用于FTP客户端模式的文件DB报头此处描述的文件DB 报头与服务器模式的文件 DB 报头相同。参数 类型 数值/含义 电源EXIST BOOLEXIST位指示用户数据区是否包含有效的数据。只有在 EXIST=1 时,retrieveFTP 命令才执行作业。• 0:文件DB不包含有效的用户数据(文件不存在)。• 1:文件 DB包含有效的用户数据(文件存在)。DELETE FTP 命令设置EXIST=0。STORE FTP 命令设置 EXIST=1。LOCKED BOOL LOCKED 位用于限制对文件DB 的访问。•0:可以访问文件 DB。• 1:文件 DB 被锁定。如果该位之前为0,则在执行“STORE”和“RETRIEVE”FTP命令后,会设置 LOCKED=1。在为了取得数据一致性而进行的写访问期间,S7CPU上的用户程序还可以置位或复位LOCKED。这样可使用户程序与FTP处理互锁,从而确保一致性。建议在用户程序中按下列顺序执行:1. 检查 LOCKED 位(是否为 0)2. 置位WRITEACCESS = 03. 检查 LOCKED 位(是否为 0)4. 置位 LOCKED = 15. 写数据6. 置位LOCKED = 0组态,程序块3.9 FTP 通信CP 1543-1操作说明, 07/2021,C79000-G8952-C289-08 69参数 类型 数值/含义 电源NEW BOOLNEW位指示自上一次读操作到现在,数据是否被修改。• 0:自上次写访问以来,文件DB的内容没有发生改变。S7CPU的用户程序已经记录Zui近一次修改。• 1:S7CPU的用户程序尚未记录上次写访问。执行以后,“RETRIEVE”FTP 命令设置NEW=1。读取数据后,S7CPU中的用户程序必须设置 NEW=0以允许新的“RETRIEVE”命令。WRITEACCESS BOOL • 0:用户程序对 S7CPU上的文件 DB具有写访问权限。• 1:用户程序对 S7 CPU上的文件 DB不具有写访问权限。在组态DB期间,将此位置位为初始值。建议:如有可能,应该保持此位不变!在特殊情况下,可以在操作期间对此进行调整。ACT_LENGTHDINT 用户数据区的当前长度。只有在 EXIST = 1时,该字段的内容才有效。在进行写入操作以后更新当前长度。MAX_LENGTHDINT 用户数据区的Zui大长度(整个DB 的长度减去 20个字节的文件头)。应在 DB组态期间指定Zui大长度。还可在操作期间通过用户程序修改该数值。FTP_REPLY_CODE INT无符号整型(16位),包含Zui后一个来自FTP的返回代码,代码为二进制数值。只有当 EXIST=1时,此字段的内容才有效。通过 FTP协议句柄及服务器的 FTP命令处理更新。DATE_TIME DATE_AND_TIME 文件Zui近一次修改的日期和时间。只有当EXIST=1时,此字段的内容才有效。在写访问以后更新当前日期。如果使用了转发时钟的功能,则输入对应于已传递的时间。如果未使用转发时钟的功能,则输入相对时间。参考为CP的启动时间(初始值: 01.01.199400:00h)。组态,程序块3.10 安全性CP 1543-170 操作说明,07/2021, C79000-G8952-C289-08从 FTP_CMD 程序块评估“LOCKED”和“NEW”状态位• 在版本为1.2 的“FTP_CMD”程序块中,不会评估 FILE_DB_HEADER的“LOCKED”和“NEW”状态位。使用 FTP服务器的功能或者使用同一文件 DB时,不能排除同时多次访问同一数据区的可能性。这将导致数据不一致。• 在版本 1.5或更高版本的“FTP_CMD”程序块中,正确设置FILE_DB_HEADER的状态位“LOCKED”和“NEW”。评估这两个状态位。自 STEP 7 Professional V12SP1开始提供版本 1.5。说明避免数据不一致确保不在同一时间多次访问同一文件 DB。3.10安全性有关安全功能的范围和使用的概览信息,请参见工业以太网安全 (页 17)部分。有关安全功能的组态限制,请参见安全特性 (页21)部分。要组态安全功能,需要创建一个安全用户,请参见安全用户 (页 70)部分。3.10.1安全用户创建安全用户组态安全功能需要具备相关的组态权限。为此,需要通过相应权限创建至少一个安全用户。导航到全局安全设置>“用户和角色”>“用户”选项卡。1. 创建用户并组态参数。2. 在“分配的角色”下方区域为该用户分配角色“NETStandard”或“NET Administrator”。登录后,该用户可以在 STEP 7项目中进行所需的设置。在以后使用安全参数时,请继续以该用户身份登录。组态,程序块3.10 安全性CP 1543-1操作说明,07/2021, C79000-G8952-C289-08 713.10.2 VPN仅当将模块分配给全局安全功能中的 VPN组时,才会显示模块的“VPN”参数组。什么是 VPN?虚拟专用网络 (VPN) 是用于在公共 IP网络(例如Internet)中安全传输保密数据的技术。利用 VPN,可通过非安全网络在两个安全 IT系统或网络间建立安全连接(=隧道)并进行操作。VPN隧道的主要特性之一是,无论是否使用高层协议(HTTP,FTP),它都能转发所有网络数据包。两个网络组件间的数据通信实际上是通过其它网络进行无限制传输。这样便可通过相邻网络将整个网络连接在一起。属性•VPN构成了一个嵌入到相邻(已分配)网络中的逻辑子网。VPN使用已分配网络的通常寻址机制,但就数据而言,其传输自己的网络数据包,因此独立于该网络的其余部分运行。•VPN 允许 VPN 伙伴通过分配的网络进行通信。• VPN 基于隧道技术,可单独进行组态,并且是客户特定且独立的。•使用密码、公钥或数字证书(= 身份验证)可保护 VPN伙伴间的通信免遭窃听或操纵。应用领域• 可通过 Internet将局域网安全地连接在一起(“站点到站点”连接)。• 对公司网络进行安全访问(“端到站点”连接)。•对服务器进行安全访问(“端到端”连接)。• 无需访问第三方即可在两个服务器间进行通信(“端到端”连接或“主机到主机”连接)。•确保联网的自动化系统中的信息安全性。• 保护包含自动化网络中或通过 Internet进行的安全远程访问中的相关数据通信的计算机系统。•可通过公共网络从PC/编程设备对受安全模块保护的自动化设备或网络进行安全远程访问。组态,程序块3.10 安全性CP 1543-172操作说明, 07/2021,C79000-G8952-C289-08单元保护概念利用工业以太网安全,单个设备、自动化单元或以太网网段均可受到保护:•允许对受安全模块保护的各个设备甚至整个自动化单元进行访问。•通过非安全网络结构实现安全连接成为可能。借助不同安全措施(例如防火墙、NAT/NAPT 路由器和 IPsec隧道上的VPN)的组合,安全模块可防止:• 数据间谍• 数据操纵• 不希望的访问3.10.2.1 在 S7-1500 站之间建立VPN 隧道通信要求要在 S7-1500 站之间创建 VPN 隧道,必须满足以下要求:• 已组态两个 S7-1500 站。• 相关CP 1543-1 组态 V1.1 及以上版本的固件。• 两个站的以太网接口位于统一子网中。说明也可通过 IP 路由器进行通信也可通过IP 路由器在两个 S7-1500站之间进行通信。但是,要使用此通信路径,需要进行进一步设置。操作步骤要创建 VPN隧道,需要完成以下步骤:1. 创建安全用户。如果已创建安全用户:请以该用户身份登录。2. 选中“激活安全特性”(Activatesecurity features) 复选框。组态,程序块3.10 安全性CP 1543-1操作说明, 07/2021,C79000-G8952-C289-08 733. 创建 VPN 组并分配安全模块。4. 组态 VPN 组的属性。组态两个 CP的本地 VPN 属性。有关各步骤的详细说明,请参见本部分的以下段落。创建安全用户要创建VPN隧道,需要相应的组态权限。要激活安全功能,需要至少创建一个安全用户。1. 在 CP 的本地安全设置中,单击“用户登录”(Userlogon) 按钮。结果:打开一个新窗口。2. 输入用户名、密码和密码确认。3. 单击“用户登录”(User login)按钮。您已创建新的安全用户。现在,您可以使用安全功能。对于所有其它登录,请以该用户身份登录。启用“激活安全特性”选项•登录后,必须将两个 CP 的“激活安全特性”(Activate security features) 选项都选中。现在,两个 CP均可使用安全功能。创建 VPN组并分配安全模块说明安全模块上的当前日期和时钟使用安全通信(例如HTTPS、VPN...)时,确保涉及的安全模块具有当前时钟和当前日期。否则,使用的证书将无法评估为有效,安全通信不会工作。1.在全局安全设置中,选择条目“防火墙 > VPN 组 > 添加新 VPN 组”(Firewall > VPNgroups> Add new VPN group)。2. 双击条目“添加新 VPN 组”(Add new VPN group)来创建 VPN 组。结果:新的 VPN 组显示在所选条目下。组态,程序块3.10 安全性CP 1543-174 操作说明,07/2021, C79000-G8952-C289-083. 在全局安全设置中,双击条目“VPN 组 > 将模块分配给 VPN组”(VPN groups > Assignmodule to a VPN group)。4. 分配将在其间建立到 VPN 组的VPN 隧道的安全模块。组态 VPN 组的属性1. 双击新创建的 VPN 组。结果:VPN组的属性显示在“身份验证”(Authentication) 下。2. 输入 VPN 组的名称。在属性中组态 VPN组的设置。通过这种方式,可以定义 VPN 组的基本属性。说明指定 CP 的 VPN 属性请在模块的本地属性中指定所需 CP 的 VPN属性(“安全性 > 防火墙 > VPN”(Security >Firewall > VPN))结果您已创建VPN 隧道。CP 的防火墙将自动激活:创建 VPN组时,已默认选中“激活防火墙”(Activate firewall)选项。无法禁用此选项。• 将组态下载到属于该 VPN 组的所有模块。3.10.2.2 在 CP 和 SCALANCE M 之间建立VPN 隧道通信在 CP 和 SCALANCE M 之间建立 VPN 隧道通信的步骤实际上与“适用于 S7-1500 站的步骤(页72)”中的说明相同。只有在已创建的 VPN 组(“VPN 组 > 身份验证”(VPN groups>Authentication))的全局安全设置中启用“Perfect Forward Secrecy”选项,才能建立VPN隧道通信。如果禁用此选项,则 CP 会拒绝建立连接。3.10.2.3 与 SOFTNET Security Client 进行VPN 隧道通信在 SOFTNET 安全客户端和 CP 之间设置 VPN 隧道通信的步骤实际上与适用于 S7-1500站的步骤 (页72)中的说明相同。组态,程序块3.10 安全性CP 1543-1操作说明, 07/2021,C79000-G8952-C289-08 75只有禁用了内部节点,VPN 隧道通信才会工作在某些情况下,在 SOFTNETSecurity Client 与 CP 之间建立 VPN 隧道通信会失败。SOFTNET Security Client也尝试建立与低级别内部节点的 VPN隧道通信。与不存在的节点建立通信将妨碍与 CP 建立所需的通信。要成功建立与 CP 的 VPN隧道通信,需要禁用内部节点。只有出现所描述的问题时,才会使用下述节点禁用步骤。在 SOFTNET Security Client通道概述中禁用节点:1. 移除“启用主动学习”(Enable active learning)复选框中的复选标记。低级别节点在初始时从隧道列表中消失。2. 在隧道列表中,选择所需的 CP 连接。3.使用鼠标右键,在快捷菜单中选择“启用所有成员”(Enable all members)。低级别节点暂时再次出现在隧道列表中。4.在隧道列表中选择低级别节点。5. 使用鼠标右键,在快捷菜单中选择“删除条目”(Deleteentry)。结果:现在已完全禁用低级别节点。成功建立与 CP 的 VPN 隧道通信。3.10.2.4 SINEMA RemoteConnect使用 SINEMA Remote Connect (SINEMA RC) 进行远程维护应用程序“SINEMARemote Connect”(SINEMA RC) 可用于远程维护。SINEMA RC 使用 OpenVPN 对数据加密。通信中心为SINEMA RC服务器,通过该服务器可实现用户间的通信及管理通信系统的组态。准备步骤在 STEP 7 中开始组态模块的 SINEMARC 连接之前,请执行以下步骤。这是确保 STEP 7项目一致性的先决条件。• 组态 SINEMA Remote ConnectServer根据需要组态 SINEMA RC Server(不在 STEP 7 中)。必须在 SINEMARC服务器中组态通信模块及其通信伙伴。组态,程序块3.10 安全性CP 1543-176 操作说明, 07/2021,C79000-G8952-C289-08• 导出 CA证书(可选)如果要在建立连接期间使用服务器证书作为通信模块的身份验证方式,请从SINEMA RC Server 中导出 CA证书。然后将 CA 证书从 SINEMA RC Server导入工程师站。或者,也可以使用服务器证书的识别码作为通信模块的身份验证方式。识别码的有效期限可能短于证书的有效期限。请注意,更换模块时需要重复导入证书。
组态 SINEMA RemoteConnect导入自己的证书1. 在 CP 上,导航到参数组“安全 > 证书管理器 > 伙伴设备的证书”。2.双击第一个表格空行以打开证书选择对话框。3. 选择 SINEMA RC Server 的 CA 证书。然后导航到参数组“安全 >VPN”(Security > VPN)。VPN > 常规1. 激活 VPN2. 对于“VPN 连接类型”,如果要通过SINEMA Remote Connect 进行通信,则选择“通过SINEMA 远程连接服务器进行的自动 OpenVPN组态”选项。SINEMA 远程连接服务器输入该服务器的地址和端口号。服务器验证在此可以选择建立连接期间的通信模块身份验证方式。• CA证书在“CA 证书”下,从之前导入并在本地证书管理器中进行分配的 SINEMA RC Server中选择 CA证书。模块通常会检查服务器的 CA 证书及其有效期。这两个选项无法更改。• 识别码选择这种身份验证方式时,应输入 SINEMA RCServer 服务器证书的识别码。组态,程序块3.10 安全性CP 1543-1操作说明, 07/2021,C79000-G8952-C289-08 77身份验证• 设备 ID (Device ID)输入在 SINEMA RC中为模块生成的设备 ID。• 设备密码 (Device password)输入在 SINEMA RC中组态的模块的设备密码。Zui大字符数: 127可选设置在“安全 > VPN >可选设置”参数组中通过参数“连接类型”对连接建立进行组态。• 更新间隔可通过此参数设置 CP 在 SINEMA RC服务器上查询组态的间隔。请注意,如果将 SINEMA RC 服务器的组态设置更改为 0(零),则 CP 将无法再与SINEMA RC服务器建立连接。• “连接类型”该参数的两个选项将在连接建立中具有以下作用:– 自动模块建立与 SINEMARC服务器的连接。在连接参数由 SINEMA远程连接服务器更改之前,OpenVPN 连接都会保持。如果连接中断,则CP会自动重新建立连接。如果 SINEMA 远程连接服务器更改了连接参数,则 CP将在上述组态的更新间隔结束后请求获取新的连接数据。–PLC 触发器该选项用于模块通过 SINEMA RC 服务器进行的偶发通信。如果要在模块和 PC之间建立临时连接,则可使用该选项。例如,临时连接通过PLC变量建立,可用于提供服务。说明连接中止如果由于固件更新或“下载到设备”而导致 CPU 停止,则 OpenVPN连接将中止。仅在启用“自动”选项后才能使用这些功能。组态,程序块3.10 安全性CP 1543-178 操作说明, 07/2021,C79000-G8952-C289-08• 建立连接的 PLC 变量如果已选择选项“PLC 触发器”,则当 PLC 变量 (Bool)变为值 1时模块会建立一个连接。操作期间可根据需要通过使用 HMI 面板等方式设置 PLC变量。将 PLC 变量重置为 0后,会再次终止连接。调试期间手动设置时钟说明使用 Security/SINEMA RC 时的时钟同步使用安全功能(例如 SINEMARemote Connect)时,CP 需要当前时间以在伙伴或SINEMA RC 服务器上进行验证。首次建立连接之前,CP 会从NTP 服务器接收时间。3.10.2.5 CP 作为 VPN 连接的被动用户设置通过被动用户建立 VPN 连接的权限如果 CP通过网关连接另一个 VPN 用户,则需要将建立 VPN连接的权限设置为“Responder”。以下典型组态中会出现这种情况:VPN用户(主动)⇔ 网关(动态 IP 地址)⇔ Internet ⇔ 网关(固定 IP 地址)⇔CP(被动)按如下方法,组态将 CP作为被动用户建立 VPN 连接的权限:1. 在 STEP 7 中,转到设备和网络视图。2. 选择 CP。3.在本地安全设置中,打开“VPN”参数组。4. 对于每个将 CP 作为被动 VPN 用户的VPN连接,将默认设置“Initiator/Responder”更改为设置“Responder”。组态,程序块3.10 安全性CP1543-1操作说明, 07/2021, C79000-G8952-C289-08 793.10.3 防火墙3.10.3.1检查到达帧和离去帧时的防火墙顺序每个到达帧或离去帧都会经过 MAC 防火墙(第 2 层)。 如果帧在此层级被丢弃,则 IP防火墙(第3 层)不会对其进行检查。 这表示,通过合适的 MAC防火墙规则,可以限制或阻止 IP 通信。参见已编程的连接:防火墙规则的限制 (页47)CPU 的虚拟接口 (页 43)3.10.3.2 源 IP 地址的表示法(gaoji防火墙模式)如果在 CP的gaoji防火墙设置中指定源 IP 地址的地址范围,请确保表示法正确无误:• 仅使用连字符来分隔两个 IP地址。正确:192.168.10.0-192.168.10.255• 不要在两个 IP地址之间输入任何其它符号。错误:192.168.10.0 -192.168.10.255如果错误地输入范围,则不会使用防火墙规则。3.10.3.3 HTTP 和 HTTPS 不可使用IPv6在工作站的 Web 服务器上无法通过 IPv6 协议使用 HTTP 和 HTTPS 通信。如果在本地安全设置的“防火墙> 预定义的 IPv6 规则”(Firewall > Predefined IPv6 rules)条目中启用防火墙:所选复选框“允许 HTTP”(Allow HTTP) 和“允许 HTTPS”(Allow HTTPS)没有作用。3.10.3.4连接的 VPN 隧道防火墙设置gaoji防火墙模式中的 IP 规则如果已组态 CP 间的连接,则在gaoji防火墙模式下操作 CP时,请注意以下设置。在“安全 > 防火墙 > IP 规则”(Security > Firewall > IPrules)参数组中,选择“Accept”设置进行两个 CP 的隧道连接。组态,程序块3.10 安全性CP 1543-180操作说明, 07/2021, C79000-G8952-C289-08如果不启用该选项,则将终止并重新建立 VPN 隧道连接。这适用于CP 154x-1 与 CP 343-1 Advanced、CP 443-1 Advanced、CP 1628 或 CP1243-1等之间的连接。参见防火墙激活情况下的在线安全诊断和下载到站设置 (页 80)3.10.4 在线功能3.10.4.1防火墙激活情况下的在线安全诊断和下载到站设置针对在线功能设置防火墙若已启用安全功能,请按照下面列出的步骤进行操作。全局安全功能:1.选择条目“防火墙 > 服务 > 为 IP 规则定义服务”(Firewall > Services >Define services forIP rules)。2. 选择“ICMP”选项卡。3. 插入一个类型为“EchoReply”和一个类型为“Echo Request”的新条目。CP 的本地安全功能:现在选择 S7 站中的 CP。1. 在 CP的本地安全设置中,在“安全 > 防火墙”(Security > Firewall)参数组中启用gaoji防火墙模式。2.打开“IP 规则”(IP rules) 参数组。3. 在表中,按如下方式为之前已创建的全局服务插入新的 IP 规则:–操作:Accept;从:外部;至:站;服务 > ICMPv4/6 服务 > EchoRequest(此前全局创建的服务)–操作:Accept;从:站;至:外部;服务 > ICMPv4/6 服务 > EchoReply(以前全局创建的服务)4.对于“Echo Request”服务的 IP 规则,在“源 IP 地址”(Source IP address) 下输入工程师站的IP地址。组态,程序块3.10 安全性CP 1543-1操作说明, 07/2021, C79000-G8952-C289-0881基于这些规则,只能通过防火墙从包含 ICMP 数据包 (ping) 的工程师站访问CP。说明在线安全诊断和下载的附加服务如果希望使用“在线安全诊断”(Online security diagnostics)或“下载到设备”(Download todevice) 功能,则需要创建附加规则或禁用“Echo Request”/“EchoReply”服务。3.10.4.2 通过端口 8448 执行在线安全诊断通过端口 8448 执行安全诊断要求:•激活防火墙后,必须启用访问权限。如果要在 STEP 7 Professional 中执行安全诊断,请按下列步骤进行操作:1. 在STEP 7 中选择 CP。2. 打开“在线和诊断”快捷菜单。3. 在“安全性”参数组中,单击“在线连接”按钮。这样,即可通过端口8448 执行安全诊断。3.10.5 日志设置 -过滤系统事件系统事件值设置太高时产生的通信问题如果过滤系统事件的值设置得过高,则您可能无法实现zuijia通信性能。