DE102018207995A1 - Mandantenfähiger Konnektor und Verfahren zum mandantenfähigen Verbinden unterschiedlicher Netzwerkdomänen - Google Patents

Mandantenfähiger Konnektor und Verfahren zum mandantenfähigen Verbinden unterschiedlicher Netzwerkdomänen Download PDF

Info

Publication number
DE102018207995A1
DE102018207995A1 DE102018207995.1A DE102018207995A DE102018207995A1 DE 102018207995 A1 DE102018207995 A1 DE 102018207995A1 DE 102018207995 A DE102018207995 A DE 102018207995A DE 102018207995 A1 DE102018207995 A1 DE 102018207995A1
Authority
DE
Germany
Prior art keywords
connector
tenant
domain
network
definitions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102018207995.1A
Other languages
English (en)
Inventor
Reinhard Frank
Florian Zeiger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102018207995.1A priority Critical patent/DE102018207995A1/de
Publication of DE102018207995A1 publication Critical patent/DE102018207995A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Bereitgestellt wird ein mandantenfähiger Konnektor (1) zum mandantenfähigen Verbinden einer gemäß einer ersten Technologie betriebenen ersten Netzwerkdomäne (21) und einer gemäß einer zweiten Technologie betriebenen zweiten Netzwerkdomäne (22). Der Konnektor (1) ist dazu eingerichtet, eine dem Konnektor (1) bereitgestellte Anzahl Mandantenbereichsdefinitionen (3) in der ersten Netzwerkdomäne (21) und der zweiten Netzwerkdomäne (22) zu implementieren, wodurch eine der Anzahl Mandantenbereichsdefinitionen (3) entsprechende Anzahl domänenübergreifender virtueller Mandantenbereiche (41, 42) ausgebildet wird.Der Konnektor ermöglicht das Ausbilden domänenübergreifender virtueller Mandantenbereiche in einer heterogenen Infrastruktur.Außerdem werden ein System, ein Computerprogrammprodukt und ein Verfahren zum mandantenfähigen Verbinden unterschiedlicher Netzwerkdomänen vorgeschlagen.

