集成和硬件维护服务的综合性企业。西部科技园,东边是松江大学城,西边和***芯片制造商台积电毗邻,作为西门子授权代理商,西门子模块代理商,西门子一级代理商,西门子PLC代理商,西门子PLC模块代理商各安全模块的下列设置保持状态,即使将安全模块加入冗余关系中也如此。对于涉及
的两个安全模块而言,这些设置仍可单独进行更改。
● 接口设置(无法取消接口)
● IP 服务的标准规则(防火墙)
● DDNS
● 时钟同步
● 日志设置
● SNMP
● MRP/HRP
● RADIUS
说明
在冗余关系的安全模块上加载组态(仅适用于 V4 及更高版本的 SCALANCE S623/S627-
2M)
必须在两个安全模块上都加载冗余关系的已组态属性。要加载该组态,必须使用工程师站
可通过其访问安全模块的物理 IP 地址。不能使用冗余关系的虚拟 IP 进行加载。
说明
使用路由器和防火墙冗余时组态路由
在冗余关系中,仅同步在冗余关系的“路由”(Routing)
选项卡的属性中静态组态的安全模块之间的路由信息。由于使用标准路由器,因此不会同
步动态生成的路由条目。因此,当使用路由和防火墙冗余时,建议静态组态所有已知路由
器。
7.2 创建冗余关系并分配安全模块
要求
只有满足以下要求的安全模块才能分配到一个冗余关系:
● 安全模块为“S623 V4”或“S627-2M V4”类型安全模块的所有接口均已
● 为所有接口组态了 IP 分配方法“静态地址”
● 安全模块不属于 * 组的成员。
● 安全模块未分配给任何其它的冗余关系
操作步骤
1. 在导航面板中选择“冗余关系”(Redundancy relationships) 对象。
2. 选择该对象快捷菜单(鼠标右键)中的菜单命令“插入冗余关系...”(Insert redundancy
relationship...)。
结果: 在导航面板中显示所创建的冗余关系。
3. 通过在内容区中选中安全模块并将它们拖动到在导航面板中创建的冗余关系上,将安
全模块分配给冗余关系。
4. 在“组态冗余关系”(Configuration of the redundancy relationship)
对话框中,可使用以下选项组态冗余关系:
– 为冗余关系接受安全模块“防火墙”(Firewall)、“路由”(Routing)
和“NAT/NAPT”选项卡中的组态。
从下拉列表中,可选择要将其组态用于冗余关系的安全模块。
这会覆盖现有的冗余关系组态。
– 在冗余关系中创建已分配的安全模块。
这只有给创建的冗余关系分配了仅一个安全模块时才可行。
也可以选择在后来使用冗余关系的属性组态冗余关系,请参见:
组态冗余关系 (页 284)
结果: 冗余关系创建完毕,并为其分配了所需的安全模块。在导航面板中选择冗余关系,然后选择“编辑 > 属性...”(Edit > Properties...) 菜单命令。
组态冗余关系的网络参数
表格 7- 1 “基本设置”(Basic settings) 选项卡中的参数
可组态参数 含义
主模块 选择在正常运行时作为主动安全模块运行的安全模
块。
虚拟路由器 ID(仅适用于 V4.0.1
及更高版本固件的 SCALANCE S623/S627-2M)
如果启用此复选框,则可调整虚拟接口的虚拟路由
器 ID。 使用虚拟路由器 ID *虚拟接口的虚拟
地址。
可能值: 01...FF
IP 地址 冗余关系外部或内部接口的虚拟 IP
子网掩码 冗余关系的虚拟外部或内部接口的子网掩码
注释 可选的注释
虚拟路由器 ID(仅适用于 V4.0.1 及更高版本固件的
SCALANCE S623/S627-2M)
使用虚拟路由器 ID *虚拟接口的虚拟
地址。
有关组态网络参数的一般信息,请参见以下部分:
创建模块并设置网络参数 (页 103)
组态防火墙
组态冗余关系的 IP 数据滤规则与组态各安全模块的 IP 数据滤规则基本相同。
支持通信方向“从外部到内部”和“从内部到外部”。
有关在高级模式下组态 IP 数据滤规则的一般信息,请参见以下部分:
IP 数据滤规则 (页 179)组态 NAT/NAPT 地址转换
