AUL43 Zastosowanie zaawansowanych funkcji EtherNet/IP w Architekturach Sieci Zakładowych Converged Plant-wide Ethernet (CPwE) For Classroom Use Only!

AUL43 Zastosowanie zaawansowanych funkcji EtherNet/IP w Architekturach Sieci Zakładowych Converged Plant-wide Ethernet (CPwE) For Classroom Use Only!

Important User Information This documentation, whether illustrative, printed, online or electronic (hereinafter Documentation) is intended for use only as a learning aid when using Rockwell Automation approved demonstration hardware, software and firmware. The Documentation should only be used as a learning tool by qualified professionals. The variety of uses for the hardware, software and firmware (hereinafter Products) described in this Documentation, mandates that those responsible for the application and use of those Products must satisfy themselves that all necessary steps have been taken to ensure that each application and actual use meets all performance and safety requirements, including any applicable laws, regulations, codes and standards in addition to any applicable technical documents. In no event will Rockwell Automation, Inc., or any of its affiliate or subsidiary companies (hereinafter Rockwell Automation) be responsible or liable for any indirect or consequential damages resulting from the use or application of the Products described in this Documentation. Rockwell Automation does not assume responsibility or liability for damages of any kind based on the alleged use of, or reliance on, this Documentation. No patent liability is assumed by Rockwell Automation with respect to use of information, circuits, equipment, or software described in the Documentation. Except as specifically agreed in writing as part of a maintenance or support contract, equipment users are responsible for: properly using, calibrating, operating, monitoring and maintaining all Products consistent with all Rockwell Automation or third-party provided instructions, warnings, recommendations and documentation; ensuring that only properly trained personnel use, operate and maintain the Products at all times; staying informed of all Product updates and alerts and implementing all updates and fixes; and all other factors affecting the Products that are outside of the direct control of Rockwell Automation. Reproduction of the contents of the Documentation, in whole or in part, without written permission of Rockwell Automation is prohibited. Throughout this manual we use the following notes to make you aware of safety considerations: Identifies information about practices or circumstances that can cause an explosion in a hazardous environment, which may lead to personal injury or death, property damage, or economic loss. Identifies information that is critical for successful application and understanding of the product. Identifies information about practices or circumstances that can lead to personal injury or death, property damage, or economic loss. Attentions help you: identify a hazard avoid a hazard recognize the consequence Labels may be located on or inside the drive to alert people that dangerous voltage may be present. Labels may be located on or inside the drive to alert people that surfaces may be dangerous temperatures.

Contents O Ćwiczeniu... 4 Tematyka... 4 O Stratix 5700... 5 About Stratix 8000... 7 Zanim zaczniemy... 8 Instructor Information... 8 Narzędzia... 8 Sprzęt... 8 Stanowisko Ćwiczeniowe - Połączenia... 9 Lab 1: Network Address Translation (NAT) w Warstwie 2 Sieci... 10 Wstęp... 10 NAT in a Layer 2 architecture... 10 Lab 1 Scenariusz... 11 Konfiguracja NAT w Stratix 5700 przy użyciu interfejsu Device Manager... 12 Weryfikacja operacji NAT... 19 Komunikacja EtherNet/IP przez NAT... 22 Lab 2: VLAN Segmentation, Connected Routing i Network Address Translation (NAT) w Warstwie 3.... 30 Wstęp... 30 NAT w Architekturze Warstwy 3... 30 Lab 2 Scenariusz... 31 Konfiguracja VLAN-ów i Connected Routing... 33 Weryfikacja pracy routingu... 40 Konfiguracja NAT dla Architektury w Warstwie 3... 44 Weryfikacja komunikacji EtherNet/IP przez NAT... 49 Podsumowanie... 53 Lab Information... 54 Hardware Configuration... 54 3 of 63

Lab Resetting and Startup Procedures... 56 Lab Troubleshooting... 62 O Ćwiczeniu Welcome to the Applying Advanced EtherNet/IP Features in Converged Plant-wide Ethernet Architectures Lab. The Stratix 5700 and Stratix 8000 are Rockwell Automation managed Ethernet switches that utilize Cisco technology and offer the best of both worlds. These switches offer the Best of Cisco and the Best of Allen-Bradley. The Stratix family of switches utilizes the Cisco Catalyst switch architecture and feature set, leveraging powerful configuration tools, to provide secure integration with the enterprise network while at the same time supporting a familiar structure for IT professionals. Both the Stratix 5700 and 8000 Switches allow for easy setup and comprehensive diagnostics from within the Rockwell Automation Integrated Architecture. These switches can be configured using Studio 5000 programming software. They also automatically generate Logix tags for integrated diagnostics and include FactoryTalk View faceplates for status monitoring and alarming. Together these features provide for an easy integration of networking devices into control and automation architectures. This lab covers a variety of advanced techniques, best practices, software packages, and products using EtherNet/IP. It will demonstrate Network Address Translation (NAT) in Layer 2 as well as Layer 3 architectures, Virtual LAN (VLAN) segmentation, and Connected Routing. A prior understanding of general Ethernet concepts, including switching and routing is recommended. It is also recommended (but not required) to complete Applying EtherNet/IP and Stratix Switches in Real-Time Applications lab before starting this lab. Tematyka As you complete the exercises in this hands-on session, you will: Learn how to set up the advanced functions of a Stratix family managed Ethernet switches. Learn how to configure the Stratix 5700 and Stratix 8000 via either of the following methods: o o Device Manager outlines basic and advanced configurations along with troubleshooting tools Studio 5000 outlines basic and advanced configurations along with diagnostics and troubleshooting tools available for use within a Studio 5000 program Learn how to set up NAT in Layer 2 and 3 Architectures. Learn how to segment a network with multiple VLANs and set up Connected Routing. Learn how to use DHCP Persistence for automatic IP address assignment. Lab 1 will walk you through the steps of setting up NAT for Layer 2 architecture system using Device Manager. Lab 2 will walk you through the steps of VLAN assignment and network segmentation, Connected Routing and NAT in a Layer 3 architecture. 4 of 63

O Stratix 5700 In this lab, we will introduce you to the Stratix 5700 Ethernet managed switch with Cisco technology. The Stratix 5700 Managed Ethernet Switch is equipped with up to 20 ports that can include standard 10/100Mbps copper ports, 10/100/1000Mbps copper ports (optional), and SFP (Small Form factor Pluggable) fiber optic ports (optional). There are two power connectors on the top right of the switch. You can connect the switch to two separate 12-54VDC power sources for redundancy. Note: some switches support PoE and require 48VDC. Additional connectors on the bottom right provide hardwired contacts for major and minor alarms. These can be configured to be normal open or normal closed. The Express Setup button is located on the top. Express Setup allows you to easily configure the switch for Industrial EtherNet/IP networks. It automatically enables, among others, the CIP protocol, Quality of Service (QoS), IGMP, alarms and smartport macro s which have recommended configurations for automation devices to provide best performance in control applications where different needs exist compared to IT networks. The Console ports on the top (RJ-45 and USB connector) allow direct access to the switch via Cisco s Command Line Interface (CLI). The Secure Digital (SD) card slot is located in the bottom. The optional SD card allows you to simplify device replacement by storing switch configuration and firmware. The Stratix 5700 can be managed via the Device Manager Web interface for configuration, troubleshooting and monitoring. Using this software, real-time information can be viewed. In addition to the Device Manager, the switch can also be managed via the Studio 5000 environment after Express Setup on the switch is complete. Through Device Manager, a front panel view of the Stratix 5700 can be observed where switch components are color-coded to indicate state of the switch. An existing fault or error condition can be observed to match the front of the physical switch LEDs status indicators. The advanced features of the switch that are covered in this lab include Virtual LAN (VLAN) and Network Address Translation (NAT). 5 of 63

