Allgemeine Beschreibung

„ADS over MQTT“ ist aus Sicht des ADS Protokolls ein neuer Transportkanal. Es werden also exakt die gleichen ADS Kommandos über MQTT übertragen, wie auch über andere Kommunikationsprotokolle.

Hierzu wird vom TwinCAT-Router eine Verbindung zum Broker aufgebaut, um Kommandos des ADS Protokolls sowohl abzusenden, wie auch zu empfangen.
Am lokalen Gerät wird damit also der Endpunkt des Brokers konfiguriert. Hieraus ergibt sich, dass sich die 1:1 Beziehung einer ADS-Route erst im Zusammenspiel mit der passenden Broker Konfiguration ergibt.

Diese Dokumentation gibt sowohl einen Überblick über die Möglichkeiten des Einsatzes, wie auch die technische Beschreibung wie ein „virtuelles ADS-Netzwerk“ über einen MQTT Message Broker konfiguriert werden kann.

Vorteile eines MQTT-basierten ADS-Netzwerks

Subnetze, NAT-basierte Netzwerke und Firewalls:
In einem klassischen ADS-Aufbau werden eingehende TCP/IP-Verbindungen in beide Richtungen verwendet. Dieses bedingt, dass die Geräte im Normalfall im gleichen Netzwerk stehen müssen. In verteilten Anlagen mit unterschiedlichen Subnetzen ergeben sich aufwändige Konfigurationen, um die entsprechenden ADS-Routen nutzbar zu machen.
Bei MQTT-basierten ADS-Netzwerken wird nur eine ausgehende TCP/IP-Verbindung von den Geräten verwendet. Hierdurch kann der Broker im überlagerten Netz zwischen allen Teilnehmern vermitteln.
Durch die ausgehenden Verbindungen kann eine typische Firewall verwendet werden und es müssen keine eingehenden Ports hinterlegt werden.
Zugriffskontrolle:
In einem klassischen ADS-Aufbau kann, nach Anlegen der entsprechenden Routen, eine bidirektionale Kommunikation durchgeführt werden.
Ein Zugriff von Teilnehmer A der auf B zugreift, erlaubt also auch, dass Teilnehmer B auf A zugreifen kann.
Im MQTT-basierten ADS-Netzwerk kann konfiguriert werden, dass ein Teilnehmer A auf B zugreifen kann, jedoch nicht andersrum.
Security / Verschlüsselung:
Die Kommunikation von TwinCAT zu dem Broker kann durch TLS (mit Zertifikaten oder PreSharedKey (PSK)) verschlüsselt werden.

Nachteilig ist der erhöhte administrative Aufwand anzusehen. Dieser wird jedoch pro Teilnehmer bei einem größeren Netzwerk vertretbar gering ausfallen.

Hinweis

ADS Zugriff bedeutet Vollzugriff

Wie im Security Advisory 2017-01 beschrieben, bietet ADS Vollzugriff auf ein Gerät.
Secure ADS bietet eine Autorisierung sowie Verschlüsselung für die Kommunikation, es stellt also eine Transport-Verschlüsselung dar. Wenn eine ADS Route besteht, existiert also Vollzugriff.
Dezidierten, Rollen-bezogenen Zugriff auf einzelne Daten bieten Lösungen, wie z. B. OPC-UA.