Manuale Utente Ubiquity

Transcript

M a n u a l e U te n t e U b i q u i ty
Introduzione
Ubiquity è la soluzione ASEM per l’accesso e l’assistenza remota di macchine
industriali automatiche che impiegano sistemi operativi Windows e Windows CE.
Page 1 / 162
Sommario
1
Concetti ...................................................................................................................................................... 4
1.1
Architettura Software ......................................................................................................................... 4
1.1.1 Runtime.......................................................................................................................................... 4
1.1.2 Control Center................................................................................................................................ 4
1.1.3 Infrastruttura Server ....................................................................................................................... 5
1.1.4 Dominio Ubiquity ............................................................................................................................ 5
1.1.5 Connettività .................................................................................................................................... 5
1.2
Licenze Ubiquity Runtime ................................................................................................................ 12
1.3
Dominio Ubiquity .............................................................................................................................. 12
2 Control Center .......................................................................................................................................... 14
2.1
Requisiti e installazione ................................................................................................................... 14
2.2
L’interfaccia utente ........................................................................................................................... 17
2.3
Usare il Dominio .............................................................................................................................. 21
2.3.1 Creazione del Dominio ................................................................................................................ 21
2.3.2 Organizzazione del dominio ........................................................................................................ 24
2.3.3 Vista “Dispositivi” e ricerche ........................................................................................................ 25
2.3.4 Utenti del Dominio Ubiquity ......................................................................................................... 28
2.3.5 Creazione degli utenti .................................................................................................................. 30
2.3.6 Creazione dei gruppi .................................................................................................................... 32
2.3.7 Associazione degli utenti ai gruppi .............................................................................................. 33
2.4
Gestione dei permessi ..................................................................................................................... 34
2.4.1 I Profili e il controllo di Accesso ................................................................................................... 34
2.5
Gestione dei dispositivi remoti ......................................................................................................... 52
2.5.1 Prima connessione e registrazione della licenza ......................................................................... 52
2.5.2 Rimozione della registrazione della licenza (Deactivate) ............................................................ 55
2.5.3 Cancellazione e trasferimento di dispositivi ................................................................................. 56
2.5.4 Connessione Seriale Remota ...................................................................................................... 57
2.5.5 Remote Desktop .......................................................................................................................... 59
2.5.6 Explorer (trasferimento file) ......................................................................................................... 61
2.5.7 Processes .................................................................................................................................... 65
2.5.8 Information ................................................................................................................................... 66
2.5.9 Chat ............................................................................................................................................. 67
2.5.10
Virtual Private Network (VPN) ................................................................................................. 68
2.5.11
Misura della qualità della connessione .................................................................................... 72
2.5.12
Scenari di connettività VPN ..................................................................................................... 72
2.5.13
Audit: registro delle connessioni e delle attività di amministrazione del dominio .................... 76
3 Runtime .................................................................................................................................................... 79
3.1
Runtime per piattaforme Windows CE ............................................................................................ 79
3.2
Runtime per piattaforme Win32 ....................................................................................................... 79
3.3
Registrazione dispositivo e licenza .................................................................................................. 83
3.3.1 Identificazione univoca del dispositivo ......................................................................................... 84
3.4
Configurazione della VPN ................................................................................................................ 84
3.4.1 Connessione VPN ristretta al solo dispositivo remoto ................................................................. 86
3.4.2 Connessione VPN estesa all’intera sottorete con due interfacce di rete..................................... 87
3.4.3 Connessione VPN estesa all’intera sottorete con una interfaccia di rete .................................... 88
3.4.4 Connessione VPN ristretta al dispositivo remoto con indirizzi IP fisici ........................................ 90
3.4.5 Gestione dei potenziali conflitti tra indirizzi IP ............................................................................. 91
3.5
Controllo Runtime da riga di comando ............................................................................................ 91
3.6
Funzionamento Remote Desktop su sistemi Windows CE ............................................................. 92
3.7
Esecuzione senza shell Explorer ..................................................................................................... 93
3.8
Aggiornamento Runtime .................................................................................................................. 93
4 Firewall ..................................................................................................................................................... 96
4.1
Importazione delle policy ................................................................................................................. 97
Page 2 / 162
4.2
Definizione personalizzata delle policy ............................................................................................ 97
4.3
Applicazione delle policy................................................................................................................ 100
4.3.1 Esempio 1: filtro di protocollo ..................................................................................................... 102
4.3.2 Esempio 2: aggiunta del filtro di IP ............................................................................................ 104
4.3.3 Esempio 3: aggiunta del filtro di utente o gruppo ...................................................................... 105
5 Ubiquity Router ....................................................................................................................................... 107
5.1
Protezione contro il cambio non autorizzato di dominio ................................................................ 108
5.2
Identificazione e configurazione di fabbrica ................................................................................... 108
5.3
Segnalazioni e comandi esterni ..................................................................................................... 109
5.3.1 Segnalazioni LED ...................................................................................................................... 109
5.3.2 Comandi e I/O digitali ................................................................................................................ 110
5.4
Configurazione di Ubiquity Router ................................................................................................. 111
5.4.1 Configurazione attraverso interfaccia di rete ............................................................................. 112
5.4.2 Configurazione attraverso USB stick ......................................................................................... 122
5.4.3 Configurazione attraverso interfaccia web ................................................................................ 126
5.4.4 Gateway Protocollo Simatic S7 MPI .......................................................................................... 127
5.4.5 Sostituzione e ripristino del software di sistema in Ubiquity Router .......................................... 129
5.5
Connessione a Ubiquity Router ..................................................................................................... 130
5.5.1 Opzioni avanzate di accesso al sistema Router ........................................................................ 131
5.5.2 Supporto per RMxx Ubiquity Router series ............................................................................... 131
6 Appendice ............................................................................................................................................... 135
6.1
Note sull’utilizzo di Ubiquity in combinazione con Simatic Step 7 ................................................. 135
6.1.1 Perché nel software Simatic Step 7 le interfacce Ubiquity nella lista delle interfacce PC/PG
compaiono con un simbolo di avvertimento (triangolo giallo)? .............................................................. 135
6.1.2 Impostazione interfaccia PG/PC in Siemens Step 7 ................................................................. 135
6.1.3 Configurazione rete in Simatic Step 7 NetPro ........................................................................... 137
6.2
Note sull’utilizzo di Ubiquity Runtime con Simatic TIA Portal ........................................................ 150
6.2.1 Configurazione del PC con Ubiquity Control Center e Simatic TIA Portal ................................ 152
6.2.2 Configurazione di Ubiquity Router ............................................................................................. 153
6.2.3 Configurazione della rete MPI ................................................................................................... 154
6.2.4 Configurazione della rete Ethernet ............................................................................................ 156
6.3
Note sull’utilizzo di Ubiquity Runtime con sistemi Hilscher (MPI) .................................................. 158
Page 3 / 162
1 Concetti
Questo capitolo illustra i concetti di base della piattaforma software Ubiquity per la teleassistenza.
Ubiquity è una piattaforma software per la teleassistenza; permette di operare sui sistemi remoti esattamente
come in locale con il vantaggio di avere a disposizione tutta la competenza tecnica aziendale senza nessuno
spostamento.
1.1
Architettura Software
L’architettura Ubiquity prevede l’interoperabilità di quattro elementi: Runtime, Control Center e
l’infrastruttura Server attraverso l’utilizzo del Dominio.
1.1.1 Runtime
Ubiquity Runtime è il componente software installato sul dispositivo remoto che permette l’accesso al
dispositivo stesso. Il servizio è attivo in background ed è parametrizzabile attraverso l’interfaccia utente di
Ubiquity Runtime (pannello di controllo) oppure attraverso direttive inoltrate da riga di comando. Agisce
come “client” nei confronti dell’infrastruttura server.
Ubiquity Runtime è fornibile per sistemi “PC based”, ma anche per classici dispositivi HMI. Ubiquity Runtime
è disponibile per Windows CE e per tutte le piattaforme Win32, da Windows XP a Windows 8.
1.1.2 Control Center
Control Center è il componente “client” installato sul PC impiegato per l’assistenza. Permette la gestione
delle risorse di dominio e la registrazione dei dispositivi sul dominio stesso. Permette la connessione a uno
specifico dispositivo, istanzia la connessione VPN, gestisce la funzione seriale virtuale e fornisce gli
strumenti d’interazione come il desktop remoto e il trasferimento file.
Page 4 / 162
1.1.3 Infrastruttura Server
L’infrastruttura di rete supporta l’accesso ai servizi e mantiene in modalità sicura l’archivio dei dati.
L’infrastruttura permette l’autenticazione degli utenti di Control Center, l’autenticazione dei sistemi hardware
su cui è installato Ubiquity Runtime, il rintracciamento di tutti i sistemi Runtime assegnati ad un certo
Dominio, il raggiungimento dei dispositivi remoti da parte dei client Control Center, l’applicazione dei diritti di
accesso assegnati ai gruppi e ai singoli utenti.
L’infrastruttura è geograficamente distribuita e dotata di caratteristiche di ridondanza e “fault-tolerance”.
1.1.3.1 Server privato
L’infrastruttura server può essere implementata anche privatamente da parte dei clienti attaverso l’utilizzo
delle applicazioni Ubiquity Private Server.
Il Server Privato è un componente software della piattaforma Ubiquity che permette alle aziende che lo
desiderano di implementare una infrastruttura server per la gestione dei dati e delle connessioni
completamente autonoma e totalmente indipendente dall’infrastruttura pubblica gestita e mantenuta da
ASEM.
Il prodotto è progettato in modo che da un punto di vista funzionale ed operativo non vi siano differenze
rispetto all’utilizzo dell’infrastruttura pubblica e privata. Salvo diversa indicazione tutto quanto indicato in
questo manuale è da ritenersi valido anche per l’infrastruttura privata.
La documentazione tecnica realtiva al private Server è disponibile su richiesta.
1.1.4 Dominio Ubiquity
Il Dominio Ubiquity rappresenta l’account cliente ospitato dall’infrastruttura server costituito da un punto di
vista logico da un raggruppamento di dispositivi, utenti, gruppi, regole di firewall e regole di applicazione dei
permessi.
1.1.5 Connettività
Il requisito fondamentale per il funzionamento di Ubiquity è la disponibilità di una connessione Internet attiva
sia sul PC in cui è in esecuzione Control Center e sia sul dispositivo su cui è installato Ubiquity Runtime.
Ubiquity Control Center e Ubiquity Runtime usano sempre connessioni di tipo uscente e pertanto
normalmente consentite dai sistemi di firewall.
Da questo punto di vista Control Center e Runtime agiscono come “client” nei confronti dell’infrastruttura
server che è in grado invece di accettare connessioni di tipo entrante.
Almeno una delle seguenti porte TCP deve essere aperta:
 80
 443
 oppure 5935
Nelle versioni di Control Center e Runtime precedenti alla 4, veniva utilizzata la porta 8888 al
posto della porta 5935.
Per stabilire la connessione con il server Control Center e Runtime attuano una scansione delle porte
disponibili e, una volta individuata quella aperta, la utilizzano per la connessione al server e
successivamente per la connessione end-to-end.
Page 5 / 162
Tutte le connessioni utilizzate da Ubiquity, a prescindere dalla porta impiegata, sono
realizzate per mezzo del protocollo SSL/TLS allineati allo stato dell’arte delle tecnologie di
scambio sicuro di informazioni su Internet. L’utilizzo del protocollo SSL/TLS garantisce sia
l’autenticità del server a cui Control Center si connette sia poi la riservatezza di tutte le
informazioni scambiate con il server e con il Runtime. Ubiquity Control Center è in grado di
fornire all’utente le informazioni relative alla validità del certificato utilizzato. Le informazioni si
trovano nella schermata “SIGN IN” raggiungibile dal link in alto a destra come mostrato dalla
figura seguente.
Control Center e Runtime sono inoltre in grado di utilizzare le porte UDP 80, 443 o 5935 con connessioni
uscenti per aumentare le prestazioni della connessione. Connessioni di tipo UDP offrono normalmente tempi
di latenza inferiori e migliore stabilità, soprattutto quando la rete è congestionata.
Nel caso in cui le porte UDP siano chiuse, Control Center segnala la condizione utilizzando il colore
arancione per indicare l’attivazione della VPN e un simbolo di avvertimento (
) localizzato graficamente
sul componente dove le porte sono chiuse (Control Center, Runtime o entrambi).
1.1.5.1 Proxy
Le impostazioni per l’utilizzo del PROXY si trovano nella sezione “Network” accessibile dalla pagina
“Settings” come mostrato nella figura seguente.
Page 6 / 162
Cliccare sul menù a tendina “Type” per selezionare il metodo richiesto.
Sono supportate le seguenti modalità:
 None: nessun Proxy configurato.
 HTTP: Proxy di tipo HTTP, supporta autenticazione con nome utente e password.
 SOCKS5: Proxy di tipo SOCKS5, supporta autenticazione con nome utente e password.
1.1.5.2 Opzioni di connessione Control Center
Le opzioni di connessione si trovano nella sezione “Network” accessibile dalla pagina “Settings” come
mostrato nella figura seguente.
Il menù a tendina “Server” permette di selezionare l’infrastruttura. Sono disponibili le seguenti opzioni:
 Public: utilizza l’infrastruttura pubblica, gestita e mantenuta da ASEM.
 Private: utilizza l’infrastruttura privata, implementata dal cliente attraverso l’utilizzo del pacchetto
“Private Server”
Il menù a tendina “Port” permette di selezionare la porta mediante la quale Control Center si connetterà
all’infrastruttura. Sono disponibili le seguenti opzioni:
Page 7 / 162




Auto: utilizza la prima porta disponibile tra le porte (TCP o UDP) 443, 80, 5935.
443: utilizza la porta 443 per la connessione.
Il menù a tendina “P2P Connection” permette di abilitare o disabilitare la connessione Peer-To-Peer tra
Control Center e Runtime. Sono disponibili le seguenti opzioni:
 Auto: se possibile, utilizza la connessione P2P verso il Runtime di destinazione, altrimenti utilizza un
server di rimbalzo.
 Disabled: utilizza la connessione tramite il server di rimbalzo, senza tentare l’approccio P2P.
Il menù a tendina “VPN Transport” permette di scegliere il protocollo di comunicazione utilizzato nel tunnel
VPN. Sono disponibili le seguenti opzioni:
 TPC (Default): utilizza il protocollo TCP.
 UDP: utilizza il protocollo UDP.
In alcune infrastrutture di rete è possibile che i pacchetti UDP vengano filtrati o
penalizzati. È possibile tuttavia impostare tale protocollo per cercare di migliorare,
anche se marginalmente, i tempi di latenza.
1.1.5.3 Connessione tra Control Center e Runtime
La logica di collegamento tra Control Center e Runtime avviene con queste regole:






Control Center si connette all’infrastruttura di rete Ubiquity e ottiene l'elenco dei dispositivi registrati
al proprio dominio, per i quali dispone dei permessi di accesso.
Runtime si connette al all’infrastruttura di rete Ubiquity. Questo accade quando si clicca il pulsante
"Connect" sul pannello del Runtime.
Control Center viene notificato all’infrastruttura di rete che quel particolare Runtime è disponibile alla
connessione. L'icona del Runtime è evidenziata in verde.
Control Center può quindi decidere di collegarsi in qualsiasi momento, con desktop remoto oppure
con VPN.
Quando Control Center chiude la connessione al device, esso rimane comunque disponibile ad altre
connessioni finché qualcuno clicca "Disconnect" sul pannello di Ubiquity Runtime.
Se un Runtime è disponibile al collegamento ed esso viene riavviato, la disponibilità dopo riavvio è
regolata dall'opzione mostrata in figura:
Page 8 / 162
1.1.5.1 Scelta della porta di connessione per Runtime su sistemi Windows CE
Per forzare Ubiquity Runtime ad utilizzare una specifica porta è sufficiente selezionarla nell’apposita combo
box presente nella schermata “Options”, accessibile alla pressione dell’icona con l'ingranaggio
la figura seguente.
. Si veda
In alternativa, nel caso in cui il parametro non sia accessibile dall’interfaccia utente (vecchie versioni), è
possibile modificare manualmente il file di parametrizzazione, seguendo la procedura sottostante.
Se in esecuzione, chiudere Ubiquity Runtime.
Localizzare il file “config.xml” nella cartella:
Page 9 / 162
\MMCMemory\Ubiquity Runtime
(per sistemi ASEM vale quanto sopra, per tutti gli altri il file config.xml è nella cartella di installazione del
Runtime)
e aprirlo con un editor di testo.
Aggiungere o modificare la riga seguente:
<Param Name="ForcePort" Value="443" />
indicando come “value” uno dei tre possibili: 80, 443, 5935.
Riavviare il sistema.
1.1.5.1 Scelta della porta di connessione per Runtime su sistemi Win32
Per forzare Ubiquity Runtime ad utilizzare una specifica porta è sufficiente selezionarla nell’apposita combo
box presente nella schermata “Options”, accessibile alla pressione dell’ icona con l'ingranaggio
la figura seguente.
. Si veda
In alternativa, nel caso in cui il parametro non sia accessibile dall’interfaccia utente (vecchie versioni), è
possibile modificare manualmente il file di parametrizzazione, seguendo la procedura sottostante.
Se in esecuzione, chiudere Ubiquity Runtime e terminare il servizio.
Per terminare il servizio, aprire la finestra “Run”, digitare “services.msc” e cliccare OK.
Page 10 / 162
Dalla lista dei servizi in esecuzione, identificare “Ubiquity Runtime Service”, selezionarlo, cliccare con il tasto
destro del mouse e dal menù contestuale scegliere il comando di arresto.
Localizzare il file “config.xml” nella cartella:
C:\ProgramData\ASEM\Ubiquity\Runtime
(per Windows Vista e successivi)
C:\Documents and Settings\All Users\Application Data\ASEM\Ubiquity\Runtime
(per Windows XP)
e aprirlo con un editor di testo.
Aggiungere o modificare la riga seguente:
<Param Name="ForcePort" Value="443" />
indicando come “value” uno dei tre possibili: 80, 443, 5935.
Riavviare il sistema.
1.1.5.2 Collegamento locale
Ubiquity riconosce automaticamente la topologia di collegamento in cui Control Center si trova sulla stessa
LAN del Runtime.
Anche in questo caso Ubiquity si pone in modalità Internet, evitando la connessione diretta tra Control
Center e Runtime e simulando quindi le prestazioni ottenibili da un collegamento reale.
1.1.5.3 Indirizzi server dell’infrastruttura Ubiquity
L’architettura server Ubiquity è costituita da un insieme di server ridondanti strutturati per garantire scalabilità
e continuità di servizio. Inoltre la scelta dei server a cui Control Center e Runtime è in funzione del miglior
tempo di risposta.
Il sistema è progettato per operare in modo automatico senza la necessità di introdurre alcuna
configurazione o impostare alcuna opzione.
Ciononostante, si rende utile in alcune situazioni conoscere l’esatto indirizzo dei server sulla rete Internet
allo scopo di configurare regole specifiche negli apparati di sicurezza delle rete aziendali.
Control Center e Runtime devono potersi collegare ad almeno i seguenti indirizzi:
Page 11 / 162
ubiquityas1.asem.it
ubiquityas2.asem.it
ubiquityrs1.asem.it
ubiquityrs2.asem.it
ubiquityrs3.asem.it
ubiquityrs4.asem.it
ubiquityrs5.asem.it
ubiquityrs6.asem.it
ubiquityrs7.asem.it
I nomi rimarranno persistenti in futuro, mentre gli indirizzi IP puntati potrebbero
cambiare nel tempo. E’ pertanto preferibile impostare eventuali regole nei firewall
basate sui nomi. Diversamente sarà necessario mantenere aggiornati gli IP nel tempo.
1.2
Licenze Ubiquity Runtime
Ubiquity Runtime è disponibile con due tipologie di licenze caratterizzate da funzioni diverse.
La tabella seguente illustra le differenze.
Funzione
Strumenti interattivi (Remote Desktop, File Exchange, Remote Task
Manager, Chat, System Information)
VPN ristretta al dispositivo su cui è in esecuzione Ubiquity Runtime
VPN estesa alla sottorete dei dispositivi collegati
Virtualizzazione porta seriale (Serial Passthrough)
1.3
Licenza BASIC
Licenza PRO
Sì
Sì
Sì
No
No
Sì
Sì
Sì
Dominio Ubiquity
Un dominio Ubiquity è un insieme di utenti, gruppi di utenti, dispositivi remoti, regole di Firewall in un dato
contesto applicativo.
Tipicamente una azienda che acquista un Dominio Ubiquity crea il dominio omonimo per raggruppare tutti i
suoi dispositivi remoti, suddividerli in cartelle organizzate ad albero ed assegnare agli operatori i diritti per
l’accesso.
Possono far parte del dominio i seguenti elementi:
 Utenti
Un utente rappresenta delle credenziali di accesso con le quali accedere al dominio e ai sistemi remoti.
Idealmente è possibile la creazione di un utente per ciascun individuo, ognuno con la propria password.
L’accesso al dominio avviene attraverso Control Center fornendo il nome del dominio, il nome utente e la
password.
 Gruppi
Un gruppo è un insieme di utenti. I gruppi permettono di organizzare in modo efficace gli utenti.
Un utente può appartenere a più gruppi.

