DE102012012035A1 - Netzwerk-Protokollfilter - Google Patents

Netzwerk-Protokollfilter Download PDF

Info

Publication number
DE102012012035A1
DE102012012035A1 DE201210012035 DE102012012035A DE102012012035A1 DE 102012012035 A1 DE102012012035 A1 DE 102012012035A1 DE 201210012035 DE201210012035 DE 201210012035 DE 102012012035 A DE102012012035 A DE 102012012035A DE 102012012035 A1 DE102012012035 A1 DE 102012012035A1
Authority
DE
Germany
Prior art keywords
data packet
filter
data
channel
criterion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201210012035
Other languages
English (en)
Inventor
Stefan Kraus
Edwin Metzler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HMS TECHNOLOGY CENTER RAVENSBURG GMBH, DE
Original Assignee
IXXAT AUTOMATION GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IXXAT AUTOMATION GmbH filed Critical IXXAT AUTOMATION GmbH
Priority to DE201210012035 priority Critical patent/DE102012012035A1/de
Publication of DE102012012035A1 publication Critical patent/DE102012012035A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/12Protocol engines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft einen Datenpaketfilter (1) für ein Datennetzwerk mit einem Netzwerkprotokoll wobei der Datenpaketfilter (1) zwischen einer physikalischen Ebene des Datennetzwerks und mindestens einer Empfangs- oder Verteilungseinrichtung des Datennetzwerks angeordnet ist und wobei der Datenpaketfilter (1) von mindestens einem Empfangskanal Rx (7) und mindestens einen Sendekanal Tx (8) durchlaufen wird und wobei der Datenpaketfilter (1) eine Analyse- und Steuerlogik (11) zum Echtzeitvergleich eines durch den Datenpaketfilter (1) geleiteten Datenpakets mit einem Filterkriterium zur Feststellung eines erwünschten Datenpakets und/oder Ermittlung eines unerwünschten Datenpakets umfasst. Hierbei wird ein unerwünschtes Datenpaket während seines Durchlaufens durch den Datenpaketfilter (1) durch Vergleich mit dem Filterkriterium erkannt und abgeschnitten und hierbei bewirkt ein unerwünschtes Datenpaket ein vollständiges Deaktivieren desjenigen Kanals Rx (7) und/oder Tx (8) am Datenpaketfilter (1), durch welchen/welche das unerwünschte Datenpaket empfangen wurde. Weiterhin betrifft die Erfindung ein Verfahren zur Vermeidung fehlerhafter Datenpakte.

