BACnet/SC I

Der Datenaustausch über IPv4 läuft unverschlüsselt ab. Zudem wird das Steuerungsprotokoll DHCP (Dynamic Host Configuration Protocol) für den automatischen Bezug von IP-Adressen – vorteilhaft bei der Verwaltung großer Netzwerke – nicht unterstützt. Um solche GA-Netze abzusichern, war bisher der aufwändige Aufbau von VPNs (Virtual Private Network) erforderlich.

In diesem Beispiel übermittelt der Internet-Router die Daten an den UBR-01, der mit seiner integrierten Netzwerkkarte zum einen als Medienkonverter das Datenprotokoll BACnet/IPv4 in BACnet/SC übersetzt. Zum zweiten verschlüsselt er die Datenkommunikation.

Der Internet-IP-Router der Zentrale verfügt zum Internet hin entweder über eine statische IP-Adresse, oder seine dynamische Adresse ist über dynamisches DNS auflösbar. Eingehende Datenpakete werden über einen festgelegten Port an einen UBR-01 weitergeleitet (Port Forwarding). Der UBR-02 fungiert hier als SC-Hub und als BACnet-Router, um eine GLT mit BACnet/IPv4 weiter verwenden zu können.

Unterhalb der zentralen Leitstelle sind zwei Versionen dargestellt, wie in diesem Szenario die gebäudetechnischen Anlagen an den verteilten Standorten an die Leittechnik angeschlossen werden können.

Auf der rechten Seite wird für die Datenübertragung zwischen lokaler Anlage und Internet ein Router eingesetzt, beispielsweise ein IP-fähiger DSL-Router. Dieser muss nicht Port-Forwarding-fähig sein. Das lokale Netzwerk umfasst nicht nur ein eigenes Netzwerk mit BACnet/IPv4-fähigen Devices für die Gebäudeautomation, sondern auch andere Endgeräte, wie etwa PCs in der Verwaltung. Die Kommunikation ist nicht abgetrennt, was bedeutet: Die anderen Geräte im Netzwerk können den IPv4-Traffic in BACnet sehen und gegebenenfalls darauf Einfluss nehmen.

Um diesen Standort fit für BACnet/SC zu machen, kann ein UBR-02 eingesetzt werden, der zwei Netzwerkkarten enthält. Eine der Netzwerkkarten routet die Daten in das lokale Netzwerk für die Gebäudeautomation, deren Endgeräte damit abgetrennt von den anderen Geräten im restlichen lokalen Netzwerk und somit abgesichert sind. Die zweite Netzwerkkarte verbindet über den lokalen Internet-Router das Standort-Netzwerk mit dem BACnet/SC-Hub in der Leitstelle. Auf diese Weise ist auch in der Kommunikation zwischen Standort und Zentrale für verschlüsselte Datenübertragung gesorgt.

Wenn in einem Standort nur ein einziger Internet-Anschluss vorhanden ist, der von dem GA-Netz mitgenutzt wird, kann der UBR-02 größtmögliche Sicherheit herstellen.

Das Szenario auf der linken Seite stellt ein ähnliches lokales Netz an einem Unternehmensstandort dar. Es umfasst aber außer BACnet/IPv4-fähigen Devices für die Gebäudeautomation keine weiteren Endgeräte. Für die Datenübertragung zwischen lokalem Netzwerk und Internet wird ebenfalls ein IP-fähiger DSL-Router eingesetzt, der nicht Port-Forwarding-fähig sein muss, da hier weder feste noch dynamisch vergebene IP-Adressen benötigt werden. 

Im Unterschied zu dem Szenario auf der rechten Seite wird hier mit einem UBR-01 (mit nur einer Netzwerkkarte) das vorhandene BACnet in BACnet/SC übersetzt und somit verschlüsselt. Außerdem kommuniziert der UBR-01 – mit der gleichen Netzwerkkarte – über den DSL-Router verschlüsselt mit der GLT.

Diese einfachere Variante kann ist sinnvoll sein, wenn das lokale Netzwerk keine anderen Geräte enthält und der Internetanschluss ausschließlich für die Gebäudeautomation verwendet wird.