Dispositivo remoto
Page 12 / 162
In questo manuale “Dispositivo remoto” o più semplicemente “Dispositivo” è sinonimo di computer o
pannello operatore sul quale è installato e configurato il componente Runtime di Ubiquity e che può
quindi essere raggiunto attraverso Control Center.
 Cartelle
Una cartella è un “contenitore” di dispositivi remoti; Control Center fornisce una vista ad albero dei
dispositivi organizzabile in modo gerarchico. Le cartelle possono anche essere innestate.
Un dispositivo remoto può appartenere a una sola cartella
 Permessi
I permessi sono regole applicate a gruppi e utenti per discriminare l’accesso ai dispositivi remoti.
 Regole di Firewall
Le regole dei Firewall permettono di controllare il traffico dei pacchetti sia per tipo sia per quantità. Si
veda il capito sul Firewall per una descrizione completa dell’argomento.
Per informazioni aggiuntive sulla gestione del dominio attraverso Contro Center si veda il capitolo
“Utilizzo del Dominio“.
Page 13 / 162
2 Control Center
Ubiquity Control Center è l’applicazione Windows da installarsi sul PC impiegato per l’assistenza; permette
la configurazione del sistema, la registrazione sul dominio dei sistemi remoti, la configurazione delle opzioni
di sicurezza per gruppi ed utenti. Il tutto fruibile attraverso un’interfaccia semplice e intuitiva.
2.1
Requisiti e installazione
Control Center supporta i seguenti Sistemi Operativi:






Windows XP
Windows Vista 32-bit and 64-bit
Windows 7 32-bit and 64-bit
Windows 8 32 bit and 64 bit
Windows Server 2008 and Server 2008 R2
Windows Server 2012
La procedura di Setup di Control Center verificherà automaticamente la presenza del componente “.Net
Framework 4.0 Client Profile” e provvederà alla sua installazione se necessario.
La procedura di installazione installa i seguenti elementi:
 software file
 scheda di rete virtuale
 porta seriale virtuale per l‘accesso ai dispositivi di automazione collegati alla porta seriale del
sistema remoto
La procedura di installazione prevede due modalità:
 Typical
 Custom
Page 14 / 162
Selezionando la modalità “Custom” si ha la possibilità di installare il supporto per le vecchie versioni della
porta seriale virtuale e dell’interfaccia di rete virtuale.
Entrambi i componenti sono stati completamente revisionati dalla versione 2.0.
Page 15 / 162
Per mantenere la compatibilità con versioni del Runtime precedenti alla versione 2.0 è possibile installare
ogni supporto tramite la modalità “Custom” sopracitata.
Nel caso in cui venga installato il supporto della seriale virtuale per Runtime v1.2 e precedenti, la procedura
di installazione chiederà il numero della COM da assegnare alla porta virtuale.
A partire dalla versione v1.3 Ubiquity Control Center supporta la selezione del numero della
porta virtuale momento dell’attivazione del collegamento, rendendo quindi più semplice la
configurazione e l’uso. Il numero della porta potrà quindi essere cambiato in ogni momento.
Il numero della COM assegnato alla porta virtuale sarà quello da usare nell’applicazione che richiede
l’accesso da linea seriale. Il traffico generato verso la porta virtuale è automaticamente mappato da Ubiquity,
attraverso l’uso della VPN, sulla porta seriale fisica del dispositivo remoto.
Si veda nel seguito di questo manuale per altri dettagli sulla funzione.
L’adattatore di rete virtuale eventualmente installato dalla procedura è chiamato “Ubiquity VPN” ed è visibile
nella configurazione delle schede di rete del Pannello di Controllo. L’installazione dell’adattatore virtuale è
richiesto solo nel caso in cui si voglia poter attivare una connessione VPN limitata al dispositivo senza
accesso alla sottorete. I normali scenari di utilizzo non richiedono questo componente.
La gestione dell’indirizzo IP di questa scheda di rete è a carico di Ubiquity Control Center che lo assegna in
modo automatico per assicurare la compatibilità con la classe degli indirizzi dei dispositivi remoti.
E’ possibile anche assegnare l’IP all’adattatore Ubiquity VPN in modo manuale. Si veda nel
seguito per ulteriori informazioni.
Ubiquity Control Center viene eseguito in singola istanza per default.
Nel caso in cui fosse necessaria una esecuzione in istanza multipla è possibile aggiungere il parametro
<Param Name="MultisessionSupport" Value="1" />
nel file C:\Users\<nome_utente>\AppData\Local\ASEM\Ubiquity\Control Center\config.xml.
Page 16 / 162
2.2
L’interfaccia utente
Ubiquity Control Center si presenta all’avvio con la schermata di accesso al Dominio come mostrato nella
figura seguente.
Una volta compilati i campi con le credenziali di accesso, la vista cambia e viene mostrato l’albero dei
dispositivi come indicato nella figura seguente.
Page 17 / 162
Con riferimento alla numerazione usata in figura, nell’interfaccia sono evidenziabili diversi controlli ed aree:
1. Area dedicata alla vista ad albero dei componenti di Dominio; per rendere più efficace la
visualizzazione la vista supporta un meccanismo di raggruppamento automatico di elementi
omogenei. Una cartella può contenere tre diversi tipi di elementi: Devices, Users/Groups e Regole di
Firewall. Qualora in una cartella fossero presenti elementi di almeno due tipi diversi, e per ciascun
tipo il numero di elementi sia maggiore di uno, essi verranno visualizzati raggruppati come mostrato
nella figura seguente.
Page 18 / 162
2. La vista ad albero è indicata come la modalità “MANAGE” del Dominio, ovvero la vista da usarsi
quando si opera sull’organizzazione logica di dispositivi, utenti, gruppi, permessi e regole del firewall.
3. Il link “ACCOUNT” permette di visualizzare l’anagrafica della registrazione di Dominio effettuata.
4. Il link “OPTIONS” permette di gestire le impostazioni del Dominio.
5. I comandi in alto permettono di raggiungere la vista tabellare dei dispositivi (“devices”), le statistiche
di accesso ai servizi (“audit”), la pagina per la configurazione di Ubiquity Router (“router”).
6. Nell’ordine da sinistra a destra sono disponibili in quest’ area i comandi per:
l’aggiunta dei dispositivi al Dominio
la creazione di cartelle
la creazione di utenti e gruppi
la definizione e l’importazione delle regole del firewall
la rinomina
la cancellazione dell’elemento selezionato
il comando per l’aggiornamento della vista
7.
8.
9.
10.
Si noti che qualora l’utente connesso non abbia i diritti per l’esecuzione di un certo comando, il tasto
corrispondente sarà presente ma disabilitato.
L’area alla destra della vista è suddivisa in tre parti la cui visibilità è controllata dal comando posto a
sinistra del nome; a seconda dell’elemento selezionato l’area si popola con le informgazioni
corrispondenti.
La casella per l’esecuzione delle ricerche all’interno dell’albero.
Il menù per l’accesso alla pagina di accesso al Dominio (“signin”), alla pagina delle impostazioni
(“settings”) e al manuale on-line (“help”).
Il comando “back” che permette sempre la visualizzazione della schermata precedente rispettando
l’ordine in cui le varie pagine sono state aperte.
La schermata delle impostazioni prevede diverse opzioni come mostrato nella figura seguente.
1. LOG
mostra la lista delle operazioni eseguite da Control Center durante la
connessione all’infrastruttura server e durante l’attivazione della connessione
con il componente Runtime
2. NETWORK
contiene le impostazioni del PROXY, l’indirizzo del server di accesso e, in caso
di server privato, l’importazione delle Certification Autority.
contiene le informazioni sulla versione dell’applicazione Control Center
3. ABOUT
Page 19 / 162
Control Center supporta le combinazioni di tasti indicate nella tabella seguente.
Combinazione di
tastiera
Backspace
F2
CTRL+F
CANC/DEL
F5
SHIFT+CTRL+N
Digitazione tastiera
Azione
Disponibile su:
Torna alla cartella superiore
Apre il popup per rinominare
Sposta il focus sul campo di ricerca
Cancella elemento selezionato con
richiesta conferma
Esegue un aggiornamento della vista
Crea una nuova cartella
Sposta il fuoco di selezione
sull’elemento il cui nome inizia con le
lettere digitate
File explorer
Albero dominio, File explorer
Albero dominio
File explorer
File explorer
Page 20 / 162
2.3
Usare il Dominio
Questo capitolo descrive come creare un dominio, come aggiungere i dispositivi remoti e come organizzarlo
attraverso l’utilizzo di relazioni gerarchiche e l’applicazione di permessi a gruppi e utenti. La descrizione
dell’utilizzo del Firewall è demandata al capitolo ad esso dedicato.
2.3.1 Creazione del Dominio
Il funzionamento di Ubiquity richiede la connessione a un dominio. Il primo passo nella messa in servizio è
proprio la creazione del dominio stesso.
Avviare l’applicazione Control Center e cliccare sul link “Create a new Domain” che appare nella schermata
principale quando non si è già collegati ad un Dominio.
Cliccando sul link compare la maschera mostrata nella figura seguente dove è necessario introdurre i dati
anagrafici richiesti per la creazione e attivazione del dominio.
Page 21 / 162
Una volta compilata la scheda, cliccare sul tasto “Create Domain” ed attendere la risposta del server.
La creazione del dominio e il successivo utilizzo richiedono una connessione Internet
funzionante dal computer su cui è installato Control Center. Si veda il capitolo Connettività
per altre informazioni sui requisiti.
Contestualmente alla creazione del dominio, viene automaticamente creato un utente “admin”; esso non può
essere rinominato ne cancellato ne possono essere rimossi i suoi diritti di accesso globale.
Questo previene condizioni anomale in cui per errore ci si possa trovare senza nessun utente con diritti di
amministrazione che sia in grado di gestire il dominio.
La password assegnata all’utente “admin” in questa fase permette il primo accesso al
dominio tramite l’utente con privilegi di amministratore. In caso di smarrimento della
password si consiglia di contattare il supporto tecnico.
È consigliato creare degli utenti aggiuntivi con permessi di amministrazione e lasciare l’utente l’uso
dell’utente “admin” ai casi eccezionali.
E’ possibile forzare l’utente a specificare un un commento alla fine di ogni sessione di teleassistenza; per
abilitare la funzione è sufficiente agire nelle opzioni di dominio (si veda il punto 4 del capitolo precedente)
come mostrato in figura.
Page 22 / 162
L’opzione è valida a livello di Dominio senza distinzione alcuna tra gli utenti. I commenti sono archiviati nel
log di sessione consultabile dal registro delle connessioni.
2.3.1.1 Attivazione del Dominio
Ogni dominio creato è immediatamente utilizzabile, ma richiede una procedura di attivazione formale
attraverso opportuno codice di licenza da eseguirsi entro 30 giorni dalla creazione.
Control Center visualizza un avvertimento come mostrato nella figura seguente.
L’attivazione di un Dominio Ubiquity è supportata da Control Center versione 2 o maggiore.
Nel caso in cui si utilizzi una versione di Control Center precedente alla v2 in combinazione
con un nuovo dominio, l’utente viene avvisato della necessità di aggiornare Control Center
all’ultima versione, senza perdita di alcun dato, statistica, configurazione.
Page 23 / 162
Il codice di licenza per l’attivazione del dominio fa parte del pacchetto “Licenza Dominio Ubiquity” che deve
essere acquistato.
Nel caso in cui il Dominio non sia attivato entro il periodo previsto, non sarà più possibile accedervi ed il suo
contenuto verrà congelato. I dati non saranno cancellati ed eventualmente torneranno tutti a essere
disponibili qualora si procedesse in seguito all’attivazione.
2.3.2 Organizzazione del dominio
La vista ad albero del dominio può essere liberamente personalizzata.
In particolare si possono creare cartelle e sottocartelle secondo le più diverse necessità.
L’utilizzo delle cartelle facilita l’assegnazione dei diritti di accesso ai dispositivi remoti.
I permessi di accesso possono essere indifferentemente assegnati alle cartelle e ai
dispositivi in esse contenute. I dispositivi contenuti in una cartella ereditano i permessi
assegnati alla cartella. L’assegnazione di permessi ad un singolo dispositivo consente
di specificare per esso una “eccezione” rispetto alla condizione “ereditata”.
Per creare una cartella è necessario l’accesso al dominio da parte di un utente con diritti di amministrazione
(si veda in seguito nel capitolo “Gestione dei permessi” quale deve essere il profilo di un utente di questo
tipo).
Eseguito il login al Dominio, viene subito attivata la vista ad albero (questa è la vista di default); cliccare
quindi sulla radice o su una cartella già esistente; per creare una sotto-cartella è possibile:
 cliccare con il tasto destro del mouse e selezionare il comando “Create folder”
 usare il comando preposto sull’area degli strumenti.
Page 24 / 162
Per rinominare una cartella selezionare la cartella, cliccare con il tasto destro del mouse e selezionare quindi
“Rename”; alternativamente è possibile usare il tasto preposto nell’area strumenti.
E’ possibile creare un numero arbitrario di cartelle e sottocartelle.
Per inserire un dispositivo all’interno di una cartella, è sufficiente trascinare e rilasciare (drag&drop) l’icona in
corrispondenza della cartella.
Se all’atto dell’associazione di un nuovo dispositivo al Dominio, viene evidenziata una
cartella, il nuovo dispositivo verrà automaticamente aggiunto alla cartella selezionata.
2.3.3 Vista “Dispositivi” e ricerche
Dalla schermata principale cliccando sul tasto “devices” dalla barra in alto si accede alla vista dei dispositivi
di tipo tabellare.
Page 25 / 162
La vista tabellare dei dispositivi rappresenta tutti gli elementi organizzati in una griglia con diverse colonne.
La larghezza delle colonne può essere cambiata a piacimento semplicemente cliccando con il mouse in
corrispondenza della linea divisoria tra una colonna e la successiva e trascinando.
L’ordine delle colonne può essere anch’esso personalizzato con una semplice operazione di drag&drop a
partire dal titolo della colonna che si desidera spostare.
Le colonne non visibili possono essere raggiunte usando la barra di scorrimento posizionata in basso sulla
finestra.
La tabella è ordinabile sulla base dei contenuti delle varie colonne; per attivare l’ordinamento sulla base di
una data colonna è sufficiente cliccare sul titolo della stessa.
Le personalizzazioni alla vista tabellare sono ritenute al cambio utente e sono quindi valide a prescindere
dall’utente connesso.
La sessione di assistenza è attivabile anche dalla vista tabellare con un semplice doppio click sulla riga
stessa (Desktop remoto).
Cliccando con il tasto destro del mouse su una riga si accede ai comandi disponibili:
 Remote access (equivalente al doppio click)
 Connect VPN (connessione diretta della VPN senza la visualizzazione del desktop)
 Locate in the tree view (localizzazione del dispositivo selezionato nella vista topologia ad albero)
La vista a griglia dispone di un tool di ricerca accessibile dalla casella in alto a destra come mostrato nella
figura seguente.
La ricerca è per test ed i risultati verranno mostrati in termini di righe di tabella dove, in uno qualsiasi dei
campi, sia contenuta la parola ricercata o i caratteri ricercati.
Page 26 / 162
Il risultato della ricerca corrisponde sostanzialmente all’applicazione di un filtro nella visualizzazione che può
essere rimosso cliccando sulla “x” a destra del campo di immissione.
La funzione di ricerca è disponibile anche nella vista ad albero come mostrato nella figura seguente.
L’utilizzo della ricerca nella vista topologica fornisce i risultati attraverso un ridimensionamento dell’albero
stesso.
Page 27 / 162
2.3.4 Utenti del Dominio Ubiquity
Ubiquity Control Center permette di definire gli utenti che hanno accesso al Dominio assegnando ad essi dei
permessi sulla base della combinazione di un certo numero di profili predefiniti.
Ci sono due fasi distinte nel processo di configurazione degli accessi:
 la definizione di utenti e gruppi
 l’assegnazione dei permessi attraverso i profili.
Questo capitolo tratta della definizione di utenti e gruppi. Si veda il capitolo “I Profili” per vedere come gestire
gli accessi ed i permessi.
Poiché un Dominio può essere organizzato sulla base di una struttura gerarchica ad albero fatta di cartelle e
sottocartelle innestate a qualsiasi livello (si veda il capitolo “Organizzazione del Dominio” per maggiori
dettagli), gli utenti possono essere definiti con validità ristretta al ramo dell’albero cui fa capo la cartella in cui
essi sono creati.
Per facilitare l’identificazione dell’ambito di validità dei vari utenti, Control Center li rappresenta associati alla
cartella in cui essi sono stati definiti. Gli utenti compariranno quindi nell’albero come elementi “foglia” della
cartella in cui sono stati definiti alla pari dei dispositivi. Si veda come esempio la figura seguente nella quale i
dispositivi “HMI25” e “HMI30” sono locali alla cartella “Folder 1.1.1”
Page 28 / 162
Con riferimento alla figura precedente, l’utente “User 1” è locale alla cartella “Folder 1” (radice); esso sarà
utilizzabile per assegnare permessi all’interno di tutte le foglie dell’albero che fanno capo alla radice in cui è
stato creato, compresi gli eventuali dispositivi che fanno capo alla radice stessa (non inseriti in cartelle).
L’utente “User 1.1” è locale alla cartella “Folder 1.1”; esso sarà utilizzabile all’interno di “Folder 1.1” e
all’interno di tutte le foglie che fanno capo a “Folder 1.1”, ma non ai livelli paralleli o superiori. Per esempio
esso non sarà utilizzabile come utente di un sistema assegnato alla cartella “Folder 1.2”.
In modo analogo l’utente “User 1.1.1” è locale alla cartella “Folder 1.1.1”.
Il ragionamento si estende in modo naturale agli altri utenti mostrati in figura.
Gli utenti locali ad un certo folder NON hanno visibilità degli utenti di livello superiore
La visualizzazione dell’anagrafica ereditata deve eventualmente essere esplicitata mediante il
permesso Access users (si veda il capitolo “I Profili”) applicato alla cartella superiore.
Dopo che un utente è stato creato con il suo ambito di validità, ad esso vanno assegnati dei diritti che si
possono esprimere in termini di combinazioni di profili applicati a determinati dispositivi o cartelle. Si veda il
capitolo dedicato ai profili per sapere come gestire gli accessi.
2.3.4.1 Il sottodominio
La possibilità di definire utenti/gruppi con ambito di validità ristretto a delle sottocartelle e assegnare a questi
utenti i diritti di amministrazione delle cartelle stesse, permette sostanzialmente di creare dei sottodomini che
sono a tutti gli effetti indipendenti e gestibili dagli amministratori locali. Si veda nel seguito quali profili devono
avere gli utenti ad essi locali per garantire l’amministrazione del ramo.
Il controllo della ramificazione rimane comunque possibile anche dagli amministratori di livello superiore che
mantengo i diritti su tutto l’albero (la ramificazione eredita infatti i permessi in quanto assegnati a
gruppi/utenti da un livello superiore).
Page 29 / 162
Il sottodominio è la caratteristica che permette un utilizzo organizzato dei Domini di tipo “Multi Entity” quando
essi devono essere utilizzati da più aziende. In scenari di questo tipo è ragionevole infatti pensare di definire
tanti sottodomini quante sono le aziende che accederanno al Dominio. Ciascuna di queste aziende sarò
amministratrice del proprio ramo, senza visibilità delle cartelle e dei sistemi delle restanti ramificazioni del
Dominio.
2.3.5 Creazione degli utenti
Per creare un nuovo utente all’interno del dominio è necessario l’accesso da parte di un utente a cui sia
stato assegnato il permesso di Manage users. Alla creazione del Dominio viene anche creato un utente
standard chiamato “admin” che ha tutti i profili disponibili. Utilizzare quindi l’utente “admin” per la creazione
dei primi utenti e gruppi.
E’ sempre buona norma creare almeno un utente diverso da “admin” per l’utilizzo dei servizi
di teleassistenza e lasciare l’utente “admin” per le operazioni di gestione del dominio.
Per creare un utente che sia locale a una certa cartella, cliccare prima sulla cartella interessata e usare poi il
comando per la creazione dell’utente come mostrato nella figura seguente.
E’ anche possibile usare il comando di “Create user” accessibile dal menù contestuale quando si clicca con il
tasto destro del mouse su una cartella.
La creazione dell’utente prevede che siano forniti il nome utente e la password iniziale come mostrato dalla
figura seguente.
Una volta creato l’utente, cliccando sul suo nome è visualizzata a destra la schermata con le sue proprietà
come mostrato nella figura seguente.
Gli utenti con il permesso di Manage users possono usare questa schermata per cambiare le password agli
altri utenti.
Page 30 / 162
2.3.5.1 Scadenza a tempo dell’account utente
Per ciascun account utente è possibile definire una validità temporale dell’account stesso.
Ogni utente ha un parametro chiamato “Expiration date” che specifica una data superata la quale l’account
viene disattivato; un tentativo di connessione utilizzando l’account in questione dopo la data specificata verrà
bloccato ritornando un messaggio del tipo “Accont expired, please contact the Domain administrator”;
l’account non viene rimosso ne invalidata la password, ma semplicemente bloccato, reso inutilizzabile da
parte dell’utente a cui è stato assegnato.
Il parametro si trova nel pannello delle proprietà dell’utente come indicato dalla figura seguente.
2.3.5.2 Cambio della password
Ciascun utente può cambiare la propria password in ogni momento.
Una volta connesso al dominio, l’utente che desidera cambiare la propria password dovrà cliccare sul link
“Change my password” che appare a fianco della casella “Password” nella schermata “Network”.
Page 31 / 162
Gli utenti con diritti di amministratore possono creare e cambiare la password per tutti
gli altri utenti.
2.3.6 Creazione dei gruppi
I Gruppi sono collezioni di utenti; sono utili per organizzare e gestire l’assegnazione dei permessi agli utenti.
Per creare un gruppo è richiesto l’accesso al dominio da parte di un utente con profilo “Administration”.
Per creare un gruppo che sia locale a una certa cartella, cliccare prima sulla cartella interessata e usare poi
il comando per la creazione del gruppo come mostrato nella figura seguente.
E’ anche possibile usare il comando di “Create group” accessibile dal menù contestuale quando si clicca con
il tasto destro del mouse su una cartella.
Il nome del gruppo deve essere quindi fornito nella finestra che mostrata nella figura seguente.
Page 32 / 162
2.3.7 Associazione degli utenti ai gruppi
Ciascun utente può essere associato ad uno o più gruppi.
L’associazione può avvenire in due modi.
1. Dalla vista “MANAGE” selezionare il gruppo nella lista di sinistra, premere il tasto "Add user", selezionare
l’utente dalla lista “Add user” e confermare con OK come mostrato dalla figura seguente.
2. Trascinare l’icona dell’utente direttamente sul gruppo e rilasciare (drag&drop).
Page 33 / 162
2.4
Gestione dei permessi
Control Center permette di definire permessi per i gruppi/utenti; i gruppi/utenti sono assegnati alle cartelle e i
dispositivi all’interno delle cartelle ereditano i permessi. È inoltre possibile assegnare permessi direttamente
ai dispositivi.
Le regole eventualmente assegnate alle sottocartelle e ai singoli dispositivi hanno precedenza rispetto a
quelle della cartella che le contiene.
I permessi per un certo utente di un gruppo possono essere cambiati rispetto a quelli del gruppo a cui
appartiene (specifica di una eccezione per un certo utente).
2.4.1 I Profili e il controllo di Accesso
I permessi dei gruppi e degli utenti sono assegnati in termini di profili.
Si parte dalla selezione della cartella o del dispositivo per il quale si desidera definire delle regole di
accesso.
Aprire poi la sezione “Permissions” nella parte destra della finestra; essa mostra in alto l’elenco dei gruppi e
degli utenti che hanno qualche diritto (concesso o negato) rispetto al contenuto della cartella stessa. Se si è
selezionato un dispositivo piuttosto che una cartella, l’elenco della sezione “Permissions” si riferisce al
singolo elemento.
La zona in basso identifica i permessi assegnati o negati attraverso la combinazione di “profili”.
Se un certo gruppo/utente possiede un determinato profilo, significa che potrà compiere le azioni che
caratterizzano quel profilo.
La combinazione tra diritti ereditati ed espliciti sia in forma affermativa che negativa permette la massima
flessibilità nel modellare lo scenario più consono alle esigenze dell’utente.
Page 34 / 162
2.4.1.1 I Profili
Esistono quattro tipi di profili utilizzabili per l’assegnazione dei permessi.
Ciascun profilo permette un set ben definito di azioni.
I profili sono i seguenti:

Administration
tutto ciò che ha a che fare con l’organizzazione del Dominio in termini di cartelle
e diritti di accesso; accede inoltre al registro delle connessioni e delle operazioni
effettuate sul dominio.

tutto ciò che ha a che vedere con la configurazione del firewall.

Network
Security
Device
Installer

Device access
operatività online, ovvero azioni e funzioni utilizzabili nella sessione di
assistenza.
associazione dei Device al Dominio e loro posizionamento nelle cartelle esistenti
e visibili, rinomina, rimozione dal dominio e assegnamento delle licenze.
Il profilo “Administration” è ulteriormente suddiviso in permessi granulari secondo lo schema seguente.

Access users
visualizzazione degli utenti definiti nel percorso (e nei sotto-percorsi) per il quale
questo permesso viene abilitato.
Page 35 / 162

Manage users
creazione, editazione, spostamento e rimozione degli utenti e assegnamento
permessi.

Manage
folders
View audit log
creazione, editazione, spostamento e rimozione delle cartelle.

visualizzazione del registro delle connessioni e delle operazioni di
amministrazione effettuate sul dominio.
Il profilo “Device Access” è ulteriormente suddiviso in permessi granulari secondo lo schema seguente.

View the Desktop
visualizzazione del desktop del dispositivo remoto senza possibilità di
interagire con esso.

interazione completa con il desktop del dispositivo remoto.

Interact with the
desktop
Network access (VPN)

Serial passthrough
utilizzo della funzione di virtualizzazione della porta seriale (questa
opzione è condizionata all’attivazione della VPN e non è disponibile se
manca il diritti “Network access”.

Read remote files
lettura file dal sistema remoto attraverso il File manager.

Write remote files
scrittura di file sul sistema remoto attraverso il File manager.

Chat
utilizzo della chat.

System and
processes
accesso alla schermata dei processi in esecuzione sul dispositivo remoto
con utilizzo delle funzioni di Kill e Reboot.
attivazione della VPN e accesso alla sottorete; l’accesso può essere
ulteriormente controllato dalla presenza di regole del Firewall.
2.4.1.2 L’assegnazione dei permessi
Per assegnare i permessi di gestione e accesso remoto si reiterano le seguenti azioni:
- Selezione della cartella o del dispositivo
- Associazione del gruppo/utente alla cartella o dispositivo selezionato
- Assegnazione dei profili a ciascun gruppo/utente associato alla cartella o dispositivo
Per associare un gruppo o un utente ad una cartella, aprire la vista “MANAGE”, selezionare la cartella,
visualizzare l’area “Permissions” sulla destra e cliccare sul pulsante “Add” come mostrato dalla figura
seguente.
Selezionare l’utente o il gruppo da aggiungere e confermare con OK.
Una volta assegnati i permessi ad un utente è possibile visualizzare un’anteprima delle cartelle, degli utenti e
delle regole di Firewall a cui l’utente ha accesso, cliccando sull’utente e aprendo la vista “Show permissions”
nel pannello di destra.
Page 36 / 162
Page 37 / 162
Page 38 / 162
Nell’esempio è stato associato il gruppo “Italy” alla cartella “Italy”.
Questo implica che gli utenti appartenenti al gruppo “Italy” avranno accesso ai dispositivi contenuti nella
cartella “Italy” sulla base dei permessi assegnati.
Vanno ora determinati quali permessi accordare al gruppo.
I permessi sono assegnati utilizzando le check box nell’area “Permissions” sotto la lista degli utenti e gruppi.
Ad ogni livello la tabella dei permessi mostra la risultante dei diritti per l’elemento selezionato; si noti che per
un dato diritto l’assenza di spunta su entrambe le colonne (Allow/Deny) corrisponde di fatto ad un “Deny”.
Page 39 / 162
Nell’esempio sopra riportato il gruppo “Italy” ha il permesso di eseguire l’accesso ai dispositivi remoti
contenuti all’interno della cartella.
Nell’ipotesi che si voglia operare un’ulteriore restrizione sull’accesso remoto, è possibile espandere “Device
access” e togliere la spunta dalle funzioni che si desiderano bloccare. Si veda il capitolo sui Profili per
ulteriori informazioni.
Page 40 / 162
Gli utenti del gruppo “Italy” ereditano i permessi e ottengono quindi la possibilità di eseguire assistenza sui
dispositivi contenuti nella cartella “Italy” e sottocartelle.
Cliccando per esempio su dispositivo contenuto all’interno della sottocartella, la sezione “Permissions”
mostra il riassunto completo di tutti gli utenti e gruppi che ad esso posso accedere con i relativi profili
assegnati.
Page 41 / 162
La colonna “Deny” permette di bloccare una certa azione per il gruppo o utente selezionato.
Nell’esempio, la cartella “Reseller XYZ” ha ereditato dalla cartella padre i permessi assegnati al gruppo
“Italy”.
Control Center supporta la specifica di eccezioni a livello utente. Questo è utile nel caso in cui si voglia
gestire in modo differente un utente rispetto allo standard del gruppo di appartenenza.
La priorità con la quale vengono valutati i permessi è la seguente:
Deny esplicito
Allow esplicito
Deny ereditato
Allow ereditato
E’ possibile per esempio specificare una restrizione per l’utente “Pietro” rispetto al suo gruppo di
appartenenza e relativa alla cartella “Reseller XYZ”.
Page 42 / 162
Per specificare una eccezione è necessario prima aggiungere l’utente alla lista e successivamente
specificare che cosa è differente.
Come mostrato nella figura precedente questo permesso è negato in modo “esplicito”: non compare infatti a
fianco del nome utente la scritta “inherited”. La negazione è applicata marcando la checkbox “Deny” per
l’operazione di “Device Access” una volta che l’utente “Pietro” è selezionato nella lista “Users and Groups”.
Assumendo quindi che l’utente “Pietro” appartenga al gruppo “Italy”, egli potrà accedere a tutti i dispositivi
all’interno della cartella “Italy”, ad eccezione di quelli all’interno della cartella “Reseller XYZ”.
Qualora la restrizione dovesse riguardare un singolo dispositivo piuttosto che una intera cartella, sarà
sufficiente cliccare sul dispositivo prima di specificare il diniego.
Accedendo al sistema con l’utente “Pietro” è possibile verificare che l’utente non ha neppure visibilità della
cartella alla quale egli non ha accesso.
Page 43 / 162
2.4.1.3 Come creare un sottodominio
In questo esempio vediamo un caso pratico di creazione di sottodominio con amministratore locale dello
stesso.
L’obiettivo è quello di creare un sottodominio “Germany” con alcune sottocartelle ed eleggere un utente
(Claus) come amministratore di questo dominio.
Va eseguito innanzitutto l’accesso al Dominio da parte di un utente che abbia diritti di amministrazione sul
Dominio stesso.
Si crea quindi la cartella “Germany”.
Creata la cartella, si seleziona e si creano le due sottocartelle “Nurnberg” e “Stuttgard”.
Sempre mantenendo selezionata la cartella “Germany” si creano due utenti che risulteranno pertanto locali
ad essa. Andreas e Claus sono utenti la cui utilizzabilità è ristretta alla sottocartella “Germany” ed al suo
contenuto.
La situazione risultate è mostrata nella figura seguente.
Page 44 / 162
Per eleggere Claus ad amministratore del sottodominio “Germany”, clicchiamo sul nome della cartella e
aggiungiamo l’utente alla lista degli utenti ereditati.
Assegniamo poi a Claus i diritti di amministrazione. Il risultato è mostrato nella figura seguente.
Page 45 / 162
Si noti che al momento dell’aggiunta di Claus quale utente della cartella “Germany” la lista degli utenti
possibili include tutti gli utenti di Dominio.
Eseguiamo ora l’accesso al Dominio utilizzando l’utente Claus.
Page 46 / 162
Si nota immediatamente come l’utente non abbia visibilità delle cartelle esterne alla propria e non possa
agire in alcun modo a livello di radice.
Cliccando sulla cartella di cui egli è amministratore, diventano subito disponibili i comandi che gli competono
in quanto assegnatario del profilo “Administration”.
Claus potrà ora creare utenti e gruppi all’interno del suo sottodominio.
Page 47 / 162
La procedura descritta è ricorsiva e permette per esempio a Claus di creare un sottodominio di livello
inferiore con altri utenti ad esso locali.
Page 48 / 162
2.4.1.4 Compatibilità
I profili “Network security” e “Installer” sono supportati a partire dalla versione 3 di Ubiquity Control Center.
Il supporto per la gestione articolata degli utenti con i profili è stato introdotto a partire dalla versione 3 di
Ubiquity Control Center.
La suddivisione granulare dei permessi nell’ambito del profilo “Device access” è una funzione supportata a
partire dalla versione 3 di Ubiquity Control Center. Se si utilizza la versione 3 Ubiquity Control Center (o
successiva) con la versione 2 di Ubiquity Runtime (o precedente), l’assegnazione dei permessi granulari non
ha effetto, a meno che non vengano assegnati tutti.
Esempio: se vengono assegnati solo i permessi “View the desktop” e “Interact with the desktop” questi non
saranno effettivamente applicati. Per ottenere il profilo di Device access sarà necessario selezionare tutti i
permessi granulari corrispondenti.
La suddivisione granulare dei permessi nell’ambito del profilo “Administration” è una funzione supportata a
partire dalla versione 5 di Ubiquity Control Center. Se si utilizza la versione 5 Ubiquity Control Center (o
successiva) con la versione 4 di Ubiquity Runtime (o precedente), l’assegnazione dei permessi granulari non
ha effetto, a meno che non vengano assegnati tutti.
Esempio: se vengono assegnati solo i permessi “Manage folders” e “View statistics” questi non saranno
effettivamente applicati. Per ottenere il profilo di Administration sarà necessario selezionare tutti i permessi
granulari corrispondenti.
La tabella seguente riassume le azioni ammesse per ciascun profilo mettendole a confronto con i profili
presenti nelle varie versioni di Ubiquity.
Network Security
Device access
Installer
Administration
5.0 – 6.0
Network Security
Device access
Administration
Assistance
Administration
Administration
U= Access users / Manage users
A= Access users
M= Manage users
F= Manage folders
S= View audit logs
X= All (admin)
Installer
3.0 – 4.0
2.0
Devices
Aggiungere un Device ad un Dominio
X
X
X
Rimuovere un Device da un Dominio
X
X
X
Spostare un Device da una cartella
X
X
X
Rinominare un Device
X
X
X
Associare la licenza ad un Device
X
X
X
Rimuovere la licenza da un Device
X
X
X
Gestione remota
X
X
X
X
VPN remota
X
X
X
X
Aggiungere permesso ad un gruppo o ad un utente
Rimuovere un permesso ad un gruppo o ad un
utente
Modificare un permesso ad un gruppo o ad un
utente
Ottenere la lista permessi
X
X
U
X
X
U
X
X
U
X
X
U
Page 49 / 162
Cartelle
Creare cartella
X
X
F
Rimuovere cartelle
X
X
F
Rinominare cartelle
X
X
F
Aggiungere permesso ad un gruppo o ad un utente
Rimuovere un permesso ad un gruppo o ad un
utente
X
X
F
X
X
F
Aggiungere un gruppo
X
X
M
Rimuovere un gruppo
X
X
U
Rinominare un gruppo
X
X
U
Ottenere la lista dei gruppi
X
X
U
Muovere un gruppo
X
X
U
Aggiungere un utente
X
X
M
Rimuovere un utente
X
X
U
Rinominare un utente
X
X
U
Ottenere un utente
X
X
A
Cambiare password ad un utente
X
X
U
Cambiare l'expiration date di un utente
X
X
U
Aggiungere un utente ad un gruppo
X
X
U
Rimuovere un utente da un gruppo
X
X
U
Ottenere la lista degli utenti
X
X
A
Ottenere lista dei gruppi a cui un utente appartiene
X
X
A
Spostare un utente
X
X
U
Modificare un utente
X
X
U
Gruppi
Utenti
Dominio
Creare un Dominio
X
X
X
X
X
X
Modificare informazioni del Dominio
X
X
X
Attivare dominio
X
X
X
Genere identità di Dominio
X
X
X
X
X
S
Audit
Effettuare interrogazioni sulle statistiche
Router
Gestione Router
X
X
Le versioni v2 dispongono di due profili (Administrations e Remote Desktop). Essi sono mappati nei profili
delle versioni successive in accordo con la seguente tabella.
Page 50 / 162
Administration
Administration
Administration
Access
users
View the
desktop
View the
desktop
Interact with
the desktop
Interact with
the desktop
Serial
passthrough
Read
remote files
Network
access
(VPN)
Device Access
Network
access
(VPN)
Device Access
Device Installer
5.0
3.0 - 4.0
Device Access,former Remote Desktop
Manage
folders
View audit
logs
Device Installer
2.0
Manage
users
Serial
passthrough
Read
remote files
Write
remote files
Write
remote files
Chat
Chat
System and
processes
System and
processes
Le tabelle “Administration” e “Device Access” sono intense comprensive di tutte le funzioni granulari
contemporaneamente.
Tutti i Domini creati, gestiti ed utilizzati con versioni precedenti di Ubiquity Control Center sono compatibili
con la versione attuale. L’applicazione dei permessi segue la regola più conservativa:
- nel caso in cui sia utilizzata la granularità delle funzioni di Device Access, un utente della versione v2
si vede negato l’intero accesso remoto
- nel caso in cui sia utilizzata la granularità delle funzioni di Administration, un utente della versione v4
(o precedente) si vede negato l’intera amministrazione
- nel caso in cui siano configurati con la versione v3 degli utenti locali a determinate cartelle, e qualora
questi utenti utilizzino una versione v2 per l’accesso al Dominio, essi si ritrovano applicati i permessi
di accesso, ma non hanno nessun controllo sugli utenti ne locali ne di Dominio
Page 51 / 162
In riferimento all’esempio di creazione del sottodominio, nel caso in cui l’utente Claus acceda a questo
Dominio con un client Control Center versione v2, la situazione sarà quella mostrata nella figura di seguito
dove i controlli per la creazione di cartelle, utenti e gruppi non sono disponibili.
2.5
Gestione dei dispositivi remoti
Il capitolo descrive tutte le funzioni disponibili per la teleassistenza partendo dal modo con cui registrare un
dispositivo in un dominio.
Sono illustrati gli strumenti interattivi (desktop remoto, trasferimento file, chat, etc) e in seguito è spiegato
l’uso della connessione VPN.
2.5.1 Prima connessione e registrazione della licenza
Assumiamo in questo capitolo che il component Runtime di Ubiquity sia correttamente installato sul
dispositivo su cui si desidera fare assistenza remota.
Localizzare l’icona del servizio Ubiquity nell’area di notifica delle applicazioni, e fare doppio click.
Se nella finestra che compare viene mostrato un tasto “Connect”, premerlo ed attendere che lo stato cambi
in “Connected to the Ubiquity Network” come mostrato nella figura seguente.
Page 52 / 162
Nel caso in cui il sistema non sia già stato registrato presso un dominio, la finestra mostrerà un ID ed una
password (si veda la figura precedente) che dovranno essere fornite a Control Center per eseguire la
registrazione del dispositivo su un dato dominio.
Eseguire ora il programma Control Center e accedere al dominio con un utente avente diritti di ”instsallatore”
(siveda il capitolo sui Profili). A connessione avvenuta posizionarsi sulla cartella all’interno della quale si
desidera aggiungere il dispositivo e cliccare su “Add device” visibile nella zona strumenti come mostrato
dalla figura seguente.
Page 53 / 162
Inserire quindi l’ID e la password e cliccare sul pulsante “Ok”.
Il dispositivo verrà aggiunto al dominio nella posizione specificata.
Il dispositivo potrà essere in seguito rinominato e spostato secondo le necessità.
Nel caso in cui Ubiquity Runtime non sia stato attivato è possibile eseguire l’operazione di registrazione della
licenza semplicemente cliccando sul link “Register” ed inserendo il codice di licenza come mostrato nella
figura seguente.
Il codice di licenza è stampato sull’etichetta “Ubiquity Runtime” normalmente apposta sul retro
dell’apparecchiatura o disponibile nel pacchetto di vendita del componente Runtime (installazione su sistemi
non ASEM o acquisto successivo).
Page 54 / 162
La registrazione del component Runtime può essere fatta anche direttamente dal
dispositivo utilizzando un commando dedicato; si veda per questo il capitolo
“Registrazione dispositivo e licenza”.
Si noti la differenza tra “associazione” di un dispositivo (Runtime) ad un Dominio e
registrazione della licenza.
L’associazione prevede un collegamento tra il Runtime (con relativa licenza) ed un
Dominio. Questo collegamento può essere modificato a piacimento tutte le volte che si
desidera. L’associazione è rimossa semplicemente rimuovendo il dispositivo dal
Dominio. Il dispositivo presenterà quindi di nuovo ID e password per eseguire una
nuova associazione.
La registrazione della licenza prevede invece di accoppiare un determinato codice di
licenza con uno specifico sistema hardware. Questo accoppiamento può essere
rimosso solo per un numero limitato di volte; in altre parole, uno stesso codice di
attivazione può essere usato solo con un limitato numero di dispositivi. La registrazione
della licenza assume i connotati di un “gettone” che attiva le funzionalità di Ubiquity
Runtime e che può essere spostato un numero limitato di volte da un dispositivo ad un
altro.
Una volta completata la registrazione e attivazione è possibile iniziare una sessione di assistenza remota
utilizzando I tasti “Device Access” e “VPN” visibili sulla destra della finestra.
2.5.2 Rimozione della registrazione della licenza (Deactivate)
La registrazione della licenza rispetto ad un determinato sistema hardware può essere annullata con lo
scopo per esempio di trasferirla ad altro dispositivo.
Page 55 / 162
Si noti che la registrazione e la rimozione della licenza sono operazioni che fanno parte del profilo di
“installatore”
Per questo è previsto il comando “Deactivate” accessibile dalla schermata dei dettagli del dispositivo come
L’annullamento della registrazione della licenza di un dispositivo può essere eseguito
per un numero massimo di due volte. Ogni successivo intervento può essere fatto solo
attraverso contatto diretto con gli operatori del supporto tecnico
2.5.3 Cancellazione e trasferimento di dispositivi
Un dispositivo associato ad un Dominio può essere rimosso dal Dominio in qualsiasi momento ed
eventualmente traferito ad un altro Dominio. L’operazione è libera e può essere eseguita in qualsiasi
momento. Si veda per completezza la nota concernente la differenza tra “associazione” del dispositivo ad un
Dominio e “registrazione” della licenza del Runtime.
Per eseguire la cancellazione di un dispositivo da un Dominio è sufficiente cliccare sull’icona del sistema ed
eseguire il comando “Delete” dal menù contestuale o dall’icona proposta.
Page 56 / 162
A seguito della rimozione, alla successiva connessione del Runtime in oggetto all’infrastruttura server, esso
ripresenterà le informazioni ID/Password che dovranno essere utilizzate per una eventuale nuova
associazione.
Se Ubiquity Runtime è connesso al server durante l’esecuzione della cancellazione, esso mostrerà
immediatamente le informazioni ID/Password.
2.5.4 Connessione Seriale Remota
La procedura di installazione di Control Center installa sul computer una porta seriale virtuale necessaria per
la funzione di virtualizzazione del canale di comunicazione seriale (Serial Port Passthrough)
La porta seriale virtuale è mappata da Ubiquity, attraverso il canale VPN, sulla porta seriale fisica del
dispositivo remoto.
La connessione alla porta seriale del dispositivo remoto richiede l’attivazione della connessione VPN.
Una volta che la connessione VPN è attiva, cliccare sul pulsante “Serial Passthrough” sulla barra dei pulsanti
in alto per aprire la finestra di configurazione della porta seriale virtuale.
Sul lato sinistro è mostrata la porta seriale virtuale; il numero della porta va selezionato tra quelli disponibili
mostrati dal menù a discesa. Questo sarà il numero di porta seriale che dovrà essere configurato
sull’applicativo che utilizzerà il canale Passthrough.
Sul lato destro è mostrata la configurazione per la seriale fisica del dispositivo remoto; va selezionata qui la
porta seriale alla quale sono collegati i dispositivi che si desira raggiungere attraverso il canale di
passthrough.
Completata la scelta delle porte, cliccare su “Connect” ed attendere il messaggio di avvenuta connessione.
Da questo momento il tunnel tra le porte seriali è attivo e utilizzabile dagli applicativi.
Page 57 / 162
Ubiquity utilizza tre tipologie di incapsulamento per il traffico seriale:

Data only: questa modalità effettua la remotazione dei soli dati e richiede quindi di impostare
manualmente tutti i parametri di comunicazione.