A complete description of the hardware and software features of the Stratix 5700 switch can be found in the Stratix Managed Switches User Manual (Publication 1783-UM007). A reference to all different catalog numbers and supported features for the Stratix 5700 platform can be found in the Switch Reference Chart (Publication enet-qr002) 6 of 63

About Stratix 8000 In this lab, we will also use the Stratix 8000 Ethernet managed switch with Cisco technology. The Stratix 8000 Managed Ethernet Switch is a modular switch that can be expanded up to 26 ports with the use of expansion modules. There are two 24VDC power connectors on the top left of the switch. Additional connections on the power connectors provide hardwired contacts for major and minor alarms. These can be configured to be normal open or normal closed. The Express Setup button is located below the power connections. Express Setup allows you to easily configure the switch for Industrial EtherNet/IP networks. It automatically enables, among others, the CIP protocol, Quality of Service (QoS), IGMP, alarms and smartport macro s which have recommended configurations for automation devices to provide best performance in control applications where different needs exist compared to IT networks. The Console port on the left (RJ-45 connector) allows direct access to the switch via Cisco s Command Line Interface (CLI). The CompactFlash card slot is located in the bottom. The flash card stores the switch configuration and firmware and can be used for quick hardware replacement. This CF card comes with the switch. The Stratix 8000 can be managed via the Device Manager Web interface for configuration, troubleshooting and monitoring. Using this software, real-time information can be viewed. In addition to the Device Manager, the switch can also be managed via the Studio 5000 environment after Express Setup on the switch is complete. Through Device Manager, a front panel view of the Stratix 5700 can be observed where switch components are color-coded to indicate state of the switch. An existing fault or error condition can be observed to match the front of the physical switch LEDs status indicators. The advanced features of the Stratix 8000 switch that are covered in this lab include Virtual LAN (VLAN), Dynamic Host Configuration Protocol (DHCP) and Connected Routing. A complete description of the hardware and software features of the Stratix 8000 switch can be found in the Stratix Managed Switches User Manual (Publication 1783-UM007). An overview of the Stratix family can be found in the manual Stratix Industrial Networks Infrastructure At-A-Glance (Publication enet-qr001). 7 of 63

Zanim zaczniemy Instructor Information The Instructor Information outlines the setting up, resetting and troubleshooting the Lab. Please refer to Appendix A in the back of the Lab Manual for additional Instructor Information. Narzędzia PC with Microsoft Internet Explorer V9, V10, V11 or Mozilla Firefox V25, V26 with JavaScript enabled, Studio 5000 v28, FactoryTalk View Studio 8.1 Stratix 5700 with IOS 15.2(3).EA1 preloaded Stratix 8000 with IOS 15.2(3).EA1 preloaded Stratix switch Add-On Profile (AOP) v9.01.04 for integration into Studio 5000 Stratix 5700 AOI and Factory Talk View Faceplate v3.0 Stratix 8000 AOI and FactoryTalk View Faceplate v6.0 Sprzęt This hands-on lab uses the following hardware: ENET 21 Demo Box (10P084A#2) Updated with Stratix 5700 NAT & 1756-L85E Machine Controller POINT I/O Stratix 5700 Line Controller Stratix 8000 8 of 63

Stanowisko Ćwiczeniowe - Połączenia Spójrz na poniższy diagram. System składa się z dwóch sterowników ControlLogix, switcha Stratix 8000 i Stratix 5700, Point I/O, ETAP, ArmorBlock I/O i komputera. Górny ControlLogix pod nazwą Machine Controller posiada dwa połączenia Ethernet. Moduł procesora ControlLogix z wbudowanym portem 1Giga w slocie 0 podłączony jest do switcha Stratix 5700, moduł Ethernet w slocie 3 do sieci DLR (Device Level Ring). Dolny ControlLogix, jako Line Controller, połączony jest przez moduł Ethernet w slocie 1 do Stratix 8000 switch. Połączenia kablowe zostały już przygotowane dla Ciebie. Oznaczenia kabli w skrzynce demo powinny być adekwatne do poniższego diagramu, upewnij się, że tak jest. 1 Machine Controller ETAP Fa1/2 Stratix 5700 ArmorBlock Point I/O 8 Fa1/3 1 2 3 4 6 Fa1/7 2 Fa1/8 Gi1/1 7 Line Controller 7 Gi1/1 10 9 Fa1/3 Fa1/2 Stratix 8000 Cable numbers with connection detail 1. Machine L85E Slot 1 to Stratix 5700 Fa 1/2 2. Machine EN2TR Slot 3 Port 1 to Stratix 5700 Fa 1/8 3. Machine EN2TR Slot 3 Port 2 to 1734-AENTR Port 1 4. 1734-AENTR Port 2 to 1783-ETAP Port 1 (front) 5. Not used 6. 1783-ETAP Port 2 (rear) to Stratix 5700 Fa 1/7 7. Stratix 8000 Gi 1/1 to Stratix 5700 Gi 1/1 8. ArmorBlock I/O to Stratix 5700 Fa 1/3 9. Line EN2TR Slot 1 Port 1 to Stratix 8000 Fa 1/3 10. PC to Stratix 8000 Fa 1/2 (separate cable) 9 of 63

Lab 1: Network Address Translation (NAT) w Warstwie 2 Sieci Wstęp Integracja nowej maszyny lub części procesu z istniejącą siecią zakładową może być nie lada wyzwaniem z wielu powodów. Adresy IP wykorzystane przez dostawcę OEM zazwyczaj mają się nijak do adresacji użytkownika końcowego, co więcej, ciężko jest uprzedzić te problemy przed uruchomieniem maszyny w miejscu docelowym. Oczywistym jest, że jeżeli mamy kilka identycznych maszyn z tą samą adresacją, nie możemy ich podłączyć bezpośrednio do wspólnej sieci, ze względu na duplikację adresów. W wielu przypadkach użytkownik nie przewiduje (nie może) adresacji wszystkich urządzeń automatyki w głównej sieci przemysłowej / zakładowej. Network Address Translation (NAT) może być odpowiedzią na powyższe problemy. NAT w przełącznikach Allen- Bradley Stratix 5700 to sprzętowe, co za tym idzie, wydajne rozwiązanie, które umożliwia: Uproszczone mapowanie adresów IP pomiędzy poziomem maszyny a siecią zakładową Zachowanie powtarzalności maszyn w odniesieniu do ich programów, konfiguracji, parametryzacji. Te same IP->ten sam jeden projekt / konfiguracja = proste utrzymanie Stratix 5700 z technologią NAT umożliwia także izolowanie urządzeń, które nie powinny z różnych względów być eksponowane w nadrzędnych sieciach. Ograniczenie dostępu do urządzeń to bezpieczeństwo oraz optymalizacja ruchu w sieci. NAT in a Layer 2 architecture Najprostsza architektura do zaimplementowania NAT w warstwie 2 switcha to mała sieć z jednym VLANem, bez potrzeby stosowania routingu. Poniższy rysunek przedstawia przykład takiej architektury. Dwie identyczne maszyny podłączone do większej sieci, ale tym samym VLAN. 10 of 63