Description

  • Die vorliegende Erfindung betrifft einen mandantenfähigen Konnektor und ein Verfahren zum mandantenfähigen Verbinden einer ersten und einer zweiten Netzwerkdomäne, die gemäß unterschiedlichen Technologien betreibbar sind.
  • Innerhalb einer Netzwerkdomäne, die eine Technologie zur Netzwerkvirtualisierung unterstützt, können mehrere virtuelle Netzwerkbereiche eingerichtet sein, die unterschiedlichen Mandanten zuweisbar sind (Mandantenbereiche). Die virtuellen Mandantenbereiche nutzen eine gemeinsame physikalische Infrastruktur, ohne einander zu beeinflussen. Anwendungsfälle für Netzwerkdomänen mit derartigen gegeneinander isolierten virtuellen Mandantenbereichen sind beispielsweise Kraftfahrzeug-Bordnetzwerke, industrielle Netzwerke, Netzwerke in Rechen-/Datenzentren sowie Infrastrukturnetzwerke/Backbones. Technologien zum Implementieren virtueller Mandantenbereiche sind unter anderem Virtual Local Area Network (VLAN), Multi-Protocol Label Switching (MPLS) und Software Defined Networking (SDN). Diesen Technologien ist gemein, dass virtuelle Mandantenbereiche auf eine jeweilige Netzwerkdomäne der entsprechenden Technologie beschränkt sind. Datenverkehr, der die Netzwerkdomäne verlässt, verlässt auch den jeweiligen virtuellen Mandantenbereich.
  • Im Rahmen von Industrie 4.0 besteht Bedarf an netzwerkdomänen- und technologieübergreifenden virtuellen Mandantenbereichen sowie der Möglichkeit zur Einbindung von Legacy-Endpunkten.
  • Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, die Flexibilität beim Implementieren virtueller Mandantenbereiche zu erhöhen.
  • Demgemäß wird ein mandantenfähiger Konnektor zum mandantenfähigen Verbinden einer gemäß einer ersten Technologie betriebenen ersten Netzwerkdomäne und einer gemäß einer zweiten Technologie betriebenen zweiten Netzwerkdomäne bereitgestellt. Der Konnektor ist dazu eingerichtet, eine dem Konnektor bereitgestellte Anzahl Mandantenbereichsdefinitionen in der ersten Netzwerkdomäne und der zweiten Netzwerkdomäne zu implementieren, wodurch eine der Anzahl Mandantenbereichsdefinitionen entsprechende Anzahl domänenübergreifender virtueller Mandantenbereiche ausgebildet wird.
  • Der Konnektor kann auch als Verbindungseinrichtung bezeichnet werden. Der Konnektor kann softwaretechnisch und/oder hardwaretechnisch implementiert sein.
  • Der Konnektor ermöglicht vorteilhafterweise das Ausbilden virtueller Mandantenbereiche, die sich über mehr als eine Technologie erstrecken, d. h. in einer heterogenen Infrastruktur. Eingriffe in oder Änderungen an einer jeweiligen der Technologien bzw. Netzwerkdomänen sind dabei vorteilhafterweise nicht erforderlich.
  • Somit können im Rahmen von Industrie 4.0 bei dauerhaften oder vorübergehenden Kopplungsvorgängen zwischen unterschiedlichen technischen Vorrichtungen und Anlagen, wie Fertigungsstraßen, Fahrzeugen, Robotern etc., in denen Netzwerkdomänen gemäß unterschiedlichen Technologien oder mit unterschiedlichen Betreibern ausgebildet sind, virtuelle Mandantenbereiche implementiert werden, die gegeneinander separiert sind und jeweils Endpunkte in beiden Vorrichtungen bzw. Anlagen umfassen. Hierfür kann eine technologieübergreifende Mandantenbereichsdefinition dem Konnektor bereitgestellt werden; manuelle Konfigurationen in einer jeweiligen der Netzwerkdomänen sind vorteilhafterweise nicht erforderlich.
  • Beispiele für Technologien zum Betreiben einer jeweiligen Netzwerkdomäne sind mandantenfähige Technologien, wie Software Defined Networking (SDN), Virtual Local Area Network (VLAN), Multi-Protocol Label Switching (MPLS), Software Defined Radio (SDR) und/oder per se nicht mandantenfähige Technologien wie Ethernet. Die erste Technologie und die zweite Technologie können unterschiedliche Technologien sein. Die Vorteile des Konnektors können jedoch auch zum Tragen kommen, wenn die erste Technologie und die zweite Technologie eine selbe Technologie sind, jedoch die erste Netzwerkdomäne und die zweite Netzwerkdomäne von unterschiedlichen Betreibern verwaltet werden.
  • Unter einer Netzwerkdomäne ist insbesondere ein physikalischer Netzwerkbereich zu verstehen. Der physikalische Netzwerkbereich umfasst insbesondere eine Anzahl physikalischer Ressourcen, wie beispielsweise eine physikalische Verbindungsstrecke. Demgegenüber ist unter einem virtuellen Mandantenbereich ein virtualisierter oder virtueller Netzwerkbereich zu verstehen. In dem virtuellen Mandantenbereich sind eine Anzahl virtueller Endpunkte entlang einer Anzahl virtueller Verbindungsstrecken miteinander kommunikativ verbunden.
  • Unter „einer Anzahl“ ist hier und im Folgenden eine Anzahl von eins oder mehr zu verstehen.
  • Unter „mandantenfähig“ ist hier und im Folgenden insbesondere eine Funktionalität zu verstehen, die das Einrichten oder den Betrieb virtualisierter Netzwerkbereiche unterstützt.
  • Eine Anzahl virtueller Mandantenbereiche kann die physikalischen Ressourcen einer jeweiligen Netzwerkdomäne gemeinsam benutzen. Insbesondere sind dabei virtuelle Mandantenbereiche, die sich physikalische Ressourcen der Netzwerkdomäne teilen, gegeneinander separiert. „Separiert“ bedeutet insbesondere, dass Datenströme eines virtuellen Mandantenbereichs Datenströme eines anderen virtuellen Mandantenbereichs nicht direkt beeinflussen und vorzugsweise auch nicht indirekt beeinflussen. Insbesondere kann Kommunikation zwischen Endpunkten aus unterschiedlichen virtuellen Mandantenbereichen nicht möglich sein und/oder nur möglich sein, sofern ein Übergabepunkt, wie beispielsweise ein Router oder ein Gateway, zwischen den entsprechenden virtuellen Mandantenbereichen bereitgestellt ist. Eine indirekte Beeinflussung kann vorzugsweise dadurch ausgeschlossen sein, dass für einen jeweiligen virtuellen Mandantenbereich eine definierte Bandbreite garantiert ist, die unabhängig von Kommunikation in anderen virtuellen Mandantenbereichen derselben Netzwerkdomäne bereitgestellt und garantiert wird.
  • Somit handelt es sich bei einem virtuellen Mandantenbereich vorzugsweise um einen virtualisierten Netzwerkbereich, der sich seinen Endpunkten gegenüber wie ein eigenständiges physikalisches Netzwerk verhält. Somit kann ein jeweiliger virtueller Netzwerkbereich von einem jeweils unterschiedlichen Mandanten einer gemeinsam genutzten physikalischen Netzwerkinfrastruktur genutzt werden, auch wenn zwischen den mehreren Mandanten keine Absprachen oder kein uneingeschränktes Vertrauensverhältnis besteht.
  • Unter „Mandantenbereichsdefinition“ sind insbesondere Konfigurationsinformationen zu verstehen, die ausreichend sind, um in einer jeweiligen Netzwerkdomäne einen entsprechenden virtuellen Mandantenbereich gemäß einer jeweiligen Technologie einzurichten. Beispielsweise beschreibt eine Mandantenbereichsdefinition virtuelle Endpunkte und Verbindungsstrecken.
  • Unter „Bereitstellen“ der Mandantenbereichsdefinitionen an den Konnektor ist insbesondere zu verstehen, dass der Konnektor die Konfigurationsinformationen nutzen kann. Die Mandantenbereichsdefinitionen können beispielsweise in dem Konnektor gespeichert sein oder in einer externen Einheit gespeichert sein und vollständig oder abschnittsweise vorab, in regelmäßigen Abständen oder nach Bedarf auf Initiative des Konnektors oder der externen Einheit an den Konnektor übermittelt werden.
  • Unter „Implementieren“ einer Mandantenbereichsdefinition in einer jeweiligen Netzwerkdomäne ist insbesondere zu verstehen, dass der Konnektor Funktionalität gemäß der Technologie der jeweiligen Netzwerkdomäne nutzt, um in einer jeweiligen Netzwerkdomäne einen Abschnitt des von der Mandantenbereichsdefinition definierten virtuellen Mandantenbereichs einzurichten.
  • Eine jeweilige Netzwerkdomäne kann insbesondere auch anders als durch einen physikalischen Netzwerkbereich ausgebildet sein. Eine jeweilige Netzwerkdomäne kann insbesondere als virtueller und/oder softwaretechnisch ausgebildeter Netzwerkbereich ausgebildet sein. In diesem Fall kann unter einem virtuellen Mandantenbereich ein virtueller Netzwerkbereich auf einer höheren Virtualisierungsstufe verstanden werden, d.h., ein innerhalb der virtuellen Netzwerkdomäne abermals virtualisierter Teilbereich der Netzwerkdomäne.
  • Gemäß einer Ausführungsform ist der Konnektor dazu eingerichtet, Datenströme eines jeweiligen der virtuellen Mandantenbereiche zwischen der ersten Netzwerkdomäne und der zweiten Netzwerkdomäne gemäß der Anzahl Mandantenbereichsdefinitionen weiterzuleiten und zu parametrisieren.
  • Ein Datenstrom ist beispielsweise ein Datenstrom gemäß RFC 2722, RFC 3697 oder RFC 3917. Ein Datenstrom kann beispielsweise aufgefasst werden als Anzahl von Paketen, die unter Verwendung eines definierten Protokolls innerhalb eines definierten Zeitraums von einem Ausgangs-Endpunkt zu einem Ziel-Endpunkt transportiert werden. Ein Ausgangs-Endpunkt oder ein Ziel-Endpunkt kann beispielsweise ein definierter Port oder Dienst eines Netzwerkgeräts sein. Ein virtueller Mandantenbereich kann als virtualisierter Netzwerkbereich aufgefasst werden, innerhalb dessen eine Anzahl von Datenströmen transportiert wird.
