Netzwerk-Monitoring - icom Connectivity Suite VPN

Prev Next

Was ist Netzwerk-Monitoring?

Entfernte Anlagen liefern kontinuierlich Daten, melden im Alarmfall oder müssen zur Fernwartung verfügbar sein. Diese Dienste, die für Ihre Geschäftsprozesse notwendig sind, müssen zur Verfügung stehen, wenn sie benötigt werden. Um dies kontinuierlich zu prüfen, dient das Netzwerk-Monitoring

Das integrierte Monitoring der icom Connectivity Suite – VPN überwacht die Verfügbarkeit einzelner im VPN integrierter Clients (z.B. Router oder PC-Clients) und dahinter liegender Geräte und Applikationen, die die IP-Kommunikation unterstützen.

Sie erhalten eine Benachrichtigung per E-Mail noch bevor Sie im Bedarfsfall feststellen müssen, dass die Konnektivität nicht mehr vorhanden ist.

Unter anderem sind folgende Beispiele für Anwendungen möglich:

  • Ist der SCADA-Leitstellenrechner per VPN verbunden?

  • Antwortet die SPS oder das HMI in der Anlage auf einen Ping?

  • Reagiert der Webserver zur Konfiguration des Fernwartungs-Routers?

  • Funktioniert das Condition Monitoring oder EDGE Computing Gerät in der Anlage?

Für die Funktion Monitoring in der icom Connectivity Suite – VPN sind die beiden Begriffe Host und Prüfung relevant, die im Folgenden erläutert werden.

Was ist ein Host?

Im Konzept des integrierten Monitoring ist ein Host ein Netzwerkgerät, das Sie über eine IP-Adresse via VPN ansprechen können: das sind typischerweise die VPN-Clients (Router, PCs, Smartphones) selbst und die Steuerungen, Panel-PCs, HMIs, Datenlogger, Messgeräte, Condition-Monitoring- oder Edge-Computing-Geräte im Netzwerk (Control Network , OT) der Anlage.

Bitte beachten Sie!

Damit ein Netzwerkgerät überwacht werden kann, muss es in der icom Connectivity Suite – VPN als Host definiert werden.

Wie kann ich einen Host definieren?

Hierzu gibt es drei Möglichkeiten:

  1. In der Ansicht Monitoring > Hosts können Sie einen Host mit Namen und IP-Adresse als Host hinzufügen oder einen bestehenden kopieren.

  2. Beim Anlegen einer Prüfung kann der dafür benötigte Host unter +neuen Host anlegen… eingefügt werden, wenn er noch nicht existiert.

  3. Beim Anlegen eines neuen Gerätes (im Reiter Geräte) kann gleich eine Prüfung (Default-Überwachung, Ping 60 Minuten) mit angelegt werden. In diesem Fall wird vom System automatisch ein Host für dieses Gerät eingerichtet. Dieser Host wird per Default als VPN-Client gefolgt vom Gerätenamen bezeichnet, aber Sie können ihn nachher umbenennen.

Prüfungen

Was ist eine Prüfung?

Eine Prüfung ist eine konkrete Überwachungsregel, um die Verfügbarkeit eines Hosts über das Netzwerk zu verifizieren.

Wie kann ich eine Prüfung definieren?

Hierzu gibt es zwei Möglichkeiten:

  1. In der Ansicht Monitoring > Prüfungen können Sie eine beliebige Prüfung auf einen Host als Prüfung hinzufügen oder eine bestehenden kopieren.

  2. Beim Anlegen eines neuen Gerätes (im Reiter Geräte) kann gleich eine Prüfung (Default-Überwachung, Ping 60 Minuten) mit angelegt werden. In diesem Fall wird vom System automatisch ein Host für dieses Gerät eingerichtet. Dieser Host wird per Default als VPN-Client gefolgt vom Gerätenamen bezeichnet, aber Sie können ihn nachher umbenennen.