Description

  • Die Erfindung betrifft einen Datenpaketfilter für ein Datennetzwerk mit einem Netzwerkprotokoll nach dem Oberbegriff des Anspruchs 1, ein Verfahren zur Vermeidung fehlerhafter Datenpakete in einem Datennetzwerk nach dem Oberbegriff des Anspruchs 7 sowie ein elektronisches Bauteil oder eine elektronische Bauteilgruppe nach Anspruch 10.
  • Datennetzwerke, insbesondere Datennetzwerke, bei welchen eine Kommunikation in Echtzeit erforderlich ist, finden in einer Vielzahl von technologischen Anwendungen Einsatz. Derartige Datennetzwerke gehorchen vorgegebenen Vorschriften, welche beispielsweise durch zyklische Abfolgen, vorgegebene Datenstrukturen oder ähnliche Regularien definiert sind. Die vorgegebenen Regeln für den Datenverkehr in einem Datennetzwerk werden üblicherweise durch ein Netzwerkprotokoll definiert, wobei das Netzwerkprotokoll in der Regel eine Art Netzwerkgattung mit sich bringt. Beispiele sind Netzwerkgattungen als Netzwerke mit zyklischer Zeittaktung, Netzwerke mit Ringstruktur oder Sternstruktur oder ähnliche Gattungsarten mit einer Mehrzahl von darauf arbeitenden Protokollen versehen..
  • Problematisch an Datennetzwerken mit einer Vielzahl von Netzwerkteilnehmern ist, dass im laufenden Betrieb, ausgehend von der Vielzahl der Netzwerkteilnehmer, eine Vielzahl von Datenpaketen durch das Netzwerk übertragen werden muss. Hierzu sind definierte Regeln erforderlich und Fehlererkennungssysteme und Fehlervermeidungssysteme müssen vorgesehen werden.
  • Eine wesentliche Fehler- oder Störungsquelle stellen bei Datennetzwerken oftmals Netzwerkteilnehmer in Form von so genannten ”Clients” dar, welche sich nicht an das Netzwerkprotokoll halten, sondern vielmehr willkürlich gestaltete Datenpakete oder fehlerhafte Datenpakete in den Datenstrom des Netzwerks einstreuen. Durch einen entsprechend fehlerhaften Datenverkehr werden möglicherweise korrekte Datenpakete übersteuert oder sie finden keinen Platz für die Übertragung im vorgegebenen Zeitfenster.
  • Aus der WO 2011/000429 A1 ist eine Möglichkeit bekannt, fehlerhafte Daten in Form von fehlerhaften Datenpaketen mittels eines Filters zu erkennen, wobei dieser Filter ein Filterkriterium zur Feststellung eines unerwünschten Datenpakets umfasst, und bei Feststellung eines unerwünschten Datenpakets dieses verstümmelt oder abschneidet, so dass es bei seiner Weiterleitung durch das weitere Netzwerk nicht verarbeitet wird und ggf. an einer späteren Verteilerstelle ein Verwurf des fehlerhaften Datenpaketes stattfindet.
  • Nachteilig an der aus dem Stand der Technik bekannten Lösung ist es, dass bei Auftreten einer Vielzahl von fehlerhaften Datenpaketen diese weiterhin das Netzwerk belasten, wodurch ggf. die Geschwindigkeit der Datenübertragung beeinträchtigt werden kann.
  • Aufgabe der Erfindung ist es daher, fehlerhafte Datenpakete in einem Datennetzwerk zu vermeiden, ohne dass die Leistungsfähigkeit des Netzwerks dadurch signifikant beeinflusst wird.
  • Ausgehend vom Oberbegriff des Schutzanspruchs 1 wird diese Aufgabe durch einen Datenpaketfilter nach dem kennzeichnenden Teil des Anspruchs 1, durch die Anwendung eines Verfahrens nach dem Anspruch 7 sowie durch ein elektronisches Bauteil bzw. eine Bauteilgruppe nach dem Anspruch 10 gelöst.
  • Vorteilhafte Weiterbildungen sowie zweckmäßige Ausgestaltungen sind in den abhängigen Ansprüchen angegeben.
  • Der erfindungsgemäße Datenpaketfilter für ein Datennetzwerk mit einem Netzwerkprotokoll ist zwischen einer physikalischen Ebene des Datennetzwerks und mindestens einer Empfangs- oder Verteilungseinrichtung des Datennetzwerks angeordnet und wird dabei von mindestens einem Empfangskanal ”Rx” und einem Sendekanal ”Tx” durchlaufen. Der Datenpaketfilter weist eine Steuerlogik zum Echtzeitvergleich eines durch den Filter geleiteten Datenpakets mit einem Filterkriterium zur Feststellung eines erwünschten Datenpakets und/oder zur Ermittlung eines unerwünschten Datenpakets auf. Erfindungsgemäß ist der Datenpaketfilter dadurch gekennzeichnet, dass ein unerwünschtes Datenpaket während seines Durchlaufens durch den Datenpaketfilter durch Vergleich mit dem Filterkriterium erkannt und abgeschnitten wird und ein unerwünschtes Datenpaket ein vollständiges Deaktivieren desjenigen Kanals Rx und/oder Tx am Datenpaketfilter bewirkt, durch welchen/welche das erwünschte Datenpaket empfangen wurde.
