说明:
使用 SOFTNET Security Client (SSC) 的当前版本 - Edition 2005 HF1 ,在 PC 和 SCALANCE S61x V2.1 模块之间无法使用安全配置工具( SCT )通过以太网在路由模式下配置一个 VPN 通道。下面的内容描述了怎样通过简单地修改 SOFTNET Security Client 的 配置文件建立 VPN 通道.n
图01 显示了这个组态的结构.n
此处所需的必要条件:
- 为了在路由模式下通过 Internet 建立一个 VPN 通道,需要固件版本为 V2.1 的 SCALANCE S 61x 模块和 Security Configuration Tool V2.1 版本。SCALANCE S 61x 模块的固件版本 V2.1 可以在条目号 24457842 处下载。n
- 标准 DSL 路由器 B 需要一个固定的外部 IP 地址。这需要在被动的 SCALANCE S 61x (B) 上配置。在这里,“被动” 意味着 SCALANCE S 61x (B) 等待通信方开始建立通道。
CPU 315-2PN/DP 位于受 SCALANCE S 61x V2.1 模块保护的内部以太网中。SCALANCE S 61x V2.1 模块作为 CPU 315-2PN/DP 的路由器或网关 。因此,在 CPU 315-2PN/DP 的 PN 接口属性中,必须把 SCALANCE S 61x V2.1 的内部 IP 地址 140.80.0.2 设置为路由器或网关。n
IP 地址为 192.168.2.5 的 PC 站位于 SCALANCE S 61x V2.1 的以太网上。标准路由器 A 是 PC 站的路由器或网关。因此,在 局域网( LAN )连接属性中的 Windows 网络连接属性下输入标准路由器 A 的内部 IP 地址 192.168.2.1 作为“default gateway”的地址。而且,把标准路由器 A 作为 PC 站的 DNS 服务器。请确保使用标准路由器 A 的内部 IP 地址 192.168.2.1,并将其输入局域网(LAN)连接属性中的 Windows 网络连接设置项中。n
注意事项:
如果标准路由器 A 支持 DHCP 协议,PC 站能够从路由器 A 自动地获取 IP 地址和 DNS 服务器地址。n
然后配置标准路由器 A 和 B。
序号 | 步骤 |
1 | 在标准路由器 A 的主动侧(Softnet Security Client 发起 VPN 通道的创建),无需为 Softnet Security Client 的 IPSec 包配置任何端口转发规则。 n
或者,对于 PC 上具有固定 IP 地址的情况,需设置端口转发规则,以便 Internet 上的 UDP 数据包通过路由器的端口 500 和端口 4500 发送到相连 PC 站的端口 500 和端口 4500 上。n 这意味着 PC 站的 IP 地址 192.168.2.5 显示在标准路由器 A 上。n |
2 | 在标准路由器 B 上,必须设置端口转发规则,以便使 Internet 上的 UDP 数据包通过 路由器的端口 500 和端口 4500 发送到所连接的 Scalance S 61x 模块的端口 500 和端口 4500 上。 n
这意味着 SCALANCE S 61x 的 IP 地址 192.168.2.2会显示在标准路由器 B 上。n |
现在使用 Security Configuration Tool (SCT) 编译和保存 SOFTNET Security Client (SSC) 和 SCALANCE S 61x V2.1 的组态数据,请遵循下面的操作指导。n
SOFTNET Security Client 的组态
序号 | 步骤 |
1 | 通过 Windows 开始菜单,点击 SIMATIC -> SCALANCE -> Security,打开 SCT。 |
2 |
在 SCT 中建立了一个新项目,随后通过菜单“Insert -> Module”插入一个 SCALANCE S 61x V2 类型的模块和一个 SOFTNET Security Client 类型的模块。n 为 SCALANCE S 61x V2 类型的模块分配一个外部 IP 地址 192.168.2.2,并为 SCALANCE S 61x V2.1 输入 MAC 地址。而且,必须键入标准路由器 B 的内部 IP 地址 192.168.2.1,SCALANCE S 61x 将该 IP 地址作为默认网关而连接。n |
3 | 然后通过菜单“Insert -> Group”建立一个组,通过鼠标拖放将 SCALANCE S 61x V2 类型和 SOFTNET Security Client 类型的 两个模块拖到这个组中。这对于生成 SSC 配置数据是必需的。然而,SCALANCE S 61x V2.1 的路由模式仍未被激活,因为 SOFTNET Security Client Edition 2005 HF1 只能在组中与模块在桥接模式下使用。n |
4 | 通过“View”菜单启用“Advance Mode”。 n |
5 | 在 SCALANCE S 61x V2 模块属性的“VPN”标签页上定义了建立 VPN 通道的设置项。 n