  • Insofern kann der Konnektor dazu eingerichtet sein, eine jeweilige der Mandantenbereichsdefinitionen dadurch zu implementieren, dass der Konnektor einen Datenstrom, der den Konnektor passiert, in einer jeweiligen Netzwerkdomäne unter Rückgriff auf Funktionalität der Technologie der Netzwerkdomäne gemäß den Vorgaben der Mandantenbereichsdefinition parametrisiert. Unter „Parametrisieren“ ist beispielsweise zu verstehen, dass Vorgaben bezüglich zulässiger Endpunkte, zulässiger Leitwege und/oder zulässiger Bandbreite durchgesetzt werden.
  • Da das Parametrisieren durch den Konnektor gemäß den dem Konnektor bereitgestellten Mandantenbereichsdefinitionen erfolgt, können vorteilhafterweise Absprachen zwischen und/oder Eingriffe seitens Betreibern oder Administratoren der ersten und/oder der zweiten Netzwerkdomäne entbehrlich sein.
  • Gemäß einer weiteren Ausführungsform umfasst eine jeweilige der Mandantenbereichsdefinitionen eine Definition von Endpunkten in der ersten und der zweiten Netzwerkdomäne, die einem entsprechenden der virtuellen Mandantenbereiche zugehörig sind, sowie einer Anzahl Datenstromparameter für die Parametrisierung von Datenströmen des virtuellen Mandantenbereichs.
  • Somit können dem Konnektor vorteilhafterweise die zum Einrichten des domänenübergreifenden virtuellen Mandantenbereichs erforderlichen Parameter bereitgestellt werden.
  • Gemäß einer weiteren Ausführungsform umfassen die Datenstromparameter einen Bandbreitenparameter und/oder einen Verkehrsprofilparameter.
  • Beispielsweise kann ein Bandbreitenparameter beschreiben, welche Bandbreite ein jeweiliger Datenstrom höchstens nutzen darf, und/oder, welche Bandbreite für einen jeweiligen Datenstrom mindestens zu garantieren ist. Ein Verkehrsprofilparameter kann beispielsweise zulässige Ports, Dienste und/oder Protokolle von Endpunkten bzw. Datenströmen beschreiben.
  • Gemäß einer weiteren Ausführungsform ist der Konnektor dazu eingerichtet, in einer jeweiligen von der ersten und/oder der zweiten Netzwerkdomäne eine jeweilige der Mandantenbereichsdefinitionen dadurch zu implementieren, dass der Konnektor eine Konfiguration gemäß der Technologie der Netzwerkdomäne an eine Steuereinheit der Netzwerkdomäne übermittelt.
  • Insbesondere kann es sich bei der übermittelten Konfiguration gemäß der Technologie der Netzwerkdomäne um eine Abbildung der Mandantenbereichsdefinition handeln.
  • Der Konnektor gemäß der vorliegenden Ausführungsform kann somit vorteilhafterweise in einer jeweiligen Netzwerkdomäne bereits vorhandene Funktionalität zum Parametrisieren von Datenströmen und/oder zum Ausbilden virtueller Mandantenbereiche nutzen, um Datenströme zu parametrisieren und/oder mindestens einen Abschnitt des domänenübergreifenden virtuellen Mandantenbereichs auszubilden.
  • Somit kann der Konnektor vorzugsweise ohne eigene Funktionalität zum Parametrisieren von Datenströmen ausgebildet sein.
  • Konkret kann die Steuereinheit einer der Netzwerkdomänen dazu eingerichtet sein, in der Netzwerkdomäne einen auf die betreffende Netzwerkdomäne beschränkten virtuellen Mandantenbereich auszubilden und/oder in Datenströme innerhalb der Netzwerkdomäne entsprechend zu parametrisieren. Beispielsweise kann es sich bei der Steuereinheit um einen SDN-Controller handeln.
  • Der Konnektor kann dazu eingerichtet sein, eine jeweilige der Mandantenbereichsdefinitionen auf eine Konfiguration, die auf die Technologie der Netzwerkdomäne bezogen ist, abzubilden und diese abgebildete Konfiguration (Abbildung) an die jeweilige Steuereinheit zu übermitteln, wodurch diese dazu veranlasst werden kann, in einer jeweiligen Netzwerkdomäne einen auf die Netzwerkdomäne beschränkten virtueller Mandantenbereich auszubilden. Der Konnektor kann ferner dazu eingerichtet sein, einen Endpunkt in dem auf die Netzwerkdomäne beschränkten virtuellen Mandantenbereich auszubilden.
  • Somit kann der Konnektor vorteilhafterweise als Übergabepunkt eingerichtet sein, der, ggf. unter Einhaltung vorgegebener Datenstromparameter, Datenströme eines auf eine erste Netzwerkdomäne beschränkten ersten virtuellen Mandantenbereichs in einen auf eine zweite Netzwerkdomäne beschränkten virtuellen Mandantenbereich weiterleitet und umgekehrt, wodurch aus den beiden auf eine jeweilige Netzwerkdomäne beschränkten virtuellen Mandantenbereichen ein gemeinsamer, domänenübergreifender virtueller Mandantenbereich eingerichtet wird.
  • Gemäß einer weiteren Ausführungsform ist der Konnektor dazu eingerichtet, in einer jeweiligen von der ersten und/oder der zweiten Netzwerkdomäne eine jeweilige der Mandantenbereichsdefinitionen dadurch zu implementieren, dass der Konnektor eine jeweilige Mandantenbereichsdefinition mittels einer lokalen Funktionalität des Konnektors implementiert.
  • Insbesondere kann der Konnektor die Mandantenbereichsdefinition auf eine lokale Konfiguration der lokalen Funktionalität des Konnektors abbilden.
  • Somit kann der Konnektor vorteilhafterweise eine jeweilige Mandantenbereichsdefinition auch in einer Netzwerkdomäne implementieren, deren Technologie selbst keine Funktionalität zum Einrichten virtualisierter Netzwerkbereiche bietet. Der Konnektor kann also zum Einbinden von Endpunkten in Legacy-Netzwerkdomänen (nicht mandantenfähigen Netzwerkdomänen) oder auf Legacy-Endgeräten (nicht mandantenfähigen Endgeräten) in domänenübergreifende virtuelle Mandantenbereiche genutzt werden.
  • Unter Implementieren einer Mandantenbereichsdefinition mittels einer lokalen Funktionalität des Konnektors ist beispielsweise zu verstehen, dass der Konnektor selbst einen Datenstrom beim Weiterleiten in eine jeweilige Netzwerkdomäne gemäß Datenstromparametern parametrisiert. Beispielsweise kann der Konnektor Funktionalität gemäß der Technologie der Netzwerkdomäne aufweisen, um eine Bandbreite eines Datenstroms zu limitieren, den er an die Netzwerkdomäne übermittelt und/oder von der Netzwerkdomäne empfängt und/oder um Datenströme, die vorgegebenen Verkehrsprofilparametern nicht entsprechen, zu unterbinden.
  • Gemäß einer weiteren Ausführungsform ist als Teil einer jeweiligen der Anzahl Mandantenbereichsdefinitionen eine Abbildungstabelle zur Abbildung der jeweiligen Mandantenbereichsdefinitionen auf eine Konfiguration gemäß der Technologie der ersten und/oder zweiten Netzwerkdomäne und/oder auf eine Konfiguration von lokaler Funktionalität des Konnektors bereitgestellt.
  • Gemäß einer weiteren Ausführungsform ist eine jeweilige Abbildung einer Mandantenbereichsdefinition auf die Konfiguration der ersten und/oder der zweiten Technologie und/oder auf die lokale Konfiguration dem mandantenfähigen Konnektor als Teil der Mandantenbereichsdefinitionen bereitgestellt.
  • Somit kann der Konnektor ohne eigene Logik zum Abbilden einer zentral bereitgestellten domänenübergreifenden Mandantenbereichsdefinition auf Konfigurationen der ersten und/oder zweiten Technologie und/oder der lokalen Funktionalität des Konnektors ausgebildet sein. Der Konnektor kann dadurch eine vorteilhaft geringere Komplexität aufweisen.
  • Das Bestimmen der Abbildungstabelle kann zum Beispiel von einer externen Einheit durchgeführt werden, welche die Abbildungstabelle dem Konnektor als Teil der Anzahl Mandantenbereichsdefinitionen bereitstellt.
  • Gemäß einer weiteren Ausführungsform ist der Konnektor dazu eingerichtet, die bereitgestellte Anzahl Mandantenbereichsdefinitionen von einer Konnektor-Steuereinheit zu empfangen.
  • Insbesondere kann der Konnektor auch dazu eingerichtet sein, die Abbildungstabelle von der Konnektor-Steuereinheit zu empfangen.
  • Somit kann der Konnektor vorteilhafterweise dazu eingerichtet sein, von der Konnektor-Steuereinheit fernkonfiguriert zu werden.
  • „Empfangen“ kann so verstanden werden, dass mindestens zeitweise eine Kommunikationsverbindung zwischen dem Konnektor und der Konnektor-Steuereinheit besteht, über die der Konnektor Zugriff auf die Mandantenbereichsdefinitionen hat. Der Konnektor kann somit beispielsweise bei Bedarf auf die zentral bereitgestellten Mandantenbereichsdefinitionen zugreifen. Alternativ hierzu kann der Konnektor die Mandantenbereichsdefinitionen über die Kommunikationsverbindung laden und bei Bedarf auf eine lokale Kopie der bereitgestellten Mandantenbereichsdefinitionen zugreifen.
  • Die Kommunikationsverbindung zwischen dem Konnektor und der Konnektor-Steuereinheit kann eine In-Band-Verbindung sein, beispielsweise ein Datenstrom innerhalb eines der virtuellen Mandantenbereiche, oder eine Out-of-Band-Verbindung, die über eine von der ersten und der zweiten Netzwerkdomäne unabhängige Verbindungsleitung oder Netzwerkinfrastruktur zwischen dem Konnektor und der Konnektor-Steuereinheit eingerichtet ist.
  • Gemäß einer weiteren Ausführungsform ist der Konnektor dazu eingerichtet, die Anzahl Mandantenbereichsdefinitionen zu speichern.
  • Dadurch, dass der Konnektor die bereitgestellte Anzahl Mandantenbereichsdefinitionen speichert, kann der Konnektor seine Funktion vorteilhafterweise auch dann erfüllen, wenn eine Kommunikationsverbindung zwischen dem Konnektor und der zentralen Konnektor-Steuereinheit zeitweise unterbrochen ist. Dies ist besonders vorteilhaft bei mobilen Anwendungen.
  • Etwa kann ein Fahrzeug-Bordnetz eine erste Netzwerkdomäne und einen Konnektor umfassen, der nur in bestimmten Situationen, wie etwa bei einem Werkstattaufenthalt in einer Vertragswerkstatt und/oder bei einer mobilen Diagnose, mit einer jeweiligen zweiten Netzwerkdomäne verbunden wird.