  • Die unterschiedlichen Operationsebenen eines Datennetzwerks werden als bekannt vorausgesetzt. Exemplarisch sei aus dem Stand der Technik erwähnt, dass vorliegend aus einer physikalischen Ebene, in welcher sozusagen die physikalische Signalübertragung in Form von Strom- und Spannungssignalen erfolgt, eine Übergabe in eine Datenebene mit binärer Logik erfolgt, wobei die Analyse und Anwendung von Filterkriterien auf der Datenebene stattfinden. Erfindungswesentlich ist vorliegend, dass der Datenpaketfilter direkt im Anschluss an die physikalische Netzwerkebene angeordnet ist und weiteren Empfangs- und/oder Verteilungseinrichtungen vorgeht. Der erfindungsgemäße Vorteil, welcher dadurch erreicht wird, liegt darin, dass der Datenpaketfilter nach der Erkennung eines unerwünschten Datenpakets ein vollständiges Deaktivieren desjenigen Kanals Rx und/oder Tx vornimmt, durch welchen das unerwünschte Datenpaket empfangen wurde. Auf diese Weise wird direkt nach der physikalischen Ebene, also vor Eintritt in die Empfangs- oder Verteilungseinrichtung vermieden, dass nach dem Auftreten eines fehlerhaften Datenpakets weitere fehlerhafte Datenpakete in die Datenebene des Netzwerks gelangen, wodurch zusätzlicher fehlerhafter Netzwerkverkehr vermieden wird. Auf die dem Fachmann bekannten und aus dem Stand der Technik entnehmbaren komplexen Übergabevorrichtungen zwischen den einzelnen Ebenen wird verwiesen, wobei die Übergabedetails der entsprechenden Daten in Form von Signalen und/oder binären Informationen vorliegend keinen erfindungswesentlichen Beitrag leisten.
  • Es ist zu erwähnen, dass die Steuerlogik des Datenpaketfilters Anpassungen erlaubt, welche beispielsweise ein mehrfaches Auftreten von unerwünschten Datenpaketen vor dem Deaktivieren des Kanals erforderlich macht. Wichtig ist, dass im Rahmen des Echtzeitvergleichs bei der Deaktivierung desjenigen Kanals, an welchem das unerwünschte Datenpaket empfangen wurde, lediglich dasjenige Datenpaket, welches zur Deaktivierung des Kanals führte, noch vollständig oder fragmentweise in das Datennetzwerk übertragen wird, danach jedoch kein Datenverkehr über diesen Kanal mehr in das Netzwerk hinein erfolgt. Auf diese Weise wird unerwünschter Datenverkehr im Netzwerk vermieden.
  • In einer vorteilhaften Weiterbildung des Datenpaketfilters ist vorgesehen, dass Datenpakete, welche auf einem deaktivierten Kanal eingehen, fortlaufend mit dem Filterkriterium, insbesondere mit einem für diesen Kanal bestimmten Filterkriterium verglichen werden.
  • Die Steuerlogik des Datenpaketfilters, welche nach dieser Ausführungsform einen fortlaufenden Vergleich mit dem Filterkriterium vornimmt, erlaubt, flexibel auf das Datennetzwerk einzuwirken, beispielsweise wenn der Datenverkehr auf einem deaktivierten Kanal gestoppt wird, ein neuer Client verbunden wird oder andere Eingriffe in das Netzwerk erfolgen. Darüber hinaus erlaubt die Steuerlogik entsprechend dieser Ausführungsform, dass bei wiederholtem Auftreten von unerwünschten Datenpaketen auf einem Kanal ein Signal an den entsprechenden Client gesandt wird, beispielsweise um diesen in einen Ausgangszustand zurückzuversetzen.
  • In einer überdies zweckmäßigen Ausführungsform ist vorgesehen, dass bei einer Übereinstimmung eines Datenpakets auf einem deaktivierten Kanal mit dem Filterkriterium und/oder einem Zusatzkriterium der Kanal wieder aktiviert wird, wobei mindestens das erste übereinstimmende Datenpaket vor der Deaktivierung des Kanals verworfen wird. Wird am Datenpaketfilter nach der Deaktivierung eines Kanals aufgrund der fortlaufenden Überwachung der eingehenden Datenpakete mit dem Filterkriterium festgestellt, dass die ankommenden Datenpakete wieder dem Filterkriterium entsprechen, und somit ein Weiterleiten der Datenpakete in das Datennetzwerk als unkritisch anzusehen ist, kann der Kanal unmittelbar oder unter Anwendung eines Zusatzkriteriums, beispielsweise einer definierten Wiederholfolge von ordnungsgemäß übermittelten Datenpaketen, wieder aktiviert werden. Dabei wird jedoch mindestens das erste, dem Filterkriterium entsprechende und mit dem gewünschten Datenverkehr übereinstimmende Datenpaket vor der Aktivierung des Kanals verworfen, da dieses zum Zeitpunkt der Analyse noch auf einen geschlossenen deaktivierten Kanal trifft.
  • In einer weiteren zweckmäßigen Ausführungsform ist vorgesehen, dass ein Vergleich mit einem ersten Filterkriterium und/oder einem ersten Zusatzkriterium auf dem Empfangskanal Rx und ein Vergleich mit einem Filterkriterium und/oder einem zweiten Zusatzkriterium auf dem Sendekanal Tx erfolgt. Der erfindungsgemäße Datenpaketfilter kann nicht nur auf einem Kanal Rx oder Tx eingesetzt werden. Die Steuerlogik erlaubt vielmehr, dass auf jeden durch den Datenpaketfilter geleiteten Kanal sowohl ein Filterkriterium als auch ggf. ein Zusatzkriterium definiert wird, welches ein Aktivieren bzw. Deaktivieren des Kanals bewirkt. Auf diese Weise kann einerseits fehlerhafter Datenverkehr von einem Client in das Netzwerk überwacht und unterbunden werden sowie andererseits auch eine fehlerhafte Datenübertragung zum Client vermieden oder eine angepasste Datenübertragung zum Client erzeugt bzw. ein Steuersignal zur Zurücksetzung des Clients generiert werden.
