n
组态注意事项:
下列部件(如图01)可在 Internet 上主动初始建立VPN通道:n
- SCALANCE S 61xn
- SOFTNET Security Clientn
- MD 740-1
主动部件会周期(按组态时间间隔)的去尝试建立通道。这样,它就会传输ISAKMP包到被动端DSL路由器上的固定公网IP 。这个DSL路由器的外网固定IP地址是能够被被动端的且经过组态了的SCALANCE S 61x 所识别。路由器通过端口映射设置把数据包转发到SCALANCE S 61x 上。n
一但通道建立,就可以访问被 SCALANCE S 61x模块所保护的那些节点,这些节点的访问是要通过通道的。n
因此, SCALANCE S 61x 能够被中心控制站的PG上的Security Configuration Tool连接。这可以通过SCT的在线看到 (如图. 02).n
而且,应用中心站的PG,用户可以n
- 可以成功传送一个ping命令到远程站的子网的IP 节点上;n
- 用STEP 7的PG/OP功能可以在线访问远程站的 S7-300/400控制器上,因此可以使能STEP 7 项目或者是下载一配置到S7-300控制器的CPU中或者读取CPU的诊断信息。
如果VPN的通道不能成功建立, 按下列的步骤去检查引起的原因:n
概要
- 需要 SCALANCE S 61x 版本号是 V2.1或者更高或者是一个 MD 740-1 版本号是 V1.0.3 或者更高。n
- 检查端口映射:
在DSL的路由器上,端口映射必须设置为在Internet上UDP包, 访问的是路由器的端口500和4500 , 发送的端口是与其相连的SCALANCE S 61x(被动模式)的端口 500 和 4500 。n - 检查配置:
是否所有部件的IP地址配置正确?是否所有这些模块的网关配置正确? - 抓取在DSL路由器和SCALANCE S或者SOFTNET Security之间的主动与被动方的数据帧。
是否有ISAKMP 和 ESP的帧? - 为了保证有ICMP(以太网的控制信息协议),对于Windows XP系统安装 (KB889527) ,甚至需要配置一下防火强使其支持 ICMP 帧。
- 控制中心的 IP地址必须与远程站的IP地址不同。
- N.B.如果想通过中心站访问多个远程站或多个远程站的SCALANCE S 61x模块时,远程站或者SCALANCE S 61x模块的IP子网必须不同。
- 可能没有用具有VPN功能的路由器 (或者路由器的VPN 功能被禁止).下列的DSL路由器已经经过测试在 Internet上可以建立 VPN通道:
Netgear RP614 V3
Netgear FVS338 ProSafe
Netgear RP614 V4
TCOM Speedport W500 (HW: 01A/FW: 1.00)
Netopia 3346N
SOFTNET security client
- 当一个VPN通道在SOFTNET security client 和SCALANCE S 61x之间建立时,在SCALANCE中下列的防火墙规则必须被设置: allow internal -> external
- 除了SOFTNET security client外在PC上的其它VPN客户端不能被激活,例如建立VPN通道。
- 关闭 Windows的防火墙!
- 如果VPN的通道是由SOFTNET security client初始化的, Tne possibility is to switch PCs.
MD 740-1
- 检查SIM卡是否支持GPRS。
- 如果VPN 通道是由MD740-1初始化建立, 请检查远程站的IP子网是否在 MD 740-1下的指定地址设置。
原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc337001.html