这些通信伙伴包括: • 通信连接所组态到的站; 除了 S7 连接,这也适用于面向不同子网中伙伴的连接。但应记住因伙伴地址未知而存在未指定连接的情况;所有未输入的 IP 地址都未经授权,将 会被拒绝。PROFINET CBA中的连接也会被视为未指定的连接。需要在 IP 访问控制 列表中明确输入此类连接的 IP 地址。 • PROFINET IO设备(当以太网 CP 用作 PROFINET IO 控制器时); 当 CPU 处于 RUN 模式时,PROFINET IO 设备的IP 地址会动态输入 IP 访问控制列表中。 如果 CPU 变为 STOP 模式,PROFINET IO 设备的 IP地址会从访问列表中删除。 • NTP 服务器、SMTP 服务器、DNS 服务器和 DHCP 服务器。 出现对 NTP 服务器、SMTP服务器、DNS 服务器和 DHCP 服务器的请求时,这些服务器的 IP 地址也会动态输入和删除。 IP 访问保护与使用 IP 协议(TCP, ISO-on-TCP, UDP, S7) 的所有连接类型相关。 有关动态分配 IP 地址的注意事项: 由于每项服务各自在ACL 中管理自己的动态条目,相同 IP 地址很有可能会在模块诊断 中出现多次。 具有特定 IP 地址的伙伴的 IP 访问保护要只允许某些 IP 地址进行访问,可在 IP 访问控制列表中输入这些 IP 地址。例如,这些地址可以是连接组态中保持未指定状态的连接伙伴的 IP 地址、各个编程设备的 IP 地址或 PROFINET CBA 上连接伙伴的 IP地址。 在连接组态中指定的 IP 地址始终属于允许的 IP 地址,不需要在 IP-ACL 中明确输入。 使用 Web 浏览器查看LOG 文件 对于具有 IT 功能的 CP,会在 CP 的文件系统中创建 LOG 文件,并且可以使用 Web 浏览器查看该文件。与特殊诊断中所做的记录相比,LOG 文件可提供Zui多容纳 512 个条目的空间。 LOG 文件仅在首次激活 IP访问保护之后可用。 可以在 CP 文件系统中的下列目录下找到 HTML 文件格式的 LOG 文件:·ram/security/IPLogFile.htm 其它属性: LOG 文件被创建为环形缓冲文件。如果记录的条目数超过 512个,Zui早的条目将被覆盖。 条目按时间顺序记录,没有其它排序标准。
请注意,仅固件版本较新的 CP才支持该功能;有关详细信息,请参见 CP 设备文档 对于 CP 343-1 gaoji型 (GX30) 和 CP 443-1gaoji型 (GX20) 版本之前的gaoji型 CP,不能创建 LOG 文件。对于这些 CP,可以通过 Web诊断直接查看受阻的访问尝试。 在 IP 访问控制列表 (IP-ACL) 中输入访问权限 参考 在“属性 > 常规 > IP访问保护”(Properties > General > IP access protection) 参数组中对接口属性进行设置。 输入 IP 地址的规则: 输入 IP 地址时应遵循下列规则: • 可以输入单个 IP 地址,也可以输入一个地址范围。• 还可以输入注释。 • Zui多可以输入的地址个数: 32 • Zui多可以输入的地址范围个数: 10 •系统不会检查已单个输入的地址是否也包括在地址范围内。 • 系统不会检查地址范围中是否包含无效地址(例如,此处可以指定广播地址,广播地址不能作为发送方的 IP 地址出现)。 • 注释以“#”字符开头访问权限和简称 访问权限 简称 含义/说明 对站进行访问 A 访问地址在指定范围内的通信伙伴可以 访问属于该 CP 的站 (CP/CPU)。 系统会针对连接组态中指定的 IP 地址隐式设置该访问权限。 修改 IP 访问控制列表 M 修改 地址在指定范围内的通信伙伴有权 访问 IP 访问控制列表。 这些通信伙伴可以使用 HTTP 将 IP 访问控制列 表条目发送到 CP。 如果选择该权限,则还会设置权限 “A”。 有关使用 HTTP发送的条目的注意事 项: • 如果使用 HTTP 传送多个列表, 则前一个使用 HTTP 发送的列表 将失效。 • 使用 HTTP发送的访问权限会添 加到 STEP 7 中组态的条目中,但 无法删除这些条目。 • 如果 CP 掉电(电源断开),则 将删除使用HTTP 传送的列表。 有关使用 HTTP 传送的列表的语法, 请参见 CP 文档。 对其它 IP 子网的 IP 路由访问 R 路由地址在指定范围内的通信伙伴可以 访问连接到该 CP 的其它子网。 系统不会针对连接组态中指定的 IP 地址自动设置该访问权限。 如有必要,必须在这里明确设置该访问权 限。• 通过 TCP/IP 装载组态数据 如果在启用访问保护的情况下通过 TCP/IP进行下载,则请注意,IP-ACL 中必须包含用于下载 组态的编程设备/PC 的 IP 地址。 否则,在装载期间该编程设备/PC会被视为未经授权,从而 中止装载例程。 • 以后装载 S7 连接 如果以后要将单个 S7 连接载入 S7 站,这些连接不会自动包括在IP-ACL 中。 在这种情况下, 需要重新装载整个站组态。 • 通过将组态装载到编程设备/PC 来采用和编辑组态 如果要在启用了IP 访问保护的情况下编辑连接组态,则需要有关编程设备/PC 的完整连接信 息。 这意味着需要上传当前连接数据。 当随后将数据载入S7 站时,需要装载整个连接 数据和站数据。 说明 通过特殊诊断可以查看 S7 站中的当前 IP-ACL,必要时可将其与组态的IP-ACL 进行比较。 在用户管理中编辑访问权限 参考 在“属性 > 常规 > 用户管理”(Properties> General > User management) 参数组中设置用户 权限 用户管理的含义 在用户管理中,指定通过Web 浏览器或以 FTP 客户身份访问 S7 站时,哪些用户拥有哪些权 限。在按字母排序的列表中,可以在用户名下找到已输入的用户,已为这些用户存储密码。 默认情况下显示“全部”(All)条目。无法修改该条目。也不能为该条目分配密码。用户条目始终与密码相结合。例外情况:“全部”(All) 条目不受密码保护。 说明默认情况下,不会向“全部”(All) 条目分配任何权限。针对服务,可以在此分配权限。 但应记住,分配给“全部”(All)用户的所有权限也适用于其他各用户。如果针对服务分配了 权限,则记住以后一定要再取消这些权限!否则,每次访问都可以在无授权的情况下执行服务。 如果访问权限设置为“全部”(All) 用户,则可在向其他用户分配权限时,通过选中的复选框 进行识别。 输入新用户 1.在用户列表中选择第一个空行。 使用“Zui低”(Minimum) 访问级别创建新的用户条目。 2. 在“名称”(Name)列中修改建议的用户名。 3. 双击新建行的“访问级别”(Access level) 列。 下拉列表的图标变为可见。 4.单击下拉列表的图标。 5. 在随后打开的对话框中,设置特定的用户权限。 6. 单击“确定”(OK),确认输入。 7.在打开的密码对话框中指定新密码。 更改用户权限或密码: 1. 双击所需用户条目行的“访问级别”(Access level) 列。下拉列表的图标变为可见。 2. 单击下拉列表的图标。 3. 在下一个对话框中,修改特定用户权限,或单击“密码”(Password)按钮指定新密码。 4. 单击“确定”(OK),确认输入。 5. 在打开的密码对话框中输入密码。 删除用户条目 1.在所需用户条目行的右键快捷菜单中选择“删除”(Delete)。变量声明 - 编辑变量列表 参考 在“属性 > 常规 >变量声明”(Properties > General > Tag declaration) 参数组中设置 CPU 中组态的变量。 变量声明的含义 要通过 Web 浏览器或 Java 应用程序访问 CPU 中的变量,CP 必须知道这些变量的名称、地址和访问权限。 在变量声明中的符号列表中,可以看到当前已知的变量及其符号名称、对应操作数以及分配 的访问权限。 添加新变量条目 1.双击表中第一个空行。 下拉列表中的符号变为可见,以供选择。 2. 选择该符号,以在当前设备上打开变量的结构显示。 3. 选择可以使用Web 浏览器访问的变量或结构元素的符号。 注意:必须先在符号编辑器中存储符号! 删除变量条目 1.在要删除的变量行的快捷菜单中,选择“删除”(Delete)。 注意: 说明 此处没有确认提示,条目会立即删除。并且不允许多项选择。设置访问权限 -“可写”(Writable) 选项 变量的默认权限是只读。要为此处输入的变量分配读取/写入权限,请按以下步骤进行操作: 1. 在符号列表中选择一个或多个变量。 2.如果需要,可以为所选变量设置“仅允许读取”(Only reading allowed) 选项变量声明 - 编辑变量列表 (ERPC)参考 组态在 CPU 上创建以用于 ERPC 应用程序的变量 选择希望可以访问 ERPC 应用程序的变量。 ERPC 变量表下表给出了在 STEP 7 项目中组态以用于 ERPC 应用程序的 PLC 变量。但不会给出先前可能已 下载到站中的 ERPC 变量。为 ERPC 组态的变量表中给出以下信息: • 信息 来自检查所作更改的附加信息 对于自上次保存以来在 STEP 7 项目中更改的ERPC 变量,其所具有的附加信息通过检查 更改功能显示在“信息”(Info) 列中(请参见下文)。 • 变量 变量名称 • 可写 为ERPC 通信组态的权限(从 CPU 读取,写入到 CPU 中),默认情况下分配只读权限。 • 注释 关于专用于 ERPC 通信的ERPC 变量的注释。 表格下方: • 可写 通过启用“可写”(Writable) 选项,可以取消所选 ERPC变量的写保护,并将其释放用于 ERPC 应用程序的写入作业。 • 变量数目: 用于 ERPC 的变量的总数 选择多个变量可以使用键和键选择多个变量。