Lab 1 Scenariusz Chcemy dodać kilka maszyn do naszej istniejącej już architektury sieciowej z jednym VLAN-em, bez switcha. Każda z maszyn będzie miała identyczne wyposażenie i ustawienia sieci. Ponieważ chcemy zachować identyczne adresy w każdej maszynie, musimy zaimplementować NAT. Każda skrzynka demo posiada sterownik Linii (Line controller) dla nadrzędnego sterowania i sterownik maszyny (Machine controller) do operacji na poziomie maszynowym. Chcemy pozostawić istniejącą adresację maszyny i posiadać jeden, wspólny projekt Studio 5000 na wszystkie pozostałe / podobne maszyny (bez konieczności re-adresacji). Musimy skonfigurować NAT w switchu 5700, gdzie Prywatnym adresom IP przypiszemy unikalne adresy Publiczne. NAT będzie także tłumaczył adresy Publiczne na unikalne adresy Prywatne, np. adresy IP sterownika Linii i PC. Konfiguracja NAT i adresy IP dla Lab 1 pokazane są na poniższym diagramie. W tym ćwiczeniu górna kaseta to sterowanie Maszyny a dolna kaseta to sterownik Linii. 192.168.1.6 192.168.1.2 192.168.1.7 Machine Controller 192.168.1.5 ETAP Point I/O Stratix 5700 ArmorBlock 192.168.1.3 MACHINE 192.168.1.4 NAT INSIDE (PRIVATE) VLAN 10 10.10.10.20 Line Controller OUTSIDE (PUBLIC) VLAN 10 10.10.10.30 Stratix 8000 10.10.10.1 PC Private to Public NAT Table Public to Private NAT Table Device Private Public Stratix 5700 192.168.1.2 10.10.10.2 L85E 192.168.1.3 10.10.10.3 EN2TR (DLR) 192.168.1.4 10.10.10.4 Device Public Private Stratix 8000 10.10.10.1 192.168.1.1 EN2TR (Line) 10.10.10.20 192.168.1.20 PC 10.10.10.30 192.168.1.201 Note: NAT devices may use words such as "public" or outside to identify larger (i.e. plant-wide) network with unique IP addressing scheme, and "private" or inside to describe smaller (i.e. machine-level) networks with reusable IP addresses. The Stratix 5700 switch uses public / private terminology in the Device Manager. 11 of 63

Konfiguracja NAT w Stratix 5700 przy użyciu interfejsu Device Manager W pierwszej kolejności, połączymy komputer do części maszynowej Stratix 5700 (switch posiada adres IP 192.168.1.2) i skonfigurujemy na nim NAT. Ponieważ nie posiadamy jeszcze konfiguracji NAT, nie jesteśmy w stanie dostać się do sieci maszynowej 192.168.1.x z poziomu podsieci Linii (switch Stratix 8000) z adresacją 10.10.10.x IP. 1. Przepnij kabel PC z portu Fa1/2 Stratix 8000 do Fa1/1 w przełączniku Stratix 5700. 2. Sprawdź adres IP komputera (192.168.1.201). Kliknij dwa razy na skrót na pulpicie Local Area Connection i wybierz Properties. Zaznacz Internet Protocol Version 4 (TCP/IPv4) i kliknij na przycisk Properties. 12 of 63

Adres PC powinien być ustawiony na 192.168.1.201 (Adres IP podsieci) z maską 255.255.255.0. Zamknij okna. 3. Otwórzmy interfejs Device Manager Stratix 5700 uruchom przeglądarkę Internet Explorer przez ikonę na pasku zadań 4. Wprowadź adres switcha 192.168.1.2 i wciśnij Enter. 5. W oknie uwierzytelnienia pole username pozostaw puste, jako hasło wprowadź rockwell. 13 of 63

6. Jesteś na stronie Stratix 5700 Device Manager. Rozwiń na pasku menu Configure i wybierz NAT. 7. Skonfigurujesz nową instancję NAT. Kliknij na przycisk Add. 14 of 63

8. Zostaniesz przekierowany na okno Add / Edit NAT Instance. Tu wprowadzisz i sparametryzujesz translacje NAT. 9. Wprowadź nazwę instancji, jako Advanced_Lab. 15 of 63

Musimy wskazać interfejsy i VLAN-y przewidziane dla naszej instancji. Kiedy przypisujesz VLAN do instancji NAT, pamiętaj: NAT w Stratix 5700 NIE zmienia / podmienia Tag-ów VLAN. To oznacza, że oby dwie podsieci private i public muszą mieć wspólny VLAN do komunikacji. Domyślnie, każda instancja przypisana jest do wszystkich VLAN-ów na porcie Gi1/1 (tylko) O chwili, gdy VLAN jest przypisany do instancji NAT, cały ruch w jego obrębie jest translowany lub odrzucany zgodnie z konfiguracją instancji. Jeżeli VLAN nie jest przypisany do NAT, ruch odbywa się bez ograniczeń przez tzw. Trunk port. 8. W tym labie używamy VLAN 10 i interfejs Gi1/1. Zaznacz tylko VLAN 10 pozostałe odznacz. 9. Kliknij przycisk Add Row w sekcji Private to Public - zakładka General. 16 of 63

10. W polach Private IP Address i Public IP Address, wprowadź adresy zgodne z tabelką. Kliknij Save po wprowadzeniu każdej z par adresów. Aby dodać nową parę kliknij na Add Row. Poniżej tabelka z translacjami adresów prywatnych na publiczne (sieć maszyny -> sieć linii). Private to Public NAT Table Device Private Public Stratix 5700 192.168.1.2 10.10.10.2 L85E 192.168.1.3 10.10.10.3 EN2TR DLR 192.168.1.4 10.10.10.4 17 of 63

11. Teraz kliknij na zakładkę Public to Private i wprowadź translacje dla urządzeń w podsieci publicznej. Public to Private NAT Table Stratix 8000 10.10.10.1 192.168.1.1 Line EN2TR 10.10.10.20 192.168.1.20 PC 10.10.10.30 192.168.1.201 Wprowadziłeś translacje dla pojedynczych adresów IP. Istnieje możliwość tłumaczenia zakresów adresów (range) lub całych podsieci. Stratix 5700 obsługuje 128 translacji dla instancji NAT, gdzie Zakres lub Podsieć to też jedna translacja. 12. Kliknij Submit, aby sfinalizować konfigurację i zamknij Device Manager. 18 of 63