  • In einer überdies zweckmäßigen Ausgestaltung ist weiterhin vorgesehen, dass mindestens ein Filterkriterium durch eine Analyse des Zustands des Datennetzwerks und/oder eine Analyse des Netzwerkprotokolls und/oder einer Analyse von Datenpaketen durch die Steuerlogik ermittelt und eingestellt wird. Der erfindungsgemäße Datenpaketfilter kann in einer Ausführungsform über eine Steuerlogik verfügen, welche beispielsweise nach Erhalt eines Startsignals oder bei erster Inbetriebnahme eine Analyse der vorgefundenen Umgebung vornimmt, und Filterkriterien entsprechend dieser Vorgabe definiert. Dabei kann einerseits eine Vorgabe des genutzten Netzwerkprotokolls erfolgen oder andererseits auch eine vollständige Eigenanalyse unter Annahme eines funktionierenden Zustands angestrebt werden.
  • In einer zweckmäßigen Ausführungsform ist weiterhin vorgesehen, dass es sich bei dem Netzwerkprotokoll um ein zyklisches Echtzeitprotokoll, insbesondere das Powerlink-Protokoll handelt.
  • Auf der Basis eines zyklischen Echtzeitprotokolls, insbesondere des Powerlink-Protokolls ist es wesentlich, dass keine Netzwerkteilnehmer (Clients) Datenpakete in das Netzwerk eingeben, wenn sie nicht im Netzwerkzyklus an der Reihe sind, was durch den erfindungsgemäßen Datenpaketfilter ermöglicht wird.
  • Darüber hinaus betrifft die Erfindung ein Verfahren nach den Ansprüchen 7, 8 sowie 9, wobei die erfindungsgemäße Funktion des Verfahrens unter Bezugnahme auf den Wortlaut der Ansprüche bereits bei der Funktionserläuterung des Datenpaketfilters erfolgt ist. Darüber hinaus wird die erfindungsgemäße Funktion und Anwendung des Verfahrens im Rahmen der nachfolgend beschriebenen Ausführungsbeispiele näher erläutert.
  • Die Erfindung betrifft weiterhin ein elektronisches Bauteil oder eine Bauteilgruppe, welche mindestens einen Datenpaketfilter nach einem der vorgenannten Ansprüche umfasst oder bei welchem ein Verfahren nach einem der genannten Ansprüche eingesetzt wird.
  • Die nachfolgend beschriebenen Ausführungsbeispiele sollen den erfindungsgemäßen Datenpaketfilter näher erläutern.
  • Es zeigen dabei
  • 1 eine Verteilereinrichtung mit zwei Clients und zwei erfindungsgemäßen Datenpaketfiltern,
  • 2 einen erfindungsgemäßen Datenpaketfilter im Detail,
  • 3 einen Kommunikationsendpunkt mit Verteilereinrichtung und Datenpaketfiltern an zwei Clients,
  • 4 einen Kommunikationsendpunkt mit Datenpaketfilter.
  • Im Einzelnen zeigt 1 eine Anordnung eines ersten Datenpaketfilters (BSDF) 1 sowie eines zweiten Datenpaketfilters (BSDF) 2, welche jeweils einem Client (nicht dargestellt), ausgehend von der physikalischen Ebene (PHY) 3, 4 und einer Verteilereinrichtung 5 (HUB/Switch) zugeordnet sind. Die Verteilereinrichtung 5, vorliegend in Form eines HUBs, nimmt jedes auf einem Empfangskanal Rx 7 empfangene Datenpaket oder ggf. auch Fragmente davon auf und sendet es vollständig an die entsprechenden Sendekanäle Tx 9 der anderen Clients weiter. In Analogie ist auch die Verwendung eines Switch als Verteilereinrichtung 5 denkbar. Eine Übermittlung des auf dem Empfangskanal Rx 7 empfangenen Signals an den Sendekanal Tx 8 des betreffenden Clients selbst kann erfolgen, ist aber üblicherweise nicht vorgesehen. Der Datenpaketfilter 1, 2 kann in der vorliegenden Fassung einfach und unkompliziert in ein bestehendes Netzwerk zugefügt werden, ohne dass er aus Sicht des genutzten Protokolls als Teilnehmer im Netzwerk registriert werden muss.
  • Der Datenpaketfilter 1, 2 umfasst eine Steuerlogik 11 bzw. 11a, welche ein entsprechendes Filterkriterium auf die über den Rx-Kanal 7, 10 empfangenen Datenpakete anwendet. Das Filterkriterium kann derart ausgestaltet sein, dass eine Positivprüfung auf Korrektheit der Datenpakete erfolgt und korrekte Datenpakete weitergeleitet werden. Es kann auch alternativ oder ergänzend eine Prüfung auf Negativmerkmale erfolgen, wodurch das betreffende Datenpaket abgeschnitten bzw. verstümmelt oder verändert wird, und je nach Filterkriterium und/oder Zusatzkriterium eine Deaktivierung des Rx-Kanals 7, 10 über eine Schaltlogik 12 bzw. 12a erfolgt. Der Datenpaketfilter 1, 2 weist neben dem über die Schaltlogik 12 bzw. 12a beeinflussbaren Empfangskanal Rx 7, 10 einen Sendekanal Tx 8, 9 auf. Der Sendekanal Tx 8, 9 kann ebenfalls durch die Steuerlogik 11 bzw. 11a über eine Ankopplung überwacht werden, so dass es stets ermöglicht ist, Datenpakete an die physikalische Ebene 3, 4 und damit an die entsprechenden Clients zu übermitteln. Diese Datenpakete können beispielsweise ein Rücksetzen des Clients, eine Diagnosefunktion oder ein Abschalten des Clients bewirken.
