如何保护通过以太网 对S7控制器的访问?

描述:
如果S7控制器支持带IP访问列表功能的以太网CP,就可以防止通过LAN(本地局域网)的未经授权访问。n

下面这些模块支持IP访问列表功能:n

6GK7 343-1GX20-0XE0 -从 V1.0 (CP343-1 IT)
6GK7 343-1GX21-0XE0 - 从 V1.0 (CP343-1 Advanced)
6GK7 343-1GX30-0XE0 - 从 V1.0 (CP343-1 Advanced)
6GK7 343-1EX21-0XE0 - 从 V1.0 (CP343-1)
6GK7 343-1EX30-0XE0 - 从 V2.0 (CP343-1)
6GK7 443-1EX10-0XE0 - 从 V2.3 (CP443-1)
6GK7 443-1EX11-0XE0 - 从 V2.3 (CP443-1)
6GK7 443-1EX20-0XE0 - 从 V1.0 (CP443-1)
6GK7 443-1EX40-0XE0 -从 V1.0 (CP443-1 Advanced)
6GK7 443-1EX41-0XE0 - 从 V1.0 (CP443-1 Advanced)
6GK7 443-1GX20-0XE0 - 从 V2.0 (CP443-1 Advanced)

IP访问列表:

IP访问列表可以在相关S7 CP的属性对话框中进行配置。
在配置过程中,可以定义一个允许对模块进行访问的IP地址列表。例如,在配置中加入经过授权的所有编程设备IP地址。这样就可以防止未授权PC访问,例如,通过网络对S7-300/400访问。

CP按照如下规则运行:

每当通过LAN接收到一条消息,就会检查发送者的IP地址是否在访问列表上。如果发送者的IP地址不在IP访问列表上,消息就被丢弃, 对方即不会收到接受的回应也不会收到拒绝的回应。如果IP地址在IP访问控制列表上,也就是说,它具有访问授权,消息就会被转发并处理。

使用IP访问列表时的特殊情况:

如果希望能够检测到网络中的双重IP地址,那么用户自己的IP地址必须被输入到访问列表中。
否则,就无法响应对方模块发送过来的PING,因为访问列表检查显示本机IP没有访问授权。网络中的双重IP地址无法通过其它方式识别。

IP访问列表的 配置:

  1. 打开用户S7站点的硬件配置。
  2. 双击CP,打开属性对话框。
  3. 选择“IP Access Protection”选项栏。
  4. 选中“Activate access protection for IP communication”来激活IP访问列表。
  5. 现在,输入具有访问授权的IP地址或设备地址段。

如何保护通过以太网 对S7控制器的访问?

图1

注意事项:
IP访问列表仅在TCP/UDP或ISO-on-TCP通信中有效。它并不支持通过ISO传输协议和MAC地址发送的信息。

将配置装载到模块:
有两种常用的方法可用来装载配置数据。通过CPU的MPI接口装载及通过LAN (ISO 协议或 TCP/IP 协议)装载。
在此,请注意如下事项:

  1. 通过MPI装载:
    通过MPI装载 配置数据没有任何限制。
  2. 通过ISO协议装载:
    装载配置数据所通过的CP必须支持ISO协议。
  3. 通过TCP/IP协议装载:
    如果要通过TCP/IP将配置和IP访问列表一起装载到模块,那么配置PC/PG的IP地址需要输入到IP地址访问列表中。
    其原因在于,IP访问列表在装载模块进程正确结束之前就已经生效。PC/PG的IP地址 会突然对站点不再拥有访问授权。于是STEP 7会报告装载进程故障而CPU会报告配置不一致。

    补救措施:
    将配置PC/PG的IP地址输入IP地址列表,然后再通过ISO协议或MPI再次装载配置。

    注意事项:
    如果PC/PG的IP地址没有输入到IP访问列表,那么配置通常需要通过MPI或ISO协议来装载。

关键字:
安全,LAN,访问授权,模块保护,网络,

原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc333763.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2020年11月5日 下午12:03
下一篇 2021年4月12日 上午12:00

相关推荐

发表回复

登录后才能评论