Data + Port configuration: questa modalità effettua la remotazione sia dei dati che della
configurazione della porta, che viene quindi configurata in automatico dal sistema.

Data + Port configuration + Data signals: questa modalità effettua la remotazione dei dati, della
configurazione della porta e dei segnali di controllo.
Ubiquity supporta il Passthrough seriale per connessioni sia di tipo half-duplex che di
tipo full-duplex
Page 58 / 162
Alcuni protocolli di comunicazione che utilizzano interfacce di comunicazione seriali
sono molto sensibili ai tempi di latenza della connessione e potrebbero non funzionare
attraverso il canale virtuale anche con connessioni Internet di ottima qualità.
L’attivazione del canale virtuale per il passthrough è condizionata alla “disponibilità” della porta seriale fisica
sul dispositivo remoto; essa non deve pertanto essere in uso da parte di alcun applicativo.
Le applicazioni che ne fanno eventualmente uso dovranno essere chiuse prima di attivare la connessione da
Control Center.
Nella versione 4 del software sono state modificate le modalità di configurazione della
connessione seriale. Si veda la tabella sottostante.
Versione 3 (o precedenti)
Versione 4 (o successive)
Telnet (RFC 2217)
RAW
Data + Port configuration + Data
signals
Data only
Nagle’s algorithm
Stricted baud rate
Non supportato
Non supportato
Incapsulamento
Opzioni di
trasporto
2.5.4.1 Limitazioni
Il corretto funzionamento della funzione di passthrough seriale dipende fortemente dalla qualità del
collegamento Internet dal lato Control Center e dal lato Runtime.
In termini quantitativi si può ritenere che un roundtrip accettabile sia dell’ordine dei 100-120ms. Cò che
maggiormente condiziona il corretto funzionamento del sistema è la variazione del tempo di ping che non
deve essere superiore al 30-40% e la quantità di pacchetti persi che deve attestarsi intorno allo zero.
2.5.5 Remote Desktop
Remote Desktop è una funzione di Ubiquity Control Center che permette di visualizzare lo schermo del
dispositivo remoto ed interagire con esso attraverso l’uso di mouse e tastiera.
Per attivare una sessione di Remote Desktop è sufficiente selezionare il dispositivo dall’albero e cliccare sul
tasto “Remote Desktop” nella parte destra della finestra.
Alternativamente è anche possibile fare un doppio click sull’icona del dispositivo direttamente dalla vista ad
albero.
Page 59 / 162
Il tasto “Screenshot” accessibile dalla barra in alto permette di eseguire la cattura dello schermo visualizzato
su una immagine salvata su file.
La qualità della rappresentazione grafica è configurabile attraverso il menù a tendina preposto. Le opzioni
disponibili sono le seguenti:



Hi color lossless: 65K colori, alta qualità senza compressione, l’aggiornamento dello schermo
potrebbe risultare lento.
Hi color lossy: 65K color, alta qualità, compressione JPEG; ottima velocità anche in presenza di
immagini complesse con molti colori, ha qualità inferiore per I testi
Low color lossless: 256 colori, bassa qualità con compressione; è la modalità che garantisce
velocità più elevate ma anche qualità dell’immagine più bassa.
Il comando “Lock input” permette di bloccare i dispositivi di input eventualmente disponibili sul dispositivo
remoto.
Il comando “Original size” modifica il modo di ridimensionamento della visualizzazione del desktop remoto.
Il comando “Ctrl+Alt+Del” permette di inviare al dispositivo remoto la combinazione di tasti “Ctrl+Alt+Del”
Il comando “Toggle Chat” attiva e disattiva la chat.
Durante la sessione di Remote Desktop è possibile utilizzare la funzione copia/incolla applicata a testo, tra
il PC su cui è installato Control Center e il dispositivo remoto.
2.5.5.1 Sessioni multiple RDP
Page 60 / 162
Nel caso in cui Ubiquity Runtime sia installato su un sistema operativo Windows Server che prevede
sessioni multiple di Remote Desktop (Terminal Services), Ubiquity Control Center permette di selezionare la
sessione con la quale avviare la remotazione del desktop.
È possibile selezionare tale sessione mediante l’apposito menu, come mostrato nella figura seguente.
2.5.6 Explorer (trasferimento file)
La funzione di trasferimento file permette di copiare file da e per il dispositivo remoto attraverso una
interfaccia simile a Windows Explorer con una visualizzazione a pannelli.
Per attivare la funzione, connettere Control Center e cliccare sul tasto “Remote Explorer”.
Verrà aperta una finestra con due pannelli: a sinistra si trova il PC locale, alla destra la vista del dispositivo
remoto.
Page 61 / 162
Per eseguire un trasferimento, selezionare il file dal pannello sorgente e cliccare sul tasto “Send” o “Receive”
a seconda della direzione richiesta.
Nel caso in cui il trasferimento sia interrotto per qualsiasi motivo è possibile riprenderlo eseguendo il
ripristino dal punto in cui si è interrotto o iniziarlo nuovamente (funzione supportata a partire da Ubiquity
versione 2).
Page 62 / 162
Per rinominare un file, selezionare il file e cliccare con il tasto destro del mouse; selezionare il comando
“Rename” e digitare il nuovo nome.
Dal pannello di destra (dispositivo remoto) è possibile lanciare l’esecuzione di un applicativo che verrà quindi
eseguito sul dispositivo stesso. Per eseguire il programma, selezionare il file eseguibile, cliccare con il tasto
destro del mouse e selezionare il comando “Execute remotely”.
I pannelli visualizzano i collegamenti diretti alle cartelle di sistema “Desktop” e “My Documents” del
dispositivo a cui il pannello stesso si riferisce (funzione supportata a partire da Ubiquity Control Center
versione 2).
Page 63 / 162
Page 64 / 162
2.5.7 Processes
Control Center dispone di una funzione che permette di mostrare l’elenco dei processi in esecuzione sul
dispositivo remoto.
Una volta anche Control Center è connesso al dispositivo, cliccare su “Processes” per visualizzare la lista
dei processi in esecuzione sul dispositivo remoto; la lista mostra il nome del processo, il suo ID, l’impegno di
CPU e di memoria.
Il comando “Kill” permete di terminare il processo selezionato nella lista.
Il comando “Reboot” permette di comandare un riavvio del sistema remoto.
Page 65 / 162
2.5.8 Information
Il tasto “System information” mostra una visualizzazione di alcune caratteristiche del sistema remoto, come il
sistema operativo, la configurazione della rete, il processore, etc…
Page 66 / 162
2.5.9 Chat
La funzione Chat permette di scambiare messaggi scritti con un eventuale operatore posizionato di fronte al
dispositivo remoto
La funzione è attivabile dal tasto “Toggle chat” sulla barra in alto quando è visualizzato il desktop remoto;
compare sulla destra una colonna e una casella di input in cui digitare i messaggi che, una volta inviati con
pressione del tasto Enter, appaiono sullo schermo del dispositivo remoto.
La funzione chat supporta sessioni multiple RDP con identificazione del mittente del messaggio.
Nel caso in cui si utilizzi la funzione chat da più di un Control Center connesso allo stesso Runtime, i
messaggi originati da Runtime appaiono contemporaneamente sui due client Control Center, mentre
ciascuno di questi non vede i messaggi dell’altro.
Page 67 / 162
2.5.10 Virtual Private Network (VPN)
La procedura di installazione di Ubiquity Control Center installa un adattatore di rete virtuale che viene
utilizzato per la connessione VPN.
La procedura di installazione di Ubiquity Runtime installa sui dispositivi un filter driver, il quale permette di
incanalare il traffico di uno o più adattatori di rete nella VPN. Per limitare la connettività al solo dispositivo
che ospita Ubiquity Runtime è possibile installare sul dispositivo stesso un adattatore di rete virtuale, in
maniera del tutto analoga a quanto avviene per Ubiquity Control Center. Quando si utilizza questo approccio
la VPN è attivata tra due interfacce virtuali.
L’attivazione della VPN è possibile attraverso il tasto nella parte destra della schermata principale oppure
direttamente dalla finestra del dispositivo qualora si sia già utilizzata una qualsiasi delle altre funzioni che
prevedono un collegamento con il dispositivo.
Cliccare sul tasto “VPN” per aprire la schermata con lo schema della connessione di rete.
La figura seguente mostra un esempio di configurazione in cui ci sono dei dispositivi collegati alla sottorete
Ethernet del dispositivo remoto.
Page 68 / 162
Il tasto “Connect/Disconnect” visibile in centro serve per attivare e disattivare la connessione VPN.
La schermata nella figura precedente mostra tre elementi:



Sul lato sinistro è rappresentato il computer dal quale si opera l’assistenza; su questo computer è
installato Control Center; viene mostrato il suo nome ed il suo indirizzo IP (la figura mostra un caso
in cui gli IP sono multipli)
Nella parte centrale è rappresentato il dispositivo remoto al quale si è collegati; è indicato il nome e
la lista dei suoi indirizzi IP privati
Sul lato destro è mostrata una rappresentazione grafica simbolica di quella che può essere la
sottorete dei dispositivi Ethernet ai quali si potrà accedere attraverso la connessione VPN;
nell’esempio la classe degli IP è la 10.30.x.x
Gli indirizzi IP che coinvolgono la connessione VPN sono evidenziati in grassetto.
Nell’esempio l’indirizzo IP 10.30.0.178 è automaticamente assegnato da Control Center alla scheda di rete
Virtuale Ubiquity VPN. Questo IP è stato scelto da Control Center in modo da essere compatibile con la
sottorete remota 10.30.0.0. / 255.255.255.0.
L’indirizzo IP dell’adattatore Ubiquity VPN, sul computer dove è installato Control Center, è assegnato in
modo automatico in conformità a un’informazione proveniente dal Runtime; Ubiquity Runtime, sul dispositivo
remoto, ipotizza quale può essere un indirizzo IP libero nella sottorete di automazione, esegue un PING
sull’indirizzo ipotizzato e in caso non vi sia risposta, esso viene considerato libero; l’informazione è quindi
passata a Control Center che lo usa per l’adattatore Ubiquity VPN.
Questo comportamento può essere cambiato cliccando su “IP Configuration” dalla schermata VPN come
Le scelte disponibili sono l’assegnazione automatica oppure manuale.
Page 69 / 162
Nel caso in cui la rete del Runtime esponga più indirizzi IP di classi diverse Control
Center assegnerà all’interfaccia virtuale più indirizzi compatibili alle classi.
È inoltre possibile assegnare manualmente due indirizzi di classi diverse all’interfaccia
virtuale, come mostrato nella figura precedente.
Dal computer dove Control Center ha attivato la connessione VPN, qualsiasi applicazione è ora in grado di
raggiungere il dispositivo remoto e tutti i dispositivi collegati alla medesima sottorete.
Lo stato della connessione è verificabile attraverso l’uso del comando “ipconfig” da prompt di comandi.
Page 70 / 162
L’indirizzo 10.30.0.100 risponde correttamente al ping.
Nelle piattaforme Win32 è possible specificare il comportamento della VPN
modificando il file “config.xml” nella cartella:
C:\ProgramData\ASEM\Ubiquity\Runtime
(per Windows Vista e successivi)
C:\Documents and Settings\All Users\Application Data\ASEM\Ubiquity\Runtime
(per Windows XP)
aggiungendo il parametro
<Param Name="VPNMode" Value="X" />
dove “X” può assumere i valori:
0 (default)
Tunnelling mode. Sono inclusi nella VPN i pacchetti broadcast,
Page 71 / 162
1
mutlicast e unicast.
Listening Mode. Sono in inclusi nella VPN i pacchetti broadcast e
unicast. Non sono inclusi i pacchetti multicast.
Nelle piattaforme Windows CE l’unica modalità disponibile è Tunnelling mode.
2.5.11 Misura della qualità della connessione
A scopo informativo Control Center esegue una misura della qualità della connessione Internet di entrambi i
partner. La misura è eseguita al momento in cui la finestra VPN è visualizzata e al momento in cui la VPN
viene attivata. Durante la sessione VPN viene aggiornato in tempo reale solo l’indicatore “roundtrip”.
La misura riguarda la connessione Internet lato Control Center e lato Runtime.
I parametri misurati sono la latenza, il jitter e la percentuale di pacchetti persi.
Sulla base del risultato ottenuto viene fornita una indicazione qualitativa utilizzando i colori rosso, arancione
e verde per l’indicatore circolare.
La figura seguente mostra un esempio di risultato di misurazione.
2.5.12 Scenari di connettività VPN
Ubiquity utilizza una connessione VPN che virtualizza il livello 2 data-link dello stack ISO-OSI, equivalente
pertanto a collegare il PC con Control Center e il device con Runtime tramite uno switch virtuale.
Page 72 / 162
Il protocollo Ubiquity è un grado di assegnare in modo automatico un IP statico all’adattatore virtuale
“Ubiquity VPN” in modo che attraverso esso si possa raggiungere il dispositivo remoto e avere visibilità della
sottorete della medesima classe.
Importante notare che non è necessario definire alcuna regola statica di routing; le applicazioni in
esecuzione sul computer dove è installato Contro Center possono semplicemente connettersi all’IP fisico dei
dispositivi remoti con cui devono comunicare.
Sono supportate le seguenti tipologie di connessioni VPN:




Connessione VPN ristretta al solo dispositivo remoto che ospita Ubiquity Runtime
Connessione VPN all’intera sottorete remota con due adattatori di rete
Connessione VPN all’intera sottorete remota con un solo adattatore di rete
Connessione VPN ristretta al dispositivo remoto che ospita Ubiquity Runtime, con uso di indirizzi IP
fisici e non virtuali.
Si veda il capitolo Configurazione della VPN per informazioni aggiuntive a proposito di come configurare la
VPN sul dispositivo remoto che ospita Ubiquity Runtime.
2.5.12.1 Connessione VPN ristretta al dispositivo remoto
In questo scenario il dispositivo remoto e il computer con Control Center acquisiscono un indirizzo IP di rete
virtuale (es 10.8.0.0/255.255.0.0) attraverso il quale possono poi comunicare tra di loro.
Nessuno dei dispositivi nella sottorete remota è raggiungibile dal computer dove è in esecuzione Control
Center.
Page 73 / 162
Questo scenario è compatibile con i modelli di licenza BASIC e PRO.
2.5.12.2 Connessione VPN ristretta al dispositivo remoto con uso di indirizzo IP fisico
Questo scenario corrisponde ad una variante della connessione VPN ristretta al dispositivo remoto, e
permette l’uso di indirizzi IP fisici invece che virtuali.
Questa configurazione è conveniente quando l’applicazione in esecuzione sul dispositivo remoto espone
servizi server associati unicamente a indirizzi IP fisici e non disponibili per indirizzi virtuali.
La configurazione è analoga a quella vista nel caso in cui sia richiesta visibilità dell’intera sottorete; Control
Center accede alla rete LAN attraverso l’uso dell’indirizzo IP fisico, mentre Ubiquity Runtime si preoccupa di
limitare il traffico al solo dispositivo remoto nel caso di licenza di tipo BASIC.
Questo scenario è compatibile con i modelli di licenza BASIC e PRO. Nel caso si utilizzi la licernza BASIC il
traffico verso la sottorete è automaticamente limitato dal Runtime.
2.5.12.3 Connessione VPN estesa all’intera sottorete remota con 2 interfacce Ethernet
Questo è lo scenario ideale raccomandato per tutte le situazioni in cui è richiesta la visibilità completa della
sottorete di dispositivi collegati al sistema remoto.
In questo caso il dispositivo remoto ha due interfacce Ethernet fisiche distinte.
La prima viene convenzionalmente indicata come WAN ad intendere che è dedicata all’accesso alla rete
Internet; essa viene configurata dal personale di IT dell’azienda ospite in modo da garantire i requisiti minimi
di connettività per Ubiquity Runtime. Si veda il capitolo Connettività per informazioni aggiuntive sui requisiti.
Page 74 / 162
La seconda interfaccia è denominata LAN ad intendere che essa è dedicata alla connessione alla rete locale
di automazione. Questa è normalmente configurata con un indirizzo IP statico e non prevede gateway.
Il computer con Control Center può quindi accedere ai dispositive remoti connessi alla sottorete LAN
(10.20.0.0 nell’esempio seguente).
Questo scenario è compatibile con il modello di licenza PRO.
2.5.12.4 Connessione VPN estesa all’intera sottorete con una interfaccia Ethernet
In questo scenario il dispositivo remoto ha una sola interfaccia di rete che viene utilizzata
contemporaneamente per l’accesso ad Internet e per la connessione alla sottorete di automazione.
Ubiquity può essere configurato per avere accesso completo a tutta la sottorete remota senza alcuna
separazione fisica tra LAN e WAN.
E’ inoltre possibile configurare Ubiquity Runtime in modo che possa utilizzare due classi di indirizzi diversi,
per l’accesso ad internet e per l’accesso alla reta LAN, pur con una sola interfaccia Ethernet.
Il comportamento sarà quindi analogo a quello descritto nel punto precedente, ottenendo pertanto una
separazione logica degli indirizzi pur senza separazione fisica tra le reti.
Si veda il capitolo Configurazione della VPN per le istruzioni su come configurare la VPN sul dispositivo
remoto.
Page 75 / 162
Questo scenario è compatibile con il modello di licenza PRO.
2.5.13 Audit: registro delle connessioni e delle attività di amministrazione del
dominio
Dalla schermata principale di Control Center un utente con profilo Administration può accedere allo storico
delle connessioni ai device e al registro delle operazioni effettuate sul dominio cliccando su “Audit”.
Le informazioni sulle connessioni sono disponibili nella sezione “connections”. I dati possono essere estratti
per un periodo di tempo specificato ed è possibile filtrare i risultati per utente e per Runtime, come mostrato
Page 76 / 162
Le informazioni sulle operazioni di ammistrazione eseguite sul dominio sono disonibili nella sezione
“administation”. I dati possono essere estratti per un periodo di tempo specificato ed è possibile filtrare i
risultati:
 per utente che ha eseguito l’operazione (author)
 per tipo di operazione
 per tipo e nome dell’oggetto che subisce l’operazione (target)
 per esito dell’operazione
L’immagine seguente mostra un esempio di Query su operazioni effettuate sul dominio.
Page 77 / 162
In entrambe le sezioni di audit il comando “Save” permette di esportare il risultato della Query in formato
CSV.
Page 78 / 162
3 Runtime
Ubiquity Runtime è il component software installato sul dispositivo remoto al quale si desidera connettersi.
Ubiquity Runtime è disponibile per dispositivi HMI classici basati su sistemi Windows CE, ma anche per le
piattaforme Windows (XP, Vista, Windows 7, Windows Server 2008/2012 e Windows 8).
3.1
Runtime per piattaforme Windows CE
Ubiquity Runtime per Windows CE richiede il componente .NET Compact Framework 3.5 o maggiore.
Nelle macchine ASEM, il .NET Compact Framework è già preinstallato. In caso contrario è necessario
procedere all’installazione manuale del pacchetto.
L’installazione del compact framework è disponibile per il download dal sito Microsoft al seguente indirizzo:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=65
Scaricare quindi il file NETCFSetupv35.msi e procedere all’installazione su un computer dotato si sistema
operativo Windows.
La procedura di installazione mette a disposizione i seguenti file::
C:\Program Files (x86)\Microsoft.NET\SDK\CompactFramework\v3.5\WindowsCE\NETCFv35.wce.x86.cab
C:\Program Files
(x86)\Microsoft.NET\SDK\CompactFramework\v3.5\WindowsCE\NETCFv35.wce.armv4.cab
Il primo file è da usarsi con piattaforme x86, il secondo vale per i sistemi basati su ARM.
Una volta installato il framework .NET Compact è possibile procedure con l’installazione del Runtime di
Ubiquity.
I file per l’installazione del Runtime di Ubiquity sono disponibili per il download dal sito web ASEM al
seguente indirizzo:
http://www.asem.it/prodotti/industrial-automation/teleassistenza/ubiquity/downloads/
Per installare o aggiornare Ubiquity Runtime procedure come segue:



Copiare il file di installazione all’interno di una cartella sul dispositivo utilizzando per esempio una
memory stick USB.
Terminare l’esecuzione di Ubiquity Runtime sul dispositivo (nel caso in cui sia in esecuzione una
precedente versione).
Fare doppio click sul file appena copiato, confermare la posizione standard proposta per
l’installazione (sistemi di produzione ASEM), identificare altrimenti la posizione idonea e confermare.
Completata l’installazione, lanciare il file “UbuityRuntime.exe” che si trova nella cartella in cui il software è
stato installato.
3.2
Runtime per piattaforme Win32
Ubiquity Runtime per piattaforme Win32 richiede il componente .NET Framework 2.0 o maggiore.
Nel caso in cui esso non sia presente sul dispositivo, sarà automaticamente installato dalla procedura di
installazione.
L’installazione di Ubiquity Runtime è disponibile per il download dal sito web di ASEM al seguente indirizzo:
Page 79 / 162
http://www.asem.it/prodotti/industrial-automation/teleassistenza/ubiquity/downloads/
Page 80 / 162
Scaricare il componente Runtime per piattaforma Win32 e lanciare quindi l’installazione.
Il pulsante “Customize” permette di selezionare i componenti da installare nel dispositivo tramite Ubiquity
Runtime.
I componenti disponibili sono:
-
Serial passthrought driver: permette la connessione seriale remota
Video mirror driver: migliora le prestazioni del desktop remoto tramite l’utilizzo del video mirro
driver
Point-to-point VPN virtual ethernet adapter: installa l’adapter di rete virtuale allo scopo di
supportare lo scenario in cui la VPN sia limitata al solo dispositivo.
Page 81 / 162
Alla pressione del pulsante “Install” la procedura di installazione proseguirà automaticamente fino al termine,
mostrando la barra di avanzamento ed il log delle operazioni effettuate.
Se l’installazione viene lanciata su un sistema sul quale Ubiquity Runtime è già
presente, la scelta dei componenti da installare sarà effettuata automaticamente e sarà
Page 82 / 162
dipendentemente dallo scenario attuale sul dispositivo.
Dopo l’installazione l’icona di Ubiquity Runtime apparirà nell’area notifiche delle applicazioni:
.
Cliccare sull’icona per aprire il pannello di controllo di Ubiquity Runtime.
Premere il pulsante “Connect” per avviare la connessione con il server.
Si veda il capitolo Connettività per i requisiti minimi di connettività richiesti.
Nel caso in cui il dispositivo non sia ancora registrato su un dominio, il pannello di controllo mostrerà
l’indicazione dell’ID e della password necessarie per la registrazione.
Da questo punto in avanti è possibile seguire i passi per la registrazione sul domino già indicate nel capitolo
“Prima connessione e registrazione della licenza“.
3.3
Registrazione dispositivo e licenza
Per registrare un dispositivo remoto all’interno di un dominio Ubiquity ed associare la relative licenza
(attivazione del Runtime) seguire le istruzioni indicate nel capitolo “Prima connessione e registrazione della
licenza“.
Si ricorda che Ubiquity Runtime può essere attivato da Control Center, ma anche direttamente
dall’interfaccia di controllo del Runtime come mostrato dalla figura seguente.
Page 83 / 162
L’utilizzo dell’attivazione off-line è dedicato alle procedure interne di produzione ASEM
e non dovrebbe essere usata dall’utente finale.
Il collegamento all’infrastruttura server costa sia a Ubiquity Control Center che a Ubiquity
Runtime un consumo di keep alive pari a 1 kilobyte al minuto.
3.3.1 Identificazione univoca del dispositivo
Durante la registrazione al Dominio, viene creata e memorizzata l’identità del dispositivo su un file chiamato
“auth.bin”.
Nei sistemi WindowsCE il file si trova nella medesima cartella del Runtime.
Nei sistemi Windows XP il file si trova in:
"C:\Documents and Settings\All Users\ Application Data\ASEM\Ubiquity\Runtime\"
Nei sistemi Windows 7il file si trova in:
“C:\ProgramData\ASEM\Ubiquity\Runtime”
Non è possibile trasferire il file identità da un PC ad un altro copiando il file auth.bin, ma è possibile fare un
backup del file e ricopiarlo in seguito a disinstallazione e reinstallazione del Runtime o del sistema operativo.
L'unico caso in cui non è possibile effettuare un restore del file di identità è quando viene sostituito il disco,
poiché il PC verrà riconosciuto come una macchina diversa.
3.4
Configurazione della VPN
Ubiquity Runtime incorpora il server VPN adibito ad accettare le connessioni da parte di Control Center.
La tecnologia VPN di Ubiquity è stata sviluppata al livello 2 (data-link) e una volta istanziata non richiede la
definizione di regole di instradamento aggiuntive. Inoltre, i dispositivi remoti NON devono cambiare la
configurazione del loro parametro “gateway” per garantire l’accessibilità. Il tutto è gestito in modo
trasparente.
Page 84 / 162
La connessione VPN provvede alla realizzazione di un data-link virtuale tra l’adattatore di rete virtuale
installato sul computer con Control Center e uno o più adattatori di rete del dispositivo che ospita il Runtime
che sono stati pre-selezionati per essere raggiungibili tramite VPN.
Nel caso in cui la VPN sia limitata al solo dispositivo, è possibile effettuare la VPN con un adattatore virtuale
(Point-to-Point virtual ethernet adapter) installato sul Runtime invece che con un adattatore fisico, limitando
la topologia della VPN a una configurazione punto-punto.
Nei sistemi Win32 le interfacce di rete mostrano il filter driver di Ubiquity nelle proprietà dell’adattatore di rete
stesso.
Nel caso di installazione dell’adattatore virtuale (per le sole connessioni punto-punto tra Control Center e
Runtime), esso sarà chiamato “Ubiquity VPN” come mostrato nella figura seguente.
Nei sistemi operativi Windows CE l’interfaccia di rete virtuale è chiamata “UEA1” (Ubiquity Ethernet Adapter).
Nei sistemi Windows CE l’interfaccia di rete virtuale non è installata in modo automatico dalla procedura di
installazione del Runtime; se necessario sarà pertanto necessario eseguire l’installazione manuale.
Per installare l’interfaccia aprire la schermata delle impostazioni di Ubiquity Runtime (icona con
l’ingranaggio.
)
I sistemi ASEM HMI30 sono prodotti con Ubiquity Runtime già installato e configurato.
Non richiedono nessuna operazione aggiuntiva.
Cliccare quindi sul tasto per l’installazione e attendere alcuni secondi; al termine il sistema ritorna un
messaggio di avvenuta installazione e richiesta di riavvio.
Page 85 / 162
Ubiquity supporta due diverse topologie di connessione VPN:


Connessione VPN ristretta al solo dispositivo remoto
Connessione VPN estesa all’intera sottorete
Nel primo scenario entrambe le interfacce virtuali di Control Center e Runtime sono messe in comunicazione
attraverso la connessione VPN e la comunicazione resa possibile dall’impiego di IP virtuali distinti dalle
sottoreti fisiche.
La seconda topologia permette invece all’interfaccia virtuale di Control Center di collegarsi virtualmente a
una o più interfacce di rete fisiche del Runtime.
La selezione dell’interfaccia di rete da raggiungere attraverso la VPN si effettua attraverso l’uso del pannello
di controllo di Ubiquity Runtime.
I capitoli seguenti mostrano come configurare la connessione VPN nei vari scenari possibili di utilizzo:
1.
2.
3.
4.
Connessione VPN ristretta al solo dispositivo remoto
Connessione VPN estesa all’intera sottorete con due interfacce di rete
Connessione VPN estesa all’intera sottorete con una interfaccia di rete
Connessione VPN ristretta al solo dispositivo remoto con utilizzo di indirizzi IP fisici
3.4.1 Connessione VPN ristretta al solo dispositivo remoto
Questo scenario richiede l’installazione sul dispositivo con il Runtime dell’adattatore di rete virtuale Ubiquity.
Viene creata una VPN punto-punto tra Control Center e il Runtime remoto. La connessione VPN utilizza le
interfacce Ethernet virtuali di Ubiquity sul computer con Control Center e sul sistema remoto con il Runtime,
ciascuna di esse è configurata con indirizzi IP virtuali e differenti dalle rispettive interfacce di rete fisiche.
Tramite l’interfaccia grafica di Ubiquity Runtime è necessario selezionare l’adattatore di rete virtuale
“Ubiquity VPN” nella sezione VPN, quindi cliccare sul pulsante “Apply”. Si veda la figura seguente.
Page 86 / 162
Nell'esempio, il PC remoto è connesso sia alla rete aziendale (172.17.16.0) sia alla rete di automazione
(10.20.0.0), tuttavia, tramite teleassistenza, si vuole concedere l'accesso al solo PC remoto e non al resto
della sottorete..
Quando Control Center si collegherà da remoto, esso potrà comunicare con il device remoto utilizzando l'IP
virtuale 10.8.0.1. Le altre classi di IP (es. 10.20.0.0) non saranno raggiungibili.
All’installazione di Ubiquity Runtime, la scheda di rete virtuale ("Ubiquity VPN", oppure "UEA1" sotto
Windows CE) viene automaticamente configurata per operare con indirizzo IP 10.8.0.1 e assegnare ai
computer con Control Center IP 10.8.0.2 o superiori.
Se si desidera utilizzare un IP differente, basta configurare l'IP nelle proprietà TCP/IP del pannello di
controllo dei dispositivi di rete di Windows.
Notare che la connessione VPN è installata utilizzando degli indirizzi IP virtuali; la classe 10.8.0.0 non
corrisponde infatti a nessun indirizzo IP reale di nessuna interfaccia di rete fisica.
Esistono alcuni rari casi in cui questa configurazione non è supportata dall’applicazione che richiede di
connettersi al servizio di tipo “server” esposto dal dispositivo remoto. Il caso è risolto dal quarto tipo di
connessione e per questo si veda il capitolo “Connessione VPN ristretta al solo dispositivo remoto con uso di
indirizzi IP fisici”
3.4.2 Connessione VPN estesa all’intera sottorete con due interfacce di rete
In questo scenario si configura Ubiquity Runtime per funzionare come "switch virtuale" e dare accesso al
computer con Control Center all'intera sottorete collegata. Non è richiesta l’installazione dell’adattatre di rete
virtuale Ubiquity sul dispositivo con il Runtime.
Tramite l’interfaccia grafica di Ubiquity Runtime è necessario selezionare l’adattatore di rete
“LAN” nella sezione VPN, quindi cliccare sul pulsante “Apply”. Si veda la figura seguente.
Page 87 / 162
In questo scenario il dispositivo con Ubiquity Runtime è dotato di due interfacce di rete:


L'interfaccia denominata "WAN" (rossa), configurata ad esempio per ricevere l'IP dal server DHCP,
serve a fornire connettività Internet.
L'interfaccia denominata "LAN" (blu) è utilizzata per collegare il dispositivo ai dispositivi Ethernet di
automazione.
Nel momento della connessione VPN, all’interfaccia "Ubiquity VPN" di Control Center viene assegnato un IP
compatibile con la rete 10.20.0.0. In tal modo è possibile per il computer con Control Center accedere all'IP
del Runtime (10.20.0.10) e a tutti gli IP della stessa classe.
Le figure di cui sopra sono valide per il sistema operativo Win32; simili condizioni sono
valide anche per sistemi Windows CE dove è possibile usare direttamente il pannello
di controllo di Ubiquity per la selezione degli adattatori da raggiungere tramite VPN.
3.4.3 Connessione VPN estesa all’intera sottorete con una interfaccia di rete
Questo scenario di collegamento prevede di utilizzare un dispositivo con Ubiquity Runtime dotato di una sola
interfaccia Ethernet. Tramite Ubiquity si vuole accedere in VPN non solo al dispositivo, ma anche a tutta la
sottorete in cui risiedono i PLC e altri componenti di automazione. Non è richiesta l’installazione
dell’adattatore di rete virtuale Ubiquity sul dispositivo con il Runtime.
Page 88 / 162
Sono possibili due scenari:
a. Gestione di due sotto-reti di IP (la sotto-rete dotata di accesso Internet (WAN) e la sotto-rete di
automazione (LAN)
b. Gestione di una unica sottorete
A. VPN con due sottoreti (separazione spazio IP)
Nell'esempio l'unica interfaccia Ethernet fisica è quella evidenziata in blu.
Si assegnano due indirizzi IP:
 uno compatibile con la rete finale e con accesso internet (172.17.60.50)
 l'altro appartenente alla sottorete di IP di automazione (10.20.0.10).
Quando Control Center si collegherà da remoto, Runtime gli assegnerà un IP compatibile con la rete di
automazione (10.20.0.x), in questo esempio 10.20.0.180.
Control Center potrà ora comunicare in modo totalmente trasparente (con applicazioni TCP, UDP, ecc.) non
solo con il device remoto (10.20.0.10) ma anche con i dispositivi collegati, ad esempio il PLC (10.20.0.1).
B. Configurazione VPN con una sottorete IP
Questo caso è una semplificazione del caso precedente. L’interfaccia è configurata per ricevere un indirizzo
dinamico via DHCP oppure in modo statico con tutte le informazioni che servono a dare al PC connettività
Internet (indirizzo IP, gateway e DNS server).
Page 89 / 162
Poiché il PC remoto è dotato di un unico indirizzo IP, esso può comunicare solamente con indirizzi IP della
sua classe (nell'esempio 172.17.16.x).
3.4.4 Connessione VPN ristretta al dispositivo remoto con indirizzi IP fisici
Questo scenario corrisponde ad una variante della connessione VPN ristretta al dispositivo remoto, e
permette l’uso di indirizzi IP fisici invece che virtuali.
Questa configurazione è conveniente quando l’applicazione in esecuzione sul dispositivo remoto espone
servizi server associati unicamente a indirizzi IP fisici e non disponibili per indirizzi virtuali.
La configurazione è analoga a quella vista nel caso in cui sia richiesta visibilità dell’intera sottorete; Control
Center accede alla rete LAN attraverso l’uso dell’indirizzo IP fisico, mentre Ubiquity Runtime si preoccupa di
limitare il traffico al solo dispositivo remoto nel caso di licenza di tipo BASIC.
Questo scenario è compatibile con i modelli di licenza BASIC e PRO.
Page 90 / 162
3.4.5 Gestione dei potenziali conflitti tra indirizzi IP
L’utilizzo di connessioni VPN impone che si faccia attenzione ai possibili conflitti tra IP uguali eventualmente
presenti nei sistemi e sottoreti che vengono messi in comunicazione. Ubiquity implementa le opportune
contromisure per risolvere in modo automatico e trasparente qualsiasi tipo di conflitto.
I casi sono i seguenti.
3.4.5.1 La sottorete WAN di Control Center è la stessa della sottorete LAN di Ubiquity
Runtime
Il caso è automaticamente risolto con l’impiego della metrica.
Ubiquity Control Center imposta la metrica della sua VPN a “1”, imponendo priorità sulla WAN. In tal caso,
con VPN collegata, è possibile raggiungere tutti gli IP remoti; sono automaticamente “isolati” gli IP conflittuali
della sottorete locale; la soluzione funziona anche nel caso eccezionale che uno degli IP remoti corrisponda
esattamente all’IP del gateway della sottorete in cui è inserito Control Center. Opportune regole
automaticamente gestite fanno si che Control Center possa mantenere contatto con il suo Gateway e
contemporaneamente l’IP remoto ad esso uguale sia raggiungibile.
3.4.5.2 Le sottoreti LAN e WAN di Ubiquity Runtime sono le stesse
Il caso è automaticamente risolto con l’impiego della metrica.
Ubiquity Runtime imposta dinamicamente priorità più alta (metrica inferiore) alle regole di routing
corrispondenti alla LAN rispetto alla WAN. Il risultato finale è che gli eventuali IP conflittuali presenti sulla
WAN sono automaticamente “isolati” a favore degli stessi presenti sulla LAN
3.4.5.3 L’indirizzo IP del PLC e l’indirizzo del Gatway della LAN sono gli stessi
Nel caso particolare il cui l’indirizzo IP del PLC da raggiungere sia lo stesso dell’indirizzo IP del gateway
della sottorete LAN in cui è inserito Control Center, il conflitto è risolto tenendo in considerazione che il
gateway deve ricevere messaggi destinati a sottoreti “esterne” mentre il messaggio da inviare al PLC
prevede come “destinazione” un IP della sottorete. A livello di sistema operativo, un messaggio destinato
alla rete esterna viene quindi inviato al gateway ed un messaggio diretto all’IP del gateway viene istradato
sull’interfaccia Ubiquity VPN.
3.5
Controllo Runtime da riga di comando
Sono disponibili alcuni parametri con cui eseguire Runtime.exe per controllare le operazioni di
teleassistenza. Ad esempio, è possibile assegnare tali comandi ad azioni provenienti da un applicativo HMI,
in modo da rendere la presenza del Runtime completamente trasparente.
-connect
-disconnect
Connette Runtime al servizio di teleassistenza, rendendolo visibile
al Control Center. Si usa questa opzione quando Runtime è già in
esecuzione ma è scollegato, poiché di default Runtime si collega
automaticamente, a meno che non venga specificata l'opzione disconnect.
Se Runtime è già in esecuzione, disconnette Runtime dal servizio
di teleassistenza, rendendolo inaccessibile al Control Center.
Runtime rimane in esecuzione.
Se Runtime non è in esecuzione, lo avvia ma non lo connette al
Page 91 / 162
-showChat
-hideChat
-showKeyboard
-hideKeyboard
-remoteAccessServiceConnected
-remoteAccessSessionCount
-noui
-quit
servizio di teleassistenza.
Mostra la chat di teleassistenza.
Nasconde la chat di teleassistenza.
Mostra la tastiera di sistema.
Nasconde la tastiera di sistema.
Indica lo stato di connessione del Runtime.
Possibili valori:
- 0: Runtime non connesso al server
- 1: Runtime connesso al server
Indica il numero di supervisori Control Center connessi al Runtime.
Utilizzato solo durante il primo avvio di Runtime. Non crea l'icona
nell'area di notifica della barra delle applicazioni e non rende
accessibile la finestra del Runtime in alcun modo.
Utilizzato solo con Runtime già in esecuzione. Disconnette e
chiude Runtime
Esempi:
>> <path>\UbiquityRuntime.exe -disconnect -noui
Esegue Runtime, che inizialmente rimarrà disconnesso dal server. Runtime sarà inoltre eseguito in modalità
invisibile, senza icona e pannelli di configurazione.
>> <path>\UbiquityRuntime.exe -connect
Connette Runtime al servizio di teleassistenza.
>> <path>\UbiquityRuntime.exe -disconnect
Disconnette runtime dal servizio di teleassistenza.
>> <path>\UbiquityRuntime.exe –quit
Chiude definitivamente Runtime.
>> <path>\UbiquityRuntime.exe –showChat\hideChat
Apre o chiude la finestra di chat.
>> <path>\UbiquityRuntime.exe –showKeyboard\hideKeyboard
Apre o chiude tastiera di sistema.
>> <path>\UbiquityRuntime.exe –remoteAccessServiceConnected
>> ECHO %ERRORLEVEL%
Interroga il Runtime sullo stato della connessione al server. Il valore di ritorno è disponibile nella variabile di
ambiente “ERRORLEVEL”.
>> <path>\UbiquityRuntime.exe –remoteAccessSessionCount
>> ECHO %ERRORLEVEL%
Interroga il Runtime sul numero di Control Center connessi. Il valore di ritorno è disponibile nella variabile di
ambiente “ERRORLEVEL”.
Nei sistemi WCE il nome del file eseguibile è UbiquityRuntimeCE.exe.
La variabile d’ambiente “ERRORLEVEL” non è supportata dai sistemi WCE.
3.6
Funzionamento Remote Desktop su sistemi Windows CE
Page 92 / 162
La funzione di desktop remoto di Ubiquity Runtime per Windows CE è configurata per utilizzare al massimo il
40% delle risorse di CPU con un thread a priorità normale.
In condizioni particolari in cui il sistema Windows CE ha poche risorse di CPU da condividere con altri
processi, è possibile configurare diversamente la funzione di desktop remoto utilizzando due parametri che
impostano la percentuale massima di CPU da utilizzare e la priorità da assegnare al thread.
I parametri sono contenuti nel file “config.xml” presente nella cartella di Ubiquity Runtime.
Per modificarli, occorre prima chiudere il processo di Ubiquity Runtime ed editare quindi il file “config.xml”
aggiungendo o modificando le seguenti righe:
<Param Name=”RemoteDesktopPriority” Value=”x” />
<Param Name=”RemoteDesktopMaxCPUUsage” Value=”y” />
dove occorre inserire i seguenti valori al posto di x:
0 – Priorità critica
1 – Priorità alta
2 – Priorità sopra il normale
3 – Priorità normale (default)
4 – Priorità sotto il normale
5 – Priorità bassa
6 – Priorità sopra il livello “idle”
7 – Priorità “idle”
e un numero da 1 a 100 al posto di y (il default è 40), per indicare la percentuale massima di CPU da
utilizzare per il thread che gestisce la funzione desktop remoto.
3.7
Esecuzione senza shell Explorer
Nel caso in cui Ubiquity Runtime sia eseguito senza la shell Explorer, l’icona di Ubiquity Runtime nell’area di
notifica delle applicazioni non verrà mostrata.
Per accedere all’interfaccia di programmazione di Ubiquity Runtime (o pannello di controllo) è sufficiente
lanciare nuovamente l’eseguibile “UbiquityRuntime.exe”
Dal momento che Runtime è già in esecuzione, non verrà lanciata una seconda istanza ma semplicemente
attivata l’interfaccia di programmazione.
3.8
Aggiornamento Runtime
Per aggironare il Runtime nei sistemi WCE è sufficiente lanciare il file di aggiornamento direttamente tramite
Control Center, durante una connessione remota al dispositivo.
Dalla scheda “explorer”, trasferire il file di installazione del Runtime WCE, tramite il tasto “Send”, come
Page 93 / 162
Una volta completato il trasferimento, lanciare il programma nel dispositivo remoto tramite il tasto “Execute
remotely”, come mostrato nella figura seguente
Page 94 / 162
Durante la fase di aggiornamento il dispositivo si disconnetterà dall’infrastruttura.
Al termine del processo di installazione sarà possibile connettersi nuovamente al dispositivo remoto.
Questa procedura è valida sia per i sistemi WinCE che per i sistemi Win32.
Page 95 / 162
4 Firewall
Il Firewall integrato permette in modo agevole la definizione e l’applicazione di regole con lo scopo di
introdurre altri livelli di sicurezza oppure di limitare il traffico dati in transito sul canale VPN.
Il procedimento di configurazione del Firewall di Ubiquity è analogo a quello comunemente utilizzato in
sistemi Firewall convenzionali. Si parte dalla definizione delle policy e si completa con l’applicazione delle
stesse.
Ubiquity dispone di una libreria di policy predefinite per il Firewall archiviate a livello di infrastruttura server e
importabili all’interno di un Dominio.
Le policy del Firewall possono essere importate/definite con validità/utilizzabilità ristretta alla cartella in cui
esse sono importate o definite.
Gli eventuali sottodomini possono avere quindi policy definite localmente e che si applicano al loro interno
senza essere visibili ne influenzare il resto del Dominio.
Se non esiste una esigenza specifica di differenziare le politiche dei sottodomini da quelle del Dominio
principale, è buona pratica centralizzare la definizione delle policy a livello radice e utilizzarle poi nei rami
dell’albero dove esse sono necessarie.
Per operare sulla funzione Firewall è necessario avere eseguito l’accesso al Dominio con un utente che
abbia il profilo di “Network security”.
L’aggiunta delle politiche avviene attraverso i due comandi disponibili in alto, rispettivamente per definire una
policy personalizzata e per importarne una tra le predefinite.
Page 96 / 162
4.1
Importazione delle policy
Cliccando sull’icona di importazione
viene mostrata una finestra con la lista delle policy disponibili.
Scelta la policy desiderata, si conferma con il tasto OK per aggiungerla all’albero di Dominio.
La policy è mostrata nell’albero come un elemento dello stesso, posto al livello della cartella selezionata al
momento dell’importazione.
4.2
Definizione personalizzata delle policy
Per definire una policy personalizzata, si evidenzia la cartella all’interno della quale la regola verrà creata e
si clicca sul tasto di definizione
della regola.
Viene richiesto il nome della policy e dopo aver confermato con OK la policy è creata.
Page 97 / 162
Sulla parte destra della finestra principale appare la schermata di definizione della policy all’interno della
quale si possono definire le regole che la compongono.
Cliccando sul tasto “Add” è possibile aggiungere una regola alla definizione della policy.
I parametri disponibili per la definizione delle regole sono:
- MAC address
- Ethernet Type
La VPN di Ubiquity supporta la virtualizzazione del livello data-link e di conseguenza il Firewall integrato
permette la definizione di policy che operano su tipologie Ethernet anche diverse dall’IP.
La lista “Ethernet Type” raccoglie tutti i più comuni protocolli utilizzati a livello Ethernet e non solo quello IP
sul quale sono basati poi le comunicazioni più conosciute.
Per esempio, il protocollo EtherCAT o il protocollo Profinet non sono protocolli IP e compaiono comunque
nella lista di quelli gestibili dal Firewall.
Page 98 / 162
Se si sceglie per esempio “IP” come Ethernet Type, la finestra si popola presentando la richiesta di
specificare gli indirizzi IP coinvolti, il protocollo IP e la porta.
Per ogni passo la finestra si adatta dinamicamente sulla base della selezione effettuata al passo precedente
fino al completamento della definizione della regola.
Page 99 / 162
Al termine, la regola definita è aggiunta alla lista.
Nell’ambito della valutazione delle regole che compongono una policy si procede sempre dall’alto verso il
basso. La prima regola che in questo ordine risulta verificata dal pacchetto Ethernet in transito, rende la
policy applicabile.
4.3
Applicazione delle policy
L’applicazione delle policy definite può essere fatta a livello di cartella, ma anche a livello di singolo
dispositivo.
Cliccando sull’elemento al quale si desidera applicare la regola, nella parte destra della finestra principale è
possibile visualizzare la sezione Firewall.
Page 100 / 162
La sezione Firewall permette di aggiungere le policy e permette di definire il comportamento di Default che
deve essere intrapreso sul transito del pacchetto Ethernet qualora nessuna delle policy della lista risulti
verificata.
L’azione di default per un dominio è impostata a “Allow” e di conseguenza il pacchetto il cui contenuto NON
verifica nessuna delle regole specificate, transita.
Questa scelta impone che per definire le policy si ragioni con logica negativa e si stabilisca quindi quali
pacchetti sono da bloccare costruendo quindi le politiche con azioni “Deny”.
Alternativamente si può ragionare in logica positiva impostando a “Deny” l’azione di default e costruendo
policy con azione “Allow” in modo da stabilire quali sono i pacchetti che devono transitare (piuttosto che
quelli da bloccare come nel caso precedente).
Le policy applicate ad una data cartella sono ereditate dalla cartelle e dai dispositivi in essa contenuti. La
sezione “Firewall” permette di cambiare questo comportamento impedendo l’ereditarietà delle regole e
potendo quindi cambiare l’azione di default.
Se la catena dell’ereditarietà non è interrotta (check box NON marcata) l’azione di Default è quella
specificata dal padre che è a sua volta soggetto alla medesima regola, sulla base dello stato della check
box.
Page 101 / 162
Per l’applicazione di una regola ad un elemento, selezionare la cartella o l’oggetto a cui si desidera applicare
la regola, evidenziare la sezione “Firewall” a destra e cliccare sul tasto “Add”.
Nella finestra che appare, mostrata nella figura seguente, si può scegliere la policy da utilizzare tra quelle
importate o create che risultano disponibili e condizionarla eventualmente ad un utente o gruppo. Questo
permette l’applicazione delle policy ad uno specifico dispositivo condizionate all’utente connesso.
Da ultimo si specifica l’azione da compiere nel caso in cui il pacchetto valutato corrisponda alle regole della
policy.
Per ciascun dispositivo o cartella selezionata, l’area Firewall rappresenta sempre un
riassunto di tutte le policy applicate sia ereditate sia esplicite.
4.3.1 Esempio 1: filtro di protocollo
Page 102 / 162
Lo scopo dell’esempio è quello di importare una policy predefinita ed applicarla ad un dispositivo a
prescindere dall’utente e dall’indirizzo IP di questo dispositivo.
Selezionare l’icona di dominio e cliccare sul tasto “Import policy”. Selezionare per esempio dalla lista la
policy “Omron PLC with CX-Programmer”.
Una volta importata la policy, cliccare quindi sul dispositivo al quale si desidera applicare la policy.
Si vuole che nella connessione VPN con la sottorete collegata a questo specifico dispositivo, sia ammesso
solo l’utilizzo del protocollo Omron per la programmazione del PLC che si suppone collegato al dispositivo.
Nella finestra di associazione della policy si selezionerà quindi l’azione “Allow” come mostrato nella figura
seguente.
Assumendo che l’azione di default per il Dominio sia stata lasciata ad “Allow” sarà ora necessario
selezionare la check box che slega il dispositivo in questione dalla catena ereditaria.
Il risultato è quello mostrato in figura seguente.
Tutti i pacchetti in transito che sono verificati dalla policy sono lasciati passare, tutti quelli che non sono
verificati saranno soggetti all’azione di Default che è stata impostata a “Deny” e quindi verranno bloccati.
Page 103 / 162
4.3.2 Esempio 2: aggiunta del filtro di IP
Con riferimento all’esempio precedente si vuole ora ulteriormente restringere il traffico dei pacchetti
aggiungendo una limitazione di IP stabilendo quindi che solo il traffico per un certo IP è ammesso.
Consideriamo per esempio l’IP 10.60.0.60 a cui si suppone quindi corrispondere il PLC connesso.
Il modo più semplice per realizzare questo filtro è quello di editare la policy importata.
Selezionare quindi la policy “OMRON PLC with CX Programmer” e sul lato destro cliccare il tasto “Add” per
aggiungere la regola di filtro dell’IP.
La risultate è mostrata nella figura seguente.
Page 104 / 162
Poiché è stata modificata la policy, la modifica sarà immediatamente attiva in tutti i punti in cui la policy è
stata applicata.
4.3.3 Esempio 3: aggiunta del filtro di utente o gruppo
Con riferimento ai due esempi precedenti, si desidera ora fare in modo che il filtro per protocollo e per IP
precedentemente applicato sia attivo solo per gli utenti appartenenti ad un certo gruppo.
Il filtro utenti è una opzione dell’associazione della policy.
Selezionare quindi il dispositivo al quale è stata applicata la policy nell’esempio 1. Visualizzare l’area
“Firewall” nella parte destra della finestra e selezionare la policy relativa al protocollo; cliccare “Edit” per
accedere alle opzioni di associazione. Dalla drop box “Group/User” selezionare quindi il gruppo o l’utente
interessato.
Page 105 / 162
Il risultato definitivo è che tutti e solo gli utenti del Gruppo selezionato potranno accedere al dispositivo
all’indirizzo IP scelto e in questa connessione potranno utilizzare solo il protocollo specificato.
Page 106 / 162
5 Ubiquity Router
Ubiquity Router è un dispositivo hardware in grado di fornire i servizi di teleassistenza in modo autonomo
permettendo l’impiego di Ubiquity in tutte quelle situazioni in cui la soluzione software non può essere
utilizzata. Ubiquity Router si inserisce nel sistema di automazione con impatto nullo sui dispositivi già
presenti e configurati. Non è richiesta nessuna modifica alla configurazione di rete dei dispositivi installati.
Esistono diversi modelli di Router che si differenziano per l’integrazione di un modem per l’accesso ad
Internet ed il supporto di funzioni di data monitoring attraverso l’utilizzo della piattaforma Premium HMI.
Il manuale hardware dei sistemi contiene le informazioni necessarie all’installazione e al commissioning dei
diversi dispositivi.
Ubiquity RK10
Ubiquity RK11
(modem integrato)
Ubiquity RM10
(data monitor)
Ubiquity RM11
(data monitor e modem
integrato)
Ubiquity Router include un’opportuna variante di Ubiquity Runtime; dal punto di vista funzionale esso è
equivalente alle versioni standard le cui funzioni sono descritte nei capitoli ad esse dedicati.
Il desktop del sistema operativo è accessibile attraverso la funzione di Ubiquity Remote
Desktop; non è comunque richiesta alcuna interazione diretta con l’interfaccia Desktop
poiché tutte le procedure di configurazione e utilizzo del Router sono attuate attraverso
l’impiego di Ubiquity Control Center.
Rimangono inalterati tutti i concetti della piattaforma Ubiquity che si applicano in modo equivalente al Router
e in particolare: l’interazione con il Dominio Ubiquity, la gestione dei permessi a livello dominio, l’utilizzo della
VPN, l’impiego della funzione di passthrough seriale.
Ubiquity Router implementa meccanismi di aggiornamento di tutti i suoi componenti software a garanzia di
una completa e facile manutenzione del dispositivo. Si veda nel seguito per una descrizione dettagliata delle
procedure.
Ubiquity Router dispone delle seguenti interfacce:
2 porte Ethernet, una per la connessione WAN, una per la connessione LAN
Page 107 / 162
1 porta seriale multi-standard per la funzione di “Serial Passthrough” oppure “Gateway MPI”
1 porta USB 2.0 Host per le procedure di configurazione e aggiornamento
2 ingressi digitali per il controllo del funzionamento
2 uscite digitali per la segnalazione dello stato
Sono inoltre presenti alcuni LED di segnalazione ad indicare lo stato dei vari servizi del dispositivo. Si veda
più avanti in questo capitolo per la descrizione dettagliata del significato dei vari LED.
La descrizione completa delle caratteristiche tecniche del dispositivo si trova nel
manuale hardware a corredo del prodotto (CD), distribuito anche in Control Center,
accessibile dal gruppo programmi “Ubiquity” del menù Start di Windows.
5.1
Protezione contro il cambio non autorizzato di dominio
Ubiquity Router supporta tutti gli standard di sicurezza della piattaforma Ubiquity. Ubiquity Router dispone di
un livello di sicurezza aggiuntivo che tutela l’installatore e l’utente finale contro possibili tentativi non
autorizzati di cambio del dominio.
Avvenuta la prima registrazione a un Dominio, l’infrastruttura server memorizza l’associazione e impedisce
che il medesimo dispositivo hardware possa essere registrato su un dominio diverso senza che venga
eseguita la procedura preposta allo spostamento di un dispositivo da un dominio ad un altro.
Il blocco è utile nella specifica condizione in cui il Router sia ripristinato alle condizioni iniziali di fabbrica, con
l’intento di evitare l’impiego della procedura corretta.
Una apposita sequenza di lampeggi dei led del pannello frontale segnala questo specifico stato del sistema
e ogni operatività viene bloccata. Si veda il capitolo “Segnalazioni LED” per ulteriori dettagli.
Il ripristino della funzionalità di un Ubiquity Router in questo stato richiede il contatto
diretto con l’assistenza tecnica.
5.2
Identificazione e configurazione di fabbrica
La configurazione di fabbrica delle interfacce Ethernet di Ubiquity Router è indicata nella tabella seguente.
Interfaccia
LAN
WAN
Indirizzo IP
192.168.0.1
Maschera
255.255.255.0
DHCP
E’ previsto un meccanismo di protezione per la modifica della configurazione del Router basato sull’utilizzo
di una combinazione utente/password.
L’utente predefinito e non modificabile è “admin”.
La password predefinita, modificabile in seguito, è “admin”.
Il meccanismo di protezione per l’accesso alla configurazione del Router è
completamente indipendente dalla gestione delle sicurezze per l’accesso ai servizi. La
password è di fatto una protezione locale del dispositivo
Le informazioni concernenti le impostazioni di fabbrica si trovano serigrafate sul fianco del dispositivo.
La serigrafica riporta inoltre l’indicazione dei MAC address assegnati alle due interfacce di rete.
Page 108 / 162
5.3
Segnalazioni e comandi esterni
Ubiquity Router dispone sul pannello frontale di 6 LED adibiti a fornire le segnalazioni sullo stato operativo
del sistema.
Sono inoltre disponibili 2 ingressi digitali per comandi esterni e due uscite digitali per le segnalazioni
elettriche.
5.3.1 Segnalazioni LED
La figura seguente riporta la parte del pannello frontale con i LED per le segnalazioni visive.
Il LED RESET è di colore GIALLO.
Il LED POWER è di colore VERDE.
Il LED RUN/STOP è bicolore VERDE/ROSSO.
Il LED REMOTE CONNECTION è di colore VERDE.
I LED COM Rx/COM Tx sono di colore VERDE.
Il LED
è bicolore VERDE/ROSSO.
Il LED
è di colore VERDE.
I LED
e
sono presenti solo nei Router con Modem integrato.
Sono definiti i seguenti comportamenti:
- acceso fisso
- lampeggiante
- sequenza continua di lampeggi intervallata da pausa di qualche secondo per segnalare uno stato
- sequenza singola di lampeggi per segnalare un evento
LED
Stato
Descrizione
RESET
Accesso fisso
Attivato alla pressione del tasto di RESET oppure in
presenza di fault hardware irreversibile. Si veda anche in
seguito come questo LED è usato.
POWER
Acceso fisso
Attivato in presenza di alimentazione a tensione corretta.
RUN/STOP
Verde fisso
Ubiquity avviato e connesso al server.
Rosso fisso
Ubiquity in esecuzione, ma NON connesso al server.
Page 109 / 162
Verde lampeggiante
Ubiquity in esecuzione e in fase di connessione.
Rosso lampeggiante
Ubiquity in esecuzione, non connesso al server poiché
non c’è registrazione ad alcun dominio.
Sequenza 2 lampeggi
rossi
Tentativo di connessione a un dominio diverso rispetto a
quello di prima registrazione (si veda il capitolo
“Protezione contro il cambio non autorizzato di dominio”).
Evento 2 lampeggi verdi
Configurazione Router via USB stick avvenuta con
successo.
Evento 2 lampeggi rossi
Credenziali utente fornite per l’accesso al dominio non
corrette.
Evento 3 lampeggi verdi
Inizio e termine dell’aggiornamento Router via USB stick;
durante l’aggiornamento il LED esegue un lampeggio
alternato rosso/verde in continua sequenza per tutta la
durata del processo.
Aggiornamento Router via USB stick fallito.
Avviato ripristino a configurazione di fabbrica
Errore nell’esecuzione di UBQ Runtime, segue riavvio.
Formato dati da USB stick non corretto o errore
sconosciuto.
REMOTE
CONNECTION
Acceso fisso
Attivato quando almeno un client Control Center è
connesso al Router, altrimenti spento.
COM Rx
COM Tx
Segnalazione di presenza
segnale
Sono LED direttamente collegati ai segnali di
ricezione/trasmissione della porta seriale e indicano la
presenza di traffico attraverso le rispettive linee.
Rosso fisso
Il modem non rileva segnale dalla rete.
Verde lampeggiante
Il modem rileva un segnale debole dalla rete.
Verde fisso
Il modem rileva un segnale forte dalla rete.
Rosso lampeggiante
SIM in stato di errore (es. PIN errato)
Spento
Il modem non rileva la scheda SIM.
Verde lampeggiante
Modem attualmente connesso.
Spento
Modem disconnesso.
5.3.2 Comandi e I/O digitali
La figura seguente mostra l’etichetta applicata sul fianco del dispositivo con i comandi disponibili e il
significato dei terminali.
Page 110 / 162
Sono disponibili due comandi manuali accessibili sul lato superiore del dispositivo.
RESET
Permette di forzare il riavvio del dispositivo. Il comando assicura una completa
inizializzazione di tutta la circuiteria interna e del software di sistema. La
segnalazione visiva di avvenuta pressione è fornita dal LED di RESET
RESTORE FACTORY
DEFAULT
Esegue il ripristino completo del Router riportandolo alla configurazione di
fabbrica. Tutte le impostazioni vengono azzerate, tutto il software di sistema
viene ripristinato alla versione originale compreso sistema operativo, firmware e
Runtime Ubiquity e registrazione al dominio.
Per eseguire il ripristino, spegnere il Router, premere e mantenere premuto il
pulsante di Restore e dare tensione.
Il pulsante deve restare premuto per almeno 10 secondi. Una opportuna
segnalazione visiva attraverso i LED del pannello frontale informerà che la
procedura di ripristino è stata avviata.
Attendere il completamento ed il riavvio del sistema.
Sono disponibili 2 ingressi digitali per la gestione di comandi esterni e due uscite digitali per le segnalazioni
di stato.
Il significato degli I/O digitali è illustrato si seguito.
IN0
Ingresso “chiave” per eventuale gestione esterna del modo di connessione.
L’impostazione di fabbrica prevede che lo stato di questo ingresso sia ignorato. Quando il
Router è configurato invece per gestire l’ingresso (si veda il capitolo sulla configurazione del
router, paragrafo “General Options”) è possibile usarlo per comandare dall’esterno la
connessione di Ubiquity Router al server. L’ingresso può naturalmente essere gestito da un
selettore meccanico convenzionale, da un selettore a chiave, come pure da un’uscita PLC.
IN1
Ingresso disponibile per comandare il riavvio del sistema dall’esterno. Il funzionamento
corrisponde a quello del tasto “Reset”. Una volta recepito il comando di riavvio viene fornita
opportuna segnalazione visuale dai LED del pannello frontale.
OUT0
L’uscita è attiva quando Ubiquity Router è connesso al Dominio Ubiquity presso il quale è
stato registrato. Si noti che la semplice connessione al server non attiva l’uscita; è
necessario che Ubiquity Router abbia eseguito l’accesso con successo.
OUT1
L’uscita è attiva quando almeno un client Control Center è connesso a Ubiquity Router.
5.4
Configurazione di Ubiquity Router
Il software di sistema di Ubiquity Router è progettato per minimizzare le operazioni a carico dell’utente e
semplificare le poche impostazioni richieste per il suo funzionamento.
Non sono richieste impostazioni riguardanti la VPN, né al “bridging” tra interfacce di rete. La configurazione
di fabbrica prevede già tutte le impostazioni necessarie e nessuna modifica ad esse è richiesta.
La configurazione di Ubiquity Router si limita agli indirizzi IP delle interfacce di rete, alla configurazione della
porta seriale, alla modalità di connessione, alla registrazione al Dominio.
Ubiquity Router può essere configurato in due modi:
 Attraverso una connessione di rete
 Attraverso l’utilizzo di un USB stick su cui siano state preventivamente salvate le informazioni di
setup
In entrambi i casi la configurazione è eseguita attraverso l’impiego di Ubiquity Control Center.
Page 111 / 162
Ubiquity Router dispone inoltre di una interfaccia di programmazione dei parametri accessibile da web
browser. Si veda il capitolo dedicato all’argomento per ulteriori informazioni.
Da Control Center si accede alle schermate di configurazione di Ubiquity Router attraverso l’apposita icona
sulla barra dei pulsanti come indicato dalla figura seguente.
La configurazione di Ubiquity Router non richiede necessariamente la connessione ad
un dominio Ubiquity da parte di Control Center. Nel caso in cui Control Center non sia
collegato all’infrastruttura server, alcune delle opzioni non saranno disponibili.
5.4.1 Configurazione attraverso interfaccia di rete
Il capitolo descrive come configurare un dispositivo Router attraverso l’uso della connessione Ethernet.
Accendere Ubiquity Router e collegarlo attraverso l’interfaccia ethernet identificata con WAN alla rete locale
su cui è collegato il PC con Control Center.
Avviare Control Center e connettersi al dominio presso il quale si desidera registrare il dispositivo Ubiquity
Router.
Se Control Center non è connesso al Dominio, sarà possibile impostare solo alcuni dei
parametri (configurazione di rete, password, seriale) ma non eseguire la registrazione
del Router sul dominio. Per la prima configurazione di un Router si consiglia comunque
di operare con Control Center connesso al Dominio interessato.
Cliccare sull’icona “Ubiquity Router”, disponibile nella barra dei pulsanti, e quindi sull’icona “Local Area
Network”, come indicato dalla figura seguente.
Page 112 / 162
La figura seguente mostra la schermata di “LAN Discovery”.
Control Center supporta il riconoscimento automatico dei dispositivi Ubiquity Router presenti nella rete a
prescindere dalla classe della rete stessa.
Si noti che la procedura di “discovery” di Ubiquity Router da parte di Control Center
non richiede nessuna connettività Internet.
Page 113 / 162
Ogni dispositivo Ubiquity Router prevede una protezione locale per prevenire l’accesso non desiderato alla
modifica della sua configurazione. La protezione consiste in un utente (definito come “admin” non
modificabile) ed una password che al momento della configurazione in fabbrica è impostata al valore
standard di “admin” e che potrà naturalmente essere cambiata successivamente con l’opportuna procedura
illustrata in seguito in questo capitolo.
Dopo aver digitato la password, per attivare il processo di riconoscimento, cliccare sul tasto “Discovery”.
Control Center popolerà la casella “Ubiquity Routers Found” con la lista dei dispositivi trovati con password
corrispondente a quella inserita, identificandoli dall’accoppiata dei MAC address delle due interfacce di rete.
Cliccando sulla riga corrispondente al Router che si desidera configurare, sarà reso accessibile il tasto
“Configure” che permette di passare alla fase successiva.
La figura seguente mostra la schermata con le opzioni per la configurazione del Router.
Page 114 / 162
5.4.1.1 WAN Configuration
In questa sezione è possibile configurare l’interfaccia di rete WAN attraverso la quale Ubiquity Router
accederà alla rete Internet.
La figura seguente mostra le opzioni disponibili.
Le informazioni mostrate nella schermata alla sua apertura corrispondono ai valori dei parametri attuali
presenti nel dispositivo.
Page 115 / 162
La casella “Obtain IP configuration from DHCP server” deve essere marcata nel caso in cui si desideri
utilizzare un server DHCP per l’assegnazione dell’indirizzo IP.
Nel caso in cui si desideri specificare un indirizzo fisso, va rimossa la marcatura e va specificato l’indirizzo
IP, la maschera, il Gateway ed il DNS nelle caselle sottostanti.
5.4.1.2 LAN Configuration
In questa sezione è possibile configurare i parametri dell’interfaccia di rete LAN, collegata alla sottorete di
automazione che si desidera poi raggiungere attraverso il collegamento VPN.
La figura seguente mostra le opzioni disponibili.
I dati mostrati al primo ingresso nella schermata sono quelli della configurazione attuale del Router.
La casella “Obtain IP configuration from DHCP server” deve essere marcata nel caso in cui si desideri
utilizzare un server DHCP per l’assegnazione dell’indirizzo IP.
Nel caso più comune in cui si desideri specificare un indirizzo fisso, va rimossa la marcatura e va specificato
l’indirizzo IP e la maschera nelle caselle sottostanti. Cliccando poi il tasto “Add” l’indirizzo IP viene aggiunto
alla lista.
Si noti come l’interfaccia LAN ammetta l’utilizzo di indirizzi IP multipli. Per aggiungere
un indirizzo, semplicemente si può ripetere la sequenza di inserimento. Tutte le
classi/sotto-reti configurate saranno raggiungibili attraverso il tunnel VPN.
5.4.1.3 Serial Port Configuration
Questa sezione permette di configurare il comportamento della porta seriale.
Cliccando sulla combo box si potrà accedere alle opzioni disponibili.
Le opzioni disponibili sono le seguenti:
Page 116 / 162




