在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?

说明:
使用 SOFTNET Security Client (SSC) 的当前版本 - Edition 2005 HF1 ,在 PC 和 SCALANCE S61x V2.1 模块之间无法使用安全配置工具( SCT )通过以太网在路由模式下配置一个 VPN 通道。下面的内容描述了怎样通过简单地修改 SOFTNET Security Client 的 配置文件建立 VPN 通道.n

图01 显示了这个组态的结构.n

此处所需的必要条件:

  • 为了在路由模式下通过 Internet 建立一个 VPN 通道,需要固件版本为 V2.1 的 SCALANCE S 61x 模块和 Security Configuration Tool V2.1 版本。SCALANCE S 61x 模块的固件版本 V2.1 可以在条目号 24457842 处下载。n
  • 标准 DSL 路由器 B 需要一个固定的外部 IP 地址。这需要在被动的 SCALANCE S 61x (B) 上配置。在这里,“被动” 意味着 SCALANCE S 61x (B) 等待通信方开始建立通道。

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 01 n

CPU 315-2PN/DP 位于受 SCALANCE S 61x V2.1 模块保护的内部以太网中。SCALANCE S 61x V2.1 模块作为 CPU 315-2PN/DP 的路由器或网关 。因此,在 CPU 315-2PN/DP 的 PN 接口属性中,必须把 SCALANCE S 61x V2.1 的内部 IP 地址 140.80.0.2 设置为路由器或网关。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 02 n

IP 地址为 192.168.2.5 的 PC 站位于 SCALANCE S 61x V2.1 的以太网上。标准路由器 A 是 PC 站的路由器或网关。因此,在 局域网( LAN )连接属性中的 Windows 网络连接属性下输入标准路由器 A 的内部 IP 地址 192.168.2.1 作为“default gateway”的地址。而且,把标准路由器 A 作为 PC 站的 DNS 服务器。请确保使用标准路由器 A 的内部 IP 地址 192.168.2.1,并将其输入局域网(LAN)连接属性中的 Windows 网络连接设置项中。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 03 n

注意事项:
如果标准路由器 A 支持 DHCP 协议,PC 站能够从路由器 A 自动地获取 IP 地址和 DNS 服务器地址。n

然后配置标准路由器 A 和 B。

序号 步骤
1 在标准路由器 A 的主动侧(Softnet Security Client 发起 VPN 通道的创建),无需为 Softnet Security Client 的 IPSec 包配置任何端口转发规则。 n

或者,对于 PC 上具有固定 IP 地址的情况,需设置端口转发规则,以便 Internet 上的 UDP 数据包通过路由器的端口 500 和端口 4500 发送到相连 PC 站的端口 500 和端口 4500 上。n

这意味着 PC 站的 IP 地址 192.168.2.5 显示在标准路由器 A 上。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 04

2在标准路由器 B 上,必须设置端口转发规则,以便使 Internet 上的 UDP 数据包通过 路由器的端口 500 和端口 4500 发送到所连接的 Scalance S 61x 模块的端口 500 和端口 4500 上。 n

这意味着 SCALANCE S 61x 的 IP 地址 192.168.2.2会显示在标准路由器 B 上。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 05

现在使用 Security Configuration Tool (SCT) 编译和保存 SOFTNET Security Client (SSC) 和 SCALANCE S 61x V2.1 的组态数据,请遵循下面的操作指导。n

SOFTNET Security Client 的组态

序号 步骤
1 通过 Windows 开始菜单,点击 SIMATIC -> SCALANCE -> Security,打开 SCT。
2

在 SCT 中建立了一个新项目,随后通过菜单“Insert -> Module”插入一个 SCALANCE S 61x V2 类型的模块和一个 SOFTNET Security Client 类型的模块。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 06 n

为 SCALANCE S 61x V2 类型的模块分配一个外部 IP 地址 192.168.2.2,并为 SCALANCE S 61x V2.1 输入 MAC 地址。而且,必须键入标准路由器 B 的内部 IP 地址 192.168.2.1,SCALANCE S 61x 将该 IP 地址作为默认网关而连接。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 07

3

然后通过菜单“Insert -> Group”建立一个组,通过鼠标拖放将 SCALANCE S 61x V2 类型和 SOFTNET Security Client 类型的 两个模块拖到这个组中。这对于生成 SSC 配置数据是必需的。然而,SCALANCE S 61x V2.1 的路由模式仍未被激活,因为 SOFTNET Security Client Edition 2005 HF1 只能在组中与模块在桥接模式下使用。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 08 n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 09

4通过“View”菜单启用“Advance Mode”。 n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 10

5在 SCALANCE S 61x V2 模块属性的“VPN”标签页上定义了建立 VPN 通道的设置项。 n

SCALANCE S 61xV2.1 模块配置成被动模式,另外,在这里也必须指定路由器的外部 IP 地址。 主动模块通过该地址发起建立通道。本例中还必须在此指定标准路由器 B 的固定外部 IP 地址 217.91.8.166。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 11