Bitte beachten Sie!
Ein Host benötigt immer mindestens eine Überwachungsregel, d.h. die erste Prüfung eines Hosts kann nicht gelöscht werden. Erst mit Löschen eines Hosts verschwindet diese Überwachungsregel.

Was und wie prüft das Netzwerk-Monitoring?

Das integrierte Netzwerk-Monitoring unterstützt Prüfungen auf 3 unterschiedliche Arten (Typ) auf den zugewiesenen Host:

  • PING: Versand eines Ping (ICMP echo request) an die Zieladresse des zu überprüfenden Hosts

    • Der Host darf einen Ping nicht ignorieren, da dies sonst als fehlgeschlagene Prüfung interpretiert wird.

    • Zwischen dem Server der icom Connectivity Suite – VPN und dem Host liegende Firewalls müssen entsprechend konfiguriert sein.

  • HTTP/HTTPS: Versuch, sich per Basic-Authentication (Benutzername/Passwort) auf dem Web-Server des Hosts anzumelden

    • Der Host muss über einen entsprechend konfigurierten Webserver verfügen.

    • Die Gültigkeit des Server-Zertifikats wird nicht geprüft (HTTPS).

      • Zwischen dem Server der icom Connectivity Suite – VPN und dem Host liegende Firewalls müssen entsprechend konfiguriert sein.

  • VPN: Interne Prüfung des Servers der icom Connectivity Suite – VPN, ob der zu überprüfende Host als VPN-Client noch verbunden ist.

Wann ist eine Prüfung bestanden / nicht bestanden?

Bei einer Prüfung vom Typ VPN gilt diese als bestanden, wenn der VPN-Client mit dem VPN-Server der icom Connectivity Suite – VPN verbunden ist.  
In allen anderen Fällen gilt die Prüfung als nicht bestanden.

Im Falle einer bestandenen Prüfung vom Typ PING muss der Host  
- auf die Anfrage innerhalb von 5 s antworten und
- 3 der 5 abgesetzten Pings beantworten.
Wird eine Prüfung vom Typ PING nur knapp bestanden mit
- mehr als 2,5 s Verzögerung oder wenn
- mehr als 1 von 5 Pings unbeantwortet bleiben,
wird das Ergebnis in der Statusanzeige als Warnung interpretiert.
In allen anderen Fällen gilt die Prüfung als nicht bestanden.

Bei einer bestandenen Prüfung vom Typ HTTP/HTTPS muss der Host
- auf die Anfrage innerhalb von 5 s antworten und
- die Anfrage mit OK (HTTP Status-Code 200) beantworten.
Wird eine Prüfung vom Typ HTTP/HTTPS nur knapp bestanden mit
- mehr als 2,5 s Verzögerung,
wird das Ergebnis in der Statusanzeige als Warnung interpretiert.
In allen anderen Fällen gilt die Prüfung als nicht bestanden.

Kann ein Host auf mehrere Arten prüfen?

Ja, Sie können für jeden Host gleichzeitig mehrere Prüfungen anlegen. Auch mehrere Prüfungen vom gleichen Typ sind erlaubt, z.B. um für einen länger anhaltenden Fehler eine Eskalation auszulösen.

Wie oft werden die Prüfungen durchgeführt?

Für jede Prüfung wird festgelegt, in welchem Abstand der Zustand normalerweise geprüft werden soll.
Sobald eine Überprüfung erstmalig fehlschlägt (nicht bestanden), wird sie mit dem Wiederholungs-Intervall fortgesetzt.
Sobald eine Prüfung wieder als bestanden abgeschlossen wird, wird wieder mit dem regulären Überprüfungs-Intervall fortgefahren.
Nach der mit dem Parameter Max. Überprüfungs-Versuche angegebenen Zahl von fehlgeschlagenen Versuchen wird wieder mit dem regulären Überprüfungs-Intervall von vorne begonnen.

Was passiert, wenn die Prüfung nicht bestanden wird?