  • 2 zeigt einen erfindungsgemäßen Datenpaketfilter 1 in detaillierterer Darstellung. Die Steuerlogik 11 des Datenpaketfilters 1 erhält Informationen aus dem Rx-Kanal 7, welche über eine Analyseleitung 21 an die Steuerlogik 11 übergeben werden. Nach Überprüfung der empfangenen Datenpakete kann die Steuerlogik 11 auf die Schaltlogik 12 einwirken und damit den Rx-Kanal 7 aktivieren oder deaktivieren. Auf diese Weise schaltet der Datenpaketfilter 1 den Rx-Kanal 7 über die Schaltlogik 12 von einem aktiven (Kanal verbunden, „Schalter geschlossen”) Zustand in einen deaktivierten (Kanal getrennt, „Schalter geöffnet”) Zustand und zurück. Darüber hinaus analysiert die Steuerlogik 11 über eine Analyseleitung 22 auch den über den Sendekanal Tx 8 eingehenden Datenstrom und kann diesen ggf. zur Anpassung der Steuerlogik 11 heranziehen. In vorliegend dargestellter Ausführungsform ist für den Sendekanal Tx 8 keine Schaltlogik vorgesehen. Die Steuerlogik 11 kann weiterhin über Konfigurationsdaten 23 Informationen über den Zustand des Netzwerks, das benutzte Netzwerkprotokoll oder entsprechende Taktzyklen erhalten, wodurch ein Filterkriterium in der Steuerlogik 11 flexibel anpassbar ist.
  • 3 zeigt eine Ausführungsform entsprechend der 1, wobei vorliegend im Nachgang zur Verteilungseinrichtung 5 ein lokaler Client oder die MAC Ebene 30 der Netzwerkarchitektur vorgesehen ist. Diese Ausführungsform verdeutlicht den Einsatz der erfindungsgemäßen Datenpaketfilter an einem Kommunikationsendpunkt mit integrierter Vermittlungsstelle. Auf die oben genannten Bezeichnungen wird hiermit Bezug genommen.
  • 4 zeigt eine weitere Ausführungsform des erfindungsgemäßen Datenpaketfilters 40 in Form eines Kommunikationsendpunktes, wobei die Ausführung des Datenpaketfilters 40 auch in die Anwendungsfälle der 1 bis 3 einbindbar ist. Der Datenpaketfilter 40 wird vorliegend jedenfalls von einem Empfangskanal Rx 41 sowie einem Sendekanal Tx 42 durchlaufen. Er ist direkt im Nachgang an eine physikalische Ebene 43 angeordnet und überprüft die Korrektheit des Datenstroms von einem Client an der physikalischen Ebene (Client vorliegend nicht dargestellt) in ein Kommunikationsendpunkt in Form eines anderen Clients oder der MAC-Ebene 44 der Netzwerkarchitektur.
  • Der Datenpaketfilter 40 umfasst vorliegend eine Empfangsanalyse 45 sowie eine Ausgangsanalyse 46, welche beide auf die Steuerlogik 47 des Datenpaketfilters 40 einwirken können. Die Steuerlogik 47 wiederum umfasst eine Zustandsmaschine welche eine Eingangsschaltlogik 48 sowie eine Ausgangsschaltlogik 49 ansteuert und über ein Konfigurationskriterium 50 beeinflusst werden kann. Das Konfigurationskriterium 50 stellt beispielsweise eine Anzahl an auftretenden Ereignissen dar, nach welchen ein Kanal aktiviert oder deaktiviert wird. Auch andere Konfigurationsparameter sind denkbar. Das Konfigurationskriterium kann als Konfigurationsdatenschnittstelle ausgebildet werden, so dass nicht nur Zustandskriterien in die Filter-/Zustandslogik des Datenpaketfilters übermittelt werden können sondern dieser auch in der Lage ist, Rückmeldungen an die Applikation des Kommunikationsendpunktes oder an das Netzwerk zu übermitteln. Die Zustandsmaschine selbst ist vorzugsweise als Teil des Protokollfilters ausgebildet und erhält über diesen Kanal Zusatzkriterien für die Zustands- bzw. Protokollüberwachung.
  • Einem derartigen erfindungsgemäßen Datenpaketfilter 40 ist es möglich, fehlerhafte Datenpakete, ausgehend von der physikalischen Ebene 43, auf dem Empfangskanal Rx 41 über die Empfangsanalyse 45 mit einem Filterkriterium zu vergleichen und bei fehlerhaften Datenpaketen den Empfangskanal Rx 41 mit der Eingangsschaltlogik 48 zu deaktivieren. Durch Rückmeldung an die Applikation unter Heranziehung der Zustandskriterien 50 und die mögliche Kommunikation über die Schnittstelle kann sodann aus dem Netzwerk 44 über den Sendekanal Tx 42 beispielsweise eine Reset-Aufforderung an den Client an der physikalischen Ebene 43 gesandt werden. Darüber hinaus kann die Steuerlogik 47 auch bei Feststellung, dass über den Empfangskanal Rx 41 und die Empfangsanalyse 45 wieder korrekte Datenpakete eingehen, die Eingangsschaltlogik 48 wieder umschalten, so dass der Empfangskanal Rx 41 wieder aktiviert wird. Dies kann beispielsweise bei der Ausführung einer Rücksetzung oder einer Selbstdiagnose des Clients an der physikalischen Ebene 43 erfolgen. Darüber hinaus kann (muss jedoch nicht) der Datenpaketfilter 40 auch eine Ausgangsschaltlogik 49 mit gleichem Prinzip umfassen, welche Datenpakete nur dann durch den Sendekanal Tx 42 leitet, wenn diese einem korrekten Filterkriterium entsprechen. Solange fehlerhafte Datenpakete auf den Sendekanal Tx 42 gesendet werden, kann die Ausgangsschaltlogik 49 den Sendekanal Tx 42 deaktivieren und die physikalische Ebene 43 und den daran verbundenen Client vor fehlerhaften Daten schützen. Sobald die Daten über die Ausgangsanalyse 46 verifiziert und für korrekt befunden werden, erfolgt erfindungsgemäß eine Betätigung der Ausgangsschaltlogik 49 zur Aktivierung des Sendekanals Tx 42, je nachdem ob das Filterkriterium und ggf. ein Zusatzkriterium (beispielsweise eine mehrzahlige Abfolge korrekter Pakete) erfüllt sind.