  • Gemäß einer weiteren Ausführungsform ist der Konnektor dazu eingerichtet, eine oder mehrere inaktive Anzahlen Mandantenbereichsdefinitionen zu speichern und in Reaktion auf ein festgestelltes Ereignis eine dem Ereignis entsprechende der einen oder mehreren inaktiven Anzahlen Mandantenbereichsdefinitionen zu aktivieren.
  • Das Ereignis kann beispielsweise die Herstellung einer Verbindung zu einer Netzwerkdomäne sein, was anhand von Eigenschaften der Netzwerkdomäne erkannt werden kann, oder das Erreichen einer geografischen Position, was anhand eines GPS-Positionsgebers oder dergleichen erkannt werden kann.
  • Somit kann vorteilhafterweise ein Konnektor einer mobilen Vorrichtung, wie etwa eines Fahrzeugs oder eines Roboters, abhängig von der Position der mobilen Vorrichtung und/oder einer Netzwerkdomäne, mit der der Konnektor verbunden ist, mit unterschiedlichen Konfigurationen (Mandantenbereichsdefinitionen und ggf. Abbildungstabellen) betrieben werden.
  • Unter „Aktivieren“ einer inaktiven Anzahl Mandantenbereichsdefinitionen ist insbesondere zu verstehen, dass die inaktive Anzahl Mandantenbereichsdefinitionen zu derjenigen Anzahl Mandantenbereichsdefinitionen gemacht wird, die der Konnektor in der ersten und der zweiten Netzwerkdomäne implementiert.
  • Gemäß einer weiteren Ausführungsform umfasst mindestens eine der Anzahl Mandantenbereichsdefinitionen eine Definition einer virtuellen Netzwerkfunktion, und der Konnektor ist dazu eingerichtet, in Reaktion auf das Empfangen eines Datenstroms aus einem entsprechenden virtuellen Mandantenbereich die virtuelle Netzwerkfunktion auszuführen.
  • Unter einer virtuellen Netzwerkfunktion ist insbesondere eine Prozedur zu verstehen, die in Abhängigkeit eines Datenstroms oder Ereignisses in einem der virtuellen Mandantenbereiche ausgeführt wird. Eine virtuelle Netzwerkfunktion kann vorzugsweise Firewall-Funktionalität implementieren, beispielsweise kann sie Datenströme überwachen, protokollieren, verwerfen oder umleiten, Meldungen ausgeben und dergleichen, oder sie kann eine dynamische Neukonfiguration des virtuellen Mandantenbereichs veranlassen.
  • Da die Definition der virtuellen Netzwerkfunktion in den dem Konnektor bereitgestellten Mandantenbereichsdefinitionen umfasst ist, können somit vorteilhaft die virtuellen Netzwerkfunktionen eines jeweiligen Konnektors von einer zentralen Konnektor-Steuereinheit zentral gesteuert werden.
  • Gemäß einem weiteren Aspekt wird ein Netzwerkschnittstellencontroller vorgeschlagen, der einen integrierten Schaltkreis aufweist, welcher einen Konnektor wie vorstehend beschrieben ausbildet.
  • Der Netzwerkschnittstellencontroller kann beispielsweise eine Netzwerkkarte sein. Der integrierte Schaltkreis kann ein FPGA sein. Somit kann eine Netzwerkkarte mit integriertem FPGA - auch als Smart-NIC bezeichnet - den vorgeschlagenen Konnektor ausbilden. Der Smart-NIC kann vorteilhaft in einem Servercomputer installiert sein, der mehrere Dienste oder mehrere virtuelle Maschinen ausführt. Zum Beispiel kann die erste Netzwerkdomäne eine Verbindungsstrecke zwischen dem Netzwerkschnittstellencontroller und einer zentralen Verarbeitungseinrichtung des Servercomputers sein, und der Smart-NIC kann einen Anschluss zum Verbinden mit der zweiten Netzwerkdomäne aufweisen. Somit kann vorteilhafterweise mittels des Smart-NIC, der den vorgeschlagenen Konnektor ausbildet, ein jeweiliger Dienst bzw. eine jeweilige virtuelle Maschine als Endpunkt in einen jeweiligen der Anzahl virtueller Mandantenbereiche eingebunden werden, auch wenn der Servercomputer, ein Betriebssystem davon bzw. eine jeweilige der virtuellen Maschinen nicht mandantenfähig ist.
  • Gemäß einem weiteren Aspekt wird ein System zum Ausbilden einer Anzahl domänenübergreifender virtueller Mandantenbereiche in einer Mehrzahl Netzwerkdomänen vorgeschlagen, die gemäß unterschiedlichen Technologien betreibbar sind. Das vorgeschlagene System umfasst eine Anzahl mandantenfähiger Konnektoren wie vorstehend beschrieben, wobei ein jeweiliger der Konnektoren zwischen je zwei der Mehrzahl Netzwerkdomänen angeordnet ist; und eine Konnektor-Steuereinheit, die dazu eingerichtet ist, für einen jeweiligen der Konnektoren eine Anzahl Mandantenbereichsdefinitionen zu bestimmen und an den jeweiligen Konnektor zu übermitteln.
  • Die Kommunikation zwischen der Konnektor-Steuereinheit und der Anzahl mandantenfähiger Konnektoren kann In-Band oder out-of-band erfolgen.
  • Das Bestimmen der Anzahl Mandantenbereichsdefinitionen kann vorzugsweise basierend auf Konfigurationsinformationen erfolgen, die der Konnektor-Steuereinheit bereitgestellt werden.
  • Das vorgeschlagene System kann vorteilhaft benutzt werden, um mehrere Netzwerkdomänen, die gemäß unterschiedlichen Technologien betrieben werden, derart zu verbinden, dass das Ausbilden von domänenübergreifenden virtuellen Mandantenbereichen darin möglich ist. Anders ausgedrückt kann es ermöglichen, virtuelle Mandantenbereiche auf einer heterogenen Infrastruktur auszubilden.
  • Dabei kann die Konfiguration zentral auf der Konnektor-Steuereinheit erfolgen. Ein jeweiliger Konnektor und/oder die Konnektor-Steuereinheit kann dabei Funktionalität zum Abbilden der Konfiguration auf jeweilige Mandantenbereichsdefinitionen für einen jeweiligen Konnektor bzw. auf jeweilige Konfigurationen der jeweiligen Technologien aufweisen. Somit kann vorteilhafterweise ein Einrichten der domänenübergreifenden virtuellen Mandantenbereiche erleichtert werden.
  • Eine jeweilige der beschriebenen Einheiten, insbesondere der Konnektor und/oder die Konnektor-Steuereinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.
  • Gemäß einem weiteren Aspekt wird ein Verfahren zum mandantenfähigen Verbinden einer gemäß einer ersten Technologie betriebenen ersten Netzwerkdomäne und einer gemäß einer zweiten Technologie betriebenen zweiten Netzwerkdomäne vorgeschlagen. Das Verfahren umfasst: Bereitstellen einer Anzahl Mandantenbereichsdefinitionen an einen mandantenfähigen Konnektor; und Implementieren der Anzahl Mandantenbereichsdefinitionen in der ersten Netzwerkdomäne und der zweiten Netzwerkdomäne durch den mandantenfähigen Konnektor, wodurch eine der Anzahl Mandantenbereichsdefinitionen entsprechende Anzahl domänenübergreifender virtueller Mandantenbereiche ausgebildet wird.
  • Die für die vorgeschlagene Vorrichtung beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Verfahren entsprechend.
  • Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst.
  • Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen.
  • Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen.
  • Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert.
    • 1 zeigt eine schematische Darstellung zweier Netzwerkdomänen und eines Konnektors gemäß einem ersten Ausführungsbeispiel;
    • 2 zeigt ein Ablaufdiagramm eines Verfahrens gemäß dem ersten Ausführungsbeispiel;
    • 3 zeigt eine schematische Darstellung zweier Netzwerkwerkdomänen und eines Konnektors gemäß einer Weiterbildung des ersten Ausführungsbeispiels;
    • 4 zeigt eine veranschaulichende Darstellung eines Anwendungsbeispiels eines Konnektors gemäß einer zweiten Weiterbildung des ersten Ausführungsbeispiels;
    • 5 zeigt eine schematische Darstellung des Konnektors aus 4 in größerem Detail;
    • 6 zeigt eine schematische Darstellung eines VM-Servers mit einem durch einen Smart-NIC ausgebildeten Konnektor; und
    • 7 zeigt ein System zum mandantenfähigen Verbinden mehrerer Netzwerkdomänen gemäß einem zweiten Ausführungsbeispiel.
  • In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist.
  • 1 zeigt eine schematische Darstellung zweier Netzwerkdomänen 21, 22 und eines Konnektors 1 gemäß einem ersten Ausführungsbeispiel, und 2 zeigt ein Ablaufdiagramm des zugehörigen Verfahrens. Die erste Netzwerkdomäne 21 wird gemäß einer ersten Technologie betrieben. Die zweite Netzwerkdomäne 22 wird gemäß einer zweiten Technologie betrieben. In Schritt S1 des Verfahrens wird dem Konnektor 1 eine Anzahl - in 1 zwei - Mandantenbereichsdefinitionen 3 bereitgestellt. In Schritt S2 implementiert der Konnektor 1 eine erste der Mandantenbereichsdefinitionen 3 in der ersten Netzwerkdomäne 21 und der zweiten Netzwerkdomäne 22, wodurch in den jeweiligen Domänen Abschnitte 411, 412 eines domänenübergreifenden virtuellen Mandantenbereichs 41 ausgebildet werden. Gleichfalls implementiert der Konnektor 1 in Schritt S2 eine zweite der Mandantenbereichsdefinitionen 3 in der ersten Netzwerkdomäne 21 und der zweiten Netzwerkdomäne 22, wodurch in den jeweiligen Netzwerkdomänen Abschnitte 421, 422 eines domänenübergreifenden virtuellen Mandantenbereichs 42 ausgebildet werden. Die Abschnitte 411, 412 des ersten virtuellen Mandantenbereichs 41 in einer jeweiligen der Netzwerkdomänen 21, 22 sind über den Konnektor 1 miteinander verbunden, so dass der erste virtuelle Mandantenbereich 41 ein domänenübergreifender virtueller Mandantenbereich 41 ist. Dasselbe gilt für den zweiten virtuellen Mandantenbereich 42 entsprechend.
