安装和调试步骤 步骤 执行 注意事项和说明 1安装和连接时,请按照《S7-1500 自动化系统》系统手册中介绍的 I/O 模块安装步骤进行操作。 2 通过 RJ45 插孔将 CP连接到工业以太网。 CP 的底部 3 接通电源。 4 关闭模块的前盖,保持其在运行过程中 处于关闭状态。 5 调试的其余步骤涉及到下载STEP 7 项目数据。 在下载到站时传送 CP 的 STEP 7 项目数据。要加载站,请将项目数据所在的工程师站 连接到 CPU的以太网接口。 有关加载的详细信息,请参见 STEP 7 在线帮助的以下部分: • “编译和加载项目数据” •“使用在线和诊断功能”CPU 的工作模式:CP 的响应 切换 CPU 的工作模式: RUN → STOP 可以使用 STEP 7 切换CPU 的工作模式(RUN 和 STOP 之间)。 说明 CP 的 RUN/STOP LED 无论 CPU 是否处于 STOP模式,CP 的绿色 RUN/STOP LED 都持续保持绿色点亮状态。 CPU 的状态为 STOP 时,CP 保持在 RUN状态。以下行为适用于 CP: • 适用于已建立的连接(ISO 传输、ISO-on-TCP、TCP、UDP): – 保留已编程的连接。– 终止已组态的连接。 • 下列功能仍保持启用状态: – CP 的组态和诊断 仍然存在用于组态、诊断和 PG 通道路由的系统连接。 –Web 诊断 – S7 路由功能 – 时钟同步组态,程序块安全建议 请遵循以下安全建议,以避免系统受到未授权访问。 常规 •应定期进行检查以确保设备符合以下建议内容和其它适用的安全准则。 • 从安全角度对工厂进行整体评估。将单元保护机制与适当的产品配合使用。• 请勿将设备直接连接到 Internet。请在受保护的网络区域内运行该设备。 • 定期在 Siemens Internet页面上检查新功能。
物理访问应将该设备限制为仅允许合格人员进行物理访问。 网络连接 请勿将 PC 直接连接到 Internet。如需将 CP 连接到Internet,则应启用安全功能或对 CP 进行适当的保护,例如带防火墙的 SCALANCE S / SC。产品的安全功能在组态产品过程中,可使用安全设置选项。其中包括: • 保护等级 在“保护和安全”(Protection & Security)下组态访问 CPU。 • 通信的安全功能 – 启用 CP 的安全功能并建立防火墙。如果您连接到了公共网络,则应使用防火墙。请考虑您要允许哪些服务通过公共网络对站进行访问。通过在防火墙规则中限制传输速度,可以限制泛洪和 DoS 攻击。 FETCH/WRITE 功能可用来访问 CPU的各种数据。但若使用了公共网络时,就不应该使用 FETCH/WRITE 功能。 – 使用变种安全协议 HTTPS, FTPS, NTP(secure) 和 SNMPv3。 – 使用安全 OUC 通信 (Secure OUC) 的程序块。 – 禁用对 CPU(CPU组态)Web 服务器和对 CP 的 Web 服务器的访问。 • 保护访问程序块的密码 防止存储于数据库的程序块的密码被查看。有关STEP 7 信息系统中程序的信息,请参见关键词“了解保护方法”下的内容。 • 记录功能启用安全组态功能,并定期检查对未经授权的访问的记录事件。 密码 • 定义设备使用和密码分配规则。 • 定期更新密码以提高安全性。 •仅使用密码强度高的密码。避免使用密码强度弱的密码,如“password1”、“12345678 9”或类似的密码。 •确保所有密码都受到保护,未授权人员无法访问。 相关信息,另请参见上述部分。 • 请勿将同一密码用于不同用户和系统。安全和非安全协议 •仅激活使用系统所需的协议。 • 在物理保护措施未阻止设备访问时使用安全协议。 • 例如,在公共网络(如 Internet)接口上禁用DHCP,以防止 IP 欺骗。 表格:各列标题和条目的含义: 下表总体地介绍了该设备上打开的端口。 • 协议/功能 设备支持的协议。• 端口号(协议) 分配给协议的端口号。 • 端口的默认状态 – 打开 组态开始时,该端口打开。 – 关闭 组态开始时,该端口关闭。• 端口状态 – 打开 端口始终处于打开状态且无法关闭。 – 组态后打开 端口在组态后打开。 – 打开(登录时,组态后)默认情况下,端口打开。组态端口后,通信伙伴需要登录。 – 通过块调用打开 只有调用合适的程序块时,才会打开该端口。 • 身份验证在访问期间,指定协议是否已对通信伙伴进行验证。