  • Erfindungsgemäß besteht der wesentliche Gedanke, mit welchem die Vielzahl fehlerhafter Datenpakete in einem Netzwerk vermieden wird, darin, dass die Kanäle, welche zur Übertragung fehlerhafter Datenpakete herangezogen werden könnten, durch den Datenpaketfilter, die vorgesehenen Filterkriterien und die entsprechenden Schaltlogiken bei Auftreten fehlerhafter Datenpakete deaktiviert werden, und somit keine weiteren Datenpakete durch diese Kanäle Rx, Tx geleitet werden, bis die ordnungsgemäße Bereitstellung korrekter Datenpakete wieder gewährleistet ist.
  • In einer Ausführungsform ist die Erfindung eine Kommunikationseinheit, beispielsweise bestehend aus Protokollfilter und Vermittlungsstelle, für ein vernetzbares Automatisierungsgerät, das an mehrere Segmente eines Netzwerk, insbesondere eines industriellen Ethernet-basierten Kommunikationsnetzwerks anschließbar ist.
  • Die Kommunikationseinheit weist mindestens einen, vorzugsweise zwei oder mehr äußere Anschlüsse, Ports genannt, sowie einen internen Anschluss auf, über den die Kommunikationseinheit mit dem Automatisierungsgerät kommunizieren kann. Dadurch können Datenpakete eines industriellen Ethernet-Protokolls mit dem Automatisierungsgerät ausgetauscht werden bzw. gegebenenfalls über z. B. zwei äußere Anschlüsse der Kommunikationseinheit durchgeleitet werden. Dabei können Teilnehmer verschiedener angeschlosener Netzwerksegmente über die Kommunikationseinheit derart miteinander kommunizieren, dass die Funktion des Automatisierungsgeräts davon nicht unmittelbar beeinflusst wird.
  • Die Kommunikationseinheit ist dazu ausgebildet, unerwünschte Datenpakete insbesondere während des Empfangs durch den Datenpaketfilter auszufiltern, um eine Beeinträchtigung des Automatisierungsgeräts und anderer Netzwerkteilnehmer unterbinden zu können.
  • Hierzu ist vorgesehen, dass der Empfangskanal eines Ports, der einer physikalischen Schicht eines Netzwerkstacks entspricht, mit einem Datenpaketfilter ausgestattet ist, der bei Erkennung eines unerwünschten Datenpakets dessen Empfang abbricht. Dies kann beispielsweise durch Unterbrechen einer Leitung des Empfangskanal des überwachten Ports oder durch Absetzen eines Abbruchsignals an eine nachfolgende Schaltungseinheit, z. B. der Media Independent Interface(MII) Schnittstelle eines Ethernet Media Access Controllers (MAC) erfolgen.
  • Vorzugsweise ist die Kommunikationseinheit derart aufgebaut, dass der Datenpaketfilter selbst nicht von der Unterbrechung betroffen ist, wodurch eine Überwachung ankommender Datenpakete am Empfangskanal fortgesetzt werden kann.
  • Der Datenpaketfilter ist insbesondere dazu ausgebildet, in Abhängigkeit vom Zustand einer Protokollbearbeitung Datenpakete auszufiltern. Beispielsweise kann der Datenpaketfilter nach Empfang eines Datenpakets, das den Eintritt in eine zeitkritische Bearbeitungsphase eines Protokolls signalisiert, nur noch Pakete für zeitkritische Protokolldaten zulassen. Dadurch können Datenpakete zeitweise vom Datenverkehr ausgeschlossen werden, um eine priorisierte, sichere Übermittlung vorgegebener Protokolldatenpakete zu ermöglichen.
  • Unerwünschte Datenpakete können beispielsweise anhand vorgegebener Datenbereiche in Datenpaketen und z. B. auch anhand des Zeitpunkts ihres Eintreffens durch die Überwachungseinheit erkennbar sein.
  • Vorzugsweise ist die Kommunikationseinheit derart ausgebildet, dass ein Versenden von Daten über den Sendekanal eines überwachten Ports immer möglich ist. Somit können Datenpakete für eine Problemdiagnose oder eine Problemlösung an einem störenden Teilnehmer weiterhin über die Kommunikationseinheit übermittelt werden.
  • Zumindest die beiden externen Ports können durch die Kommunikationseinheit in der Art eines multiport Repeaters verschaltet sein. Der Datenpaketfilter wirkt (schaltet) vorzugsweise auf einen Empfangskanal eines Ports vor einem MAC-Anschluss wobei durchaus eine Analyse beider Kommunikationskanäle Rx sowie Tx erfolgen kann, insbesondere vor einer MII- oder RMII-Schnittstelle angeschlossen.
  • Bezugszeichenliste
    • 1
    Datenpaketfilter
    2
    Datenpaketfilter
    3
    physikalische Ebene
    4
    physikalische Ebene
    5
    Verteilungseinrichtung
    6
    fehlt
    7
    Empfangskanal Rx
    8
    Sendekanal Tx
    9
    Sendekanal Tx
    10
    Empfangskanal Rx
    11
    Steuerlogik
    11a
    Steuerlogik
    12
    Schaltlogik
    12a
    Schaltlogik
    21
    Empfangsanalysekanal/Analyseleitung
    22
    Sendeanalysekanal/Analyseleitung
    23
    Zustandsanalysekanal/Konfigurationskanal
    40
    Datenpaketfilter
    41
    Empfangskanal Rx
    42
    Sendekanal Tx
    43
    physikalische Ebene (PHY)
    44
    Netzwerk (MAC)
    45
    Empfangsanalysekanal
    46
    Sendeanalysekanal
    47
    Steuerlogik
    48
    Empfangs-Schaltlogik
    49
    Sende-Schaltlogik
    50
    Konfigurationskanal/Übergabe von Zustandskriterien
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2011/000429 A1 [0005]