Weryfikacja operacji NAT Po konfiguracji NAT czas na testy. Sprawdźmy, czy możemy dostać się do Stratix 5700 przez sieć linii (10.10.10.x) przez jego publiczny adres IP. 13. W pierwszej kolejności połącz komputer do przełącznika Stratix 8000 poziomu sieci Linii. Zmień adres IP komputera na adres w sieci Linii 10.10.10.30. Wypnij kabel PC z portu Fa1/1 Stratix 5700 Fa1/1 i umieść go w porcie Fa1/2 Stratix 8000. 14. Kliknij dwa razy na skrót Local Area Connection na pulpicie i wybierz Properties. Zaznacz IPv4 wybierz Properties. Zmień adres IP na 10.10.10.30 a adres local gateway address na 10.10.10.1. Zamknij otwarte okna. Uwaga: powyższe zmiany dotyczą obrazu wirtualnej maszyny VMWare a nie głównego hosta. Od chwili uruchomienia NAT na Stratix 5700, mamy możliwość łączenia się z siecią Maszyny z poziomu sieci Linii (Stratix 8000). 19 of 63

15. Sprawdź konfigurację NAT-a przez otworzenie Device Manager Stratix 5700. Dostaniemy się do switcha Stratix 5700 przez jego przetłumaczony adres IP 10.10.10.2. 16. Ponownie w oknie uwierzytelnienia wprowadź tylko hasło rockwell (Tak jak poprzednio) 17. Dostałeś się do tego samego interfejsu przełącznika. Zwróć uwagę na wyświetlane informacje widać, że instancja NAT została uruchomiona. Z punktu widzenia utrzymania ruchu, to bardzo praktyczne rozwiązanie, gdy switch z podsieci maszyny jest widoczny z poziomu wyższej podsieci. 20 of 63

18. Możemy także obejrzeć statystyki pracy instancji NAT. Kliknij w menu na Monitor i wybierz NAT Statistics. 21 of 63

Komunikacja EtherNet/IP przez NAT Z działającą siecią jesteśmy w stanie wgrać programy do obu kontrolerów (Linii i Maszyny). 19. Otwórz skrót do folderu Lab Files na pulpicie. W folderze laba (AUL43), otwórz folder Applying Advanced EtherNet/IP Features in CPwE Systems, następnie otwórz projekt na sterownik Linii (dolna kaseta) Bottom_CLX_Line_Lab1.ACD. 20. Kliknij na przycisk Who Active. Rozwiń VLAN10 Ethernet driver. Odszukaj procesor Linii pod adresem 10.10.10.20, slot 0 i kliknij Download. 22 of 63

21. Kliknij Download. 22. Wybierz Yes, aby przełączyć sterownik w tryb Remote Run. 23. Jeżeli powyższe okienko się nie pojawi, przełącz sterownik w tryb Run Mode przez kontrolkę online w lewym górnym rogu projektu. 23 of 63

Teraz możemy wgrać program do sterownika Maszyny (górna kaseta). 24. Otwórz ponownie folder Lab Files (skrót na pulpicie). Z folderu AUL43->Applying Advanced EtherNet/IP Features in CPwE Architectures, otwórz plik Top_CLX_Machine_Lab1.ACD. 25. Kliknij na Who Active. Rozwiń VLAN10 Ethernet driver. Odszukaj procesor Maszyny pod adresem 10.10.10.3 (slot 0 górna kaseta) i kliknij Download. Ten sterownik to nowy 5580 ControlLogix (1756-L85E), który posiada wbudowany port 1 Gigabit Ethernet. To rozwiązanie jest dedykowane pod aplikacje wymagające dużej wydajności i duże sterownie motion. Wbudowany port to często brak potrzeby stosowania dodatkowych modułów Ethernet. Zintegrowane Motion na EtherNet/IP obsługuje do 256 osi, obsługa 32 osi na ms. 24 of 63

8. Kliknij Download. Kliknij Yes, aby zmienić tryb pracy na Remote Run. 9. Jeżeli powyższe okienko się nie pojawi, przełącz sterownik w tryb Run Mode przez kontrolkę online w lewym górnym rogu projektu. 10. Program wgrany. Sterownik Maszyny odbiera dane od sterownika Linii przez zmienne Produced / Consumed (mechanizm wymiany danych producent / konsument wymaga stałego połączenia między kontrolerami). Przejdź do podprogramu Main w programie Main Program, spójrz na szczebel 0. Kiedy połączenie dla zmiennych Produced / Consumed jest zestawione, program sygnalizuje to migającymi wyjściami modułu Point I/O, co sygnalizuje nam poprawnie działający NAT. 25 of 63

11. W programie Maszyny, w drzewie I/O kliknij dwa razy na module sterownika 1756-L85E (CLX_Machine_Lab1) w slocie 0, aby otworzyć okno Controller Properties. Zauważ, że aby wgrać program do sterownika musieliśmy użyć publicznego adresu 10.10.10.3, pomimo, że sterownik jest poza siecią Linii (Stratix 8000 switch). Co więcej, jeżeli podejrzymy ustawienia portu sterownika Maszyny (zakładka Internet Protocol), to okaże się, że adres sterownika pochodzi z podsieci lokalnej (Maszyny): 192.168.1.3. 26 of 63

12. Otwórz okno Properties modułu RemoteEN2TR 1756-EN2TR w drzewie Ethernet network. Adres IP zdalnego modułu (Linii) jest skonfigurowany, jako 192.168.1.20 w programie Maszyny. Prawdziwy adres, ustawiony w module to 10.10.10.20 moduł jest zlokalizowany w sieci Publicznej. 27 of 63

13. Otwórz RSLinx Classic przez skrót na pulpicie, następnie otwórz okno RSWho. Rozwiń driver VLAN10 Ethernet. Pamiętaj, że komputer przeszukuje sieć Publiczną 10.10.10.0: Aplikacja RSLinx Classic pokazuje zarówno adresy rzeczywiste (nietranslowane) jak i przetłumaczone zwróć uwagę na moduł EN2TR i sterownik 5580 controller. Widzimy je, ponieważ zostały uwzględnione w tablicy NAT. Nie widzimy natomiast reszty urządzeń sieci Maszyny, np. wyspy POINT I/O, ponieważ nie dodaliśmy ich do translacji. Prawdziwe / rzeczywiste adresy IP to adres switcha Stratix 8000 (10.10.10.1) i sterownika Linii (10.10.10.20). 28 of 63

14. Uruchom aplikację FactoryTalk View SE Client klikając na pliku EIP_Adv_Lab.cli zlokalizowanym w katalogu Applying Advanced EtherNet/IP Features in CPwE Architectures (Lab Files->AUL43.). Po około minucie klient wizualizacji uruchomi ekran Lab1. Aplikacja HMI pokazuje ogólny stan sieci. Upewnij się, że wszystkie połączenia są zielone. Ukończyłeś Lab 1. 29 of 63