SCALANCE S 61xV2.1 模块配置成被动模式,另外,在这里也必须指定路由器的外部 IP 地址。 主动模块通过该地址发起建立通道。本例中还必须在此指定标准路由器 B 的固定外部 IP 地址 217.91.8.166。n |
6 | 外,还必须在 SCALANCE S 61x V2 模块属性的“Firewall”标签页添加下列防火墙规则: n
Allow Internal->Externaln |
7 | 现在,可以编译和保存 SSC 的组态。 n
在“All Modules”上选中 SOFTNET Security Client 类型的模块,点击“Load”按钮编译和保存 SSC 的组态数据。n SSC 的组态数据现在被保存为“*.dat”格式的文件。在本例中,组态文件名为“Configuration1.Module2.dat”。n 注意事项: |
修改组态文件以适合于 SOFTNET Security Client
为了使 SOFTNET Security Client Edition 2005 HF1 能够通过 Internet 以路由模式在 PC 站和 SCALANCE S 61x V2.1 之间建立 VPN 通道,必须手工对组态文件“Configuration1.Module2.dat”进行扩展。操作步骤如下所述。
组态文件“Configuration1.Module2.dat”基于 UNIX 格式,因此可以使用 UNIX 文本编辑器打开并编辑。这样便可以添加关于内部子网(子网 2)140.80.0.0 的信息。此外,必须禁用“Learn the internal nodes”功能。n
所附的 PDF 文件中包含了一个修改组态文件“Configuration1.Module2.dat”的例子。n
The attached PDF file contains an example of the adapted configuration file "Configuration1.Module2.dat".n
Configuration1.Modul2.pdf ( 56 KB ) n
以路由模式组态 SCALANCE S 61x V2
修改了组态文件“Configuration1.Module2.dat”之后,便激活了 SCALANCE S 61x V2.1 的路由模式。这发生在与 SSC 组态相同的 SCT 项目中。
序号 | 步骤 |
1 | 将 SCALANCE S 61x V2 类型和 SOFTNET Security Client 类型 的模块从以前为它们分配的组中移除。 n
注意事项: |
2 | 然后在 SCALANCE S 61x V2 类型模块属性的“Routing Mode”标签页下激活路由功能,并且分配内部 IP地址 140.80.0.2和子网掩码 255.255.0.0。 n |
3 | 通过鼠标拖放将 SCALANCE S 61x V2 类型的模块分配到组中。 n |
4 | 然后将组态装载到 SCALANCE S 61x V2.1 中。为了把组态数据传送到 SCALANCE S 61x V2.1,在“All Modules”下选中 SCALANCE S 61x V2 类型的模块并点击“Load”按钮。 n |
使用 SOFTNET Security Client 建立一个 VPN 通道
SOFTNET Security Client Edition 2005 HF1 建立从 PC 站到 SCALANCE S 61x V2.1 的 VPN 通道。
序号 | 步骤 |
1 | 通过 Windows 开始菜单,点击 SIMATIC -> SCALANCE打开 SCC。 n
注意事项: |
2 | 首先,将组态数据装载至 SSC。 n
这需要打开和装载修改后的组态文件“Configuration1.Module2.dat”。n |
3 | 点击“Tuel overview”按钮打开通道概貌图。 n
此处显示了可以通过 VPN 通道进行访问的模块和子网。n |
4 | “Test Tuel”功能允许您查看是否以路由模式建立了从 SSC 到 SCALANCE S 61x V2.1 的 VPN 通道。 n |
5 | 如果 VPN 通道成功建立,并且可以从 PC 站访问 SCALANCE S 61x V2.1,则会出现下面的消息: |
如果经由 Internet 建立了从 PC 站到 SCALANCE S 61x V2.1 的 VPN 通道,便可以从 PC 站访问受保护的自动化单元(CPU 315-2PN/DP),即:
- ping 命令可以从 PC 站传送到 CPU 315-2PN/DP。
- 在 STEP 7 中可以使用 PG/OP 功能在线访问 S7-300 控制器 ,从而可以将 STEP 7 项目或组态装载到 S7-300 控制器 CPU 或者读取 CPU 的诊断缓冲区。
注意事项:
1、VPN 通道不支持第 2 层协议,例如 STEP 7 中的“accessible nodes”功能。
2、如果由于条件限制需要开启防火墙,则防火墙的端口500和4500需要打开。
重要事项!
本例在多个标准 PC 的 Windows XP SP2 下做了测试。不过,我们不能确保本例子能够在所有的 PC 配置中顺利进行。
原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc333878.html