  • In 1 ist gezeigt, dass sich die Abschnitte 411, 421 und die Abschnitte 412, 422 der virtuellen Mandantenbereiche 41, 42 teilweise überlappen. Dadurch ist angedeutet, dass es Endpunkte geben kann, die mehr als einem virtuellen Mandantenbereich 41, 42 angehören. Dies ist jedoch keine notwendige Bedingung, und die domänenübergreifenden virtuellen Mandantenbereiche 41, 42 können auch disjunkt sein.
  • 3 zeigt eine schematische Darstellung zweier Netzwerkwerkdomänen 21, 22 und eines Konnektors 1 gemäß einer Weiterbildung des ersten Ausführungsbeispiels.
  • Ein jeweiliger der in 3 gezeigten domänenübergreifenden virtuellen Mandantenbereiche 41, 42 umfasst mehrere Endpunkte 5. Die Endpunkte 5 eines jeweiligen der virtuellen Mandantenbereiche 41, 42, kommunizieren miteinander, indem sie Datenströme untereinander austauschen.
  • Die Technologie der Netzwerkdomäne 21 ist beispielsweise VLAN. In der Netzwerkdomäne 21 ist eine Steuereinheit 61 vorgesehen, bei der es sich beispielsweise um einen programmierbaren VLAN-Switch handelt, der beispielsweise mittels OVS (Open vSwitch) implementiert sein kann. Der Konnektor 1 implementiert die ihm bereitgestellten Mandantenbereichsdefinitionen 3 in der Netzwerkdomäne 21, indem er eine Abbildung der Mandantenbereichsdefinitionen 3 auf eine VLAN-Konfiguration der Netzwerkdomäne 21 an den VLAN-Switch 61 übermittelt. Die Abbildung kann von dem Konnektor 1 bestimmt werden oder dem Konnektor 1 vorab als Teil der Mandantenbereichsdefinitionen 3 bereitgestellt sein. Insbesondere können die Mandantenbereichsdefinitionen 3 Bandbreitenparameter und/oder Verkehrsprofilparameter umfassen. Sofern der VLAN-Switch 61 eine entsprechende Parametrisierung von VLANs unterstützt, werden auch diese Bandbreitenparameter und/oder Verkehrsprofilparameter als Teil der Konfiguration an den VLAN-Switch 61 übermittelt. Auf diese Weise wird der VLAN-Switch 61 dazu veranlasst, entsprechend parametrisierte und gegen direkte und vorzugsweise auch indirekte gegenseitige Beeinflussung isolierte VLANs 411, 421 einzurichten. Somit werden die in der Netzwerkdomäne 21 angeordneten Abschnitte 411, 421 der virtuellen Mandantenbereiche 41, 42 als jeweilige entsprechend parametrisierte VLANs 411, 421 ausgebildet.
  • In einer Abwandlung kann die Steuereinheit 61 anstelle eines VLAN-Switches auch ein SDN-Controller 61 sein, und die innerhalb der Domäne 21 befindlichen Abschnitte 411, 421 der domänenübergreifenden virtuellen Mandantenbereiche 41, 42 können von dem SDN-Controller 61 definierte virtualisierte Netzwerkbereiche sein.
  • Die Technologie der Netzwerkdomäne 22 ist beispielsweise WLAN. Der Konnektor 1 leitet Datenströme des ersten virtuellen Mandantenbereichs 41 unter Verwendung einer ersten SSID (Service Set Identifier) in den in der Netzwerkdomäne 22 befindlichen Abschnitt 412 des virtuellen Mandantenbereichs 41 weiter, und leitet Datenströme des zweiten virtuellen Mandantenbereichs 42 unter Verwendung einer zweiten SSID in den in der Netzwerkdomäne 22 befindlichen Abschnitt 422 des virtuellen Mandantenbereichs 42 weiter. Dadurch sind die Datenströme der jeweiligen Abschnitte 412, 422 gegen eine direkte gegenseitige Beeinflussung isoliert. Die Mandantenbereichsdefinitionen 3 können, wie erwähnt, Bandbreitenparameter und/oder Verkehrsprofilparameter umfassen. Der Konnektor 1 kann diese Parameter innerhalb der Netzwerkdomäne 22 zum Beispiel dadurch implementieren, dass Datenströme der virtuellen Mandantenbereiche 41, 42, die der Konnektor 1 in die Netzwerkdomäne 22 einspeist, durch lokale Funktionalität des Konnektors 1 (beispielsweise ein - nicht gezeigtes - Netzwerkschnittstellenmodul des Konnektors 1) gemäß den Parametern limitiert bzw. parametrisiert werden. Somit kann auch eine indirekte gegenseitige Beeinflussung der Datenströme innerhalb der Netzwerkdomäne 22 minimiert werden.
  • 4 zeigt eine veranschaulichende Darstellung eines Anwendungsbeispiels des Konnektors gemäß 1 einer zweiten Weiterbildung des ersten Ausführungsbeispiels, und 5 zeigt eine schematische Darstellung des Konnektors 1 aus 4 in größerem Detail. Es wird nun auf 4 und 5 Bezug genommen.
  • In einem Gabelstapler 71 ist eine erste physikalische Netzwerkdomäne 21 ausgebildet. Der Gabelstapler 71 ist beispielsweise ein autonom operierender Gabelstapler. In der Netzwerkdomäne 21 des Gabelstaplers 71 können mehrere virtualisierte Netzwerkbereiche (nicht gezeigt) ausgebildet sein, denen unterschiedliche Funktionen zukommen, die aus Sicherheitsgründen gegeneinander zu isolieren sind. So kann einer der virtualisierten Netzwerkbereiche der Netzwerkdomäne 21 Endpunkte mit Low-Level-Funktionalität, wie Sensorüberwachung und Motorsteuerung, umfassen. Ein weiterer virtualisierter Netzwerkbereich kann Funktionalität zum autonomen Fahren realisieren, und ein dritter virtualisierter Netzwerkbereich kann einem Mandanten, wie einen Lagerführer oder einem Produktionsführer, zuweisbar sein und Endpunkte mit Funktionalität zum Entgegennehmen und Erteilen von Fahranweisungen an den Gabelstapler 71 umfassen.
  • In einer Produktionshalle 72 ist eine zweite physikalische Netzwerkdomäne 22 ausgebildet. Die zweite Netzwerkdomäne 22 kann unter anderem beispielsweise einen virtualisierten Netzwerkbereich umfassen, der Endpunkte mit Funktionalität zur Handhabung von Materialanlieferung und Vorbereitung für die Produktion umfasst.
  • In einer Lagerhalle 73 ist eine dritte physikalische Netzwerkdomäne 23 angeordnet. Die dritte Netzwerkdomäne 23 kann unter anderem beispielsweise einen virtualisierten Netzwerkbereich umfassen, der Endpunkte mit Funktionalität zur Waren- und Lagerhaltung umfasst.
  • In dem Gabelstapler 71 ist ferner der Konnektor 1 gemäß der zweiten Weiterbildung angeordnet. Der Konnektor 1 ist mit der ersten Netzwerkdomäne 21 verbunden und ist über WLAN oder eine andere Funktechnik mit einer zweiten Netzwerkdomäne (beispielsweise der Netzwerkdomäne 22 oder der Netzwerkdomäne 23) verbindbar.
  • Eine Konnektor-Steuereinheit 8 kann Out-of-Band mit dem Konnektor 1 beispielsweise per WLAN kommunizieren. Unter Out-of-Band-Kommunikation ist insbesondere zu verstehen, dass eine Kommunikation zwischen der Konnektor-Steuereinheit 8 außerhalb der virtuellen Netzwerkbereiche (nicht gezeigt) und/oder außerhalb der Netzwerkdomänen 21, 22, 23 erfolgt. Ein Ort, an dem die Konnektor-Steuereinheit 8 angeordnet ist, ist nicht speziell eingeschränkt. Vorzugsweise ist die Konnektor-Steuereinheit 8 jedoch derart angeordnet, dass sich eine Antenne des Konnektors 1, wenn sich der Gabelstapler 71 entlang einem gewöhnlichen Arbeitsweg bewegt, mindestens zeitweilig innerhalb einer Funkreichweite einer Antenne der Konnektor-Steuereinheit 8 befindet.
  • Wenn sich der Konnektor 1 innerhalb der Funkreichweite der Konnektor-Steuereinheit 8 befindet, empfängt der Konnektor 1 eine erste Anzahl 31 und eine zweite Anzahl 32 Mandantenbereichsdefinitionen von der Konnektor-Steuereinheit 8. Der Konnektor 1 speichert die erste und die zweite Anzahl Mandantenbereichsdefinitionen 31, 32 als inaktive Mandantenbereichsdefinitionen. Der Konnektor 1 ist dazu eingerichtet, abhängig von einem Ereignis wie einer Position des Gabelstaplers 71 und/oder einer Kontaktaufnahme mit einer Netzwerkdomäne 22, 23, mit welcher der Konnektor 1 verbunden wird, eine entsprechende aus den Anzahlen Mandantenbereichsdefinitionen 31, 32 zu aktivieren (zu der aktivierten Anzahl Mandantenbereichsdefinitionen 3 zu machen) und daraufhin die aktivierte Anzahl Mandantenbereichsdefinitionen 3 in den mit dem Konnektor 1 verbundenen Netzwerkdomänen 21 sowie entweder 22 oder 23 zu implementieren.
  • Wenn der Gabelstapler 71 zu der Lagerhalle 73 fährt, verlässt er unter Umständen eine Funkreichweite der Konnektor-Steuereinheit 8 und verliert die Verbindung zu der Konnektor-Steuereinheit 8. Die inaktiven Anzahlen Mandantenbereichsdefinitionen 31, 32 bleiben jedoch in dem Konnektor 1 gespeichert. Die derzeit aktive Anzahl Mandantenbereichsdefinition 3 kann bei Erkennen des Verlusts der Verbindung zu der Konnektor-Steuereinheit 8 wahlweise aktiv bleiben, deaktiviert werden oder durch eine Fallback-Konfiguration (eine nicht gezeigte weitere der inaktiven Anzahlen Mandantenbereichsdefinitionen) ersetzt werden.
  • Wenn der Gabelstapler 71 die Lagerhalle 73 erreicht, nimmt der Konnektor 1 per Funk, wie etwa per WLAN, Verbindung mit der dritten Netzwerkdomäne 23 auf und erkennt beispielsweise anhand einer GPS-Position des Gabelstaplers 71 oder einer Signatur der Netzwerkdomäne 23, dass er mit der dritten Netzwerkdomäne 23 verbunden wurde. Demgemäß aktiviert der Konnektor 1 die der dritten Netzwerkdomäne 23 zugeordnete zweite Anzahl Mandantenbereichsdefinitionen 32 und implementiert diese als aktivierte Anzahl Mandantenbereichsdefinitionen 3 in der ersten Netzwerkdomäne 21 und in der dritten Netzwerkdomäne 23. Dabei kann beispielsweise ein domänenübergreifender virtueller Mandantenbereich (nicht gezeigt) ausgebildet werden, der als Abschnitte den dritten virtualisierten Netzwerkbereich der Netzwerkdomäne 21 im Gabelstapler 71 umfasst, welcher Endpunkte mit Funktionalität zum Entgegennehmen und Erteilen von Fahranweisungen an den Gabelstapler 71 umfasst, sowie den virtualisierten Netzwerkbereich der Netzwerkdomäne 23, welcher Endpunkte mit Funktionalität zur Waren- und Lagerhaltung umfasst.