Lab 2: VLAN Segmentation, Connected Routing i Network Address Translation (NAT) w Warstwie 3. Wstęp W poprzednim ćwiczeniu implementowaliśmy NAT w architekturze Warstwy 2 sieci, bez segmentacji VLAN i routingu. Tego typu architekturę można stosować w małych sieciach, w przypadku rozrastających się sieci, staje się niewystarczająca. Używanie NAT w architekturze z jednym VLAN-em wprowadza pewien poziom segmentacji przez separację urządzeń nietranslowanych. Jednak ta metoda nie jest pełną segmentacją, choćby, dlatego że ruch związany z broadcastem jest przepuszczany przez całą sieć. Większe systemy produkcyjne wymagają projektowania sieci hierarchicznych z wykorzystaniem switchy dystrybucyjnych Warstwy 3 (Layer 3) do obsługi segmentacji VLAN i routingu. Dodanie NAT-a do tego typu architektur daje możliwość integracji maszyn lub skidów z identycznymi adresami IP. Kolejną zaletą implementacji NAT-a w Warstwie 3 jest fakt, że adresy urządzeń z sieci publicznej nie muszą być translowane na prywatne, nawiązując od poprzedniego ćwiczenia nie musimy tworzyć tablicy Public to Private. NAT w Architekturze Warstwy 3 Poniższy rysunek demonstruje kilka maszyn lub skidów zintegrowanych z większą siecią przez switche Stratix 5700 NAT, gdzie każda maszyna używa osobnego VLAN. Użycie NAT w każdej (powtarzalnej / identycznej) maszynie umożliwia zachowanie identycznej adresacji, co pozwala pracę z maszymami na wspólnym, jednym, programie. Zastosowanie segmentacji sieci przez VLAN-y ogranicza, tzw. Domeny broadcast do poszczególnych podsieci maszyn, co pomaga w zabezpieczeniu maszyn przed problemami pozostałych części sieci. W poniższej architekturze, każdy Stratix 5700 ma NAT dla VLAN-a przypisanego do poszczególnej maszyny. Switch Warstwy 3 w sieci Publicznej to domyślny gateway dla każdego VLAN i ich router. 30 of 63

Lab 2 Scenariusz Chcemy dodać kilka maszyn to naszej sieci. Każda z nich będzie miała identyczne wyposażenie i konfigurację sieci. Ze względu na wymóg zachowania identycznej adresacji w maszynach, cały czas musimy implementować NAT. Tym razem nie chcemy budować płaskiej sieci w Warstwie 2, w oparciu o jeden wspólny VLAN. Dokonamy segmentacji sieci bazując na kilku VLAN-ach i routingu między nimi. Docelowa architektura pokazana jest na poniższym diagramie. Na potrzeby ćwiczenia, górna kaseta ControlLogix w skrzynce demo reprezentuje sterownik Maszyny, dolna kaseta sterownik Linii. 192.168.1.6 192.168.1.2 192.168.1.7 Machine Controller 192.168.1.5 ETAP Point I/O Stratix 5700 ArmorBlock 192.168.1.3 MACHINE 192.168.1.4 NAT INSIDE (PRIVATE) VLAN 10 10.10.20.20 Line Controller VLAN Trunk OUTSIDE (PUBLIC) 10.10.30.30 VLAN 20 VLAN 30 Stratix 8000 10.10.10.1 10.10.20.1 10.10.30.1 PC Private to Public NAT Table Gateway Translation Device Private Public Stratix 5700 192.168.1.2 10.10.10.2 L85E 192.168.1.3 10.10.10.3 EN2TR (DLR) 192.168.1.4 10.10.10.4 Device Public Private Stratix 8000 10.10.10.1 192.168.1.1 31 of 63

Chcąc zrealizować taką architekturę, musimy skonfigurować Connected Routing w Stratix 8000, aby VLAN-y mogły się komunikować między sobą (przez domyślny Gateway). Po pierwsze, stworzymy VLAN-y i przypiszemy je do konkretnych portów switcha Stratix 8000. Potem uruchomimy między nimi routing (technologia Connected Routing). Na koniec, zmodyfikujemy konfigurację NAT w Stratix 5700 z uwzględnieniem Warstwy 3. Adres Bramki (Gateway) Bramka, tzw. Gateway jest konieczna przy implementacji routingu. Każde urządzenie, które będzie chciało wysłać dane do adresu z poza własnej sieci wyśle je na adres domyślnej bramki. Sterownik Linii będzie umieszczony w VLAN 20, komputer (PC) w VLAN 30. Urządzenia Maszyny z Prywatną podsiecią (później translowaną) w VLAN 10. Zamiast używać translacji Public-to-Private dla każdego urządzenia z sieci Publicznej, stworzymy translacje bramki (gateway translation) dla adresu IP switcha Stratix 8000 w VLAN 10. Porty łączące switche między sobą skonfigurowane są, jako VLAN trunk mode. To oznacza, że porty będą mogły przesyłać ramki danych z różnych VLAN-ów. Inaczej ujmując, jest to wspólny kanał do przesyłania danych z różnych segmentów sieci. Nowa konfiguracja umożliwi komunikację (przez zmienne producent / konsument) pomiędzy dwoma sterownikami (Linii i Maszyny), efektem tego będą świecące wyjścia. 32 of 63

Konfiguracja VLAN-ów i Connected Routing 1. Uruchom Internet Explorer z paska zadań 2. Wprowadź adres IP Stratix 8000 10.10.10.1 i wciśnij enter. 3. W oknie uwierzytelniającym wprowadź tylko hasło rockwell. 4. Otworzyłeś Stratix 8000 Device Manager. Stworzymy tu segmentację naszej sieci przy użyciu VLAN-ów, potem uruchomimy routing Connected Routing. 33 of 63

5. Z menu rozwiń zakładkę Configure i wybierz VLAN Management. 6. W VLAN Management, widzisz przygotowane wcześniej VLAN 10 i VLAN 20. VLAN 10 był już przez nas wykorzystywany w poprzednim ćwiczeniu, VLAN 20 został stworzony specjalnie pod ten lab. Stworzymy teraz VLAN 30 dla komputera i aplikacji HMI. Aby stworzyć VLAN 30, kliknij przycisk Add. 34 of 63

7. Aby stworzyć VLAN, musisz podać jego nazwę name i unikalny identyfikator unique ID number. Zawsze możesz zmienić nazwę, ale nie ID. Wprowadź VLAN ID 30, Nazwę, jako VLAN30, wybierz IP Assignment Mode jako Static z adresem IP 10.10.30.1 i wybierz OK, aby stworzyć VLAN. Konfigurując VLAN w warstwie 3 switcha, musimy określić jego adres IP w tej podsieci VLAN, dokładnie w Switch VLAN Interface (SVI). Ten adres będzie także pełnił rolę adresu bramki dla urządzeń w podsieci - default gateway address. 8. Mamy VLAN, teraz musimy go przypisać do odpowiedniego portu. Wcześniej sprawdźmy, czy port ma właściwą konfigurację / rolę. Rozwiń zakładkę Configure i wybierz Smartports. 35 of 63

9. Wybierz Fa1/6 i upewnij się, że jego rola to Virtual Desktop for Automation. Jeżeli jest inaczej, wybierz właściwą z listy i zapisz Save. Virtual Desktop for Automation to rola smartport dostosowana do połączeń z komputerami obsługującymi wirtualne maszyny. Port będzie zoptymalizowany do pracy z dwoma adresami MAC (jeden to fizyczny adres karty sieciowej NIC, drugi to adres MAC wirtualnej karty dla obrazu VMWare). 10. Teraz z zakładki Configure wybierz Port Settings. 36 of 63