Sobald eine Prüfung das erste Mal fehlschlägt, wird der Status im Web-Interface der Monitoring-Funktion als Fehler gekennzeichnet und mit einem roten Symbol gekennzeichnet.
Sobald alle Wiederholungsversuche (Parameter Max. Überprüfungs-Versuche) als nicht bestanden durchlaufen sind, wird eine Alarm-E-Mail ausgelöst.

E-Mails

Werde ich über einen Fehler benachrichtigt?

Wenn die maximale Zahl der Überprüfungsversuche ohne Erfolg erreicht wird, sendet das System eine E-Mail mit dem Betreff FEHLER: und dem Namen der Prüfung an die angegebene E-Mail-Adresse.

Von: INSYS Connectivity Service [mailto:ics@connectivity.insys-icom.de] 
Gesendet: Freitag, 6. März 2022 12:55
An: INSYS-Support
Betreff: WIEDERHERSTELLUNG: PLC123 management view

INSYS Connectivity Service Network Monitoring: WIEDERHERSTELLUNG

Prüfung:        	PLC123 management view
Typ:            	HTTP
Beschreibung:
Plain visualisation for management overview
Use https service for remote operation!
Status:         	OK
Info:           	OK: HTTP/1.0 200 OK: 0.323 seconds
Letzter Status: 	ERROR seit 2022-03-05 15:54:41 GMT

Host:           	Drive PLC (SPS Antrieb) #12
Host-IP:        	192.168.120.200
Status:         	UP
Info:           	OK - 192.168.12.200: Ping 21 ms
Letzter Status: 	UNREACHABLE seit 2022-03-04 09:17:21 GMT

VPN-Client:     	Pump Station #12
Status:         	UP (VPN online)
Info:           	OK - 192.168.12.1: Ping 43 ms
Letzter Status: 	DOWN seit 2022-03-04 09:17:01 GMT

Wie finde ich heraus, ob ein Problem behoben wurde?

Im Fehlerfall wird die Prüfung weiter ausgeführt. Sobald die Prüfung wieder als bestanden gilt, erhalten die E-Mail-Empfänger eine Benachrichtigung mit dem Betreff WIEDERHERSTELLUNG: und dem Namen der Prüfung.

Bitte beachten Sie!

Wenn Sie auf eine Benachrichtigung bei Wiederherstellung verzichten möchten, so können Sie die Checkbox Nur ERROR-Meldungen senden aktivieren.

Welche Informationen sind in der E-Mail?

Die icom Connectivity Suite – VPN integriert automatisch detaillierte Informationen in die E-Mails.
Zusätzlich zum Status der Prüfung wird auch der Status des zugrunde liegenden Hosts und des zugehörigen VPN-Clients angegeben.

Bitte beachten Sie!

Alle Zeitangaben im Text der E-Mails sind in Weltzeit (GMT, UTC) angegeben; die Ortszeit in Mitteleuropa ist im Winter (MEZ) 1 Stunde und im Sommer (MESZ) 2 Stunden später.

Kann ich in den E-Mails auch eigene Informationen integrieren?

Ja, das Feld Beschreibung steht für Freitext – z.B. Kontaktdaten für den zuständigen Service oder weitere Details über die installierte Anlage – zur Verfügung.

Bitte beachten Sie!

Wenn Sie nur Ihre eigene Beschreibung versenden möchten und damit auf die automatisch generierten Detailinformationen verzichten wollen, können Sie die Checkbox Nur Beschreibung als Meldung senden aktivieren.

Kann ich eine E-Mail an mehrere Empfänger schicken lassen?

Ja, mehrere Empfänger-Adressen können durch Komma oder Leerzeichen getrennt eingegeben werden.

Kann ich statt einer E-Mail nur die Status-Anzeige im Web-Interface nutzen?

Ja, wenn nur die Anzeige im Web-Interface gewünscht ist, kann die Angabe der E-Mail-Empfänger entfallen.

VPN-Clients

Kann ich einen VPN-Client überwachen, für den ich keine erreichbare IP festgelegt habe?

Ja, jeder VPN-Client kann überwacht werden, auch wenn in der icom Connectivity Suite – VPN für das entsprechende Gerät keine Routing-Information hinterlegt wurde. Das ist üblich für Bediengeräte wie PCs.

