wo soll der SPARK installiert werden?
Liegt Folgendes am Installationsort vor?
Strom
Netzwerkzugang zum Internet
Netzwerkzugang zum Maschinennetz oder zur Steuerung
Nach mehr als 300 installierten SPARKs helfen wir dir gern mit unserer Erfahrung weiter und beraten dich bei der Wahl des Einbauortes.
Werden firmenintern IPs im Addressbereich 10.21.0.0/16 verwendet? Falls ja, können auch andere Addressblöcke verwendet werden? Andernfalls ist keine Integration des SPARKs in die Netzwerklandschaft möglich.
Werden IP Adressen im Netzwerk mit Internetzugriff via DHCP oder statisch vergeben?
Werden IP Adressen im Maschinennetz via DCHP oder statisch vergeben?
Hinzufügen und ggf. Editieren von Firewall-Regeln
Sobald die vorbereitenden Fragen geklärt sind, kann die Installation des SPARK nun durchgeführt werden. Um diese so einfach wie möglich zu gestalten, findest du im Folgenden eine Schritt-für-Schritt-Anleitung.
🔒 Weitergehende Informationen über die Portfreigaben und das allgemeine Sicherheitskonzept lassen sich dem ENLYZE IT-Security Konzept entnehmen
Die Vernetzung des SPARK stellt sich einfach dar. Hierzu wird der SPARK so vernetzt, dass
eth0 in einem mit dem Internet verbundenen Netzwerk verbunden
eth1 im Maschinennetz oder direkt an der Steuerung
angeschlossen ist. Abschließend wird das Stromkabel des SPARK eingesteckt. Der SPARK fährt ohne Betätigung eines Schalters hoch.
Das Netzwerk des SPARK lässt sich über eine Web Oberfläche konfigurieren. Diese wird über alle Netzwerkkarten zur Verfügung gestellt.
Über das Netzwerk von eth0
Ab Werk erfolgt die IP Vergabe von eth0 über DHCP
Ist dies auch in deinem Netzwerk der Fall, lässt sich die SPARK Setup Oberfläche über die IP eth0 aufrufen.
Direkte Verbindung mit dem SPARK
Verbinde deinen Rechner mit Hilfe eines Netzwerkkabels mit dem Service Port des SPARK (eth2)
Setze die IP deines Rechners auf 10.96.96.2
Öffne deinen Browser und öffne https://10.96.96.1
Damit die Kommunikation der SPARK Setup Oberfläche offline verschlüsselt stattfinden kann, generiert und verwendet jeder SPARK ein selbst signiertes Zertifikat, wobei die IP von eth0 als Common Name (CN) und Subject Alternate Name (SAN) verwendet wird.
Dieses wird von gängigen Browsern nicht anerkannt und es wird eine Warnung angezeigt, die zunächst bestätigt werden muss. Hinter der Schaltfläche Advanced oder Erweitert findet sich ein Link zur SPARK Setup Oberfläche ("Proceed to 10.96.96.1 (unsafe)").
Ab Werk wird jeder SPARK mit folgenden Login Daten ausgeliefert:
Nutzername: admin
Passwort: Der Hostname des SPARK
Der Hostname des SPARK ist auf dem Gehäuse abgedruckt, z.B. youthful-lazard
Nach erstmalig erfolgtem Login ist ein Passwortwechsel nötig, um die Sicherheit des SPARKs nicht zu kompromittieren. Das Passwort wird idealerweise in dem Corporate Passwortmanager abgelegt und mit relevanten Ansprechpersonen aus der IT geteilt.
Die über den Reiter Interfaces Seite bietet einen Überblick über den derzeitigen Zustand aller Netzwerkkarten des SPARKs. Über die Schaltfläche "Bearbeiten" lässt sich die IP Vergabe der einzelnen Netzwerkkarten entweder via DHCP oder statisch hinterlegen.
Nach erfolgtem Anwenden der Konfiguration wird die Verbindung zur ENLYZE Manufacturing Data Platform überprüft. Ist dieser erfolgreich, ist die Ersteinrichtung des Geräts abgeschlossen, schlägt dieser fehl, werden Einstellungen an der Firewall benötigt, die es dem SPARK erlauben, eine Verbindung zu ENLYZE Systemen aufzubauen.
Um sich mit der ENLYZE Manufacturing Data Plattform zu verbinden, benötigt der SPARK Zugriff auf bestimmte DNS, NTP und VPN Server. Schlägt der Verbindungstest bei der DNS-Auflösung oder später fehl, ist dies aller Wahrscheinlichkeit auf fehlende Firewallregeln zurückzuführen, die eine Kommunikation zwischen dem SPARK und den benötigten Diensten verhindern.
In diesem Falle müssen folgende Firewallregeln für die MAC Adresse des eth0 Netzwerk-Ports erstellt werden:
1.1.1.1
53 (DNS)
TCP und UDP
Auflösung von Hostnamen zu IP-Adressen
8.8.4.4
53 (DNS)
TCP und UDP
Auflösung von Hostnamen zu IP-Adressen
8.8.8.8
53 (DNS)
TCP und UDP
Auflösung von Hostnamen zu IP-Adressen
iot-edge-1.enlyze.com (159.69.177.150)
51821 (Wireguard)
UDP
Datentransfer in die ENLYZE-Cloud, SPARK-Konfiguration, Einspielen von Updates
ntp1.enlyze.com (157.90.230.207)
123 (NTP)
UDP
Synchronisierung Systemzeit
ntp2.enlyze.com (162.55.43.234)
123 (NTP)
UDP
Synchronisierung Systemzeit
Nach erfolgter Stromversorgung sollte spätestens nach einigen Minuten im Firewall Programm ersichtlich sein, dass ein Gerät mit der ermittelten MAC Adresse von eth0 im Netzwerk teilnimmt und einen Traffic in das Public Internet generiert.
An dieser Stelle lässt sich ebenfalls ermitteln, ob sämtliche Firewall-Regeln erfolgreich übernommen wurden, indem man prüft, ob der Traffic des SPARK von der Firewall geblockt wird.
Damit der SPARK voll funktionsfähig ist, müssen sämtliche Firewall-Regeln eingerichtet sein.
