Workbook - Rockwell Automation
Transcription
Workbook - Rockwell Automation
Application des fonctions EtherNet/IP avancées dans les architectures Ethernet à l’échelle de l’usine (CPwE) Uniquement pour l’utilisation durant les cours ! Information Utilisateur Importante Cette documentation,qu’elle soit illustrative, imprimée, en ligne ou électronique (ci-après désignée « Documentation »), est destinée à être utilisée exclusivement en tant qu’aide à la formation dans le cadre de l’utilisation des matériels, logiciels et firmware de démonstration homologués par Rockwell Automation. La Documentation doit être exclusivement utilisée comme outil d’apprentissage par des professionnels qualifiés. La diversité des utilisations des matériels, logiciels et firmware (ci-après dénommés les « Produits ») décrits dans cette Documentation impose aux responsables de l’application et de l’utilisation desdits Produits de vérifier par eux-mêmes la mise en place de toutes les mesures nécessaires pour garantir que chaque application et son utilisation effective sont conformes aux exigences de sécurité, y compris toute loi, réglementation, code et norme applicable en plus de tout document technique applicable. En aucun cas, Rockwell Automation, Inc., ni aucune de ses filiales ou sociétés affiliées (ci-dessous « Rockwell Automation ») ne peut être tenue responsable civilement ou juridiquement des dommages directs ou indirects résultant de l’utilisation ou de la mise en œuvre des Produits décrits dans cette Documentation. Rockwell Automation ne peut être tenue responsable civilement ou juridiquement des dommages de quelque type que ce soit basés sur l’invocation d’utilisation ou de mise en application en toute confiance de cette Documentation. Rockwell Automation n’assume aucune responsabilité de propriété industrielle quant à l’emploi des informations, circuits, dispositifs ou logiciels décrits dans la Documentation. Sauf accord express établi par écrit, en tant qu’élément d’un contrat de maintenance ou d’assistance, les utilisateurs de l’équipement sont responsables : • de l’utilisation, l’étalonnage, le fonctionnement, la surveillance et de la maintenance corrects de tous les Produits visés dans les instructions, mises en garde, recommandations et documentations fournies par Rockwell Automation ou une tierce partie, • du contrôle en toute circonstance de l’utilisation et de la maintenance des Produits, exclusivement par du personnel correctement formé, • de l’information permanente concernant des mises à jour et avertissements portant sur les Produits et de la mise en œuvre de toutes les mises à jour et modifications, et • de tous les autres facteurs affectant les Produits et qui sont hors du contrôle direct de Rockwell Automation. Toute reproduction en tout ou partie de la Documentation sans autorisation préalable écrite de Rockwell Automation est interdite. Les notes suivantes sont utilisées tout au long de ce manuel pour rappeler les consignes de sécurité : Identifie toute information sur les pratiques ou circonstances susceptibles de provoquer une explosion dans un environnement dangereux ou entraîner des blessures corporelles ou la mort, des dégâts matériels ou des pertes financières. Identifie toute information critique pour la mise en œuvre et la compréhension correctes du produit. Identifie toute information sur les pratiques ou circonstances susceptibles de provoquer des blessures corporelles ou la mort, des dégâts matériels ou des pertes financières. Les mises en garde vous aident à : • identifier un danger • éviter ce danger • en connaître les conséquences Des étiquettes peuvent être apposées sur ou à l’intérieur du variateur pour signaler la présence éventuelle de tensions électriques dangereuses. Les étiquettes peuvent être apposées sur ou à l’intérieur du variateur pour signaler que les surfaces peuvent atteindre des températures dangereuses. Table des matières À propos de cet atelier .......................................................................................................................... 4 Activités proposées dans cet atelier ..................................................................................................... 4 À propos de Stratix 5700....................................................................................................................... 5 À propos de Stratix 8000....................................................................................................................... 7 Avant de commencer ............................................................................................................................ 8 Informations à l’intention des formateurs .............................................................................................................. 8 Outils et conditions préalables .............................................................................................................................. 8 Matériel ................................................................................................................................................................. 8 Connexion de votre poste d’atelier ....................................................................................................... 9 Atelier 1 : Network Address Translation (NAT) dans une architecture de couche 2 .......................... 10 Introduction ......................................................................................................................................................... 10 NAT dans une architecture de couche 2 ............................................................................................................. 10 Scénario de l’atelier 1 :........................................................................................................................................ 11 Configuration du service NAT sur le Stratix 5700 depuis l’interface de Device Manager ................................... 12 Vérification du fonctionnement NAT .................................................................................................................... 19 Vérification de la communication EtherNet/IP par l’intermédiaire de NAT .......................................................... 22 Atelier 2 : Segmentation VLAN, routage connecté et service NAT sur une architecture de couche 3. ....................................................................................................... 30 Introduction ......................................................................................................................................................... 30 NAT dans une architecture de couche 3 ............................................................................................................. 30 Scénario de l’atelier 2.......................................................................................................................................... 31 Configuration des VLAN et routage connecté ..................................................................................................... 33 Vérification de l’opération de routage connecté .................................................................................................. 40 Configuration du service NAT pour l’architecture de couche 3 ........................................................................... 44 Vérification de la communication EtherNet/IP par l’intermédiaire du service NAT .............................................. 48 Résumé de l’atelier ............................................................................................................................. 52 Informations sur l’atelier ...................................................................................................................................... 53 Configuration matérielle ...................................................................................................................................... 53 Procédures de réinitialisation et de démarrage de l’atelier ................................................................. 55 Dépannage de l’atelier ........................................................................................................................ 61 3 sur 62 À propos de cet atelier Bienvenue dans l’atelier « Application des fonctions EtherNet/IP avancées dans les architectures Ethernet à l’échelle de l’usine (CPwE) ». Les Stratix 5700 et Stratix 8000 sont des switchs Ethernet administrables de Rockwell Automation utilisant la technologie Cisco. Ces équipements vous apportent le meilleur des deux mondes : le meilleur de Cisco et le meilleur d’Allen-Bradley. La famille de switchs Stratix repose sur la technologie Cisco Catalyst et son jeu d’instructions pour apporter une intégration sécurisée au réseau d’entreprise tout en proposant des outils maîtrisés par les professionnels de l’informatique. Les switchs Stratix 5700 et 8000 facilitent la configuration et permettent un diagnostic complet à partir de l’architecture intégrée de Rockwell Automation. Ils peuvent être configurés avec le logiciel de programmation Studio 5000. Les variables Logix automatiquement créées lors de l’utilisation de ces dispositifs permettent un diagnostic natif. Ces variables, associées aux objets graphiques désignés par le terme « faces avant » FactoryTalk View, facilitent l’intégration des équipements réseau dans les architectures de commande et d’automation. Cet atelier traite des techniques avancées, des bonnes pratiques, de progiciels et de produits divers utilisant Ethernet/IP. Il décrit Network Address Translation (NAT) de couche 2 ainsi que les architectures de couche 3, les LAN virtuels (VLAN), la segmentation et le routage connecté. Une compréhension préalable des concepts généraux d’Ethernet est recommandée, y compris de la commutation et du routage. Il est également recommandé (même si ce n’est pas indispensable) d’avoir terminé l’atelier « Utilisation d’Ethernet/IP et des switchs Stratix dans les applications en temps réel » avant de commencer celui-ci. Activités proposées dans cet atelier Au cours des exercices de cette session pratique, vous allez : Apprendre à configurer les fonctions avancées des switchs Ethernet administrables de la famille Stratix. Apprendre à configurer les Stratix 5700 et Stratix 8000 par l’une des méthodes suivantes : o Device Manager – Configurations de base et avancées avec des outils de maintenance o Studio 5000 – Configurations de base et avancées avec des outils de maintenance dans l’environnement Studio 5000 Apprendre à configurer la fonction NAT dans les architectures de couches 2 et 3. Apprendre à segmenter un réseau en plusieurs VLAN et à configurer le routage connecté. Apprendre à utiliser la persistance DHCP pour affecter automatiquement des adresses IP. L’Atelier 1 vous guidera à travers les étapes de configuration du NAT (couche 2) à l’aide de Device Manager. L’Atelier 2 vous guidera à travers les étapes de configuration d’un VLAN et de segmentation du réseau, du routage et de la fonction NAT (couche 3). 4 sur 62 À propos de Stratix 5700 Dans cet atelier, nous allons présenter le switch Ethernet administrable Stratix 5700 équipé de la technologie Cisco. Le switch Ethernet administrable Stratix 5700 dispose de 2 à 20 ports de type cuivre 10/100 Mbit/s et 10/100/1000 Mbit/s (en option), ainsi que des ports fibre optique SFP (Small Form factor Pluggable) (en option). La partie supérieure droite dispose de deux connecteurs d’alimentation, qui permettent de connecter le switch à deux sources d’alimentation 12-54 V c.c. distinctes, pour la redondance. Remarque : certains switchs gèrent l’alimentation des dispositifs connectés par le biais du réseau (PoE) et nécessitent une alimentation 48 V c.c. Les connecteurs situés en bas à droite sont des contacts filaires pour les alarmes majeures et mineures. Ces contacts peuvent être configurés en normalement ouvert ou normalement fermé. Le bouton de configuration express « Express Setup » est situé en haut. Il permet de réaliser la configuration initiale du switch. Cette méthode active entre autres automatiquement le protocole CIP, la qualité de service (QoS), le protocole IGMP, les alarmes et les macros smartport, selon les recommandations techniques pour permettre aux dispositifs d’automation de fournir des performances optimales dans les applications de contrôle commande, dont les besoins sont différents de ceux des réseaux informatiques. Les ports Console en haut (connecteurs RJ-45 et USB) permettent un accès direct au switch par l’interface en ligne de commande (CLI) de Cisco. Le logement de la carte Secure Digital (SD) est situé en bas. La carte SD en option simplifie le remplacement de dispositifs en stockant la configuration et le firmware du switch. Le Stratix 5700 peut être administré depuis l’interface Web Device Manager pour la configuration, la maintenance et la surveillance. Les informations en temps réel peuvent être affichées à l’aide de ce logiciel. En plus de Device Manager, le switch peut également être administré dans l’environnement Studio 5000 lorsque la configuration initiale est terminée. Device Manager peut afficher une vue de la face avant du Stratix 5700, dont les composants sont représentés avec des codes de couleur pour indiquer l’état du switch. Les états de défaut ou d’alarme qui y sont indiquées sont identiques aux voyants d’état physiques du switch. Les fonctions avancées du switch qui sont traitées dans cet atelier incluent les réseaux locaux virtuels (VLAN) et la fonction Network Address Translation (NAT). 5 sur 62 Le document Stratix Managed Switches User Manual (Publication 1783-UM007) comporte une description complète des caractéristiques matérielles et logicielles du Stratix 5700. Vous trouverez les références des différents numéros de catalogues et les fonctions prises en charge par la plate-forme Stratix 5700 dans le document Switch Reference Chart (Publication enet-qr002) 6 sur 62 À propos de Stratix 8000 Dans cet atelier, nous utiliserons également le switch Ethernet administrable Stratix 8000 équipé de la technologie Cisco. Le switch Ethernet administrable Stratix 8000 est un switch modulaire qui peut être étendu jusqu’à 26 ports à l’aide de modules d’expansion. Il comporte deux connecteurs d’alimentation 24 V c.c. dans sa partie supérieure gauche. Des connexions supplémentaires au niveau des connecteurs d’alimentation fournissent des contacts filaires pour les alarmes majeures et mineures. Ces contacts peuvent être configurés en normalement ouvert ou normalement fermé. Le bouton de configuration express « Express Setup » est situé sous les connecteurs d’alimentation. Il permet de configurer facilement le switch pour les réseaux Ethernet/IP. Il active automatiquement, entre autres, le protocole CIP, la qualité de service (QoS), le protocole IGMP, les alarmes et les macros smartport, qui ont des configurations recommandées pour permettre aux dispositifs d’automation de fournir des performances optimales dans les applications de commande, dont les besoins sont différents de ceux des réseaux informatiques. Le port Console en haut (connecteur RJ-45) permet un accès direct au switch par l’interface en ligne de commande (CLI) de Cisco. Le logement de carte CompactFlash est situé en bas. Cette carte flash, qui stocke la configuration et le firmware du switch, peut être utilisée pour remplacer rapidement le matériel. Elle est fournie avec le switch. Le Stratix 8000 peut être administré depuis l’interface Web Device Manager pour la configuration, le dépannage et la surveillance. Les informations en temps réel peuvent être affichées à l’aide de ce logiciel. En plus de Device Manager, le switch peut également être administré dans l’environnement Studio 5000 lorsque la configuration express est terminée sur le switch. Device Manager peut afficher une vue du panneau avant du Stratix 5700, dont les composants sont représentés avec des codes de couleur pour indiquer l’état du switch. Les situations de défaut ou d’erreur qui y sont indiquées peuvent être comparées aux voyants d’état physiques du switch. Les fonctions avancées du switch Stratix 8000 traitées dans cet atelier comprennent les réseaux locaux virtuels (VLAN), le protocole DHCP et le routage connecté. Le document Stratix Managed Switches User Manual (Publication 1783-UM007) comporte une description complète des caractéristiques matérielles et logicielles du switch Stratix 8000. Une présentation de la famille Stratix figure dans le manuel « Infrastructure pour réseaux industriels Stratix en un coup d’œil » (Publication enet-qr001). 7 sur 62 Avant de commencer Informations à l’intention des formateurs Les informations destinées aux formateurs mettent l’accent sur le réglage initial, la réinitialisation et le dépannage de l’atelier. Reportez-vous à l’Annexe A au dos du manuel de l’atelier pour des instructions supplémentaires à l’intention des formateurs. Outils et conditions préalables • PC avec Microsoft Internet Explorer V9, V10 ou V11 ou Mozilla Firefox V25 ou V26 avec JavaScript activé, Studio 5000 v28, FactoryTalk View Studio 8.1 • Stratix 5700 avec IOS 15.2(3).EA1 préchargé • Stratix 8000 avec IOS 15.2(3).EA1 préchargé • Stratix switch Add-On Profile (AOP) v9.01.04 pour intégration dans Studio 5000 • Stratix 5700 AOI et FactoryTalk View Faceplate v3.0 • Stratix 8000 AOI et FactoryTalk View Faceplate v6.0 Matériel Cet atelier pratique utilise le matériel suivant : • ENET 21 Demo Box (10P084A#2) – Mis à jour avec Stratix 5700 NAT et 1756-L85E Stratix 5700 Automate de machine Automate de ligne Point I/O Stratix 8000 8 sur 62 Connexion de votre poste d’atelier Examinez le schéma d’atelier ci-dessous. Ce système comporte deux automates ControlLogix, un Stratix 8000 et un Stratix 5700, un module Point I/O, un module ETAP, un module d’E/S ArmorBlock et un ordinateur. Le châssis ControlLogix du haut est appelé « automate de machine » dans cet atelier. Il comporte 2 connexions réseau, le module ControlLogix en emplacement 0 est connecté au switch Stratix 5700, et le module Ethernet à l’emplacement 3 sur le réseau DLR. Le châssis ControlLogix du bas est appelé « automate de ligne » dans cet atelier. Le module Ethernet à l’emplacement 1 est connecté au switch Stratix 8000. Nous avons déjà réalisé les connexions pour vous. Les numéros indiqués sur les câbles dans le kit de démonstration doivent correspondre à ceux du schéma, mais vous devez tout de même vérifier. 1 Machine Controller ETAP Point I/O Fa1/2 ArmorBlock Stratix 5700 8 Fa1/3 3 1 6 Fa1/7 4 Gi1/1 7 2 Fa1/8 2 Line Controller 7 Gi1/1 10 9 Fa1/2 Fa1/3 Stratix 8000 Cable numbers with connection detail 1. Machine L85E Slot 1 to Stratix 5700 Fa 1/2 2. Machine EN2TR Slot 3 Port 1 to Stratix 5700 Fa 1/8 3. Machine EN2TR Slot 3 Port 2 to 1734-AENTR Port 1 4. 1734-AENTR Port 2 to 1783-ETAP Port 1 (front) 5. Not used 6. 1783-ETAP Port 2 (rear) to Stratix 5700 Fa 1/7 7. Stratix 8000 Gi 1/1 to Stratix 5700 Gi 1/1 8. ArmorBlock I/O to Stratix 5700 Fa 1/3 9. Line EN2TR Slot 1 Port 1 to Stratix 8000 Fa 1/3 10. PC to Stratix 8000 Fa 1/2 (separate cable) 9 sur 62 Atelier 1 : Network Address Translation (NAT) dans une architecture de couche 2 Introduction L’intégration de machines ou de skids de process dans un réseau d’usine peut être difficile pour plusieurs raisons. Les adresses IP affectées par les fabricants OEM correspondent rarement à celles des utilisateurs finaux, et les adresses IP du réseau sont généralement inconnues jusqu’à l’installation des machines, ce qui augmente encore le coût et le délai de mise en service des équipements. Plusieurs machines utilisant des schémas d’adressage identiques peuvent entraîner des problèmes de conflit d’adresses. Parfois, le réseau d’usine ne dispose pas de suffisamment d’adresses IP disponibles pour en attribuer à tous les nouveaux dispositifs. Network Address Translation (NAT) peut contribuer à résoudre ce problème. Le switch Allen-Bradley Stratix 5700 dispose d’une implémentation matérielle du service NAT qui fournit des traductions hautes performances sans introduire de latence et permet : • Une lecture simple de la table de correspondance entre les adresses IP au niveau de la machine et celles de l’usine de l’utilisateur final • Une simplification de la maintenance grace à la mise en œuvre de programmes standardisés sans changement des adresses IP Le switch Stratix 5700 équipé de la technologie NAT permet également aux utilisateurs d’isoler une partie du trafic des machines en déterminant quels dispositifs doivent être exposés à un réseau plus large par la traduction NAT. En limitant l’accès à certains dispositifs seulement, vous pouvez contribuer à optimiser les performances du réseau au niveau local, mais également apporter un certain niveau de sécurité et de protection car vous pouvez décider quels dispositifs sont visibles et accessibles depuis « l’extérieur » du réseau machine. NAT dans une architecture de couche 2 L’architecture la plus simple pour appliquer l’adressage NAT est un réseau de couche 2 à petite échelle comportant un seul VLAN et aucun switch de couche 3. Le schéma de réseau ci-dessous représente une architecture de type 2 dont les zones intérieure (machine) et extérieure ne comportent qu’un seul VLAN. La zone intérieure désigne une machine intégrée sur un réseau extérieur plus étendu. Aucun dispositif de couche 3 (routage) n’est nécessaire puisque l’ensemble du trafic demeure à l’intérieur d’un seul VLAN. 10 sur 62 Scénario de l’atelier 1 : Nous voulons ajouter plusieurs machines à notre architecture actuelle avec un seul VLAN et sans switch de couche 3. Chaque machine comportera un équipement et une configuration réseau identiques. Pour obtenir le même adressage IP pour toutes ces machines supplémentaires, nous devons utiliser la fonction NAT. Chaque poste de travail se compose d’un automate de ligne pour la supervision et un automate de machine pour les opérations au niveau de la machine. Nous voulons maintenir les adresses IP existantes des machines et ne conserver qu’un seul programme Studio 5000 pour toutes les machines au lieu de devoir reconfigurer chaque dispositif sur chaque machine avec de nouvelles adresses IP. Nous devrons configurer le service NAT sur le Stratix 5700 de telle manière que les dispositifs dotés d’une adresse IP privée se voient affecter une adresse publique unique. Nous devons également configurer le service NAT pour qu’il convertisse les adresses IP publiques telles que celles de l’automate de ligne et du PC en adresses privées uniques. Le schéma ci-dessous représente la configuration NAT et des adresses IP dans l’atelier 1. Pour les besoins de cet atelier, le châssis ControlLogix du haut dans votre kit de démonstration représente l’automate machine et celui du bas l’automate de ligne. Machine Controller 192.168.1.5 Point I/O 192.168.1.6 ETAP 192.168.1.3 192.168.1.2 Stratix 5700 192.168.1.7 ArmorBlock NAT 192.168.1.4 INSIDE (PRIVATE) VLAN 10 MACHINE OUTSIDE (PUBLIC) VLAN 10 10.10.10.20 Line Controller 10.10.10.30 Stratix 8000 10.10.10.1 Private to Public NAT Table Public to Private NAT Table Device Stratix 5700 L85E EN2TR (DLR) Device Stratix 8000 EN2TR (Line) PC Private 192.168.1.2 192.168.1.3 192.168.1.4 Public 10.10.10.1 10.10.10.20 10.10.10.30 PC Public 10.10.10.2 10.10.10.3 10.10.10.4 Private 192.168.1.1 192.168.1.20 192.168.1.201 Remarque : Les dispositifs NAT peuvent utiliser les mots « public » ou « extérieur » pour désigner le grand réseau (celui à l’échelle de l’usine) avec un schéma d’adressage unique, et les mots « privé » ou « intérieur » pour désigner les petits réseaux (à l’échelle de la machine) avec des adresses IP réutilisables. Dans Device Manager, les termes utilisés pour le switch Stratix 5700 sont « réseau public » et « réseau privé ». 11 sur 62 Configuration du service NAT sur le Stratix 5700 depuis l’interface de Device Manager Commençons par connecter notre PC sur le switch Stratix 5700 coté machine dont l’adresse IP est 192.168.1.2 et à configurer le NAT sur ce switch. Aucune configuration NAT n’étant présente sur le switch, nous ne pouvons pas encore accéder au réseau de la machine 192.168.1.x depuis le switch de la zone ligne (le Stratix 8000) qui fonctionne sur le sous-réseau IP 10.10.10.x. 1. Passez le câble PC du port Fa1/2 sur le Stratix 8000 au port Fa1/1 sur le Stratix 5700. 2. Vérifiez que l’adresse IP du PC est définie à 192.168.1.201. Double-cliquez sur le raccourci Connexion au réseau local sur le bureau, puis cliquez sur Propriétés. Sélectionnez Protocole Internet version 4 (TCP/IPv4) et cliquez sur le bouton Propriétés. 12 sur 62 L’adresse IP du PC doit être 192.168.1.201 (réseau de la machine) et le masque de sous-réseau 255.255.255.0. Fermez la fenêtre. 3. Ouvrez maintenant l’interface de Device Manager pour le switch Stratix 5700 en lançant Internet Explorer via son icône dans la barre des tâches 4. Saisissez l’adresse IP 192.168.1.2 (celle du Stratix 5700) dans la barre d’adresse et appuyez sur Entrée. 13 sur 62 5. Dans la zone d’authentification représentée ci-dessous, laissez le champ « username » vide et tapez le mot de passe « rockwell » (tout en minuscules et sans les guillemets) dans le champ password. 6. Vous êtes maintenant dans l’interface de configuration Device Manager du switch Stratix 5700. Ouvrez le menu Configure et cliquez sur NAT. 14 sur 62 7. C’est sur cette page que vous allez configurer vos instances NAT. Cliquez sur le bouton Add. 8. La fenêtre de configuration Add/Edit NAT Instance (ajouter/modifier instance NAT) s’affiche. C’est là que les traductions NAT de l’instance sont saisies, avec d’autres paramètres. 9. Saisissez Advanced_Lab (atelier avancé) dans le champ Name de l’instance NAT. 15 sur 62 Nous devons maintenant sélectionner les interfaces et les VLAN que nous affectons à cette instance. Pour assigner des VLAN à une instance NAT, prenez en compte les points suivants : • La mise en œuvre NAT du Stratix 5700 NE MODIFIE PAS les VLAN. Par conséquent, vos sous-réseaux privé et public, bien que différents, partageront le même VLAN pour communiquer. • Par défaut, chaque instance est assignée à tous les VLAN sur le port Gi1/1 et aucune instance sur le port Gi1/2 : • Si un VLAN est assigné à une instance NAT, son trafic fait l’objet d’une traduction d’adresse ou est ignoré selon les tables NAT et les paramètres de configuration de l’instance NAT. • Si un VLAN n’est pas assigné à une instance NAT, son trafic ne fait pas l’objet d’une traduction d’adresse et passe à travers le port de la liaison montante (trunk). 8. Dans cet atelier, nous utilisons le VLAN 10 et l’interface Gi1/1. Laissez VLAN 10 coché et désélectionnez tous les autres VLAN. 9. Cliquez sur le bouton Add Row (ajouter une ligne) dans la zone Private to Public (privé à public). Nous allons tout d’abord saisir nos traductions Private to Public dans l’onglet General. 16 sur 62 10. Dans les champs « Private IP Address » et « Public IP Address », saisissez les adresses indiquées dans le tableau ci-dessous. Cliquez sur Save (enregistrer) après chaque paire d’adresses. Cliquez sur Add Row pour saisir une nouvelle paire. Utilisez le tableau ci-dessous pour saisir les correspondances. Private to Public NAT Table Device Stratix 5700 L85E EN2TR DLR Private 192.168.1.2 192.168.1.3 192.168.1.4 Public 10.10.10.2 10.10.10.3 10.10.10.4 11. Cliquez maintenant sur l’onglet « Public to Private » (privé à public) et saisissez les traductions des dispositifs publics en reprenant les adresses du tableau ci-dessous. Public to Private NAT Table Stratix 8000 Line EN2TR PC 10.10.10.1 10.10.10.20 10.10.10.30 17 sur 62 192.168.1.1 192.168.1.20 192.168.1.201 Nous avons saisi les traductions adresse IP par adresse IP (type de traduction « Single »). Vous pouvez également sélectionner l’option Range (plage) pour traduire plusieurs adresses IP consécutives, ou Subnet (sous-réseau) pour traduire l’ensemble du sous-réseau. Le switch Stratix 5700 prend en charge 128 traductions NAT par instance NAT, dans laquelle une transaction de type Range ou Subnet compte pour 1 traduction. Vous ne pouvez avoir qu’une entrée de traduction de type Subnet par instance NAT. 12. Cliquez sur Submit (soumettre) pour finaliser la configuration et fermer Device Manager. 18 sur 62 Vérification du fonctionnement NAT Maintenant que le NAT est configuré, nous allons vérifier qu’il fonctionne. Nous contrôlerons que le switch Stratix est accessible depuis le réseau ligne (supervision) (10.10.10.x) par son adresse publique. 13. Connectez tout d’abord votre PC au Stratix 8000 au niveau de la ligne (supervision) et passez l’adresse IP du PC à l’adresse réseau de la ligne 10.10.10.30. Retirez le câble du PC du port Fa1/1 du Stratix 5700 et branchez-le sur le port Fa1/2 du Stratix 8000. 14. Double-cliquez sur le raccourci Connexion au réseau local du bureau, puis cliquez sur Propriétés. Sélectionnez la ligne IPv4 et cliquez sur Propriétés. Remplacez l’adresse IP par 10.10.10.30 et l’adresse de la passerelle locale par 10.10.10.1. Fermez les fenêtres ouvertes. Remarque : ces modifications doivent être apportées dans l’image VMWare et non sur le PC hôte. Maintenant que nous avons configuré le service NAT sur le Stratix 5700, nous pouvons communiquer avec le réseau de la machine en étant connecté au réseau de la ligne (Stratix 8000). 19 sur 62 15. Vérifiez que la configuration du service NAT fonctionne en ouvrant Device Manager pour le Stratix 5700. Nous pouvons accéder au Stratix 5700 avec l’adresse IP traduite 10.10.10.2. 16. Une fois encore, vous êtes invité à saisir les informations d’authentification dans la boîte de dialogue représentée ci-dessous. Laissez le champ « username » vide et tapez le mot de passe « rockwell » (tout en minuscules et sans les guillemets) dans le champ password (comme précédemment) 17. En accédant au switch à partir de l’adresse traduite et sur le tableau de bord de Device Manager, nous savons que les instances NAT sont appliquées. Cette opération est également utile en maintenance pour connaître l’adresse privée (machine) d’un dispositif lorsque nous y accédons par son adresse publique (traduite). 20 sur 62 18. Nous pouvons également vérifier que les instances fonctionnent en cliquant sur l’onglet Monitor et en sélectionnant NAT Statistics 21 sur 62 Vérification de la communication EtherNet/IP par l’intermédiaire de NAT Maintenant que les instances NAT sont configurées et fonctionnent, nous sommes prêts à télécharger les programmes sur les automates de ligne et de machine. 19. Ouvrez le dossier Lab Files en double-cliquant sur le raccourci du bureau. Dans le dossier de l’atelier « Applying Advanced EtherNetIP Features in CPwE Systems », ouvrez le fichier Bottom_CLX_Line_Lab1.ACD pour télécharger le programme sur l’automate de ligne (châssis du bas). Veillez à sélectionner le bon fichier (« Line_Lab1 »). 20. Cliquez sur le bouton Who Active (Qui est actif). Développez l’arborescence du pilote Ethernet VLAN10. Accédez au processeur de ligne 10.10.10.20, emplacement 0 et cliquez sur Download (Télécharger). 22 sur 62 21. Cliquez sur Download (Télécharger). 22. Cliquez sur Yes pour que l’automate passe en mode d’exécution à distance (Remote Run). 23. Si aucune fenêtre ne s’ouvre pour vous demander à revenir en mode exécution, cliquez sur la zone déroulante dans la barre d’état de l’automate et sélectionnez Run Mode (mode exécution). 23 sur 62 Nous sommes maintenant prêts à télécharger le programme sur l’automate machine (châssis du haut). 24. Ouvrez le dossier Lab Files en double-cliquant sur le raccourci du bureau. Dans le dossier de l’atelier « Applying Advanced EtherNetIP Features in CPwE Systems », ouvrez le fichier Bottom_CLX_Machine_Lab1.ACD pour télécharger le programme sur l’automate de machine (châssis du haut). Veillez à sélectionner le bon fichier (« Machine_Lab1 »). 25. Cliquez sur le bouton Who Active (Qui est actif). Développez l’arborescence du dossier Ethernet VLAN10. Accédez au processeur de ligne 10.10.10.3, (logement 0 – châssis du haut) et cliquez sur Download (télécharger). Le nouveau processeur ControlLogix 5580 (1756-L85E) est doté d’un port Ethernet Gigabit intégré. Il permet de contrôler jusqu’à 256 axes de positionnement à une vitesse de traitement de 32 axes par ms. 24 sur 62 26. Cliquez sur Download (Télécharger). Cliquez sur Yes (Oui) pour que l’automate passe en mode d’exécution à distance Remote Run. 27. Si aucune fenêtre ne s’ouvre pour vous inviter à passer en Run Mode, cliquez sur la zone déroulante dans la barre d’état de l’automate et sélectionnez Run Mode. 28. Après le téléchargement, les données de la variable Line_Control sont échangées via la connexion Produced Consumed entre les automates de ligne et de machine. Accédez au sous-programme Main du programme Main, ligne 0. Si la connexion Produced Consumed est établie, le programme pilote les sorties Point I/O sur la station afin d’illustrer la communication à travers une interface NAT. 25 sur 62 29. Dans l’arborescence des E/S du programme Machine, double-cliquez sur le module automate 1756L85E (CLX_Machine_Lab1) à l’emplacement 0 pour ouvrir la fenêtre de propriétés (Controller Properties). Remarquez que nous avons dû utiliser l’adresse IP publique (extérieure) 10.10.10.3 de l’automate pour réaliser le téléchargement sur l’automate de machine car le PC était connecté au réseau extérieur (le switch Stratix 8000). Le port Ethernet de l’automate du programme Machine est configuré avec l’adresse IP 192.168.1.3., qui apparaît également sur l’afficheur du processeur. 26 sur 62 30. Ouvrez la fenêtre Properties du module 1756-EN2TR « RemoteEN2TR » sur le réseau Ethernet. L’adresse IP du module distant (Line) est configurée avec l’adresse 192.168.1.20 dans le programme Machine. L’adresse locale du module est 10.10.10.20 car il se trouve sur le réseau public (extérieur). 27 sur 62 31. Cliquez sur le raccourci RSLinx Classic du bureau et ouvrez la fenêtre RSWho. Développez l’arborescence du pilote Ethernet VLAN10. N’oubliez pas que nous parcourons le réseau public 10.10.10.0 à partir du PC : • • • L’application RSLinx Classic indique à la fois les adresses réelles (non traduites) et les adresses traduites du module EN2TR et du processeur de l’automate Machine car elles ont été renseignées dans la table NAT. Nous NE VOYONS PAS les autres dispositifs sur le réseau Machine (par exemple l’adaptateur POINT I/O) dans RSLinx car nous n’avons pas configuré de traductions pour eux. Nous ne voyons que les adresses IP réelles du switch Stratix 8000 (10.10.10.1) et du module automate de ligne (10.10.10.20) car le PC se trouve sur le même réseau que ces dispositifs. 