n
说明:
本文描述了如何通过 Internet 在两个 SCALANCE S61x 模块间建立 VPN 通道。SCALANCE S61x 模块工作在路由模式。n
要求如下:n
- SCALANCE S61x V2模块从固件版本 V2.1 以上才能支持通过 Internet 以路由模式建立 VPN 通道,SCALANCE S61x V2 模块的V2.3 版本固件可以通过条目 ID !41751852! 下载。n
- SCALANCE S612 V3 模块和 SCALANCE S623 V3 模块必须支持通过路由模式建立 VPN 通道。SCALANCE S612 V3 的当前固件版本 V3.1.0.1可通过 ID 68041706 下载。n
- 配置 SCALANCE S61x V2 模块需要 Security Configuration Tool V2.1 或更高版本。n
- 配置 SCALANCE S612 V3 模块和 SCALANCE S623 V3 模块需要 Security Configuration Tool V3.0 或更高版本。n
- 标 准路由器 A 需要一个固定的公网 IP 地址。主动方(SCALANCE S61x B)向该 固定外网 IP 地址发 起VPN 通道的建立。被动方(SCALANCE S61x A) 等待对方来开始建立 VPN 通道。
图. 01n
配置描述:
IP 地址为 192.168.3.2 的PC 站连接到 SCALANCE S61x A 的内部网,从而保护其不受来自外网的非法访问。
SCALANCE S61x A 是 PC 站的路由器。n
控制器 S7-300 站连接至 SCALANCE S61x B 的内网,从而保护其不受来自外网的非法访问。
SCALANCE S61x B 作为 S7-300 控制器的路由器。n
标准路由器 A 是 SCALANCE S61x A 的路由器,标准路由器 B 是 SCALANCE S61x B 的路由器。n
在 S7-300 站中定义路由
- 在 S7-300 站的硬件组态中,打开 CP343-1 的接口属性窗口。n
- 使能 "Use router" 功能,输入 SCALANCE S61x B 内网 IP 地址 140.80.0.2 。
图 02:n
定义 PC 站的默认网 关
- 通过以下方式为 PC 站修改 IP 地址和网关:“开始 > 控制面板 > 网络连接 > 本地连接”,打开属性 “ internet protocol (TCP/IP)”。n
- 按照图 01 所示修改 PC 站的 IP 地址,如本例中IP地址为 192.168.3.2,子网掩码为 255.255.255.0。n
- 输入 SCALANCE S61x A 的内网 IP 地址 192.168.3.1 作为缺省网关。
图 03:n
接下来配置标准路由器 A 和 B 。n
配置标准路由器
标准路由器 A 连接到SCALANCE S61x A 的外网口。SCALANCE S61x A 做为被动方等待其伙伴来建立 VPN 通道。n
标准路由器 B 连接到SCALANCE S61x B 的外网口。SCALANCE S61x B 向使用固定公网 I P 的路由器 A 发起 VPN 连接。
序号 | 步骤 |
1 | 被动SCALANCE S61x 连接的标准路由器 A 配置如下端口转发规则: n
|
2 | 对与被动模块 SCALANCE S61x 连接的标准路由器 B 配置如下端口转发规则:n
说明: |
n
配置 SCALANCE S61x 模块
现在根据图 01用 Security Configuration Tool 配置 SCALANCE S61x 模块。
序号 | 步骤 |
1 | 通过 Start > All Programs > Siemens Automation > SIMATIC > SCALANCE > Security > Security Configuration Tool 打开 Security Configuration Tool 并创建一个新项目。 |
2 | 选择 "Paste > Module" 菜单,打开 "Selection of a module or software configuration" 。 n
注意 |
3 | 在实例中 VPN 通道是在 2 个 SCALANCE S612 V3 模块间建立的,按照以下步骤添加并配置一个 SCALANCE S612 V3: n
|
4 | 按照以下步骤添加并配置另一个 SCALANCE S612 V3:
注意 |
5 | 添加的 CALANCE S61x 模块在"All modules" 下显示。 图. 09 |
6 |
|
7 |
|
8 | 通过菜单 "Paste -> Group"创建一个新组。 n
|
9 | 将两个刚创建的SCALANCE S61x 模块拖放到创建的组中。 n
|
n
配置 VPN (虚拟私有网络)
序号 | 步骤 |
1 |
|
2 |
图. 15 |
3 | 到此对 SCALANCE S61x 模块的配置结束。 |
n
下载或保存配置
序号 | 步 骤 |
1 | 在"All modules" 下选择模块"S61xA",点击 "download" 按钮,下载配置到 SCALANCE S61x A. n
|
2 | 在"All Modules"下选择模块"S61xB" ,点击 "download" 按钮,下载配置到 SCALANCE S61x B. n
|
n
通道建立:
此时主动模块 SCALANCE S61x B 周期性的尝试建 立通道。在SCALANCE S61x B属性的 "VPN" 标签下设置该时间间隔(如图15所示)。 为此 SCALANCE S61x B 发送 ISAKMP 数据包到标准路由器 A 的公网 IP 地址 217.91.8.166 。标准路由器 A 的公网固定 IP 可从被动模块 (SCALANCE S61x A) 的配置中获得(如图14所示)。标准路由器 A 根据端口转发规则转发数据到SCALANCE S61x 。n
一旦通道建立,控制中心和远程站的数据交换通过VPN通道加密的进行传输。n
诊断
SCALANCE S61x A 和 B 两个模块都可以从 PC 站访问到。这可以通过在 Security Configuration Tool 中点击“Online view” 查看SCALANCE S61x 是否可访问。n
图. 18n
图. 19n
在线视图中双击模块 "S61xA",可打开 SCALANCE S61x A 的在线视图,此时可以在 "Communication status" 标签下跟踪SCALANCE S61x A 连接到 PC 站的 VPN 通道的状态。n
如果已经在两个SCALANCE S61x 之间通过 Internet 建立了 VPN 通道,则可以从 PC 站访问到受保护的自动化单元2 (S7-300 站),这意味着:
- 可以从 PC 站 ping 通 S7-300 站中的工业以太网通讯模块。
- 可以从 PC 站访问 CP 卡的WEB网页内容。
- 从 STEP 7 中,使用 PG/OP 功能在线访问 S7-300 站,从而可以把 STEP 7 项目或配置下载到 S7-300 站的 CPU 中,或者读取 CPU / IE CP 的诊断缓冲区。
说明:
1、VPN 通道不支持 2 层协议,例如 STEP 7 的 "Show Accessible Nodes" 功能。
2、如果开启了防火墙功能,则防火墙的 UDP 端口 500 和 4500 需要使能(如图. 01) 。
原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc333889.html