11. Port Fa1/6 jest aktualnie przypisany do domyślnego VLAN 1. Wybierz port Fa1/6 i kliknij Edit. 12. Upewnij się, że Administrative Mode ustawiony jest, jako Access i zmień Access VLAN na VLAN30-30. Kliknij OK, aby zapisać zmiany. 37 of 63

Przed zmianą adresu IP komputera i przeniesieniem go do sieci VLAN30 network, chcemy skonfigurować routing. Wykorzystamy funkcję switcha Connected Routing. Connected routing jest to funkcja dostępna w switchach warstwy 2: Stratix 8000, Stratix 5700 (Full version only), Stratix 5400 L2, Stratix 5410 L2, także w warstwy 3: Stratix 8300, Stratix 5400 L3 i Stratix 5410 L3. Włączenie Connected Routing umożliwia komunikację między urządzeniami we wszystkich VLANach skonfigurowanych na poziomie switcha. Urządzenia powinny używać adresu IP switcha, jako domyślnej bramki. Jest to najprostszy z możliwych mechanizmów routingu. Po zdefiniowaniu VLAN-ów wystarczy tylko go włączyć. Sugestia: Jeżeli chcesz ograniczyć ruch między VLAN-ami użyj control list (ACL). 13. Aby włączyć Connected Routing, szablon Switch Management Database (SDM) musimy ustawić, jako Lanbase Routing. Szablon SDM optymalizuje pamięć switcha pod konkretne funkcje. Przejdź do menu i wybierz Admin Menu, następnie SDM-Template. 38 of 63

14. Upewnij się, że szablon SDM jest ustawiony, jako Lanbase Routing. Aby nie tracić czasu, SDM powinien być ustawiony pod nasze potrzeby. Nie zmieniaj nic, jeżeli nie ma takiej potrzeby. Zmiana szablonu kończy się automatycznym restartem. 15. Z menu Configure wybierz Routing. 16. Aby włączyć Connected Routing, wybierz Enable Routing a potem Submit. Pole Gateway pozostaw puste. 17. Kliknij Yes po pojawieniu się okienka pop-up. Adres bramki (gateway) to adres następnego routera w sieci ( 39 of 63

next-hop router). Ponieważ Stratix 8000 nie będzie podłączony to wyższych warstw sieci / innych routerów nie ma potrzeby definiowania kolejnej bramki. Weryfikacja pracy routingu Z włączonym routingu, możemy przełączyć PC do VLAN 30 a sterownik Linii do VLAN 20. 18. Zmień adres IP PC na 10.10.30.30 a gateway na 10.10.30.1. 40 of 63

19. Podłącz kabel PC do Stratix 8000 port Fa1/6, do tego portu przypisany jest VLAN30. 20. Sprawdź, czy Connected Routing pracuje poprawnie, w pierwszej kolejności otwórz Device Manager Stratix 8000 przez adres 10.10.10.1. 21. Komendą ping sprawdź sterownik Linii. Otwórz linie komend (skrót na pulpicie) i wydaj komendę ping 10.10.10.20. 22. W tym momencie, sterownik Linii jest w VLAN 10 z adresem 10.10.10.20. W następnym kroku przeniesiemy go do VLAN 20. VLAN 20 jest już skonfigurowany pod ten lab. Port Fa1/4 przypisany do VLAN 20. Moduł sterownika Linii 1756-EN2TR (dolna kaseta, slot 1) jest ustawiona w tryb DHCP (dynamiczne przypisanie adresu IP). Stratix 8000 ma włączoną opcję DHCP Persistence, która przypisuje konkretne (zdefiniowane) adresy w zależności od portu i VLAN-a. 41 of 63

23. W Device Manager Stratix 8000, wybierz Configure DHCP i kliknij na zakładkę DHCP Persistence tab. Jak widzisz serwer DHCP skonfigurowany w switchu zawsze nada adres 10.10.20.20 urządzeniu podpiętemu pod port / interfejs Fa1/4 w VLAN20. 24. Z menu Configure, wybierz Port Settings. Tu widzimy, że port Fa1/4 jest w VLAN 20. 42 of 63

25. Wypnij kabel Sterownika Linii z Stratix 8000 port Fa1/3 i podłącz do Fa1/4. Line Controller (dolna kaseta) 26. Aby DHCP mogło przypisać nowy adres 10.10.20.20 do sterownika Linii, moduł 1756-EN2TR musi zostać wyłączony i włączony ponownie po zmianie portu. Wyjmij i włóż ponownie do dolnej kasety moduł EN2TR, ewentualnie wyłącz i włącz zasilanie na kasecie. Obserwując wyświetlacz modułu EN2TR, zauważysz po pewnej chwili nowy adres IP karty 10.10.20.20. 27. Dla pewności wydaj komendę ping dla adresu 10.10.20.20. Teraz możemy komunikować się między VLAN-ami (PC w VLAN 30 ze Sterownikiem Linii w VLAN 20). 43 of 63

Konfiguracja NAT dla Architektury w Warstwie 3 Obecnie uruchomiony NAT (poprzednie ćwiczenie) przeznaczony jest do pracy w pojedynczym VLAN. Naszym celem jest zaadoptowanie go do pracy w Warstwie 3 (w sieci z routingiem i wieloma VLAN-ami) Musimy usunąć z istniejącej instancji NAT (Stratix 5700) translację Public to Private i dodać translację bramki (Gateway). Aby uruchomić NAT należy stworzyć jedną lub więcej instancji NAT. W większości aplikacji, jedna instancja jest wystarczająca. Sposób translacji zależy od tego czy ruch będzie routowany, czy nie. Jeżeli ruch jest routowany musisz zdefiniować: Translacje private-to-public dla każdego (wybranego) urządzenia lokalnego, które chce się komunikować z podsiecią publiczną. Translacje bramki. 28. Przejdź do interfejsu Device Manager Stratix 5700. Internet Explorer na pasku zadań 29. Wprowadź adres IP (translowany) 10.10.10.2. 44 of 63

30. W oknie uwierzytelnienia wprowadź tylko hasło rockwell. 31. Z menu rozwiń Configure i wybierz NAT. 32. Zaznacz Advanced_Lab w NAT instances i kliknij Edit. 45 of 63

33. Wybierz zakładkę Public to Private. Musimy skasować wszystkie translacje Public-to-Private. Zaznacz wszystkie trzy translacje i wybierz Delete. Nie pomyl się. Upewnij się, że wybrałeś odpowiednią zakładkę! Zostaniesz zapytany o to czy na pewno chcesz skasować wskazane pozycje. Kliknij OK. NIE KLIKAJ SUBMIT W TYM MOMENCIE!!! 34. W zakładce General, pozostawimy wszystkie translacje Private-to-Public skonfigurowane wcześniej. Potrzebujemy wprowadzić Gateway Translation, aby urządzenia Maszyny mogły dostać się do domyślnej bramki, jaką jest Stratix 8000. Przejdź do sekcji Gateway Translation i kliknij Add Row. 46 of 63

47 of 63

35. Wprowadź Translacje Bramki z 10.10.10.1 Publiczny na 192.168.1.1 Prywatny. Zapisz Save. Uważaj Public gateway po lewej, Private gateway po prawej. 36. Teraz kliknij Submit, aby zapisać zmiany w konfiguracji NAT. 37. Teraz sprawdzimy poprawność naszych zmian. Otwórz linię komend i wydaj wprowadź komendę ping z adresem sterownika Maszyny 10.10.10.3. 48 of 63