  • Der domänenübergreifende virtuelle Mandantenbereich kann hierbei einem Mandanten mit Lagerführerberechtigung zugewiesen werden. Mittels Kommunikation über Datenströme innerhalb des solchermaßen ausgebildeten domänenübergreifenden virtuellen Mandantenbereichs kann somit der Gabelstapler 71 beispielsweise Anweisungen zum Befördern von Material (Abholort, Auslieferort etc.) erhalten. Endpunkte mit anderer, nicht mit der Waren- und Lagerhaltung in Verbindung stehenden Funktionalität in der Netzwerkdomäne 21 des Gabelstaplers 71 und/oder der Netzwerkdomäne 23 der Lagerhalle 73 sind nicht Teil des domänenübergreifenden virtuellen Mandantenbereichs und somit für die domänenübergreifenden Datenströme nicht zugänglich und vorteilhafterweise gegen Kompromittierung etc. geschützt.
  • Gemäß den empfangenen Anweisungen nimmt der Gabelstapler 71 beispielsweise in der Lagerhalle 73 Material auf und fährt in die Produktionshalle 72, um das aufgenommene Material abzuliefern. Dort verbindet er sich auf gleiche Weise, wie zuvor für die Netzwerkdomäne 23 in der Lagerhalle 73 beschrieben, mit der Netzwerkdomäne 22 in der Produktionshalle und aktiviert, basierend auf dem erkannten Ereignis (Erreichen der Produktionshalle 72 bzw. Verbindung mit der Netzwerkdomäne 22) die erste Anzahl Mandantenbereichsdefinitionen 31 in der ersten Netzwerkdomäne 21 und der zweiten Netzwerkdomäne 22. Dabei wird ein domänenübergreifender virtueller Mandantenbereich (nicht gezeigt) ausgebildet, der zum Beispiel einem Mandanten mit Produktionsführerberechtigung zugewiesen wird, und innerhalb dessen beispielsweise Kommunikation zum Abliefern des Materials und zum Erhalten neuer Fahranweisungen erfolgen kann.
  • Der Konnektor 1 gemäß der zweiten Abwandlung des ersten Ausführungsbeispiels unterstützt somit vorteilhaft Mobilität. Bei mobilen Kopplungsvorgängen des Konnektors 1 mit unterschiedlichen Netzwerkdomänen 22, 23 können einer jeweiligen Netzwerkdomäne 22, 23 entsprechende Mandantenbereichsdefinitionen 31, 32 implementiert werden, ohne dass zum Zeitpunkt des Kopplungsvorgangs eine Verbindung zu der die Mandantenbereichsdefinitionen 31, 32 bereitstellenden Konnektor-Steuereinheit 8 erforderlich ist.
  • 6 zeigt eine schematische Darstellung eines VM-Servers 74 mit einem durch einen Smart-NIC ausgebildeten Konnektor 11 gemäß einem zweiten Ausführungsbeispiel.
  • Der VM-Server 74 ist eine programmgesteuerte Einrichtung, auf welcher ein Host-Betriebssystem ausgeführt wird. Das Host-Betriebssystem hostet mehrere virtuelle Maschinen 51, 52, welche jeweils ein Gast-Betriebssystem ausführen. Der VM-Server 74 ist mit einem externen Netzwerk verbindbar. Das Host-Betriebssystem des VM-Servers 74 ermöglicht eine Netzwerkkommunikation zwischen dem externen Netzwerk und den virtuellen Maschinen 51, 52 sowie zwischen den virtuellen Maschinen 51, 52 untereinander. Die von dem Host-Betriebssystem bereitgestellten physikalischen und/oder softwaretechnisch ausgebildeten Verbindungsstrecken zwischen den virtuellen Maschinen 51, 52 und dem externen Netzwerk bilden dabei eine softwaretechnisch implementierte Netzwerkdomäne 24.
  • Ferner umfasst der VM-Server 74 den Konnektor 11 gemäß dem zweiten Ausführungsbeispiel. Der Konnektor 11 weist eine Funktionalität auf, die der Funktionalität des Konnektors 1 gemäß dem ersten Ausführungsbeispiel und seinen Abwandlungen entspricht. Die softwaretechnisch implementierte Netzwerkdomäne 24 bildet dabei eine erste Domäne und das externe Netzwerk eine zweite Domäne aus, die mittels des Konnektors 11 verbunden sind. Somit ermöglicht der Konnektor 11 vorteilhafterweise die Aufnahme einzelner der virtuellen Maschinen 51, 52 in einen domänenübergreifenden virtuellen Mandantenbereich (nicht gezeigt), der Abschnitte in der Netzwerkdomäne 24 und Abschnitte in dem externen Netzwerk umfasst. Anders ausgedrückt kann durch Vermittlung des Konnektors 11 eine jeweilige der virtuellen Maschinen 51, 52 mit einem jeweils anderen, beispielsweise disjunkten, virtuellen Mandantenbereich des externen Netzwerks verbunden werden. Somit ermöglicht der Konnektor 11 vorteilhaft die Anbindung virtueller Maschinen an entsprechende virtuelle Mandantenbereiche unabhängig von der physikalisch vorhandenen Infrastruktur.
  • Der Konnektor 11 ist vorliegend durch einen FPGA ausgebildet, der Teil eines Netzwerkschnittstellencontrollers oder Smart-NIC 11 ist. Denkbar wäre aber auch, den Konnektor 11 softwaretechnisch auszubilden und beispielsweise als Gerätetreiber in das Host-Betriebssystem einzubinden.
  • 7 zeigt ein System 10 zum mandantenfähigen Verbinden mehrerer Netzwerkdomänen 24, 25, 26, 27 gemäß dem zweiten Ausführungsbeispiel.
  • Die Netzwerkdomäne 24 ist die softwaretechnisch ausgebildete Netzwerkdomäne 24 des wie vorstehend anhand von 6 beschriebenen VM-Servers 74 und umfasst die virtuellen Maschinen 51, 52 als Endpunkte. Die Netzwerkdomäne 25 wird beispielsweise gemäß VLAN-Technologie betrieben und umfasst die Netzwerkgeräte 53, 54 als Endpunkte sowie einen VLAN-Switch 61 als Steuereinheit. Die Netzwerkdomäne 26 wird beispielsweise gemäß SDR-Technologie (Software-Defined Radio) betrieben und umfasst die Netzwerkgeräte 55, 56 als Endpunkte. Die Netzwerkdomäne 27 ist beispielsweise ein Level-3-Netz, wie etwa ein Firmen- oder Betreibernetzwerk. Endpunkte in dem Level-3-Netz 27 sind die Konnektoren 11, 12, 13 und eine Konnektor-Steuereinheit 8.
  • Ein Administrator kann mittels der Konnektor-Steuereinheit 8 domänenübergreifende virtuelle Mandantenbereiche (nicht gezeigt) konfigurieren, die jeweils beliebige der Endpunkte 51-56 umfassen und gegen nicht umfasste der Endpunkte 51-56 isoliert sind. Die Konnektor-Steuereinheit 8 bestimmt basierend auf den an der Konnektor-Steuereinheit 8 konfigurierten domänenübergreifenden virtuellen Mandantenbereichen für einen jeweiligen Konnektor 11, 12, 13 eine jeweilige Anzahl Mandantenbereichsdefinitionen und übermittelt diese an den entsprechenden Konnektor 11, 12, 13.
  • Der Konnektor 11 implementiert die ihm von der Konnektor-Steuereinheit 8 bereitgestellte Anzahl Mandantenbereichsdefinitionen auf die anhand von 6 beschriebene Art und Weise in der softwaretechnisch implementierten Netzwerkdomäne 24.
  • Der Konnektor 12 implementiert die ihm von der Konnektor-Steuereinheit 8 bereitgestellte Anzahl Mandantenbereichsdefinitionen, indem er eine Abbildung der Anzahl Mandantenbereichsdefinitionen auf eine Konfiguration der VLAN-Technologie der Netzwerkdomäne 25 vornimmt und die abgebildete Konfiguration an die VLAN-Steuereinheit 61 übermittelt.
  • Der Konnektor 13 implementiert die ihm von der Konnektor-Steuereinheit 8 bereitgestellte Anzahl Mandantenbereichsdefinitionen beispielsweise dadurch, dass er für einen jeweiligen in der Netzwerkdomäne 26 auszubildenden Abschnitt eines jeweils virtuellen Mandantenbereichs eine unterschiedliche SDR-Frequenz wählt.
  • In der Netzwerkdomäne 27 implementieren die Konnektoren 11, 12 und 13 ihre jeweilige Anzahl Mandantenbereichsdefinitionen, indem sie an die Netzwerkdomäne 27 übermittelte oder von der Netzwerkdomäne 27 empfangene Datenströme durch Konfigurieren von lokal bei den jeweiligen Konnektoren 11, 12, 13 vorgesehener Funktionalität, wie beispielsweise Netzwerkschnittstellenmodulen, den Mandantenbereichsdefinitionen entsprechend parametrisieren.
  • Das System 10 des zweiten Ausführungsbeispiels ermöglicht somit vorteilhafterweise die Ausbildung domänenübergreifender virtueller Mandantenbereiche auf einer heterogenen Infrastruktur.
  • Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar.
  • Die Ausführungsformen und ihre Weiterbildungen können beliebig kombiniert werden.
  • Es wurden Konnektoren 1, 11, 12, 13 beschrieben, der zum Verbinden je zweier Netzwerkdomänen 21-27 dienen. Die Anzahl der durch einen einzelnen Konnektor verbindbaren Netzwerkdomänen und Technologien kann jedoch auch größer als zwei sein.
  • Auch wenn beim ersten Ausführungsbeispiel beispielhaft zwei Mandantenbereichsdefinitionen 3, 31, 32 und zwei entsprechende domänenübergreifende virtuelle Mandantenbereiche 41, 42 beschreiben wurden, versteht sich, dass keine Einschränkung hinsichtlich der möglichen Anzahl Mandantenbereichsdefinitionen 3 und virtuellen Mandantenbereiche 41, 42 besteht.
  • Merkmale, die für die Konnektor-Steuereinheit 8 beschreiben wurden, können alternativ auch als Merkmale eines jeweiligen Konnektors 1, 11, 12, 13 ausgebildet sein, und vice versa.
  • Es sind auch Ausführungsformen des Systems 10 zum Verbinden von Netzwerkdomänen denkbar, die ohne zentrale Konnektor-Steuereinheit 8 auskommen, wobei entsprechende Anzahlen Mandantenbereichsdefinitionen direkt einem jeweiligen der Konnektoren 11, 12, 13 bereitgestellt werden (eine jeweiliger der Konnektoren 11, 12, 13 separat konfiguriert wird).
  • Die beschriebenen Technologien, wie VLAN, SDN, WLAN, SDR etc. sind lediglich Beispiele, und der vorgeschlagene Konnektor kann mit einer jeweiligen Netzwerkdomäne verwendbar sein, die gemäß einer beliebigen Technologie betrieben wird. Wie beschrieben, kommen sowohl mandantenfähige Technologien als auch nicht mandantenfähige Legacy-Technologien in Betracht.