为冗余关系组态 NAT/NAPT 地址转换与为各安全模块组态 NAT/NAPT
地址转换基本相同。 对于冗余关系,只可组态源 NAT 和 NAPT。 使用源 NAT
时,内部子网的源 IP 地址仅可替换为冗余关系的虚拟外部 IP 。
不能在冗余关系的外部接口注册别名 IP 地址。 使用 NAPT
时,仅可组态“外部到内部”地址转换方向。
有关组态 NAT/NAPT 地址转换的一般信息,请参见以下部分:
使用 NAT/NAPT 进行地址转换 (页 206)
组态路由
为冗余关系组态路由与为各安全模块组态路由基本相同。
有关组态路由的一般信息,请参见以下部分:
*标准路由器和路由 (页 202)
参见
数据滤规则 (页 190)利用 SOFTNET 安全客户端 PC 软件,可以通过公共网络从 PC/PG
安全地远程访问受安全模块保护的自动化系统。
本章介绍如何在“安全组态工具”中组态 SOFTNET 安全客户端,以及如何在 PC/PG
中对其进行调试。
更多信息
您还可以在 SOFTNET
安全客户端的在线帮助中找到有关对话框和参数设置的详细信息。
您可以使用 F1 键或使用相关对话框中的“帮助”(Help) 按钮进行调用。
8.1 使用 SOFTNET 安全客户端
应用领域 - 通过 * 进行访问
利用 SOFTNET 安全客户端对 PC/PG 进行组态,使其可在
*(虚拟**网络)中与一个或多个安全模块自动建立安全 IPsec 隧道连接。
NCM Diagnostics 或 STEP 7 等 PG/PC
应用程序可以通过安全隧道连接访问受安全模块保护的内部网络中的设备或网络。通过 * 自动进行通信
对于应用程序来说,SOFTNET 安全客户端能检测到 * 节点的 IP
地址的通路是十分重要的。可使用 IP
地址对节点进行寻址,就像节点位于与应用程序连接的 PC/PG 的本地子网中一样。
说明
通过 IPsec 隧道,基于 IP 的通信仅能在 SOFTNET
安全客户端与安全模块以及安全模块下游的内部节点之间进行。SOFTNET
安全客户端不支持* 2 层通信。
在线帮助中的详细信息
您可以在 SOFTNET
安全客户端用户界面的在线帮助中找到有关对话框和输入框的详细信息。
可以单击“帮助”(Help) 按钮或按 F1 键打开在线帮助。OFTNET 安全客户端的工作原理是什么?
首先,使用安全组态工具或 STEP 7 V12 及更高版本创建 SOFTNET
安全客户端的组态文件。
SOFTNET
安全客户端随后将读入已创建的组态,并获取有关要从文件导入的书的所需信息。
根证书和私钥将被导入,并存储在本地 PG/PC 中。
之后,根据组态中的数据进行安全设置,使应用程序可以使用 IP
地址访问安全模块及其下游的服务。
如果启用了内部节点或可编程控制器的学习模式,则组态模块会首先设置用于安全访问安
全模块的安全策略。之后,SOFTNET 安全客户端将确定内部节点的 IP
地址并将这些地址输入到安全策略的特殊过滤列表中。必须手动启用新学习的内部节点的
安全策略。
结果:STEP 7 等应用程序可通过 * 与可编程控制器进行通信。
支持的操作系统
SOFTNET 安全客户端适用于以下操作系统:
● Microsoft Windows 7 32/64 位 + Service Pack 1
● Microsoft Windows Server 2012 R2
如果使用的是 Microsoft Windows XP,则需搭配使用更早的 SSC 版本,例如,适用于
Microsoft Windows XP 32 位 + Service Pack 3 的 SSC V4.0。
对问题的响应
如果 PG/PC 出现问题,SOFTNET 安全客户端会作出以下响应:
● 关闭 PG/PC 并再次打开时,已建立的安全策略会保留。
● 如果未找到组态,则会显示消息。
S7-400F/FH 故障安全自动化系统可以根据需要进行不同的组态:
S7-400F的单通道单侧I/O
此系统需要一个故障安全的 PLC。 但是不一定是容错的。 需要下列部件:
1 个 CPU 414-4H/417-4H,带 F 运行授权
1 条 PROFIBUS-DP 线路
ET 200M ,带 IM 153-2
无冗余设计的故障安全信号模块
当发生故障时,可以访问 I/O。 故障安全信号模块钝化。
单通道,S7-400FH 有可切换的 I/O
此系统需要一个故障安全的 PLC。 对于 CPU 需要容错。 需要下列部件:
2 个 CPU 414-4H/417-4H,带 F 运行授权
2 条 PROFIBUS-DP 线路
1 个 ET 200M ,带 2 个 IM 153-2 (冗余)。
无冗余设计的故障安全信号模块
当一个 CPU、IM 153-2 或 PROFIBUS-DP 发生故障时,PLC 可继续工作。 当故障安全信号模块或者 ET 200M 发生故障时,I/O 不再使用。 故障安全信号模块钝化。
S7-400FH 有冗余切换的 I/O
此系统需要一个故障安全的 PLC。 CPU 和 I/O 需要是容错的。需要下列部件:
2 个 CPU 414-4H/417-4H,带 F 运行授权
2 条 PROFIBUS-DP 线路
2 个 ET 200M ,带 2 个 IM 153-2 (冗余)。
冗余设计的故障安全信号模块
如果CPU、IM 153-2、PROFIBUS-DP、故障安全信号模块或 ET 200M 发生故障,此 PLC 继续可用。
在S7-400F/FH自动化系统中也可以使用标准模板。 但是不能与ET 200M一起使用。
通讯
中央控制器和ET200M之间通过PROFIBUS DP进行故障安全通讯和标准通讯。 经过特殊开发,PROFISafe PROFIBUS 可以在标准数据报文桢中进行安全功能的数据通讯。 需要诸如特殊安全总线的其它硬件组件。 所需的软件既可以作为操作系统的一个扩展软件集成在硬件组件中,也可以作为一个认证的软件块装载到CPU中。
带隔离模板的安全等级
在ET200M中使用隔离模板具有以下优势:
PROFIBUS DP组态使用铜总线电缆。 不需要光纤电缆。
可使用任何 IM 153-X
在安全模式中故障安全信号模块的混行,以及在一个ET 200M中S7-300标准模块的混行
如果达到SIL2安全等级,则不需要隔离模块。
SOFTNET 安全客户端的安装
8.2.1 安装 SOFTNET 安全客户端
要点说明
从产品 DVD 安装 SOFTNET 安全客户端 PC 软件。
1. 首先请阅读 SCALANCE S DVD 的 README
文件中的信息,并按照其包含的附加安装说明进行操作。
2. 运行安装程序;
打开 SCALANCE S DVD 内容总览的较简单方式 → 插入 DVD 时自动启动,或者可从
start.exe 文件打开。然后可以直接选择“安装 SOFTNET 安全客户端”(Installation
SOFTNET Security Client) 条目
注意
与其它 * 客户端软件不兼容
如果除了 SOFTNET 安全客户端,PC 上还装有其它 *
客户端软件,则可能无法再使用 SOFTNET 安全客户端建立 *
隧道。因此,应在使用 SOFTNET 安全客户端前,卸载其它 * 客户端软件。
启动特
下载安全规则需要一些时间。在此期间,PG/PC 的 CPU 使用率高达 **。
8.2.2 卸载 SOFTNET 安全客户端
卸载时,SOFTNET 安全客户端设置的安全属性将被复位。使用安全组态工具创建组态文件
在 SCT 项目中组态 SOFTNET 安全客户端
在 SCT 项目中将 SOFTNET
安全客户端创建为模块。与其它安全模块不同,您*组态任何其它属性。
将已创建的 SOFTNET 安全客户端分配给 * 组或者要与 PG/PC 建立 IPsec
隧道的组。将采用对这些 * 组所组态的组属性。
说明
有关参数的信息,请参见以下部分:
• 在所组态的 * 组中包含模块 (页 261)
说明
如果在一个组中创建多个 SOFTNET
安全客户端,则不会在这些客户端之间建立隧道,而只会建立从相关客户端到安全模块的
隧道。
SOFTNET 安全客户端的组态文件
安全组态工具与 SOFTNET 安全客户端之间的接口由组态文件控制