Weryfikacja komunikacji EtherNet/IP przez NAT Jesteśmy gotowi do wgrania programów do sterowników Linii i Maszyny. Te programy uwzględniają zmianę, tzn. Sterownik Linii w VLAN 20 pod adresem IP 10.10.20.20. 38. Otwórz folder Lab Files z pulpitu. Z katalogu Applying Advanced EtherNet/IP Features in CPwE Systems, otwórz plik programu Bottom_CLX_Line_Lab2.ACD, który wgramy do sterownika Linii (dolna kaseta). Upewnij się, że otworzyłeś właściwy plik ( Line_Lab2 ). 39. Kliknij na przycisk Who Active. Rozwiń driver VLAN20_Lab2 i wyszukaj 10.10.20.20 slot 0. Kliknij Download. 49 of 63

40. Kliknij Download ponownie i wybierz Yes, aby zmienić tryb sterownika na Remote Run. Następnie prześlemy program do Sterownika Maszyny. 42. W tym samym katalogu, otwórz plik Top_CLX_Machine_Lab2.ACD przeznaczony dla sterownika Maszyny (górna kaseta). Upewnij się czy właściwy plik ( Machine_Lab2 ). 43. Kliknij na przycisk Who Active. Rozwiń driver VLAN10 Ethernet, odszukaj sterownik Maszyny 10.10.10.3 (slot 0 górna kaseta) i kliknij Download. 39. Kliknij Download ponownie i Yes, aby zmienić tryb na Remote Run. 50 of 63

Programy wgrane, wyjścia Point I/O świecą potwierdzając przy tym, że sterowniki Linii i Maszyny nawiązały komunikację. 44. W drzewie I/O programu Maszyny, kliknij PP Myszy na module RemoteEN2TR i wybierz Properties. Jak widzisz program Maszyny używa rzeczywistego (nietranslowanego) adresy sterownika Linii 10.10.20.20. Po skonfigurowaniu translacji bramki możemy używać bezpośrednio publicznych adresów z innych VLAN-ów. 51 of 63

45. Przejdź do aplikacji FactoryTalk View SE, kliknij na przycisk Go To Lab 2 Display i sprawdź poprawność połączeń (wszystko na zielono). Ukończyłeś LAB i całe Ćwiczenie. 52 of 63

Podsumowanie In this lab, you have worked through exercises that demonstrated the power and flexibility of the Stratix 5700 and the Stratix 8000 Ethernet Managed Switches and reviewed Network Address Translation, VLANs, Connected Routing and DHCP Persistence features of Stratix switches. You have completed the following tasks: Stratix 5700 Layer 2 Ethernet Managed Switch Configured a NAT instance in a Layer 2 architecture by specifying Private-to-Public and Public-to- Private translations. Configured a NAT instance in a Layer 3 architecture by specifying a Gateway translation. Stratix 8000 Ethernet Managed Switch Configured a VLAN, an SVI for the VLAN and assigned a port to a VLAN. Enabled Connected Routing between VLANs. Reviewed the DHCP Persistence feature. 53 of 63

Instructor s Use Only Lab Configuration and Setup Guide Lab Information Lab Name Applying Advanced EtherNet/IP Features in Converged Plant-wide Ethernet Architectures Lab Description This hands-on lab will demonstrate Network Address Translation (NAT) in Layer 2 and Layer 3 architectures, VLAN segmentation, and Connected Routing. A prior understanding of general Ethernet concepts, including switching and routing is recommended. Lab Creator Eduard Polyakov Sr. Commercial Engineer Date Created 9/1/2014 Updates: 3/31/2015 minor cleanup, updated screenshots 9/14/2015 added DLR on 5700 switch, updated screenshots and diagrams 12/09/2015 LVL - updated for AU EMEA (screenshots, diagrams, FYI); Studio V28; FTV8.1 Hardware Configuration Qty Demo Cat.# / Description Slot IP Address Firmware 1 ENET21 Demo Box Top CLX Chassis 1756-L85E/B Slot 0 28.011 1756-SFM Slot 1 N/A 1756-IB16ISOE Slot 2 2.011 1756-EN2TR/B Slot 3 192.168.1.4 5.008 Bottom CLX Chassis 1756-L75 Slot 0 27.011 1756-EN2TR/B Slot 1 10.10.10.20 (DHCP) or 10.10.20.20 (DHCP) 5.008 1756-IB16IF Slot 2 1.011 1756-OB16IEF Slot 3 1.011 Stratix 5700 Ethernet Switch N/A 192.168.1.2 IOS 15.2(3)EA1 192.168.1.1 (port Fa1/1) Stratix 8000 Ethernet Switch N/A 10.10.10.1 (VLAN 10) IOS 15.2(3)EA1 1783-ETAP 192.168.1.6 2.002 1734-AENTR/A Slot 0 192.168.1.5 3.006 1734-IB8 Slot 1 3.022 1734-OB8E Slot 2 3.018 1734-OE2V Slot 3 3.005 54 of 63

1732E-IB16M12SOEDR 192.168.1.7 1.008 Computer/Host Settings IP Address Operating System Configured as outlined in the various lab sections Windows 7 with Internet Explorer V9, V10, V11 or Mozilla V26, V27 installed Application Versions Vendor Software Version Service Pack RA Studio 5000 Logix Designer 27 + 28 RA RSLinx 3.80 RA FTViewSE 8.10 Cisco Cisco Network Assistant 6.2 Note: Please be aware that IP addresses of some of the devices change during the lab. The Stratix 8000 switch has several VLAN interfaces, each with its own IP address. This hands-on lab uses the updated ENET21 Demo Box. This system is comprised of 2 types of Control Logix controllers, 2 different types of Stratix Ethernet Switches, 1 Point I/O module, 1 Armor Block module, 3 different styles of Ethernet modules, and 1 Computer. Note: The same demo box is used for this Advanced EtherNet/IP lab and the Basic EtherNet/IP lab. The switch configuration and cabling for some of the devices is different between the labs. Please make sure that correct reset steps are followed since the box may be configured for a different lab. 55 of 63