RS-232C
RS-422
RS-485
MPI
Selezionando “MPI” si predispone il Router all’utilizzo di una funzione speciale che permette di effettuare il
gateway tra l’interfaccia Ethernet e la porta seriale configurata per la comunicazione MPI.
Si veda il capitolo “Gateway Protocollo Simatic S7 MPI” per le informazioni relative alla configurazione dei
parametri e del servizio.
5.4.1.4 General Options
Questa sezione permette l’impostazione di una nuova password locale di dispositivo, la modalità di
connessione e la configurazione dell’accesso attraverso un Proxy se necessario.
La figura seguente mostra le scelte disponibili.
Per cambiare la password locale di dispositivo è necessario inserire la password attuale e quindi la nuova.
“Availability mode” ha quattro opzioni:
Always-on
Digital input
SMS
Digital input and SMS
Nel caso sia selezionata l’opzione “Always-on” il Router eseguirà la connessione al server subito dopo
l’accensione e non appena è disponibile un connessione Internet funzionante; ripristinerà inoltre il
collegamento in caso di interruzione.
Nel caso sia selezionato “Digital input” il Router si collegherà al Dominio configurato solo ed esclusivamente
quando l’opportuno consenso elettrico arriverà all’ingresso digitale preposto (IN0).
Page 117 / 162
Nel caso sia selezionato “SMS” il Router si collegherà al Dominio configurato solo ed esclusivamente
quando riceverà un SMS da parte dell’utente.
La sintassi da utilizzare è la seguente:
<Username> <Password> CONNECT – il Modem eseguirà una connessione al Dominio
<Username> <Password> DISCONNECT – il Modem eseguirà una disconnessione dal Dominio
Le credenziali sono quelle di amministrazione locale del Router, inizialmente stampate sul retro o modificate
mediante apposita procedura.
Dopo il riavvio del Router sarà necessario attendere almeno tre minuti per poter inviare
l’SMS di connessione.
Nel caso sia selezionato “Digital input and SMS” il Router si collegherà al Dominio configurato solo ed
esclusivamente quando l’opportuno consenso elettrico arriverà all’ingresso digitale preposto (IN0) e quando
riceverà un SMS da parte dell’utente.
Nel caso in cui il consenso elettrico venga tolto mentre il Router è connesso al dominio
sarà nesessario inviare nuovamente l’SMS di connessione.
“Internet connectivity” ha tre opzioni:
Auto
WAN
Modem
Nel caso sia selezionato “Auto” il Router tenterà la connessione tramite WAN. Nel caso non fosse possibile
tale connessione, il Router tenterà la connessione tramite modem.
Nel caso sia selezionato “WAN” il Router tenterà la connessione solo tramite WAN.
Nel caso sia selezionato “Modem” il Router tenterà sempre la connessione tramite modem.
Le informazioni complete per il cablaggio degli ingressi digitali sono contenute nel
manuale hardware cui si rimanda per riferimento.
5.4.1.5 LAN-WAN Routing
Questa funzione permette di configurare regole di routing statico tra le due interfacce del Router (LAN e
WAN. È possibile applicare regole per instradare singoli indirizzi IP o range di indirizzi.
Le regole vanno applicate sia sull’interfaccia LAN che sull’interfaccia WAN, indicando quali sono gli indirizzi
interessati al routing su entrambe le interfacce.
L’esempio seguente mostra come realizzare un instradamento tra un indirizzo IP nella sottorete LAN e un
indirizzo IP nella sottorete WAN.
Page 118 / 162
Il primo passo serve ad instuire il Router sull’instradamento tra le due interfacce LAN e WAN, come mostrato
dall’immagine seguente.
Occorre quindi impostare una regola di routing sul PC nella WAN, in modo da instradare al Router i pacchetti
destinati alla rete LAN. Da un terminale diamo il comando
route add 10.20.0.10 mask 255.255.255.255 172.19.17.102 if 11
Il parametro dopo “if” rappresenta il numero dell’interfaccia di rete sulla quale applicare
la regola. Tale parametro è riportato nella schermata “route print” (si veda immagine
successiva).
Page 119 / 162
Per rendere persistenti le modifiche apportate alla routing table del PC è sufficiente
aggiungere il parametro “-p” al comando sopracitato.
Per verificare che la regola sia stata impostata correttamente, aprire un terminale e digitare “route print”,
come mostrato nell’immagine successiva.
In alternativa è possibile impostare la medesima regola sul dispositivo che fa da gateway alla rete WAN.
Come ultimo passo è necessario impostare il gateway del PLC come l’indirizzo IP dell’interfaccia LAN del
Router.
5.4.1.6 Modem
Questa sezione permette di configurare i parametri del modem integrato.
Page 120 / 162
“Status” può assumere i seguenti valori:




Connected - il modem è connesso
Disconnected - il modem è disconnesso
Error: <ErrorCode> - è stato rilevato uno tra i seguenti errori:
 No SIM
 PIN required
 PIN2 required
 PUK required
 PUK required
 Wrong PIN
 Only one PIN insertion retry left
 NO PIN insertion retry left
 Modem not present or initialized
Initialization – il Modem è in fase di inizializzazione
“Carrier mode” visualizza il tipo di tecnologia utilizzata dall’infrastruttura radio per la comunicazione con il
modem.
“Signal strength” esprime la potenza del segnale rilevata dal modem.
Il campo “PIN code” permette di inserire il codice PIN della scheda SIM, quando richiesto.
Il campo “APN” permette di inserire l’Access Point Name, richiesto per la connessione Internet del modem.
I campi “Username”, “Password” e “Domain” permettono di inserire le eventuali credeziali fornite dal provider
per la connessione Internet del modem.
Il campo “Dialed number” permette di inserire il numero di telefono verso cui effettuare la chiamata di
connessione del Modem.
Non è possibile rimuovere o sostituire la SIM con il Router in funzione.
L’invio di SMS da parte del Router viene gestito dal progetto Premium HMI (si veda il
capitolo Allarmi/Alarm Dispatcher). Per poter inviare l’SMS, la scheda SIM deve essere
correttamente configurata nella sezione Modem.
Page 121 / 162
5.4.1.7 Ubiquity Domain Registration
Nel caso della configurazione di Ubiquity Router attraverso rete Ethernet la registrazione al dominio è
eseguita da Control Center previo accesso al dominio al quale si desidera associare il Router.
Se Ubiquity Control Center non è connesso al dominio la sessione in oggetto non sarà accessibile.
La figura seguente mostra le opzioni di configurazione.
Una volta marcata la casella per la creazione dell’identità e registrazione, va specificato il nome iniziale che
sarà attribuito al Router ed il percorso della cartella in cui installare il Router.
Si noti che l’esecuzione di una seconda registrazione di uno stesso Router presso il
medesimo Dominio corrisponde a sovrascrivere l’identità in precedenza creata. Non si
tratta quindi di una semplice operazione di “cambio nome”, ma di sostituzione con
conseguente perdita di tutti i dati, i record, le statistiche associate alla prima
registrazione.
Una volta eseguita la registrazione di un Router su un Dominio, è possibile eseguire
l’operazione di “Unregister” secondo la procedura preposta. Si veda inoltre il paragrafo
“Protezione contro il cambio non autorizzato di Dominio”.
5.4.1.8 Trasferimento della configurazione al Router
Per trasferire la configurazione al Router è sufficiente cliccare il tasto “Apply” che si trova in fondo alla
schermata.
Un messaggio confermerà l’avvenuto trasferimento.
A seconda delle impostazioni modificate nelle sezioni precedentemente descritte sarà richiesto o meno un
riavvio del dispositivo. Quando necessario, il riavvio sarà comandato direttamente da Control Center.
5.4.2 Configurazione attraverso USB stick
Il capitolo descrive come configurare Ubiquity Router attraverso l’uso di un USB stick senza una
connessione diretta in rete.
La configurazione sarà creata completamente in Control Center ed esportata su di un file XML che copiato
sulla cartella origine di un USB stick sarà poi utilizzato da Ubiquity Router per la procedura di configurazione.
Il file potrà naturalmente essere trasferito a distanza, inviato per posta elettronica e recapitato quindi
all’operatore che necessita di eseguire la configurazione.
Si veda il capitolo “Trasferimento della configurazione al Router” per maggiori dettagli.
Page 122 / 162
Per eseguire la configurazione di Ubiquity Router attraverso USB, avviare Control Center e connettersi al
dominio presso il quale si desidera associare il dispositivo.
La connessione di Control Center ad un Dominio per la fase di configurazione non è
obbligatoria. Se Control Center non è connesso al Dominio, sarà possibile impostare
solo alcuni dei parametri (configurazione di rete, password, seriale) ma non
predisporre la registrazione del Router sul dominio. Per la prima configurazione di un
Router si consiglia di operare con Control Center connesso al Dominio interessato.
Cliccare sull’icona “Ubiquity Router”, disponibile nella barra dei pulsanti, e quindi sull’icona “USB”, come
indicato dalla figura seguente.
La schermata successiva mostra la sezione di “Router Login and identification”.
Nella schermata è richiesta l’introduzione della password di dispositivo che si intende configurare.
Ogni dispositivo Ubiquity Router dispone di una protezione locale per prevenire l’accesso non desiderato alla
sua configurazione. La protezione consiste in un utente (definito come “admin” non modificabile) ed una
password che al momento della configurazione in fabbrica è impostata al valore standard di “admin” e che
potrà naturalmente essere cambiata in seguito con l’opportuna procedura illustrata in seguito in questo
capitolo.
La configurazione sarà utilizzabile da ogni dispositivo Router con password corrispondente a quella
impostata.
Page 123 / 162
Una volta inserita la password, cliccando sul tasto “Next” si accede alla schermata con le opzioni per la
configurazione del Router come mostrato dalla figura seguente.
Page 124 / 162
Ciascuna delle sezioni di configurazione dei parametri presenta una check box chiamata “Export to USB” (si
veda immagine seguente).
Page 125 / 162
La check box sarà automaticamente spuntata se almeno una delle opzioni della sezione è stata modificata;
sarà comunque a discrezione dell’utilizzatore decidere se esportare o meno quella specifica parte della
configurazione. Saranno esportate tutte e sole le impostazioni con la check box marcata.
Le sezioni di configurazione sono analoghe a quelle riportate nel capitolo di configurazione attraverso
interfaccia di rete.
5.4.2.1 Trasferimento della configurazione al Router
Per trasferire la configurazione al Router è sufficiente cliccare il tasto “Apply” che si trova in fondo alla
schermata.
Nella schermata che apparirà andrà impostato il percorso all’interno del quale sarà salvato il file di
configurazione XML.
Copiare il file contenente la configurazione nella root dell’USB stick ed inserirlo nella porta USB del Router;
inizierà automaticamente la procedura di auto-configurazione. Ubiquity Router riconoscerà la presenza di un
file di configurazione e procederà all’interpretazione dello stesso. Una opportuna segnalazione visiva
informerà sullo stato del processo.
5.4.3 Configurazione attraverso interfaccia web
I sistemi Ubiquity Router possono essere configurati anche attraverso una interfaccia web accessibile da un
qualsiasi browser, compresi i browser degli smart phone o tablet; l’accesso lo si esegue semplicemente
digitando sulla barra dell’indirizzo l’indirizzo IP del router e fornendo le credenziali di accesso al router.
L’utente è sempre “admin” la password di default è anch’essa impostata ad “admin”, in alternativa va
utilizzata quella impostata nelle opzioni generali.
E’ necessario che il dispositivo con il web browser che si desidera usare per la configurazione sia
configurato per accedere ad una qualsiasi delle sottoreti del router (WAN o LAN).
La figura seguente mostra l’interfaccia di programmazione dei parametri da un smart phone con sistema
operativo Android.
Page 126 / 162
L’interfaccia web di programmazione dei parametri NON supporta l’associazione al
dominio e la rimozione del dispositivo dal dominio.
5.4.4 Gateway Protocollo Simatic S7 MPI
La funzione di gateway MPI utilizza un servizio che opera come interfaccia tra la connessione Ethernet e
quella seriale.
L’obiettivo di questa funzione è di permettere l’accesso a un PLC, collegato alla porta seriale del Router con
protocollo MPI, passando attraverso un’interfaccia ethernet.
Lo schema di principio è illustrato nella figura seguente.
Page 127 / 162
La porta seriale (COM) di Ubiquity Router è collegata alla sottorete MPI sulla quale possono essere
connessi vari controllori.
Il protocollo gateway pilota da un lato la porta seriale con il driver MPI e internamente accetta connessioni da
parte dell’interfaccia Ethernet LAN (operatività locale) o attraverso la connessione VPN di Ubiquity.
La connessione attraverso la VPN permette di avere accesso ai controllori collegati in MPI al Router, dal PC
sul quale è in esecuzione Control Center e sul quale si potrà quindi installare il software di programmazione
dei PLC.
Di seguito sono riportate le indicazioni su come implementare questa connessione.
La funzione di gateway Ethernet-MPI non ha nessuna relazione con il passthrough
seriale. La funzione di gateway opera a livello di Ubiquity Router e trasforma un flusso
Ethernet in un flusso MPI e viceversa. La funzione di passthrough seriale realizza
invece un vero e proprio tunnel tra una porta seriale virtuale sul PC del Control Center
e la porta seriale fisica del dispositivo su cui è in esecuzione Ubiquity Runtime.
La scelta della voce “MPI” mostra altre due opzioni specifiche per il supporto del protocollo come indicato
Le opzioni sono:


MPI Address – è l’indirizzo MPI assegnato al Router
Maximum FDL – è il più alto numero di nodo presente nella rete MPI cui il Router è collegato
attraverso la sua porta seriale.
Le informazioni sul pin-out della porta seriale e sui collegamenti necessari sono
contenute nel manuale hardware di Ubiquity Router.
Page 128 / 162
Una volta attivata la connessione VPN dal PC Control Center, il software di programmazione del PLC
(Step7, TIA Portal, etc) potrà essere configurato in modo da utilizzare Ubiquity Router come gateway per il
collegamento al controllore.
Per l’utilizzo di Simatic Step 7, si veda per questo il capitolo “Configurazione rete in Simatic Step 7 NetPro” in
Appendice.
Per l’utilizzo di Simatic TIA Portal, si veda il capitolo “Note sull’utilizzo di Ubiquity Runtime con Siemens TIA
Portal” in Appendice
5.4.5 Sostituzione e ripristino del software di sistema in Ubiquity Router
Ubiquity Router è un dispositivo hardware che svolge le sue funzionalità grazie ad una serie di componenti
software divisibili in:
 Sistema operativo
 Ubiquity Runtime
 Firmware
Le versioni installate dei componenti software di Ubiquity Router sono indicate nella sezione “Software
version” accessibile dalla schermata di configurazione di Ubiquity Router nella modalità “Configurazione
Ethernet”
Tutti i componenti software di Ubiquity Router sono sostituibili attraverso una semplice procedura
completamente automatizzata che garantisce immediatezza e sicurezza.
Gli aggiornamenti software vengono distribuiti sotto forma di un singolo file che agisce da contenitore per
tutti i componenti che devono essere sostituiti.
I file contenitori sono identificati dall’estensione “.asr” (ASEM Software Repository).
Per eseguire un aggiornamento, copiare il file con estensione “.asr” sulla root di un USB Stick.
Inserito l’USB stick nella porta USB di Ubiquity Router e riavviare il dispositivo.
Nella fase di avviamento Ubiquity Router riconosce in modo automatico la presenza del pacchetto di
aggiornamento sullo stick USB e procederà all’attivazione automatica della procedura di update.
Una opportuna segnalazione luminosa informerà l’utente dell’avvenuto avviamento della procedura.
Nessun intervento è richiesto da parte dell’utente.
L’aggiornamento dei componenti si completa con un riavvio del sistema attivato in modo automatico.
5.4.5.1 Aggiornamento Router da remoto
In alternativa alla procedura descritta nel paragrafo precedente è possibile eseguire una procedura di
aggiornamento remoto dei sistemi Router con un semplice trasferimento file e successivo riavvio.
Si deve innanzitutto avere il file ASR con l’aggiornamento da attuare.
Eseguire quindi la connessione al Router e visualizzare le opzioni di accesso avanzato.
Page 129 / 162
Attivare ora lo strumento di trasferimento file e copiare il file ASR nella radice della memoria “MMCMemory”
del Router.
A copia completata, visualizzare il task manager cliccando sul link “processes” ed eseguire un riavvio del
dispositivo cliccando sul tasto “Reboot”
in alto a destra.
Il sistema riconoscerà la presenza del file nella root della memoria MMCMemory e procederà
automaticamente all’aggiornamento di tutti i componenti, alla successiva cancellazione del file ASR ed al
riavvio finale del dispositivo.
Il meccanismo di aggiornamento da remoto è supportato dalla versione 3 di Ubiquity
Router.
5.5
Connessione a Ubiquity Router
Una volta configurato, Ubiquity Router si connette all’infrastruttura server e pubblica i suoi servizi
esattamente come avviene per i sistemi software dove è in esecuzione Ubiquity Runtime.
Cliccando sull’icona di un dispositivo Router compare sulla parte destra della finestra, nell’area “Device
access” l’icona per la connessione.
Trattandosi di un dispositivo cieco, non è presente l’accesso diretto al desktop.
Cliccando il tasto “Connect” è immediatamente attivata la connessione VPN con la sottorete.
Page 130 / 162
5.5.1 Opzioni avanzate di accesso al sistema Router
Una volta attivata la connessione VPN, cliccando sul link “advanced” presente in alto sulla medesima
finestra si accede alla schermata mostrata nella figura seguente con le opzioni di accesso avanzato.
In questa schermata sono presenti in particolare i link:



per accedere alla lista processi in esecuzione sul Router
per attivare lo strumento di trasferimento file
per accedere al desktop del sistema operativo di Ubiquity Router.
5.5.2 Supporto per RMxx Ubiquity Router series
Ubiquity Control Center supporta la famiglia di router Ubiquity RM che includono la funzione di data
monitoring.
Con la funzione di data monitoring il router può essere programmato per avere accesso diretto alla memoria
dei controllori a esso collegati ed eseguire quindi campionamenti, archiviazioni di dati, monitoraggio dei
valori per l’eventuale invio di allarmi e notifiche.
Ubiquity Control Center permette agevolmente di esportare i dati archiviati nella memoria locale del router ed
eventualmente accedere, attraverso un client integrato, alle pagine grafiche programmate. Tutte le
funzionalità di monitoraggio dei router Ubiquity RMxx sono programmabili infatti con Premium HMI Studio,
Page 131 / 162
compresi i sinottici che diverranno accessibili anche attraverso la funzionalità “Web Client” che è quindi
compatibile anche con web browser e le App Premium HMI Mobile.
Quando si stabilisce una connessione con un Ubiquity Router con funzione di data monitor, Control Center
mostra nella barra in alto dei menù i link per l’accesso al visualizzatore integrato dei sinottici e alla schermata
di esportazione dei dati eventualmente archiviati nella memoria interna del dispositivo.
Cliccando sul link “web pages” viene visualizzata la schermata di accesso alla parte grafica del progetto HMI
caricato sul Router. I parametri sono analoghi a quelli richiesti da un client di tipo browser o di tipo Premium
HMI Mobile che sfruttano quindi la funzione di Web Client di Premium HMI.
L’accesso alle pagine grafiche è anche possibile attraverso l’utilizzo di un browser o dell’applicazione
Premium HMI Mobile senza richiedere alcuna configurazione. Nel caso del browser l’indirizzo da utilizzare è
il seguente:
http://<indirizzo_ip_router>/webserver/<nome_sinottico>.html
L’indirizzo IP può essere indifferentemente quello della porta LAN o quello della porta WAN.
Page 132 / 162
Dopo aver compilato i campi necessari, si clicca sul tasto “Connect” per accedere alle pagine di
visualizzazione.
Cliccando sul link “datalogger” si accede alla pagina dedicata all’esportazione dei dati eventualmente
archiviati sulla memoria locale del dispositivo. L’archiviazione deve essere stata preventivamente
programmata nel progetto Premium HMI in esecuzione sul Router.
Il progetto Premium HMI in esecuzione sul Router non deve avere nessuna importazione particolare a
questo riguardo, se non l’abilitazione alla registrazione degli storici.
Control Center è in grado di mostrare una lista di tutti i dati disponibili per l’esportazione.
Page 133 / 162
Page 134 / 162
6 Appendice
Questo capitolo raccoglie informazioni accessorie e note applicative utili nell’utilizzo della piattaforma
Ubiquity in diversi scenari napplicativi.
Siamo comunque a Vostra disposizione per qualsiasi dubbio all’indirizzo di posta elettronica del supporto
tecnico: [email protected]
6.1
Note sull’utilizzo di Ubiquity in combinazione con Simatic Step 7
6.1.1 Perché nel software Simatic Step 7 le interfacce Ubiquity nella lista delle
interfacce PC/PG compaiono con un simbolo di avvertimento (triangolo
giallo)?
Il problema potrebbe essere ricondotto ad un non corretto aggiornamento della lista delle interfacce a
seguito dell’aggiornamento del driver di interfaccia virtuale Ubiquity VPN.
Per risolvere il problema è sufficiente cancellare il database dei driver che il software Step 7 crea per
ciascuna interfaccia di comunicazione.
Chiudere innanzitutto il software Step 7 eventualmente in esecuzione.
Il data base è in posizioni diverse a seconda del sistema operativo del computer dove è installato il software
Step 7.
Nel caso di sistemi operativi Windows XP, il data base è mantenuto nel registro di Windows. Serve quindi
utilizzare l’editor di registro “Regedit” per localizzare innanzitutto il percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Siemens\SINEC\LogDevices
e cancellare quindi tutte le chiavi in esso contenute relative alle interfacce Ubiquity.
Si consiglia di eseguire una copia di backup del registro prima di qualsiasi intervento.
Nel caso di sistemi operativi Windows 7 o Windows 8, il data base dei driver si trova sotto forma di un
insieme di file XML archiviati nel percorso:
C:\ProgramData\Siemens\Automation\Simatic OAM\data\LogDevices
Dalla cartella indicata vanno cancellati tutti i file XML relativi alle interfacce Ubiquity.
Al riavvio del software Step 7, esso ricreerà in modo automatico le entry dei data base.
6.1.2 Impostazione interfaccia PG/PC in Siemens Step 7
La presente nota si riferisce all’utilizzo di Siemens Step 7 nel caso in cui l’interfaccia PG/PC sia impostata
per utilizzare la modalità “Auto” come indicato dalla figura seguente.
Page 135 / 162
Con questa impostazione il software Step 7 è in grado di operare una assegnazione automatica dell’IP alle
interfacce di rete locali del PC per poter comunicare con i controllori del progetto PLC.
Per l’utilizzo con Ubiquity si consiglia di disabilitare questo meccanismo selezionando l’opzione “Do not
assign IP addresses automatically” come mostrato nella figura seguente.
Page 136 / 162
Questo meccanismo non è infatti richiesto in quanto è Ubiquity stesso che assegna all’interfaccia Ubiquity
VPN un IP reale compatibile con la sottorete remota con la quale viene attivata la connessione VPN.
6.1.3 Configurazione rete in Simatic Step 7 NetPro
L’utilizzo del servizio MPI gateway di Ubiquity Router richiede una opportuna impostazione della
configurazione di rete da eseguirsi nel software di programmazione Simatic Step 7.
La configurazione si esegue con lo strumento “NetPro” di Simatic Step 7.
La topologia della rete corrisponde allo schema mostrato nella figura seguente.
Page 137 / 162
Le impostazioni richieste per l’elemento PG/PC sono riportate nella figura seguente dove l’indirizzo IP
indicato è quello attribuito al PC con il software Simatic Step 7.
Page 138 / 162
L’elemento indicato come “Ubiquity Router” è un componente di tipo “Stazione Simatic PC” disponibile nella
cartella degli elementi di rete come indicato nella figura seguente.
Il software NetPro supporta l’importazione di blocchi di configurazione predefiniti. Per facilitare
l’impostazione della rete da parte degli utenti è stato preparato un blocco di configurazione direttamente
importabile nel software NetPro. Il blocco è denominato “Asem Ubiquity MPI.cfg” ed è scaricabile dalla
sezione “Supporto” dell’area Ubiquity sul sito web di ASEM.
Dal software NetPro selezionare la voce “Importa” dal menù “Modifica” e selezionare il file “Asem Ubiquity
MPI.cfg” come indicato dalla figura seguente.
Il gateway sarà quindi importato nella configurazione di rete e apparirà come indicato nella figura seguente.
Page 139 / 162
Per aprire la schermata di configurazione dell’interfaccia Ethernet del Gateway, fare doppio click sul
quadrato verde “IE General” come indicato nella figura precedente.
Page 140 / 162
Si noti che NON è da selezionare l’opzione “Imposta indirizzo MAC/ Utilizza protocollo ISO”.
Nel campo Indirizzo IP, immettere l'indirizzo IP della porta LAN di Ubiquity Router, nell’esempio 10.10.0.111.
Nel campo maschera immettere la maschera corrispondente alla sotto rete che si sta configurando.
Nell’area “Gateway” selezionare la voce “Senza Router”.
Aggiungere ora una stazione PG/PC al layout di rete utilizzando il percorso “ Inserisci\Elementi di rete”.
Fare doppio clic sulla Stazione PG / PC. sarà aggiunta una stazione PG/PC non collegata.
Page 141 / 162
Fare clic sul tasto destro PG / PC e cliccare su “ Proprietà dell'oggetto...” e selezionare la scheda
“Interfacce” e premere su “Nuovo tipo…”
Page 142 / 162
Selezionare “Industrial Ethernet” e premere OK.
Nell scheda “Parametri” assicurarsi che “ Imposta indirizzo MAC/ Utilizza protocollo ISO” non sia selezionato
(punto 2).
Impostare l'indirizzo IP e la maschera sotto-rete assegnati all’interfaccia di rete virtuale “Ubiquity VPN” al
momento della connessione VPN.
Selezionare la casella “Senza router”
Nell’area “sottorete”, nella parte inferiore della finestra, selezionare la rete in cui è collegato il dispositivo
“Asem Ubiquity MPI”. Fare clic su OK due volte per chiudere le due finestre Proprietà.
Page 143 / 162
A questo punto il layout di rete appare come nella figura seguente.
Page 144 / 162
Deve ora essere assegnata l’interfaccia di programmazione PG/PC.
Per eseguire questa operazione, fare clic destro sul PG/PC e cliccare su “Assegna PG/PC”.
Nella scheda “Assegnazione” delle proprietà “Parametrizzazioni interfacce nel PG /PC non assegnate”,
selezionare l'interfaccia TCP/IP che si utilizza per la connessione alla rete Ethernet.
In particolare per utilizzare il servizio di Ubiquity è necessario impostare l’interfaccia “TCP/IP (Auto) ->
Ubiquity Ethernet Adapter”.
Premere quindi il pulsante “Assegna” e confermare con OK.
Page 145 / 162
Il layout di rete appare come mostrato nella figura seguente.
Page 146 / 162
Il collegamento evidenziato in giallo nella figura precedente PG/PC indica che questo oggetto sarà usato per
uscire sulla rete.
Lo sfondo arancione dietro gli altri oggetti informa l'utente che le ultime modifiche non sono state ancora
salvate e compilate.
Come ultimo passo sarà necessario quindi compilare e salvare il layout di rete del progetto.
Per fare ciò è necessario scegliere “Rete\Salva e compila...”
6.1.3.1 Trasferimento programma PLC a PG/PC senza configurazione di rete
Esiste la possibilità di eseguire un trasferimento del progetto in esecuzione sul PLC all’ambiente di sviluppo
Step 7 senza dover eseguire la configurazione di rete come illustrato nel paragrafo precedente.
L’utilizzo di questo modo presuppone naturalmente che il PLC sia stato preventivamente programmato e
configurato con una connessione diretta.
Avviare il programma Step 7 e creare un nuovo progetto.
Selezionare quindi l’impostazione dell’interfaccia di comunicazione ed assicurarsi di impostare l’interfaccia di
rete virtuale di Ubiquity chiamata “Ubiquity VPN” come mostrato nelle seguenti figure.
Page 147 / 162
Una volta attivata la connessione VPN si potrà eseguire l’upload del programma attraverso il comando
“Carica stazione nel PG”.
I parametri da impostare sono indicati in figura.
Si dovrà selezionare l’opzione “via router” come “Sistema di destinazione.
Importante è poi specificare l’indirizzo MPI e l’ID della sottorete S7.
L’indirizzo IP è quello assegnato all’interfaccia LAN di Ubiquity Router.
Page 148 / 162
L’ID della sottorete si legge nelle proprietà della sottorete stessa come mostrato dalla figura seguente.
Page 149 / 162
6.2
Note sull’utilizzo di Ubiquity Runtime con Simatic TIA Portal
Le informazioni riportate in questo capitolo si riferiscono all’utilizzo di Simatic TIUA Portal v13.
L’utilizzo
L’utilizzo del servizio gateway richiede una specifica configurazione di rete nel progetto Step 7.
La configurazione è eseguita direttamente attraverso gli strumenti di gestione della rete in TIA Portal.
La topologia di rete da realizzare è mostrata nella figura seguente. Di seguito i dettagli.
Page 150 / 162
Gli elementi importanti nella rete sono quelli indicate come “Ubiquity Router” e “PC UBQ CC and TIA Portal”.
La configurazione è necessaria per informare TIA Portal su quale percorso di rete esso deve seguire per la
connessione ai dispositive MPI passando attraverso Ubiquity Router che fa da Gatewat.
La programmazione attraverso linea MPI per mezzo di gateway NON è supportata
dagli HMI Simatic i quali devono pertanto essere programmati via Ethernet.
L’esempio riportato assume di avere un PLC S7-300 e di doverlo quindi programmare attraverso l’interfaccia
MPI per mezzo di Ubiquity Router sfruttando il servizio Gateway.
Nell’esempio si assume che il PLC sia stato già incluso nel progetto.
La vista del configuratore di rete appare come mostrato nella figura seguente.
Page 151 / 162
6.2.1 Configurazione del PC con Ubiquity Control Center e Simatic TIA Portal
Dal catalogo hardware va individuato l’elemento “PC Station” ed inserito nella configurazione.
Facendo doppio click sul component si accede alla schermata della sua configurazione. Identificare dal
catalogo hardware il componente “IE general” e aggiungerlo nel primo slot disponibile.
Page 152 / 162
6.2.2 Configurazione di Ubiquity Router
Inserire nella topologia di rete una nuova stazione di tipo “PC Station”, accedere alla sua configurazione con
un doppio click del mouse e aggiungere al primo slot disponibile l’interfaccia “IE General”.
Nel catalogo hardware identificare ora il componente “CP 5624” ed inserirlo nel secondo slot disponibile.
Page 153 / 162
6.2.3 Configurazione della rete MPI
Ritornare alla vista globale della rete, clicare sul riquadro arancione del PLC e trascinare la connessione
all’interfaccia CP.
Page 154 / 162
Cliccare ora sul riquadro arancio di “Ubiquity Router” ed assegnare l’indirizzo MPI in accordo con la
configurazione della porta MPI del router stesso.
Page 155 / 162
6.2.4 Configurazione della rete Ethernet
Cliccare sul riquadro verde del componente PC e connettere la rete al riquadro verde di Ubiquity Router.
Page 156 / 162
Fare click sul riquadro verde del componente Ubiquity Router per configurare l’indirizzo IP dell’interfaccia
ethernet del router che corrisponde all’indirizzo IP assegnato alla porta LAN del router stesso.
Page 157 / 162
Fare click su riquadro verde di del componenbte PC per configurare l’indirizzo IP dell’interfaccia.
L’indirizzo che si configura deve essere il medesimo assegnato all’interfaccia virtuale “Ubiquity VPN” sul PC
Control Center durante la sessione VPN.
6.3
Note sull’utilizzo di Ubiquity Runtime con sistemi Hilscher (MPI)
Queste istruzioni fanno riferimento alla versione 1.54 del driver IBH.
Il NL50-MPI / NT50-MPI deve essere alimentato e collegato in rete.
Di seguito viene riportato lo schema di collegamento Hardware.
Page 158 / 162
Dal sito http://www.ibhsoftec.com, è possibile scaricare gli aggiornamenti del driver. La
versione attuale è scaricabile dal seguente link:
http://download.ibhsoftec.com/neutral/IBHNet154Setup.exe
Installare il driver IBH dal CD allegato al NL50-MPI / NT50-MPI o scaricato dal sito sopra citato.
Al termine dell'installazione occorre riavviare il PC.
Avviare il programma e selezionare le proprietà dell’interfaccia PG/PC corrispondente, quindi cliccare sulle
impostazioni di rete per configurare una nuova stazione, come mostrato nella figura seguente.
Page 159 / 162
Assegnare un nome alla stazione, inserire l'indirizzo IP da assegnare al NL50-MPI / NT50-MPI, selezionare il
profilo da utilizzare (MPI, Profibus o PPI) e selezionare IBH Link S7 / IBH Link S7 ++.
Eventualmente alzare il tempo di Timeout per applicazioni di teleassistenza (ad esempio a 10.000 o 15.000
ms), come da immagine seguente.
Page 160 / 162
Avviare Ubiquity e connettersi in VPN con il pannello al quale è collegato l’adattatore Hilscher.
Evidenziare la stazione desiderata e premere "IBH Link S7".
Selezionare l’interfaccia di rete “Ubiquity Eterneth Adapter” (figura seguente) dove è è presente il NL50MPI/NT50-MPI (vengono così cercati i dispositivi collegati all'interfaccia di rete selezionata), quindi
confermare.
Evidenziare il NL50-MPI / NT50-MPI trovato e premere "Settings".
Se il NL50-MPI / NT50-MPI non è mai stato configurato (o se il PC da cui si sta operando ed il NL5
MPI /NT50-MPI hanno indirizzi IP appartenenti a sottoclassi diverse), impostare il suo indirizzo IP (si veda la
figura seguente)
L'indirizzo IP inserito è impostato solo provvisoriamente, fintantoché non verrà eseguito il comando
Page 161 / 162
di salvataggio definitivo. Se a questo punto si spegne il NL50-MPI / NT50-MPI, l’indirizzo IP appena
impostato con questa procedura di "pre-assegnazione" viene perso.
Nella finestra Network, impostare indirizzo IP, subnet mask e gateway da assegnare al NL50-MPI /
NT50- MPI, come mostrato nella figura seguente.
Nella finestra MPI/Profibus, impostare:
 Communication speed: Baudrate.
 Own device Address: indirizzo MPI /PPI/Profibus da assegnare al NL50-MPI / NT50-MPI. Tenere
presente che tale indirizzo deve essere diverso da quello impostato per il PLC e da quello di tutti i
partecipanti alla rete MPI/PPI/Profibus.
 Maximum device address: numero massimo di nodi partecipanti alla rete, come da configurazione
HW in Step7 o TIA Portal.
 Bus Profile: MPI/PPI o Profibus.
Dopo aver effettuato le impostazioni, premere "Save permanently" per memorizzare i dati nel NL50-MPI /
NT50-MPI. A questo punto i parametri assegnati non vengono più persi dopo uno spegnimento
del NL50- MPI / NT50-MPI.
Page 162 / 162

Manuale Utente Ubiquity

Transcript

Documenti analoghi

ADSL2+ router 54G Turbo ADSL2+ router MiMoXR

ADSL2+ router 54G Turbo ADSL2+ router MiMoXR

138 Adsl 2 parte2 - Usr

HMI25-ITA

Domanda: Non riesco ad accedere alla pagina di

Remote Assistance Solutions

Reason 442: Failed to enable Virtual Adapter Cisco VPN Client su

TELE System Wi-lly 0.1 – Adattatore Ethernet