Claims (10)

  1. Datenpaketfilter (1, 2; 40) für ein Datennetzwerk mit einem Netzwerkprotokoll wobei – der Datenpaketfilter (1, 2; 40) zwischen einer physikalischen Ebene (3, 4; 43) des Datennetzwerks und mindestens einer Empfangs- oder Verteilungseinrichtung (5) des Datennetzwerks angeordnet ist und – der Datenpaketfilter (1, 2; 40) von mindestens einem Empfangskanal Rx (7, 10; 41) und mindestens einen Sendekanal Tx (8, 9; 42) durchlaufen wird und – der Datenpaketfilter (1, 2; 40) eine Analyse- und Steuerlogik (11, 11a; 47) zum Echtzeitvergleich eines durch den Datenpaketfilter (1, 2; 40) geleiteten Datenpakets mit einem Filterkriterium zur Feststellung eines erwünschten Datenpakets und/oder Ermittlung eines unerwünschten Datenpakets umfasst, dadurch gekennzeichnet, dass – ein unerwünschtes Datenpaket während seines Durchlaufens durch den Datenpaketfilter (1, 2; 40) durch Vergleich mit dem Filterkriterium erkannt und abgeschnitten wird und – ein unerwünschtes Datenpaket ein vollständiges Deaktivieren desjenigen Kanals Rx (7, 10; 41) und/oder Tx (8, 9; 42) am Datenpaketfilter (1, 2; 40) bewirkt, durch welchen/welche das unerwünschte Datenpaket empfangen wurde.
  2. Datenpaketfilter nach Anspruch 1, dadurch gekennzeichnet, dass Datenpakete, welche auf einem deaktivierten Kanal eingehen, fortlaufend mit dem Filterkriterium, insbesondere einem Filterkriterium für diesen Kanal verglichen werden.
  3. Datenpaketfilter nach Anspruch 2, dadurch gekennzeichnet, dass bei einer Übereinstimmung eines Datenpakets auf einem deaktivierten Kanal mit dem Filterkriterium und/oder einem Zusatzkriterium der Kanal wieder aktiviert wird, wobei mindestens das erste übereinstimmende Datenpaket vor der Aktivierung des Kanals verworfen wird.
  4. Datenpaketfilter nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass ein Vergleich mit einem ersten Filterkriterium und/oder einem ersten Zusatzkriterium auf dem Empfangskanal Rx (7, 10; 41) und ein Vergleich mit einem zweiten Filterkriterium und/oder einem zweiten Zusatzkriterium auf dem Sendekanal Tx (8, 9; 42) erfolgt.
  5. Datenpaketfilter nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass mindestens ein Filterkriterium durch eine Analyse eines Zustandes eines Datennetzwerks und/oder eine Analyse des Netzwerkprotokolls und/oder einer Analyse von Datenpaketen durch die Steuerlogik (11, 11a; 47) ermittelt und eingestellt wird.
  6. Datenpaketfilter nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Netzwerkprotokoll ein zyklisches Echtzeitprotokoll, insbesondere das Powerlink-Protokoll ist.
  7. Verfahren zur Vermeidung fehlerhafter Datenpakete in einem Datennetzwerk wobei – ein Datenpaketfilter (1, 2; 40) zwischen einer physikalischen Ebene (3, 4; 43) eines Datennetzwerks und mindestens einer Empfangs- oder Verteilungseinrichtung (5) des Datennetzwerks angeordnet ist und – Datenpakete auf mindestens einem Empfangskanal Rx (7, 10; 41) und mindestens einem Sendekanal Tx (8, 9; 42) diesen Datenpaketfilter (1, 2; 40) durchlaufen und – der Datenpaketfilter (1, 2; 40) eine Steuerlogik (11, 11a; 47) zum Echtzeitvergleich eines durch den Datenpaketfilter (1, 2; 40) geleiteten Datenpakets mit einem Filterkriterium zur Feststellung eines erwünschten Datenpakets und/oder zur Ermittlung eines fehlerhaften Datenpakets umfasst, dadurch gekennzeichnet, dass – ein fehlerhaftes Datenpaket während seines Durchlaufens durch den Datenpaketfilter (1, 2; 40) durch Vergleich mit dem Filterkriterium erkannt und derart verändert wird, dass nur ein Fragment des Datenpakets oder ein unbrauchbar gemachtes Datenpaket den Datenpaketfilter (1, 2; 40) verlässt und – ein fehlerhaftes Datenpaket ein vollständiges Deaktivieren desjenigen Kanals Rx (7, 10; 41) und/oder Tx (8, 9; 42) am Datenpaketfilter (1, 2; 40) bewirkt, durch welchen das fehlerhafte Datenpaket empfangen wurde.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass Datenpakete, welche auf einem deaktivierten Kanal eingehen, fortlaufend mit dem Filterkriterium, insbesondere einem Filterkriterium für diesen Kanal verglichen werden und bei einer Übereinstimmung eines Datenpakets auf einem deaktivierten Kanal mit dem Filterkriterium und/oder einem Zusatzkriterium der Kanal wieder aktiviert wird.
  9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass mindestens ein Filterkriterium durch eine Analyse eines Zustandes des Datennetzwerks und/oder eine Analyse des Netzwerkprotokolls und/oder einer Analyse von Datenpaketen durch die Steuerlogik (11, 11a; 47) ermittelt und eingestellt wird
  10. Elektronisches Bauteil oder Bauteilgruppe, dadurch gekennzeichnet, dass mindestens ein Datenpaketfilter (1, 2; 40) nach einem der vorangegangenen Ansprüche 1 bis 6 integriert ist oder ein Verfahren nach einem der vorangegangenen Ansprüche 7 bis 9 durchgeführt wird.
DE201210012035 2012-06-19 2012-06-19 Netzwerk-Protokollfilter Withdrawn DE102012012035A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201210012035 DE102012012035A1 (de) 2012-06-19 2012-06-19 Netzwerk-Protokollfilter