通信伙伴和路由器的端口确保在相应的防火墙中启用了通信伙伴和中介路由器所需的客户端端口。 其中包括: • DHCP / 67, 68 (UDP) • DNS/ 53 (UDP) • NTP / 123 (UDP) • FTPS / 20, 21 (TCP) • SMTP / 25(TCP) - 在块调用时在 CP 中打开(jinxian传出) • SMTPS / 587 (TCP) - 在块调用时在 CP中打开(jinxian传出) • SNMP / 161, 162 (UDP) • IPSec / 500 (TCP) / 4500(UDP) • SINEMA RC 自动组态 / 443 (TCP) - 可以设置• SINEMA RC 和 OpenVPN /1194 (UDP) - 可以在 SINEMA RC 中设置 • Syslog / 514 (UDP)设置 FETCH/WRITE可使用 FETCH/WRITE 服务访问 S7-CPU 中的系统存储区。 • FETCH:直接读取数据 • WRITE:直接写入数据可从下列设备进行访问: • SIMATIC S5 • SIMATIC PC 站 • 非 SIMATIC 设备 S7-1500 CP是用于 FETCH/WRITE 服务的服务器。 以下协议支持 FETCH/WRITE 服务: • TCP • ISO-on-TCP •ISO 传输 使用 FETCH/WRITE 服务时无需组态的连接。 CPU 组态要求 需要在 CPU 组态中启用FETCH/WRITE 通信服务,请参见“限制 CPU 中的通信服务 (页 40)”部分。系统存储器 可以使用 FETCH 或WRITE 访问 S7-1500 CPU 的系统存储器中的下列操作数区域: • 数据块 (DB) 请注意以下内容: – 访问 DB时,Zui大 DB 编号为 255。 – 在 CP 的 TSAP 表中,激活用于访问 S5 或 S7 伙伴的“S7 寻址”(S7addressing) 参数。 • 位存储器 (M) • 过程映像输入 (PII) • 过程映像输出 (PIQ) • I/O区域输入(PIW、PID、PIB) • I/O 区域输出(PQW、PQD、PQB) • 计数器 (C) • 定时器 (T) 连接到非SIMATIC 系统 FETCH/WRITE 服务可用于从任何非西门子设备访问 S7 系统存储器区。 例如,要对 PC应用程序同样进行该类型的访问,需要了解作业的 PDU 结构。请参见附录 通过 FETCH/WRITE 链接到其它系统 (页111)。UDP 帧缓冲 禁用 UDP 数据报缓冲可防止模块过载。 禁用缓冲后,到达的 UDP数据报如果在一个周期内未由用户程序获取,则将被丢弃。 限制 CPU 中的通信服务 无连接的通信服务 CPU可用作一系列通信服务的服务器,无需组态连接。其它通信伙伴可以访问 CPU 数据。这意味着本地 CPU不再能够控制与客户端的通信。需要在 CPU 组态的以下位置为这些通信服务分配相应的权限: • 参数组“保护和安全 > >连接机制”(Protection & Security > Connection mechanisms)启用“允许来自远程对象的 PUT/GET 通信访问”(Permit access with PUT/GET communicationfrom remote partner) 选项。 “允许来自远程对象的 PUT/GET 通信访问”(Permit accesswith PUT/GET communication from remote partner) • 启用选项 允许从客户端访问 CPU数据。 启用此选项的前提是在“访问级别”(Access level) 参数组中启用访问选项。“无访问(完全保护)”(No access(complete protection)) 选项启用后,PUT/GET 通信也无法启用。 • 禁用选项 只有通信连接需要对本地CPU 和通信伙伴进行组态或编程时,才能对 CPU 数据进行读写访问。 本地 CPU仅用作服务器(不对通信伙伴进行组态/编程)时,无法连接。 CP 的以下通信服务要求 CPU 的固件版本 ≥ V2.如果禁用此选项,则无法执行以下操作: – 通过 CP 进行 PUT/GET 访问 – 通过 CP 进行 FETCH/WRITE 访问如果禁用此选项,则可以执行以下操作: – 通过 CP 进行 FTP 访问网络设置 自动设置 CPU的以太网接口已yongjiu设置为自动检测。 说明 正常情况下,基本设置便可确保正常通信。自动跨接机制利用集成的自动跨接机制,可以使用标准电缆连接 PC/PG。 无需使用跨接电缆。 说明 连接交换机要连接不支持自动跨接机制的交换机,请使用跨接电缆关于 IP 组态的注意事项 如果使用 DHCP 分配 IP 地址,组态的 S7 和OUC 连接将无法运行 说明 如果使用 DHCP 获取 IP 地址,组态的所有 S7 和 OUC 连接都会失效。 原因:运行期间,已组态的 IP 地址被通过 DHCP 获取的地址代替。 DHCP:中止 ISO 传输连接 说明 通过 DHCP 获取 IP地址时,如果因服务器暂时出现故障等情况导致 DHCP 服务器无法更新 CP 的 IP 地址,CP 会中止所有 ISO 传输连接。3.5.2 在网络中检测重复 IP 地址后重新启动 为了减少排除网络故障所花费的时间,CP 可在启动期间检测网络中的重复地址。 CP启动时的行为 如果在 CP 启动时检测到重复地址,CP 将切换到 RUN 模式并且无法通过以太网接口访问。 ERROR LED闪烁。