Die icom Connectivity Suite – VPN weist jedem VPN-Client eine feste VPN-IP-Adresse zu. Diese VPN-IP-Adresse wird im Reiter Geräte im Info-Dialog (Symbol i) angezeigt und kann als Host-IP verwendet werden.

Gibt es Einschränkungen bezüglich Gruppenregeln?

VPN-Hosts werden vom Server auch überwacht, wenn die Gruppenregeln anderen VPN-Clients den Zugriff verbieten.

Ansichten

Was sehe ich in der Ansicht Hosts?

Unter Monitoring > Hosts werden die Hosts nach dem Namen des VPN-Clients gruppiert. Die Gruppe beginnt mit dem VPN-Host selbst, gefolgt von den weiteren Hosts im lokalen Netz des VPN-Clients. Die Netzwerkstruktur wird durch die Einrückung visualisiert.
Die Hosts zeigen an, ob die Durchführung ihrer Prüfungen erfolgreich war.
Die Hosts, die selbst VPN-Client sind, zeigen zusätzlich an, ob das VPN-Gerät aktiv ist.

Was sehe ich in der Ansicht Prüfungen?

Unter Monitoring > Prüfungen werden die Prüfungen nach dem Namen des zugrunde liegenden Hosts gruppiert.
War das Ergebnis einer Prüfung zuletzt nicht bestanden, so ist das LED-Symbol in der Spalte Status rot, wenn eine Prüfung bestanden wurde, ist die Farbe blau, wenn eine Verbindung als instabil erkannt wird, ist die Farbe gelb.

Kann ich diese Ansichten sortieren?

Klicken Sie zum Sortieren auf den Spaltenkopf – ein zweiter Klick dreht die Reihenfolge um.

Warum sehe ich nicht alle Prüfungen und alle Hosts?

Auf dem Reiter Optionen ist die Checkbox Gruppen ohne Störung einklappen standardmäßig angewählt und nur die Gruppen mit Fehlern werden angezeigt. Die Gruppen können jederzeit manuell über das Symbol + vor dem Gerätenamen aufgeklappt werden.

Wie verhindere ich, dass ich bei jedem Neustart Benachrichtigungen erhalte?

Auf dem Reiter Optionen kann unter Nachrichten bei Instanzneustart unterdrücken festgelegt werden, wie lange die Überwachung bei einem Neustart ausgesetzt wird.

Wie können instabile Verbindungen erkannt werden?

Wenn in der Ansicht Optionen die Checkbox Stabilitätsprobleme erkennen angewählt ist, werden alle Verbindungsereignisse überwacht und eine Verbindung wird dann als instabil eingestuft, wenn mehr als 4 Zustandsänderungen bei den letzten 21 Prüfungen aufgetreten sind. Die Verbindung wird wieder als stabil eingestuft, wenn maximal eine Zustandsänderung bei den letzten 21 Prüfungen auftritt.
Als Zustandsänderung gilt, wenn die Geräteverbindung von verbunden auf getrennt wechselt oder die Verbindungsqualität zu schlecht wird (Paketumlaufzeit ≥ 2500 ms) und umgekehrt.

Sonstiges

Wie viele Hosts und Checks kann ich anlegen?

Pro gültiger VPN-Lizenz sind 5 Prüfungen möglich. Die Zahl der Hosts ist nicht beschränkt. Mit 10 Lizenzen können Sie also in Summe 50 Prüfungen anlegen. Die Prüfungen können beliebig über die VPN-Clients und Hosts verteilt werden.

Entsteht durch die Prüfungen zusätzlichen Datenverkehr?

Die Prüfungen der Typen PING, HTTP und HTTPS verursachen Datenverkehr über die VPN-Verbindung. Die Prüfung vom Typ VPN verursacht kein zusätzliches Datenaufkommen, da auf dem VPN-Server die fortlaufende Tunnelüberwachung ausgewertet wird.