Claims (15)

  1. Mandantenfähiger Konnektor (1) zum mandantenfähigen Verbinden einer gemäß einer ersten Technologie betriebenen ersten Netzwerkdomäne (21) und einer gemäß einer zweiten Technologie betriebenen zweiten Netzwerkdomäne (22), wobei der Konnektor (1) dazu eingerichtet ist, eine dem Konnektor (1) bereitgestellte Anzahl Mandantenbereichsdefinitionen (3) in der ersten Netzwerkdomäne (21) und der zweiten Netzwerkdomäne (22) zu implementieren, wodurch eine der Anzahl Mandantenbereichsdefinitionen (3) entsprechende Anzahl domänenübergreifender virtueller Mandantenbereiche (41, 42) ausgebildet wird.
  2. Konnektor nach Anspruch 1, dadurch gekennzeichnet, dass der Konnektor (1) dazu eingerichtet ist, Datenströme eines jeweiligen der virtuellen Mandantenbereiche (4) zwischen der ersten Netzwerkdomäne (2, 21) und der zweiten Netzwerkdomäne (2, 22) gemäß der Anzahl Mandantenbereichsdefinitionen (3) weiterzuleiten und zu parametrisieren.
  3. Konnektor nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass eine jeweilige der Mandantenbereichsdefinitionen (3) eine Definition von Endpunkten (5) in der ersten und der zweiten Netzwerkdomäne (21, 22), die einem entsprechenden der virtuellen Mandantenbereiche (41, 42) zugehörig sind, sowie einer Anzahl Datenstromparameter für die Parametrisierung von Datenströmen des virtuellen Mandantenbereichs (41, 42) umfasst.
  4. Konnektor nach Anspruch 3, dadurch gekennzeichnet, dass die Datenstromparameter einen Bandbreitenparameter und/oder einen Verkehrsprofilparameter umfassen.
  5. Konnektor nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der Konnektor (1) dazu eingerichtet ist, in einer jeweiligen von der ersten und/oder der zweiten Netzwerkdomäne (21, 22) eine jeweilige der Mandantenbereichsdefinitionen (3) dadurch zu implementieren, dass der Konnektor (1) eine Konfiguration gemäß der Technologie der Netzwerkdomäne (21, 22) an eine Steuereinheit (61, 62) der Netzwerkdomäne (21, 22) übermittelt.
  6. Konnektor nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der Konnektor (1) dazu eingerichtet ist, in einer jeweiligen von der ersten und/oder der zweiten Netzwerkdomäne (21, 22) eine jeweilige der Mandantenbereichsdefinitionen (3) dadurch zu implementieren, dass der Konnektor (1) eine jeweilige der Mandantenbereichsdefinitionen (3) mittels einer lokalen Funktionalität des Konnektors (1) implementiert.
  7. Konnektor nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass als Teil einer jeweiligen der Anzahl Mandantenbereichsdefinitionen (3) eine Abbildungstabelle zur Abbildung der jeweiligen Mandantenbereichsdefinitionen (3) auf eine Konfiguration gemäß der Technologie der ersten und/oder zweiten Netzwerkdomäne (21, 22) und/oder auf eine Konfiguration von lokaler Funktionalität des Konnektors (1) bereitgestellt ist.
  8. Konnektor nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Konnektor (1) dazu eingerichtet ist, die bereitgestellte Anzahl Mandantenbereichsdefinitionen (3) von einer Konnektor-Steuereinheit (8) zu empfangen.
  9. Konnektor nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Konnektor (1) dazu eingerichtet ist, die Anzahl Mandantenbereichsdefinitionen (3) zu speichern.
  10. Konnektor nach Anspruch 9, dadurch gekennzeichnet, dass der Konnektor (1) dazu eingerichtet ist, eine oder mehrere inaktive Anzahlen Mandantenbereichsdefinitionen (31, 32) zu speichern und in Reaktion auf ein festgestelltes Ereignis eine dem Ereignis entsprechende der einen oder mehreren inaktiven Anzahlen Mandantenbereichsdefinitionen (31, 32) zu aktivieren.
  11. Konnektor nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass mindestens eine der Anzahl Mandantenbereichsdefinitionen (3) eine Definition einer virtuellen Netzwerkfunktion umfasst und der Konnektor (1) dazu eingerichtet ist, in Reaktion auf das Empfangen eines Datenstroms aus einem entsprechenden virtuellen Mandantenbereich (41, 42) die virtuelle Netzwerkfunktion auszuführen.
  12. Netzwerkschnittstellencontroller mit einem integrierten Schaltkreis, der einen Konnektor (1) nach einem der Ansprüche 1 bis 11 ausbildet.
  13. System (10) zum Ausbilden einer Anzahl domänenübergreifender virtueller Mandantenbereiche (41, 42) in einer Mehrzahl von gemäß unterschiedlichen Technologien betriebenen Netzwerkdomänen (21, 22, 23), wobei das System (10) umfasst: eine Anzahl mandantenfähiger Konnektoren (11, 12, 13) nach einem der Ansprüche 1 bis 11, wobei ein jeweiliger der Konnektoren (11, 12, 13) zwischen je zwei der Mehrzahl Netzwerkdomänen (21, 22, 23) angeordnet ist; und eine Konnektor-Steuereinheit (8), die dazu eingerichtet ist, für einen jeweiligen der Konnektoren (11, 12, 13) eine Anzahl Mandantenbereichsdefinitionen (3) zu bestimmen und an den jeweiligen Konnektor (11, 12, 13) zu übermitteln.
  14. Verfahren zum mandantenfähigen Verbinden einer gemäß einer ersten Technologie betriebenen ersten Netzwerkdomäne (21) und einer gemäß einer zweiten Technologie betriebenen zweiten Netzwerkdomäne (22), umfassend: Bereitstellen (S1) einer Anzahl Mandantenbereichsdefinitionen (3) an einen mandantenfähigen Konnektor (1); und Implementieren (S2) der Anzahl Mandantenbereichsdefinitionen (3) in der ersten Netzwerkdomäne (21) und der zweiten Netzwerkdomäne (22) durch den Konnektor (1), wodurch eine der Anzahl Mandantenbereichsdefinitionen (3) entsprechende Anzahl domänenübergreifender virtueller Mandantenbereiche (41, 42) ausgebildet wird.
  15. Computerprogrammprodukt, welches auf einer programmgesteuerten Einrichtung die Durchführung des Verfahrens nach Anspruch 14 veranlasst.
DE102018207995.1A 2018-05-22 2018-05-22 Mandantenfähiger Konnektor und Verfahren zum mandantenfähigen Verbinden unterschiedlicher Netzwerkdomänen Withdrawn DE102018207995A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018207995.1A DE102018207995A1 (de) 2018-05-22 2018-05-22 Mandantenfähiger Konnektor und Verfahren zum mandantenfähigen Verbinden unterschiedlicher Netzwerkdomänen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018207995.1A DE102018207995A1 (de) 2018-05-22 2018-05-22 Mandantenfähiger Konnektor und Verfahren zum mandantenfähigen Verbinden unterschiedlicher Netzwerkdomänen