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201210012035 DE102012012035A1 (de) 2012-06-19 2012-06-19 Netzwerk-Protokollfilter

Publications (1)

Publication Number Publication Date
DE102012012035A1 true DE102012012035A1 (de) 2013-12-19

Family

ID=49667768

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201210012035 Withdrawn DE102012012035A1 (de) 2012-06-19 2012-06-19 Netzwerk-Protokollfilter

Country Status (1)

Country Link
DE (1) DE102012012035A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052080A1 (en) * 2000-01-13 2001-07-19 Exigent International, Inc. Data multicast channelization
US7047561B1 (en) * 2000-09-28 2006-05-16 Nortel Networks Limited Firewall for real-time internet applications
WO2011000429A1 (en) 2009-07-02 2011-01-06 Abb Research Ltd A method of limiting the amount of network traffic reaching a local node operating according to an industrial ethernet protocol
DE102009058517A1 (de) * 2009-12-16 2011-06-22 Siemens Aktiengesellschaft, 80333 Vorrichtung und Verfahren zum Schutz eines Echtzeit-Netzwerksegmentes

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052080A1 (en) * 2000-01-13 2001-07-19 Exigent International, Inc. Data multicast channelization
US7047561B1 (en) * 2000-09-28 2006-05-16 Nortel Networks Limited Firewall for real-time internet applications
WO2011000429A1 (en) 2009-07-02 2011-01-06 Abb Research Ltd A method of limiting the amount of network traffic reaching a local node operating according to an industrial ethernet protocol
DE102009058517A1 (de) * 2009-12-16 2011-06-22 Siemens Aktiengesellschaft, 80333 Vorrichtung und Verfahren zum Schutz eines Echtzeit-Netzwerksegmentes

Similar Documents

Publication Publication Date Title
EP2936747B1 (de) Datenübertragung unter nutzung eines protokollausnahmezustands
WO2015058928A1 (de) Bussystem und verfahren zum betreiben eines solchen bussystems
EP3155763B1 (de) Redundante übertragung von datentelegrammen in kommunikationsnetzwerken mit ringförmiger topologie
EP2713563B1 (de) Redundant betreibbares industrielles Kommunikationssystem, Kommunikationsgerät und Verfahren zum redundanten Betrieb eines industriellen Kommunikationssystems
EP3453144B1 (de) Verfahren zur integration eines weiteren busteilnehmers in ein bussystem und bussystem
EP2936746B1 (de) Datenübertragungsprotokoll mit protokollausnahmezustand
WO2016134855A1 (de) Kraftfahrzeug-kommunikationsnetzwerk mit switchvorrichtung
EP3854028B1 (de) Verfahren zum erfassen von netzwerkteilnehmern in einem automatisierungsnetzwerk und automatisierungsnetzwerk
EP2827207A1 (de) Verfahren zur Übermittlung von Datenrahmen mittels eines Kommunikationsgeräts eines industriellen Automatisierungssystems und Kommunikationsgerät
DE102017000932B3 (de) Verfahren zur Initialisierung eines Bussystems und Bussystem
EP3977683A1 (de) Einrichtung für eine teilnehmerstation eines seriellen bussystems und verfahren zur kommunikation in einem seriellen bussystem
EP3895384A1 (de) Überlagerungserfassungseinheit für eine teilnehmerstation eines seriellen bussystems und verfahren zur kommunikation in einem seriellen bussystem
EP3028409B1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
DE102019210227A1 (de) Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk
WO2017050431A1 (de) Verfahren und vorrichtung zur überwachung von steuerungssystemen
EP3133447B1 (de) Sicherheitsschalter
EP2704370B1 (de) Verfahren zur Nachrichtenübermittlung in einem redundant betreibbaren industriellen Kommunikationsnetz und Kommunikationsgerät für ein redundant betreibbares industrielles Kommunikationsnetz
EP3226484A1 (de) Verfahren zur datenübermittlung in einem kommunikationsnetz eines industriellen automatisierungssystems und kommunikationsgerät
DE102012012035A1 (de) Netzwerk-Protokollfilter
DE102012201675A1 (de) Teilnehmerstation für ein Bussystem und Verfahren zur Übertragung von Nachrichten zwischen Teilnehmerstationen eines Bussystems
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
WO2003073703A2 (de) Lokales netzwerk, insbesondere ethernet-netzwerk mit redundanzeigenschaften sowie koppelgerät für ein derartiges netzwerk
EP2182680B1 (de) Verfahren zum Betrieb eines Kommunikationsnetzwerkes und Kommunikationskomponente
EP3742680B1 (de) Verteilervorrichtung und entsprechendes verfahren
EP3661830B1 (de) Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs

Legal Events

Date Code Title Description
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: HMS TECHNOLOGY CENTER RAVENSBURG GMBH, DE

Free format text: FORMER OWNER: IXXAT AUTOMATION GMBH, 88250 WEINGARTEN, DE

R082 Change of representative

Representative=s name: OTTEN, ROTH, DOBLER & PARTNER MBB PATENTANWAEL, DE

R005 Application deemed withdrawn due to failure to request examination