28 sur 62 32. Lancez l’application FactoryTalk View SE Client en cliquant sur le fichier client EIP_Adv_Lab.cli qui se trouve dans le dossier de l’atelier Applying Advanced EtherNetIP Features in CPwE Architectures, accessibles par le raccourci Lab Files du bureau. Le chargement peut prendre une minute. L’application IHM montre l’état général du réseau. Vérifiez que toutes les connexions sont affichées en vert. Vous avez terminé avec succès l’atelier 1. 29 sur 62 Atelier 2 : Segmentation VLAN, routage connecté et service NAT sur une architecture de couche 3. Introduction Dans l’atelier précédent, nous avons étudié le service NAT dans une architecture de couche 2 sans segmentation en VLAN ni routage. Cette architecture peut convenir à un très petit réseau, mais se révèle rapidement insuffisante lorsque le réseau s’étend. L’utilisation du NAT dans une architecture à un seul VLAN apporte un certain degré de segmentation en isolant les dispositifs dont l’adresse privée n’est pas traduite. Toutefois, cette méthode ne permet pas une segmentation complète dans la mesure où la diffusion du trafic se propage tout de même à travers le réseau. Les systèmes de production plus importants nécessitent un réseau dont l’architecture inclut des switchs de distribution (couche 3) assurant la segmentation en VLAN et le routage. L’ajout du service NAT sur ce réseau nous permet d’intégrer plusieurs machines ou skids dotés d’adresses IP identiques tout en fournissant une segmentation en VLAN pour chaque machine. Une implémentation NAT de couche 3 présente un autre avantage : il n’est pas nécessaire d’ajouter les dispositifs du réseau public (supervision) dans la table NAT « Public to Private » pour qu’ils puissent communiquer avec les dispositifs privés (machine). NAT dans une architecture de couche 3 Le schéma ci-dessous représente plusieurs machines ou skids intégrés dans un réseau plus étendu à l’aide du service NAT d’un Stratix 5700, chaque machine utilisant un VLAN distinct dans une architecture de couche 3. L’utilisation d’un dispositif NAT sur chacune des machines permet de leur affecter des adresses IP identiques et de les connecter au réseau sans devoir modifier leurs programmes ou leurs paramètres. La segmentation en VLAN limite le domaine de diffusion et contribue à éviter que les problèmes de réseau d’une machine affectent le reste du réseau. Dans cette architecture, chaque Stratix 5700 fournit le service NAT au VLAN associé à la machine. Le switch de couche 3 sur le réseau public constitue une passerelle pour chacun des VLAN et achemine le trafic entre eux. 30 sur 62 Scénario de l’atelier 2 Nous voulons ajouter plusieurs machines à notre réseau existant. Chaque machine comportera un équipement et une configuration de réseau identiques. Pour que l’adressage IP soit le même pour toutes les machines supplémentaires, nous devons encore mettre en œuvre le service NAT. Cette fois-ci, nous segmenterons le réseau en utilisant plusieurs VLAN et un routage entre VLAN. L’architecture souhaitée est représentée sur le schéma ci-dessous. Pour les besoins de cet atelier, le châssis ControlLogix du haut dans votre kit de démonstration représente l’automate de machine et celui du bas l’automate de ligne. Machine Controller 192.168.1.5 Point I/O 192.168.1.6 192.168.1.2 ETAP 192.168.1.7 ArmorBlock Stratix 5700 192.168.1.3 NAT 192.168.1.4 INSIDE (PRIVATE) VLAN 10 MACHINE VLAN Trunk 10.10.20.20 Line Controller OUTSIDE (PUBLIC) 10.10.30.30 VLAN 20 VLAN 30 Stratix 8000 10.10.10.1 10.10.20.1 10.10.30.1 Private to Public NAT Table Gateway Translation Device Stratix 5700 L85E EN2TR (DLR) Device Stratix 8000 Private 192.168.1.2 192.168.1.3 192.168.1.4 Public 10.10.10.1 Public 10.10.10.2 10.10.10.3 10.10.10.4 Private 192.168.1.1 31 sur 62 PC Pour que cette architecture fonctionne, nous devons configurer le routage sur le Stratix 8000, ce qui permet aux dispositifs présents sur les VLANs de communiquer entre eux en utilisant le switch comme passerelle. • Nous commencerons par créer des VLAN et leur affecter les ports appropriés sur le switch Stratix 8000. • Nous activerons ensuite le routage connecté pour permettre une communication entre VLAN. • Enfin, nous modifierons la configuration précédente du service NAT sur le switch Stratix 5700 pour la nouvelle architecture de couche 3. Adresse de la passerelle Une adresse de passerelle est nécessaire pour le routage. Lorsqu’une adresse IP est assignée aux dispositifs EN2T par le biais des commutateurs rotatifs (sur le module), l’adresse passerelle prend automatiquement à la valeur 192.168.1.1. Il est ainsi très facile de configurer et d’utiliser ces dispositifs dans les architectures de couche 3. L’automate de ligne sera configuré sur le VLAN 20 et le PC sur le VLAN 30. Les adresses privées du dispositif Machine seront traduites vers les adresses configurées du VLAN 10. Au lieu d’une traduction adresse publique vers adresse privée de chaque dispositif sur le réseau public, nous créerons une traduction pour la passerelle du switch Stratix 8000 dans le VLAN 10. Les ports qui connectent les switch entre eux sont configurés en mode VLAN trunk. Le mode trunk permet aux switchs d’envoyer des données issues de plusieurs VLAN sur un même lien tout en maintenant une segmentation logique entre VLAN. La nouvelle configuration permettra d’établir une communication (production/consommation de variables) entre les deux automates (Ligne et Machine) qui déclenchera l’allumage des voyants d’E/S. 32 sur 62 Configuration des VLAN et routage connecté 1. Lancez Internet Explorer en cliquant sur son icône dans la barre des tâches 2. Saisissez l’adresse IP 10.10.10.1 (celle du Stratix 8000) dans la barre d’adresse et appuyez sur Entrée. 3. Dans la zone d’authentification représentée ci-dessous, laissez le champ « username » vide et tapez le mot de passe « rockwell » (tout en minuscules et sans les guillemets) dans le champ password. 4. Vous êtes maintenant dans l’interface de configuration Device Manager du Stratix 8000. Nous allons créer plusieurs VLAN pour segmenter notre réseau et configurer le routage. 33 sur 62 5. Développez l’onglet Configure et sélectionnez VLAN Management. 6. Dans VLAN Management, vous voyez que les VLAN 10 et 20 sont déjà créés. Nous avons utilisé le VLAN 10 dans l’atelier précédent et le VLAN 20 a été créé à l’avance. Nous allons créer le VLAN 30 pour le PC et l’application IHM. Pour créer le VLAN 30, cliquez sur le bouton Add. 34 sur 62 7. Pour créer un VLAN, vous devez lui attribuer un nom et un numéro d’identifiant unique. Vous pourrez ensuite modifier le nom du VLAN, mais pas son numéro. Saisissez l’ID « 30 » pour le VLAN, attribuez lui le nom « VLAN30 », sélectionnez le mode d’affectation d’adresse IP (IP Assignment Mode) « Static » et l’adresse IP « 10.10.30.1 », puis cliquez sur « OK » pour créer le nouveau VLAN. Lorsque nous configurons un VLAN sur un switch de couche 3, nous devons affecter une adresse IP à l’interface virtuelle SVI (Switch VLAN Interface). Cette adresse IP sera l’adresse de la passerelle pour les dispositifs présents sur ce VLAN. 8. Après avoir créé le VLAN, nous devons lui affecter un port. Avant cette opération, nous allons vérifier que ce port dispose de la configuration appropriée (rôle de port). Développez l’onglet Configure et sélectionnez SmartPorts. 35 sur 62 9. Sélectionnez le port Fa1/6 et vérifiez qu’il est réglé sur Virtual Desktop for Automation. S’il ne l’est pas, sélectionnez le rôle dans la liste et cliquez sur Save. Le smartport Virtual Desktop for Automation optimise les paramètres de communication pour une connexion PC et autorise plusieurs adresses MAC : l’une pour une carte réseau physique, l’autre pour une ou plusieurs image VMWare (PC virtuel). Pour plus d’informations sur les smartports, reportez-vous au document Stratix Managed Switches User Manual (Publication 1783-UM007). 10. Développez maintenant l’onglet Configure et sélectionnez Port Settings. 36 sur 62 11. Le port Fa1/6 est actuellement configuré pour le VLAN 1 par défaut. Sélectionnez le port Fa1/6 et cliquez sur Edit. 12. Vérifiez que « Administrative Mode » est réglé sur « Access » et passez « Access VLAN » à VLAN30-30. Cliquez sur OK pour enregistrer la configuration. 37 sur 62 Avant de changer l’adresse IP de votre PC et de la passer sur le réseau VLAN30, nous devons configurer le routage connecté (Connected Routing). La fonction Connected routing est disponible sur les switchs de couche 2 (Cisco IOS) Stratix 8000, Stratix 5700 (version complète uniquement), Stratix 5400 L2, Stratix 5410 L2 et de couche 3 Stratix 8300, Stratix 5400 L3 et Stratix 5410 L3. En activant le routage connecté sur le switch, nous autorisons une communication entre les dispositifs de tous les VLAN disposant d’une adresse IP configurée sur celui-ci. Ces dispositifs doivent utiliser le switch comme passerelle (adresse IP du VLAN). Aucune configuration supplémentaire n’est nécessaire sur le switch : il suffit de l’activer. Remarque : Pour limiter la communication entre VLAN à certains dispositifs, vous pouvez configurer des listes de contrôle d’accès (ACL). Cette opération peut être réalisée dans l’interface en ligne de commande (CLI), dans CNA (Cisco Network Assistant – outil d’administration réseau gratuit de Cisco) ou dans Device Manager (page Web) avec la version 15.2(4) du firmware. 13. Pour activer le routage, l’image de démarrage du switch ou Switch Management Database (SDM) doit être configurée sur Lanbase Routing. Les SDM optimisent l’allocation mémoire du switch pour les fonctions spécifiques. Ouvrez le menu Admin et sélectionnez SDM-Template. 38 sur 62 14. Vérifiez que le modèle SDM est réglé sur « Lanbase Routing ». Pour gagner du temps, le modèle SDM a déjà configuré pour vous. NE MODIFIEZ PAS le modèle s’il est déjà sur Lanbase Routing. La modification du modèle entraînerait le redémarrage automatique du switch. 15. Dans le menu Configure, sélectionnez Routing. 16. Pour activer le routage connecté, cochez Enable Routing et cliquez sur Submit. Laissez en blanc le champ Gateway (correspondant à l’adresse de la passerelle). 39 sur 62 17. Cliquez sur Yes dans la fenêtre qui apparaît. L’adresse de la passerelle correspond à celle d’un routeur de niveau supérieur. Aucune passerelle n’est utilisée dans notre application. Vérification de l’opération de routage connecté Le routage étant activé, nous pouvons maintenant connecter notre PC sur le VLAN 30 et l’automate de ligne sur le VLAN 20. 18. Modifier l’adresse IP du PC en 10.10.30.30 et celle de la passerelle en 10.10.30.1. 40 sur 62 19. Branchez le câble du PC sur le port Fa1/6 du Stratix 8000, précédemment configuré dans le VLAN30. 20. Vérifiez que le routage fonctionne en commençant par lancer l’interface Device Manager du Stratix 8000 en saisissant l’adresse 10.10.10.1. 21. Essayez ensuite une commande ping vers l’automate de ligne. Ouvrez la console en cliquant sur le raccourci du bureau et tapez « ping 10.10.10.20 ». 22. À cette étape, l’automate de ligne est encore sur le VLAN 10 avec l’adresse IP 10.10.10.20. Nous le déplacerons sur le VLAN 20 à l’étape suivante. Le VLAN 20 est déjà préconfiguré pour cet atelier. Le port Fa1/4 est configuré dans le VLAN 20. Le module 1756-EN2TR de l’automate de ligne (châssis du bas, emplacement 1) est en mode DHCP. Le switch Stratix 8000 est configuré avec la fonction DHCP Persistence, qui attribue une adresse IP sur le VLAN correspondant selon le port sur lequel est branché le dispositif. 41 sur 62 23. Dans l’interface Device Manager du Stratix 8000, sélectionnez Configure – DHCP et cliquez sur l’onglet DHCP Persistence. Vous observez que le serveur DHCP du switch est configuré pour attribuer l’adresse 10.10.20.20 à l’interface Fa1/4. 24. Dans le menu Configure, sélectionnez Port Settings. Vous voyez que Fa1/4 est sur le VLAN 20. 42 sur 62 25. Retirez le câble de l’automate de ligne du port Fa1/3 du Stratix 8000 et branchez-le sur Fa1/4. Automate de ligne (châssis du bas) 26. Pour que DHCP affecte la nouvelle adresse 10.10.20.20 à l’automate de ligne, le module 1756-EN2TR doit être éteint puis rallumé. Retirez le module EN2TR du châssis du bas, puis réintroduisez-le (une autre solution consiste à éteindre et rallumer tout le châssis). Vous voyez à l’écran que l’EN2TR a maintenant la nouvelle adresse IP 10.10.20.20. 27. Pour vérifier le résultat, lancez une commande ping avec la nouvelle adresse 10.10.20.20. Nous pouvons maintenant communiquer entre le PC dans le VLAN 30 et l’automate de ligne dans le VLAN 20. 43 sur 62 Configuration du service NAT de couche 3 Nous n’avons pas encore configuré l’instance NAT de couche 3 pour l’architecture que nous venons de créer. À cette étape, nous utilisons encore l’instance NAT de l’atelier précédent prévue pour un réseau VLAN unique. Nous devons modifier l’instance NAT actuelle sur le Stratix 5700 en supprimant les traductions « Public to Private » et en ajoutant une traduction de passerelle. Pour configurer le service NAT, vous devez créer une ou plusieurs instances NAT. Dans une implémentation classique, une seule instance suffit. Une instance NAT contient des entrées qui définissent chaque traduction d’adresse, ainsi que d’autres paramètres de configuration. Lorsque le trafic est routé par le biais d’un switch de couche 3, vous devez définir les éléments suivants : • Une traduction private-to-public pour chaque dispositif du réseau privé devant communiquer sur le réseau public. • Une traduction de passerelle pour le switch de couche 3 (routeur). Dans une architecture de couche 3, il n’est pas nécessaire d’indiquer dans l’instance NAT, l’adresse publique des dispositifs présents dans d’autres VLAN. La passerelle (ou le routeur) dont l’adresse est traduite dans l’instance NAT (donc visible depuis le réseau privée) permettra d’atteindre ces dispositifs grâce au routage précédemment configuré. Il n’est pas non plus nécessaire de configurer la traduction d’adresse pour chaque dispositif du réseau privé. Vous pouvez, omettre certains dispositifs afin d’accroître la sécurité, réduire le trafic ou économiser des adresses sur le réseau public. 28. Ouvrez l’interface Device Manager du switch Stratix 5700. Lancez Internet Explorer en cliquant sur son icône dans la barre des tâches 29. Saisissez l’adresse IP traduite 10.10.10.2 (celle du Stratix 5700) dans la barre d’adresse et appuyez sur Entrée. 44 sur 62 30. Dans la zone d’authentification représentée ci-dessous, laissez le champ « username » vide et tapez le mot de passe « rockwell » (tout en minuscules et sans les guillemets) dans le champ password. 31. Ouvrez le menu Configure et cliquez sur NAT. 32. Sélectionnez Advanced_Lab NAT instance, et cliquez sur Edit. 45 sur 62 33. Sélectionnez l’onglet Public to Private. Nous devons supprimer toutes les traductions public vers privé utilisées dans l’atelier sur l’architecture de couche 2. Sélectionnez les trois traductions et cliquez sur Delete. Vérifiez que l’onglet sélectionné est le bon ! Vous êtes invité à confirmer la suppression des éléments sélectionnés. Cliquez sur OK. NE CLIQUEZ PAS ENCORE SUR SUBMIT À CETTE ÉTAPE ! 34. Dans l’onglet General, nous laisserons toutes les traductions privé vers public telles qu’elles ont été configurées précédemment. Nous devons saisir une traduction d’adresse passerelle pour que les dispositifs du réseau privé machine puissent atteindre la passerelle (le switch Stratix 8000). Dans la zone Gateway Translation (traduction de passerelle), cliquez sur Add Row (Ajouter une ligne). 46 sur 62 35. Saisissez la traduction de passerelle 10.10.10.1 pour le réseau public et 192.168.1.1 pour le réseau privé. Cliquez sur Save (enregistrer). Notez que le premier champ est l’adresse passerelle du réseau public (à gauche) et le second l’adresse passerelle configurée sur les dispositifs du réseau privé (droite). 36. Cliquez sur Submit pour enregistrer les modifications apportées à la configuration du service NAT. 37. Vérifions maintenant que cette nouvelle configuration avec traduction de la passerelle fonctionne correctement. Ouvrez la console de commande et effectuez un ping pour l’automate de machine avec l’adresse 10.10.10.3. 47 sur 62 Vérification de la communication EtherNet/IP par l’intermédiaire du service NAT Nous sommes maintenant prêts à télécharger de nouveaux programmes pour l’automate de ligne, puis l’automate de machine. Ces programmes utiliseront l’adresse IP 10.10.20.20 de l’automate de ligne sur le VLAN 20. 38. Ouvrez le dossier Lab Files en double-cliquant sur son raccourci sur le bureau. Dans le dossier de l’atelier « Applying Advanced EtherNetIP Features in CPwE Systems », ouvrez le fichier Bottom_CLX_Line_Lab2.ACD pour télécharger le programme sur l’automate de ligne (châssis du bas). Veillez à sélectionner le bon fichier (« Line_Lab2 »). 39. Cliquez sur le bouton Who Active (qui est actif). Développez l’arborescence du pilote Ethernet VLAN20_Lab2 et allez à 10.10.20.20 logement 0. Cliquez sur Download (télécharger). 48 sur 62 40. Cliquez de nouveau sur Download, puis sur Yes pour que l’automate passe en mode d’exécution à distance Remote Run. Nous allons ensuite télécharger le programme de l’automate de machine. 42. Dans le même dossier, ouvrez le fichier Top_CLX_Machine_Lab2.ACD pour télécharger le programme de l’automate de machine (châssis du haut). Veillez à sélectionner le bon fichier (« Machine_Lab2 »). 43. Cliquez sur le bouton Who Active (Qui est actif). Développez l’arborescence Ethernet VLAN10, sélectionner l’automate machine 10.10.10.3 (emplacement 0 – châssis du haut) puis cliquez sur Download (télécharger). 49 sur 62 39. Cliquez de nouveau sur Download, puis sur Yes pour que l’automate passe en mode d’exécution à distance (Remote Run). Lorsque les deux programmes auront été téléchargés, les témoins des sorties Point I/O de la station seront fixes, afin d’illustrer la communication entre l’automate ligne et l’automate machine. 44. Dans l’arborescence des E/S du programme Machine, cliquez avec le bouton droit sur le module RemoteEN2TR et sélectionnez Properties. Vous observez que le programme Machine utilise l’adresse réelle (non traduite) 10.10.20.20 de l’automate de ligne. Puisque nous avons configuré la traduction de passerelle, nous pouvons utiliser des adresses IP publiques pour communiquer avec les dispositifs présents sur les autres VLAN. 50 sur 62 45. Ouvrez l’application client FactoryTalk View SE, cliquez sur le bouton Go To Lab 2 Display et vérifiez que toutes les lignes sont en vert. Vous avez terminé l’atelier. 51 sur 62 Résumé de l’atelier Dans cet atelier, vous avez exécuté des exercices qui démontrent la puissance et la souplesse des switchs Ethernet administrables Stratix 5700 et Stratix 8000 et revu les fonctions de traduction NAT, de VLAN, de routage et de persistance DHCP des commutateurs Stratix. Vous avez réalisé les deux tâches suivantes : Switch Ethernet administrable Stratix 5700 de couche 2 • Configuré une instance NAT dans une architecture de couche 2 en définissant des traductions d’adresse privé vers public et public vers privé. • Configuré une instance NAT dans une architecture de couche 3 en définissant une traduction de passerelle. Switch Ethernet administrable Stratix 8000 • Configuré un VLAN, une SVI pour le VLAN et affecté un port à un VLAN. • Activé le routage connecté entre VLAN. • Révisé la fonction de persistance DHCP. 52 sur 62 Réservé à l’intention des formateurs Guide de configuration et d’installation de l’atelier Informations sur l’atelier Nom de l’atelier Application des fonctions EtherNet/IP avancées dans les architectures Ethernet à l’échelle de l’usine (CPwE) Cet atelier pratique fait la démonstration du service NAT (Network Address Translation) dans les architectures de couche 2 et de couche 3, la segmentation en VLAN et le routage connecté. Une compréhension préalable des concepts généraux d’Ethernet est recommandée, y compris de la commutation et du routage. Eduard Polyakov – Sr. Commercial Engineer 9/1/2014 3/31/2015 – nettoyage mineur, mise à jour des copies d’écran 9/14/2015 – ajout de la DLR sur le switch 5700, mise à jour des copies d’écran et des schémas 12/09/2015 – LVL – mise à jour de AU EMEA (copies d’écran, schémas, notices informatives) ; Studio V28 ; FTV8.1 Description Créateur de l’atelier Date de création Mises à jour : Configuration matérielle Qté N° cat. démo/Description 1 Kit de démonstration ENET21 Logement Adresse IP Firmware Châssis CLX supérieur 1756-L85E/B Logement 0 28.011 1756-SFM Logement 1 – 1756-IB16ISOE Logement 2 2.011 1756-EN2TR/B Logement 3 192.168.1.4 5.008 Châssis CLX supérieur 1756-L75 Logement 0 1756-EN2TR/B Logement 1 1756-IB16IF Logement 2 1.011 1756-OB16IEF Logement 3 1.011 Switch Ethernet Stratix 5700 – Commutateur Ethernet Stratix 8000 – 1783-ETAP 1734-AENTR/A Logement 0 10.10.10.20 (DHCP) ou 10.10.20.20 (DHCP) 27.011 5.008 192.168.1.2 192.168.1.1 (port Fa1/1) 10.10.10.1 (VLAN 10) IOS 15.2(3)EA1 192.168.1.6 2.002 192.168.1.5 3.006 IOS 15.2(3)EA1 1734-IB8 Logement 1 3.022 1734-OB8E Logement 2 3.018 1734-OE2V Logement 3 3.005 53 sur 62 1732E-IB16M12SOEDR Paramètres de l’ordinateur/hôte Adresse IP Système d’exploitation 192.168.1.7 Configurée comme indiqué dans les diverses sections de l’atelier Windows 7 avec Internet Explorer V9, V10 ou V11 ou Mozilla V26 ou V27 installés Versions des applications Fournisseur RA RA RA Cisco Logiciels Studio 5000 Logix Designer RSLinx FTViewSE Cisco Network Assistant 1.008 Version Service Pack 27 + 28 3.80 8.10 6.2 Remarque : N’oubliez pas que les adresses IP de certains des dispositifs peuvent changer au cours de l’atelier. Le switch Stratix 8000 comporte plusieurs interfaces de VLAN dont chacune dispose de sa propre adresse IP. Ce laboratoire pratique fait appel au kit de démonstration ENET21 mis à jour.Le système comprend 2 types d’automates Control, 2 types différents de switchs Ethernet Stratix, 1 module Point I/O, 1 module Armor Block, 3 styles différents de modules Ethernet et 1 ordinateur. Remarque : Le même kit de démonstration est utilisé pour cet atelier « EtherNet/IP avancé » et pour l’atelier « EtherNet/IP de base ». La configuration du switch et le câblage de certains des dispositifs sont différents d’un atelier à l’autre. Assurez-vous que les étapes correctes de réinitialisation sont suivies, car le coffret peut être configuré pour un autre atelier. 54 sur 62 Procédures de réinitialisation et de démarrage de l’atelier Cette section décrit comment réinitialiser le matériel et vérifier la configuration à la mise en place de l’atelier et entre les sessions. Lisez entièrement toutes les étapes avant de commencer l’atelier. 1. Câblez tous les dispositifs Ethernet sur les ports Ethernet correspondants des switchs Stratix 8000 et 5700 comme indiqué ci-dessous. Notez que l’automate de ligne (branché sur le Stratix 8000) se trouve dans le châssis du bas du kit de démonstration. L’automate de machine (branché sur le Stratix 5700 et sur le réseau DLR) se trouve dans le châssis du haut. 1 Machine Controller ETAP Point I/O Fa1/2 ArmorBlock Stratix 5700 8 Fa1/3 3 1 6 Fa1/7 4 2 Gi1/1 7 2 Fa1/8 Line Controller 7 Gi1/1 10 9 Fa1/2 Fa1/3 Stratix 8000 Cable numbers with connection detail 1. Machine L85E Slot 1 to Stratix 5700 Fa 1/2 2. Machine EN2TR Slot 3 Port 1 to Stratix 5700 Fa 1/8 3. Machine EN2TR Slot 3 Port 2 to 1734-AENTR Port 1 4. 1734-AENTR Port 2 to 1783-ETAP Port 1 (front) 5. Not used 6. 1783-ETAP Port 2 (rear) to Stratix 5700 Fa 1/7 7. Stratix 8000 Gi 1/1 to Stratix 5700 Gi 1/1 8. ArmorBlock I/O to Stratix 5700 Fa 1/3 9. Line EN2TR Slot 1 Port 1 to Stratix 8000 Fa 1/3 10. PC to Stratix 8000 Fa 1/2 (separate cable) a. Vérifiez que la « ligne » EN2TR logement 1 Port 1 (CLX du bas) est branchée sur le port Fa1/3 du Stratix 8000. Ce branchement est nécessaire pour affecter correctement les adresses IP de l’atelier 1. b. Notez que pendant l’atelier, les utilisateurs déplaceront certains câbles sur des ports de switchs différents. Vérifiez entre les sessions que les connexions sont restaurées selon le schéma. 55 sur 62 2. Restaurez l’instantané de l’image de l’atelier Ethernet/IP avancé sur le PC. L’adresse IP de la VM doit être définie sur 192.168.1.201. 3. Branchez le câble Ethernet du PC sur le port Fa1/1 du Stratix 5700. Cette connexion temporaire est destinée à restaurer la configuration du switch 5700. 4. Restaurez la configuration du switch Stratix 5700 à l’aide de CNA. a. Lancez CNA (raccourci sur le bureau). b. Sélectionnez ou saisissez 192.168.1.2 dans le champ Connect To et cliquez sur OK. c. Saisissez le mot de passe rockwell. Laissez le champ username (identifiant) vide. (En cas d’échec, essayez l’identifiant admin et le mot de passe rockwell.) Remarque : (en cas d’échec, essayez l’identifiant admin avec le mot de passe rockwell). Cette situation peut se produire lorsqu’un switch vient d’être mis à niveau avec le nouveau firmware et réinitialisé par la procédure Express Setup. Lorsque la configuration a été restaurée, seul le mot de passe est nécessaire. 56 sur 62 d. Sélectionnez Maintenance – Configuration Archive dans le menu. e. Sélectionnez l’onglet Restore. Sélectionnez l’option Show backed-up configurations of the selected device type (afficher les configurations sauvegardées du type de dispositif sélectionné).Sélectionnez le dernier élément de la liste. Assurez-vous que la note indique Stratix 5700 – Start of Lab 1 (No NAT). Cliquez sur Restore. f. Attendez le message Restore complete (restauration terminée). Cliquez sur Restart (redémarrer). Dans la boîte qui s’affiche, cliquez sur OK. g. Cliquez une seconde fois sur OK et quittez le programme CNA. Le switch redémarre au bout de 60 secondes. L’amorçage du Stratix 5700 dure environ 1 minute. 57 sur 62 5. Rebranchez le câble Ethernet du PC sur le port Fa1/1 du Stratix 8000. Cette connexion temporaire est destinée à restaurer la configuration du switch 8000. 6. Restaurez la configuration du switch Stratix 8000 à l’aide de Cisco Network Assistant (CNA). a. Lancez CNA (raccourci sur le bureau). b. Sélectionnez ou saisissez 192.168.1.1 dans le champ Connect To et cliquez sur OK. Important : L’adresse 192.168.1.1 sur le switch Stratix 8000 n’a pour but que de réinitialiser celui-ci à sa configuration initiale. Le port Fa1/1 est spécialement configuré à cet effet. Si la connexion échoue pour une raison quelconque, essayez d’attribuer au PC l’adresse IP 10.10.10.30 et branchez-le sur le port Fa1/2 au lieu de Fa1/1. c. Saisissez le mot de passe rockwell. Laissez le champ username (identifiant) vide. (En cas d’échec, essayez l’identifiant admin avec le mot de passe rockwell.) Remarque : (en cas d’échec, essayez l’identifiant admin avec le mot de passe rockwell). Cette situation peut se produire lorsqu’un switch vient d’être mis à niveau avec le nouveau firmware et réinitialisé par la procédure Express Setup. Lorsque la configuration a été restaurée, seul le mot de passe est nécessaire. 58 sur 62 d. Sélectionnez Maintenance – Configuration Archive dans le menu. e. Sélectionnez l’onglet Restore. Sélectionnez l’option Show backed-up configurations of the selected device type (afficher les configurations sauvegardées du type de dispositif sélectionné). Sélectionnez le dernier élément de la liste. Assurez-vous que la note indique Stratix 8000 – Lab 1 Start (CR disabled, no VLAN 30). Cliquez sur Restore. f. Attendez le message Restore complete (restauration terminée). Cliquez sur Restart (redémarrer). Dans la boîte qui s’affiche, cliquez sur OK. g. Cliquez une seconde fois sur OK et quittez le programme CNA. Le switch redémarre au bout de 60 secondes. L’amorçage du Stratix 8000 dure environ 1,5 minute. 59 sur 62 Remarque sur les étapes 4-7 : La configuration des switchs change pendant les étapes normales de l’atelier. Il peut se produire que le kit de démonstration arrive configuré pour l’atelier « EtherNet/IP de base ». C’est pourquoi il est nécessaire de restaurer la configuration des switchs avant chaque session. 7. Rebranchez le câble Ethernet du PC sur le port Fa1/2 du Stratix 8000. Avec ce branchement, le câblage selon le schéma est prêt pour l’atelier. L’adresse IP peut rester 192.168.1.201. L’atelier 1 utilise cette adresse au début. 8. Éteignez et rallumez le châssis ControlLogix du bas pour réinitialiser le module EN2TR et obtenir la nouvelle adresse IP. 9. Vérifiez les affectations d’adresses IP des modules EN2TR. a. « Machine » port de communication L85E logement 0 (CLX du haut) – 192.168.1.3 b. « Machine » EN2TR logement 3 (CLX du haut) – 192.168.1.4 c. « Ligne » EN2TR logement 1 (CLX du bas) – 10.10.10.20 (DHCP) 10. Vérifiez que le mode DLR Supervisor est désactivé (disabled) sur le module EN2TR 192.168.1.20 (châssis du bas). 11. Vérifiez que le mode DLR Supervisor est activé (enabled) sur le module EN2TR 192.168.1.4 (châssis du haut). 12. Examinez page suivante la liste des problèmes connus et des étapes de dépannage avant de commencer l’atelier. Il est recommandé d’exécuter les étapes de l’atelier sur toutes les stations de travail avant de commencer l’événement. 60 sur 62 Dépannage de l’atelier Cette section répertorie certains problèmes qui peuvent se produire pendant l’atelier ou pendant la réinitialisation. Problèmes susceptibles de se produire pendant l’atelier Problème Impossibilité de communiquer avec les dispositifs et les switchs aux moments où ces communications sont censées avoir lieu (ping, connexion à un switch par l’interface Web ou connexion de l’automate impossibles) Message « Unsupported device » (dispositif non pris en charge) sur le tableau de bord de Device Manager Invite de connexion dans FactoryTalk Security à l’ouverture de Studio 5000 Le module 1756-IB16ISOE (logement 2) peut clignoter en rouge, indiquant un défaut de connexion sur l’arborescence des E/S Étapes du dépannage Pour résoudre le problème, vérifiez les points suivants : 1. Adresse IP correcte et port du PC correspondant à l’emplacement dans l’atelier. Les adresses IP et les ports doivent changer à certaines étapes. 2. Configuration du service NAT sur le switch Stratix 5700. Des erreurs courantes consistent à intervertir les adresses publique et privée, à mal saisir les adresses IP, à ne pas configurer l’onglet Public to Private ou encore, dans l’atelier 2, à ne pas configurer les adresses de passerelle. 3. Affectation correcte des VLAN sur le Stratix 8000 (Atelier 2). 4. Le modèle SDM doit être Lanbase Routing (Atelier 2). 5. Le routage doit être activé (Atelier 2). Videz le cache d’Internet Explorer et redémarrez le navigateur Essayez les étapes suivantes : 1. Vérifiez que vous utilisez la bonne image et le bon instantané VMWare ! 2. Ouvrez l’assistant FactoryTalk Directory Configuration Wizard (Démarrage – Rockwell Software – FactoryTalk Tools). 3. Essayez les répertoires Network et Local. 4. Configurez les répertoires avec l’identifiant labuser et le mot de passe rockwell en tant qu’administrateur Windows local. Réinitialisez le module dans le châssis (notez que ce module N’EST PAS utilisé au cours de l’atelier). Problèmes susceptibles de se produire pendant la préparation ou la réinitialisation de l’atelier Problème Connexion impossible au switch avec le mot de passe rockwell dans CNA ou la page Web. Restauration impossible des configurations dans CNA. Échec de la procédure de restauration. Connexion impossible au switch Stratix 8000 à l’adresse 192.168.1.201 sur le port Fa1/1. Étapes du dépannage Essayez l’identifiant admin avec le mot de passe rockwell. Le problème peut provenir d’une mise à niveau du firmware sur le switch suivie d’une procédure Express Setup. Le dernier firmware nécessite un identifiant pour Express Setup. Lorsque la configuration correcte de l’atelier est restaurée dans CNA, seul le mot de passe est nécessaire. Vérifiez que le pare-feu de Windows est désactivé. Vérifiez que Symantec ou un autre logiciel antivirus n’est pas en cours d’exécution sur le PC. Il semblerait que les logiciels Symantec sur les ordinateurs avec une image RA standard nécessitent une connexion au réseau d’entreprise pour autoriser les connexions TFTP. Désactivez tous les autres logiciels TFTP comme Solarwinds. Les PC utilisés pour l’événement ne devraient poser aucun problème. Essayez de vous connecter à l’adresse 10.10.10.30 et sur le port Fa1/2 du Stratix 8000. Si le switch reste inaccessible, procédez à un express setup ou restaurez la configuration avec une carte CF de sauvegarde. Consultez KB 629150 pour plus de détails sur la copie de cartes SD et CF amorçables. 61 sur 62 Connexion impossible au switch par les étapes normales dans CNA ou sur la page Web. Échec du ping à l’adresse IP du switch à partir du PC. Duplication d’adresse (IP Duplicate IP Address error) sur l’un des modules EN2TR Pour résoudre le problème, essayez la procédure suivante : 1. Vérifiez qu’une connexion directe est établie avec le switch par le port correct (voir étapes de réinitialisation ci-dessus). 2. Vérifiez l’adresse IP du PC (voir étape de réinitialisation ci-dessus). 3. Réinitialisez le kit de démonstration. 4. Réamorcez le PC (la machine physique et non la VM). 5. Vérifiez que la carte réseau physique correcte du PC est utilisée (les ordinateurs utilisés pour l’événement comportent typiquement deux cartes réseau, l’une pour la connexion au kit de démonstration et l’autre pour la connexion de la classe) 6. Si la configuration du switch a été modifiée (mauvaise adresse IP, mauvais VLAN sur le port, etc.), le switch doit être réinitialisé à la configuration usine par défaut et l’adresse IP correcte doit lui être affectée. Cette opération est possible à l’aide du bouton Express Setup. Reportez-vous au manuel du produit. Vous pouvez également restaurer la configuration avec une carte SD/CF de sauvegarde (prête à l’emploi). Consultez KB 629150 pour plus de détails sur la copie de cartes SD et CF amorçables. 7. Une connexion à la console série et la CLI peuvent également être utilisées pour corriger la configuration (connaissance des commandes IOS nécessaire). Le pilote USB nécessaire à la connexion du Stratix 5700 a été installé. Pour le Stratix 8000, utilisez un adaptateur série – USB. 8. Lorsque le switch a été réinitialisé à sa configuration d’usine par défaut ou à sa configuration de base à l’aide de la carte CF ou SD et que l’adresse IP correcte lui a été affectée, utilisez CNA pour restaurer la configuration de l’atelier. Pour résoudre le problème, essayez la procédure suivante : 1. Vérifiez l’adresse IP de la carte réseau physique du PC hôte (et non de la VM). Vérifiez qu’elle N’A PAS été affectée dans la plage 192.168.1.1 – 192.168.1.7 ni aux valeurs .20 ou .30. Si l’adresse de la carte est affectée par DHCP, qui continue à attribuer une adresse dupliquée, saisissez ce qui suit à l’invite de commande : ipconfig/release net stop dhcp net start dhcp ipconfig/renew 2. Vérifiez les paramètres des autres dispositifs. 3. Réinitialisez le module EN2TR. 4. Éteignez et rallumez le kit de démonstration. 5. Restaurez la configuration du switch à l’aide de CNA. 62 sur 62