Lab Resetting and Startup Procedures This section describes how to reset the hardware and verify configuration when setting up the lab and between the sessions. Please read all steps through one time before hooking and starting up the lab. 1. Wire up all Ethernet devices to the corresponding Ethernet ports on the Stratix 8000 and 5700 switches as seen below. Note that the Line Controller (connected to the Stratix 8000) is in the bottom chassis of the demo box. The Machine Controller (connected to the Stratix 5700 and DLR) is in the top chassis. 1 Machine Controller ETAP Fa1/2 Stratix 5700 ArmorBlock Point I/O 8 Fa1/3 1 2 3 4 6 Fa1/7 2 Fa1/8 Gi1/1 7 Line Controller 7 Gi1/1 10 9 Fa1/3 Fa1/2 Stratix 8000 Cable numbers with connection detail 1. Machine L85E Slot 1 to Stratix 5700 Fa 1/2 2. Machine EN2TR Slot 3 Port 1 to Stratix 5700 Fa 1/8 3. Machine EN2TR Slot 3 Port 2 to 1734-AENTR Port 1 4. 1734-AENTR Port 2 to 1783-ETAP Port 1 (front) 5. Not used 6. 1783-ETAP Port 2 (rear) to Stratix 5700 Fa 1/7 7. Stratix 8000 Gi 1/1 to Stratix 5700 Gi 1/1 8. ArmorBlock I/O to Stratix 5700 Fa 1/3 9. Line EN2TR Slot 1 Port 1 to Stratix 8000 Fa 1/3 10. PC to Stratix 8000 Fa 1/2 (separate cable) a. Make sure that Line EN2TR Slot 1 Port 1 (Bottom CLX) is connected to the Stratix 8000 Fa1/3. This is necessary for the correct IP address assignment in the Lab 1. b. Note that during the lab, users will move some cables to different switch ports. Please make sure that connections are restored between the sessions according to the diagram. 2. Restore the snapshot of the Advanced EtherNet/IP lab image on the PC. The IP address of the VM 56 of 63

should be set to 192.168.1.201. 3. Move the PC Ethernet cable to the Stratix 5700 port Fa1/1. This is a temporary connection to restore the 5700 switch configuration. 4. Restore the configuration on the Stratix 5700 switch using the CNA. a. Start the CNA (shortcut on the desktop). b. Select or type 192.168.1.2 in the Connect To field and click OK. c. Enter rockwell as a password. Leave the username field as blank. (If this fails, try admin as the username and rockwell as the password). Note: If the login fails, try to enter username admin and password rockwell. This may happen when a switch has just been upgraded to the new firmware and reset with the Express Setup procedure. After restoring configuration, only the password is needed. 57 of 63

d. Select Maintenance Configuration Archive in the menu. e. Select Restore tab. Select the option Show backed-up configurations of the selected device type. Select the last item in the list. Make sure that the note says Stratix 5700 - Start of Lab 1 (No NAT). Click Restore. f. Wait until the message says Restore complete. Click Restart. In the pop-up box, click OK. g. Click OK again and exit the CNA program. The switch will restart in 60 seconds. The boot time for the Stratix 5700 is approximately 1 minute. 58 of 63

5. Move the PC Ethernet cable to the Stratix 8000 port Fa1/1. This is a temporary connection to restore the 8000 switch configuration. 6. Restore the configuration on the Stratix 8000 switch using the Cisco Network Assistant (CNA). a. Start the CNA (shortcut on the desktop). b. Type or select 192.168.1.1 in the Connect To field and click OK. Important: We use 192.168.1.1 address on the Stratix 8000 switch only to reset the switch to the initial configuration. The port Fa1/1 is configured specifically for this purpose. If the connection fails for some reason, try to change the IP address of the PC to 10.10.10.30 and connect via the Fa1/2 port instead. c. Enter rockwell as a password. Leave the username field as blank. (If this fails, try admin as the username and rockwell as the password). Note: If the login fails, try to enter username admin and password rockwell. This may happen when a switch has just been upgraded to the new firmware and reset with the Express Setup procedure. After restoring configuration, only the password is needed. 59 of 63

d. Select Maintenance Configuration Archive in the menu. e. Select Restore tab. Select the option Show backed-up configurations of the selected device type. Select the last item in the list. Make sure that the note says Stratix 8000 Lab 1 Start (CR disabled, no VLAN 30). Click Restore. f. Wait until the message says Restore complete. Click Restart. In the pop-up box, click OK. g. Click OK and exit the CNA program. The switch will restart in 60 seconds. The boot time for the Stratix 8000 is approximately 1.5 minutes. 60 of 63

Note to Steps 4-7: Switch configurations change during the normal steps of the lab. Also, the demo box may arrive to the event configured for the Basic EtherNet/IP lab. Therefore it is necessary to restore switch configurations before each session. 7. Move the PC Ethernet cable back to the Stratix 8000 port Fa1/2. This completes the cabling for the lab according to the diagram. The IP address can remain as 192.168.1.201. Lab 1 uses this address in the beginning. 8. Power cycle the bottom ControlLogix chassis to reset the EN2TR module and get the new IP address. 9. Verify IP address assignment for the EN2TR modules. a. Machine L85E communication port slot 0 (Top CLX) - 192.168.1.3 b. Machine EN2TR slot 3 (Top CLX) - 192.168.1.4 c. Line EN2TR slot 1 (Bottom CLX) 10.10.10.20 (DHCP) 10. Make sure that DLR Supervisor mode is disabled on EN2TR module 192.168.1.20 (bottom chassis). 11. Make sure that DLR Supervisor mode is enabled on the EN2TR module 192.168.1.4 (top chassis). 12. Review the list of known issues and troubleshooting steps on the next page before conducting the lab. It is recommended to run through the lab on all stations before the event starts. 61 of 63

Lab Troubleshooting Some of the issues that may happen during the lab and during the reset are listed here. Possible Issues During the Lab Problem Cannot communicate to devices and switches when supposed to during the lab (i.e. cannot ping, connect to a switch via the webpage or go online with the controller) Unsupported device message on the Dashboard in Device Manager FactoryTalk Security logon prompt when opening Studio 5000 1756-IB16ISOE module (slot 2) may blink red, connection fault in I/O tree Troubleshooting Steps Verify the following to resolve the issue: 1. Correct IP address and the port for the PC according to the place in the lab. There are several steps where IP addresses and ports should change. 2. NAT configuration on the Stratix 5700 switch. Common mistakes are reversing private and public IP addresses, mistyping IP addresses, not configuring Public to Private tab, not configuring Gateway addresses in the Lab 2. 3. Correct VLAN assignment on the Stratix 8000 switch (Lab 2). 4. SDM template should be Lanbase Routing (Lab 2). 5. Routing should be enabled (Lab 2). Clear IE cache, restart the browser Try the following steps: 1. Make sure you are using the right VMWare image and shapshot! 2. Open FactoryTalk Directory Configuration Wizard (Start Rockwell Software FactoryTalk Tools). 3. Select both Network and Local directories as options. 4. Configure directories using username labuser and password rockwell as the local Windows administrator. Reset the module in the chassis (note that this module is NOT used during the lab). Possible Issues When Preparing or Resetting the Lab Problem Cannot login to the switch via the CNA or webpage using rockwell password. Cannot restore configurations using the CNA. Restore process fails. Cannot connect to the Stratix 8000 switch with 192.168.1.201 address on the Fa1/1 port. Troubleshooting Steps Try to enter username admin and password rockwell. The issue may be that the switch has been updated with the new firmware and the Express Setup procedure applied. The latest firmware requires a username for the Express Setup. After the correct lab configuration is restored with the CNA, only password is required. Verify that Windows firewall is disabled. Verify that Symantec or other antivirus software is not running on the PC. It seems like Symantec software on the computers with a standard RA image requires connection to the corporate network to allow TFTP connections. Disable any other TFTP software like Solarwinds. There should be no issues with the event PCs. Try to connect using 10.10.10.30 address and Stratix 8000 Fa1/2 port. If still not accessible, either perform an express setup or restore the configuration with a backup CF card. See KB 629150 for more details on how to copy bootable SD and CF cards. 62 of 63