6外,还必须在 SCALANCE S 61x V2 模块属性的“Firewall”标签页添加下列防火墙规则: n

Allow Internal->Externaln

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 12

7现在,可以编译和保存 SSC 的组态。 n

在“All Modules”上选中 SOFTNET Security Client 类型的模块,点击“Load”按钮编译和保存 SSC 的组态数据。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 13 n

SSC 的组态数据现在被保存为“*.dat”格式的文件。在本例中,组态文件名为“Configuration1.Module2.dat”。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 14 n

注意事项:
下载 SSC 的组态数据时,同时还创建了模块证书(*.cer)和组证书(*.p12)。不要将包含“Configuration1.Module2.dat”组态数据的导出文件保存在与项目相同的文件夹中。否则,当 SOFTNET Security Client 和 SCALANCE S 61x V2 类型的模块随后从它们当前分配的组中被移除时,模块证书(*.cer)会再次被删除。

修改组态文件以适合于 SOFTNET Security Client

为了使 SOFTNET Security Client Edition 2005 HF1 能够通过 Internet 以路由模式在 PC 站和 SCALANCE S 61x V2.1 之间建立 VPN 通道,必须手工对组态文件“Configuration1.Module2.dat”进行扩展。操作步骤如下所述。
组态文件“Configuration1.Module2.dat”基于 UNIX 格式,因此可以使用 UNIX 文本编辑器打开并编辑。这样便可以添加关于内部子网(子网 2)140.80.0.0 的信息。此外,必须禁用“Learn the internal nodes”功能。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 15 n

所附的 PDF 文件中包含了一个修改组态文件“Configuration1.Module2.dat”的例子。n

The attached PDF file contains an example of the adapted configuration file "Configuration1.Module2.dat".n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道? Configuration1.Modul2.pdf ( 56 KB ) n

以路由模式组态 SCALANCE S 61x V2

修改了组态文件“Configuration1.Module2.dat”之后,便激活了 SCALANCE S 61x V2.1 的路由模式。这发生在与 SSC 组态相同的 SCT 项目中。

序号 步骤
1 将 SCALANCE S 61x V2 类型和 SOFTNET Security Client 类型 的模块从以前为它们分配的组中移除。 n

注意事项:
不能删除以前为模块分配的组和模块本身。否则,这将会改变 SSC 的组态数据,将必须建立一个新的 SSC 组态文件。

2然后在 SCALANCE S 61x V2 类型模块属性的“Routing Mode”标签页下激活路由功能,并且分配内部 IP地址 140.80.0.2和子网掩码 255.255.0.0。 n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 16

3通过鼠标拖放将 SCALANCE S 61x V2 类型的模块分配到组中。 n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 17

4然后将组态装载到 SCALANCE S 61x V2.1 中。为了把组态数据传送到 SCALANCE S 61x V2.1,在“All Modules”下选中 SCALANCE S 61x V2 类型的模块并点击“Load”按钮。 n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 18

使用 SOFTNET Security Client 建立一个 VPN 通道

SOFTNET Security Client Edition 2005 HF1 建立从 PC 站到 SCALANCE S 61x V2.1 的 VPN 通道。

序号 步骤
1 通过 Windows 开始菜单,点击 SIMATIC -> SCALANCE打开 SCC。 n

注意事项:
如果计算机上安装了多个以太网的访问接口( 如,WLAN, UMTS 卡……),在打开 SOFTNET Security Client 时,将会显示对话窗口。在此窗口中选择所使用的以太网访问接口。

2首先,将组态数据装载至 SSC。 n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 19 n

这需要打开和装载修改后的组态文件“Configuration1.Module2.dat”。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 20

3点击“Tuel overview”按钮打开通道概貌图。 n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 21 n

此处显示了可以通过 VPN 通道进行访问的模块和子网。n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 22

4“Test Tuel”功能允许您查看是否以路由模式建立了从 SSC 到 SCALANCE S 61x V2.1 的 VPN 通道。 n

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 23

5如果 VPN 通道成功建立,并且可以从 PC 站访问 SCALANCE S 61x V2.1,则会出现下面的消息:

在 PC 站和 SCALANCE S61x V2.1 模块之间怎样使用SOFTNET Security Client Edition 2005 HF1 经由 Internet 配置一个 VPN 通道?
图 24

如果经由 Internet 建立了从 PC 站到 SCALANCE S 61x V2.1 的 VPN 通道,便可以从 PC 站访问受保护的自动化单元(CPU 315-2PN/DP),即:

  • ping 命令可以从 PC 站传送到 CPU 315-2PN/DP。
  • 在 STEP 7 中可以使用 PG/OP 功能在线访问 S7-300 控制器 ,从而可以将 STEP 7 项目或组态装载到 S7-300 控制器 CPU 或者读取 CPU 的诊断缓冲区。

注意事项:
1、VPN 通道不支持第 2 层协议,例如 STEP 7 中的“accessible nodes”功能。
2、如果由于条件限制需要开启防火墙,则防火墙的端口500和4500需要打开。

重要事项!
本例在多个标准 PC 的 Windows XP SP2 下做了测试。不过,我们不能确保本例子能够在所有的 PC 配置中顺利进行。

原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc333878.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2020年11月5日 下午12:03
下一篇 2021年4月12日 上午12:00

相关推荐

发表回复

登录后才能评论