Publications (1)

Publication Number Publication Date
DE102018207995A1 true DE102018207995A1 (de) 2019-11-28

Family

ID=68499271

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018207995.1A Withdrawn DE102018207995A1 (de) 2018-05-22 2018-05-22 Mandantenfähiger Konnektor und Verfahren zum mandantenfähigen Verbinden unterschiedlicher Netzwerkdomänen

Country Status (1)

Country Link
DE (1) DE102018207995A1 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110235647A1 (en) * 2010-03-24 2011-09-29 Hitachi, Ltd. Communication system and control method for communication system
US20140372617A1 (en) * 2012-01-26 2014-12-18 Siemens Aktiengesellschaft Controller and Method for Controlling Communication Services for Applications on a Physical Network
US20150319037A1 (en) * 2012-12-13 2015-11-05 Zte (Usa) Inc. Method and system for virtualizing layer-3 (network) entities
EP2981029A1 (de) * 2013-03-27 2016-02-03 Fujitsu Limited Schaltvorrichtung und schaltvorrichtungsteuerungsverfahren
US20170163540A1 (en) * 2014-11-28 2017-06-08 Xu Li Systems and methods for generating a virtual network topology for m2m communications
WO2017184758A1 (en) * 2016-04-20 2017-10-26 Brocade Communications Systems, Inc. Communication framework for a federation of network controllers

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110235647A1 (en) * 2010-03-24 2011-09-29 Hitachi, Ltd. Communication system and control method for communication system
US20140372617A1 (en) * 2012-01-26 2014-12-18 Siemens Aktiengesellschaft Controller and Method for Controlling Communication Services for Applications on a Physical Network
US20150319037A1 (en) * 2012-12-13 2015-11-05 Zte (Usa) Inc. Method and system for virtualizing layer-3 (network) entities
EP2981029A1 (de) * 2013-03-27 2016-02-03 Fujitsu Limited Schaltvorrichtung und schaltvorrichtungsteuerungsverfahren
US20170163540A1 (en) * 2014-11-28 2017-06-08 Xu Li Systems and methods for generating a virtual network topology for m2m communications
WO2017184758A1 (en) * 2016-04-20 2017-10-26 Brocade Communications Systems, Inc. Communication framework for a federation of network controllers

Similar Documents

Publication Publication Date Title
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
EP2954498B1 (de) Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
EP3129888B1 (de) Übermittlung von daten aus einem gesicherten speicher
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
EP3523930B1 (de) Kraftfahrzeug mit einem fahrzeuginternen datennetzwerk sowie verfahren zum betreiben des kraftfahrzeugs
EP2625822B1 (de) Verfahren zur konfiguration eines oder mehrerer geräte in einem ethernet-basierten kommunikationsnetz
EP2721784B1 (de) Verfahren zum betreiben einer netzwerkanordnung und netzwerkanordnung
DE102015116806A1 (de) Mehrprotokollgerät, das drahtlose anlagenprotokolle unterstützt
DE10052311A1 (de) Manuelles Verhindern des unerlaubten Mithörens in einem virtuellen privaten Netzwerk über das Internet
DE102018117465A1 (de) Firewall für verschlüsselten datenverkehr in einem prozesssteuersystem
AT520270B1 (de) Verfahren zum Verwalten und Steuern von Produktionsmitteln mit einer oder
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
DE102014212484A1 (de) Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs
DE102018207995A1 (de) Mandantenfähiger Konnektor und Verfahren zum mandantenfähigen Verbinden unterschiedlicher Netzwerkdomänen
EP3932019A1 (de) Automatisierungsnetzwerk, netzwerkverteiler und verfahren zur datenübertragung
EP3963839B1 (de) Netzwerkverteiler, automatisierungsnetzwerk und verfahren zur datenübertragung in einem automatisierungsnetzwerk
EP1645098B1 (de) Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes
EP2721803B1 (de) Verfahren und vorrichtung zur gesicherten veränderung einer konfigurationseinstellung eines netzwerkgerätes
EP2355609B1 (de) Verfahren zur steuerung eines netzwerksystems, netzwerksystem und computerprogram
EP2898635B1 (de) System und verfahren zur wartung einer werkzeugmaschine
EP2477373B1 (de) Endpunkte und System zur sicheren Übertragung von Daten zwischen sicheren Netzwerken
EP3236637B1 (de) Kommunikation über ein weitverkehrsnetz mittels eines applikationsspezifischen protokolls
EP4060947B1 (de) Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage
DE102015224886A1 (de) Vermeidung von Schwachstellen

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee