组态限制设备的组态限制下表列出了设备基于 Web的管理和命令行接口的组态限制。根据您的工业以太网交换机,某些功能不可用。1) 使用 SCALANCE XB-200 和SCALANCE XR-300WG 时,DHCP 池和可管理 IPv4 地址数量取决于端口数量。端口的数量对应于 DHCP 池和可管理IPv4 地址的Zui大数量。2) 这是 IP 接口。3) 具有 Y 功能的设备不支持 VLAN4) 如果超出每个设备的Zui大 MAC验证数量,则重置数值超限的端口的所有 MAC 验证。如果超出每个端口的Zui大 MAC 验证数量,则重置所有端口 MAC 验证。5)以下内容适用于 SCALANCE XC-200 和 SCALANCE XP-200 产品组的设备:由于一个链路汇聚至少包含 2个端口,因此链路汇聚的Zui大数量取决于端口数量。具有Zui多 8 个端口的设备中Zui多可以有 4 个链路汇聚,而具有 8个以上端口的设备中Zui多可以有 8 个链路汇聚。6) SCALANCE XC-200G 产品组的设备支持 8 个队列。所有其它XC-200 设备都支持 4 个队列。7) 对于以下设备,Zui大帧大小(入口)为 2048 字节:- 千兆型(型号标识的后缀为“G”)-带组合端口的设备(型号标识的后缀为“C”)- PoE 型(型号标识的后缀为“PoE”)对于其它所有 XC-200 设备,Zui大帧大小为1632 字节。8) 可为 SCALANCE X-200 组态的 NTP/SNTP 服务器的Zui大数。说明2.3组态限制SCALANCE XB-200/XC-200/XF-200BA/XP-200/XR-300WG Web BasedManagement配置手册, 10/2021, C79000-G8952-C360-12 23为避免可能的网络干扰,在环节点(MRP环、HRP 环、冗余耦合)上Zui多组态 25 个 VLAN。请注意,这只是一个 建议。组态中没有自动限制。
安装和操作的要求工业以太网交换机的安装和操作要求必须具有能够联网的 PG/PC,才能对工业以太网交换机进行组态。必须为工业以太网交换机分配一个在网络中可用的 IP 地址,另请参见“IP 地址的初始分配 (页 31)”。
软件(安全功能)●保持固件为Zui新。定期检查设备的安全更新。有关这方面的信息,请参见工业安全网站。● 请持续关注由 SiemensProductCERT 出版的安全建议。● 仅激活使用设备所需的协议。● 通过访问控制列表 (ACL)中的规则限制对设备管理的访问。● VLAN 结构化选项可针对 DoS攻击和未经授权的访问提供保护。请检查该功能在您的环境下是否实用或有效。●通过中央记录服务器对更改和访问进行记录。在受保护的网络区域内运行记录服务器,并定期检查记录信息。密码● 定义密码分配规则。●定期更改密码以提高安全性。● 使用密码强度高的密码。● 确保所有密码都受到保护,未授权人员无法访问。●如果已知或者疑似有未经授权的人员知道了密码,则必须更改密码。● 请勿将同一密码用于不同用户和系统。证书和密钥●设备上有一个含密钥的预设 SSL 证书。将该证书替换为自制的含密钥证书。建议您使用由可靠外部或内部认证机构签署的证书。●使用认证机构(包括密钥撤销与管理)来签署证书。● 确保用户自定义的私人密钥都受到保护,未授权人员无法访问。● 建议使用 PKCS#12 格式的具有密码保护的证书SCALANCE XB-200/XC-200/XF-200BA/XP-200/XR-300WG WebBased Management配置手册, 10/2021, C79000-G8952-C360-12 25●验证服务器和客户端上的证书和指纹,避免“中间人”的攻击。● 建议使用密钥长度至少为 2048 位的证书。●如果怀疑发生泄露,请立即更改证书和密钥。安全/非安全协议和服务● 应避免使用或禁用非安全协议或服务,例如,HTTP、Telnet 和TFTP。由于历史原因,这些协议可用,但并不适用于安全应用。请慎重对设备使用非安全协议。● 检查是否有必要使用以下协议和服务:–未验证和未加密的端口– MRP、HRP– IGMP 监听– LLDP– Syslog– RADIUS– DHCP 选项 66/67–TFTP– GMRP 和 GVRP● 以下协议具有安全备选方法:– HTTP → HTTPS– Telnet → SSH–SNMPv1/v2c → SNMPv3检查是否有必要使用 SNMPv1/v2c。SNMPv1/v2c的分类为非安全协议。使用阻止写访问的选项。设备会为您提供适合的设置选项。如果 SNMP已启用,请更改团体名称。如果不需要不受限制的访问,请通过 SNMP 限制访问。使用 SNMPv3 的验证和加密机制。●在物理保护措施未阻止设备访问时使用安全协议。● 如果需要非安全协议和服务,请仅在受保护的网络区域内运行该设备。●将可用于外部的服务和协议限制到Zui少。● 要使用 DCP 功能,请在调试后启用“只读”(Read Only) 模式。● 如果使用RADIUS 来管理对设备的访问,需激活安全协议和服务。可用协议以下列表概要介绍了打开的协议端口。网络安全相关建议26SCALANCEXB-200/XC-200/XF-200BA/XP-200/XR-300WG Web Based Management配置手册,10/2021, C79000-G8952-C360-12该表包括以下列:● 协议● 端口● 默认端口状态–打开端口的出厂设置为“打开”。– 关闭端口的出厂设置为“关闭”。● 可组态端口– ✓端口状态可更改。– --端口状态不可更改。●验证指定是否对通信伙伴进行验证。●加密指定传输是否已加密。可用协议的列表(通过本地网络进行本地访问)以下是所有可用协议及其端口的列表,通过这些协议和端口可对设备进行访问。子网掩码可用主机ID 的位创建子网。起始位代表子网地址,其余位代表子网中的主机地址。子网由子网掩码定义。子网掩码的结构与 IP地址的结构一致。如果子网掩码中的一位为“1”,则该位属于子网地址的 IP 地址中的相应位置,否则属于计算机地址。B 类网络示例:B类网络的标准子网地址是 255.255.0.0;也就是说,可用Zui后两个字节来定义子网。如果必须定义 16 个子网,则必须将子网地址的第3 个字节设为 11110000(二进制表示)。在这种情况下,子网掩码为 255.255.240.0。要查明两个 IP地址是否属于同一个子网,将拿这两个 IP 地址与子网掩码按位进行逻辑与运算。如果两个逻辑运算的结果相同,则说明两个 IP地址属于同一子网,例如141.120.246.210 和 141.120.252.108。在局域网之外,网络 ID 和主机 ID之间的区别并不重要,在这种情况下,将根据完整的 IP地址传送数据包。说明在子网掩码的位表示中,必须按左对齐方式设置“1”,也就是说,“1”之间不能有“0”。IP地址的初始分配组态选项不能使用基于 Web 的管理 (Web Based Management, WBM)为工业以太网交换机分配初始IP 地址,因为这个组态工具只能在事先已经具有 IP 地址的情况下使用。可通过以下方法将 IP地址分配给未组态的设备:● DHCP(出厂设置)● Primary Setup Tool (PST)– 要使用 PST 将 IP地址分配给工业以太网交换机,必须能通过以太网访问工业以太网交换机。– 可以在 Siemens 工业在线支持 Internet页面的条目 ID 19440762 下找到 PST。– 有关使用 PST 分配 IP 地址的详细信息,请参见文档“PrimarySetup Tool (PST)”。● STEP 7在 STEP 7 中,可以组态拓扑、设备名称和 IP地址。如果将未组态的工业以太网交换机连接至控制器,控制器会自动为工业以太网交换机分配已组态的设备名称和 IP 地址。– STEP7SCALANCE XB-200:V5.5.4 及更高版本SCALANCE XP-200:V5.5.4 HF9及更高版本SCALANCE XC-200:V5.5.4 HF11 及更高版本SCALANCE XR-300WG:V5.6及更高版本SCALANCE XF-200BA:V5.6 HF3 及更高版本SCALANCE XC-200G:V5.6 HSP11及更高版本有关使用 STEP 7 分配 IP 地址的详细信息,请参见文档“组态硬件和通信连接 STEP 7”的“PROFINET IO系统组态步骤”部分。– STEP 7 Basic 或 ProfessionalSCALANCE XB-200:V13 SP1及更高版本SCALANCE XC-200:V14 及更高版本SCALANCE XP-200:V14 及更高版本SCALANCEXR-300WG:V15 及更高版本SCALANCE XF-200BA:V15 及更高版本SCALANCE XC-200G,具有 8个端口的设备:V15 及更高版本SCALANCE XC-200G,具有 8 个以上端口的设备:V16 及更高版本有关使用 STEP 7分配 IP 地址的详细信息,请参见在线帮助“信息系统”的“寻址PROFINET 设备”部分。IP 地址分配4.2 IP地址的初始分配SCALANCE XB-200/XC-200/XF-200BA/XP-200/XR-300WG WebBasedManagement配置手册, 10/2021, C79000-G8952-C360-12 31● 使用 CLI通过串行接口分配有关通过串行接口分配 IP 地址的更多信息,请参见相关设备的操作说明。另请参见“简介”部分中的“文档说明”一段。●NCM PC有关使用 NCM PC 分配 IP 地址的详细信息,请参见文档“调试 PC 站 - 手册及快速入门”的“创建PROFINET IO 系统”部分。说明交付产品时以及恢复出厂设置后,DHCP 为启用状态。如果局域网中有 DHCP服务器,且能回应工业以太网交换机的 DHCP 请求,则在设备初次启动时会自动分配 IP 地址、子网掩码和网关。
用 DHCP 进行地址分配DHCP属性DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一种自动分配 IP地址的方法。它具有下列特性:● 启动设备时和设备运行期间均可使用 DHCP。● 分配的 IP地址仅在有限时间(称为租用时间)内有效。当有效时间段过半后,DHCP 客户端可延长所分配 IPv4地址的有效时间。当整个时间段过期后,DHCP 客户端需要请求新的 IPv4 地址。● 如果在经过租用时间后对新 IP地址的请求未成功,则 IP 组态将复位为 0.0.0.0(“未组态”)。● 如果通过 DHCP 组态 IP 地址而 DHCP遭到禁用,则 IP 组态将复位为 0.0.0.0(“未组态”)。● 如果通过 DHCP 组态 IP地址,而与网络的连接暂时中断(接口状态由“接通”变为“断开”,然后再变为“接通”),则首先需要由 DHCP 服务器确认 IP组态。如果无法确认,则 IP 组态将复位为 0.0.0.0(“未组态”),并会从 DHCP 服务器请求新的 IP 组态。●如果某一设备的 DHCP 曾处于活动状态,则首先需要在 DHCP 服务器重启后从该服务器请求新的 IP 地址。●通常不会分配固定的地址;即,当客户端再次请求 IP 地址时,它通常会接收到一个与之前不同的地址。可以对 DHCP 服务器进行组态,使得DHCP 客户端发出请求后,总是接收到同一个固定地址。用来将 DHCP 客户端标识为固定地址分配的参数在 DHCP客户端和服务器上设置。地址可通过 MAC 地址、DHCP 客户端 ID、PROFINET 或系统名称进行分配。在“系统 >DHCP > DHCP 客户端”(System > DHCP > DHCP Client) 中组态参数。●如果此前组态了静态 IP 地址,若当前激活 DHCP,则会删除静态 IP 组态。