西门子工业模块经销总代理商有关以下项的安全注意事项 部分接口 产品概述 (页 25)端口和协议 通信选件概述 (页30)用于以太网通信的通信协议和端口号 (页 32)安全通信 安全通信 (页 44)激活/取消激活服务 激活和取消激活 SNMP (页96)通过 DHCP 寻址 (页 308)IP 转发 (页 327)OPC UA通信的安全功能(身份验证、证书、用户创建和角色、安全消息传输)OPC UA 通信 (页 140)23通信功能手册, 11/2023,A5E03735819-AL有关以下项的安全注意事项 部分激活通信模块中的安全功能 基于 IP 的应用程序的虚拟接口 (页335)冗余系统 S7‑1500R/H 的通信 冗余系统 S7‑1500R/H 的通信 (页 353)使用 CP 1543-1实现工业以太网安全保护使用 CP 1543-1 确保工业以太网安全 (页 375)安全的 PG/HMI 通信 安全的 PG/HMI通信 (页 87)保护机密数据 保护机密组态数据 (页 62)基于 S7‑1500, , ET 200MPET 200SPET200pro 和 ET 200AL 系统的 CPU、通信模块和处理器以及 PC 系统,可通过 PROFINET, PROFIBUS和点到点的连接进行通信连接。CPU、通信模块和通信处理器PROFINET 和 PROFIBUS DP 接口集成在 S7‑1500CPU 中。例如,CPU 1516‑3 PN/DP 上带有 2个 PROFINET 接口和 1 个 PROFIBUS DP接口。使用通信模块 (CM) 和通信处理器 (CP) 时,可支持其它 PROFINET 和 PROFIBUS DP 接口。
工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。其产品范围包括西门子S7-SMART200、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各类工业自动化产品。西门子授权代理商、西门子一级代理商 西门子PLC模块代理商﹐西门子模块代理商供应全国范围:
与此同时,我们还提供。
西门子中国授权代理商——浔之漫智控技术(上海)有限公司,本公司坐落于松江工业区西部科技园,西边和全球zhuming芯片制造商台积电毗邻,
东边是松江大学城,向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等
交通主干道将松江工业区与上海市内外连接,交通十分便利。
目前,浔之漫智控技术(上海)有限公司将产品布局于中、高端自动化科技产品领域,
PLC模块S7-200、S7-1200、S7-300、S7-400、ET200分布式I/O等
HMI触摸屏、SITOP电源、6GK网络产品、ET200分布式I/O SIEMENS驱动产品MM系列变频器、G110 G120变频器、直流调速器、电线电缆、
驱动伺服产品、数控设备SIEMENS低压配电与控制产品及软起动器等
基于 ModbusTCP 协议,通过 PROFINET 进行数据交换指令:• MB_CLIENT• MB_SERVER✓ - -电子邮件通过电子邮件发送过程报警指令:• TMAIL_C✓ - -FTP(仅适于带有 PROFINET/工业以太网接口的 CP)基于FTP(文件传输协议)进行文件管理和文件访问时,CP 既可以作为 FTP 客户端也可以作为 FTP 服务器指令:• FTP_CMD✓- -Fetch/Write(仅适于带有 PROFINET/工业以太网接口的 CP)通过 TCP/IP、ISO-on-TCP 和ISO 执行服务器服务通过 Fetch/Write 的特殊指令✓ - -S7 通信 通过 PROFINET/PROFIBUS,使用S7协议进行数据交换。指令:• PUT/GET• BSEND/BRCV• USEND/URCV✓ ✓ -点到点串行连接 基于Freeport、3964(R)、USS 或 Modbus 协议,进行点到点数据交换通过 PtP、USS 或 Modbus RTU的特定指令- - ✓Web 服务器 通过 HTTP(S) 进行数据交换,如诊断 ✓ - -SNMP(简单网络管理协议) 基于标准SNMP 协议,通过对 IP 网络组件进行参数设置,可对 IP 网络进行监控和故障识别✓ - -通过 PN/IE 接口:CPU 作为NTP 客户端(网络时间协议)时间同步 ✓ - -通过 DP 接口:CPU/CM/CP 作为时间主站或时间从站 - ✓ -1 IE -工业以太网2 遵守 S7‑1500R/H 的特殊特性3 仅通过 CPU 的内部 PROFINET 接口和激活“通过通信模块访问PLC”功能的以太网接口 CP 1543 1。有关 S7-1500R/H 的信息有关与 S7‑1500R/H冗余系统通信可能性的信息,请参见“与冗余系统 S7-1500R/H 进行通信(页353)”部分。以太网通信的通信协议和端口号在本章节中,简要介绍了通过 PN/IE接口进行通信时支持的协议和端口号。在各种协议中,分别指定了地址参数、相应的通信层以及通信角色和通信方向。基于这些信息,可将自动化系统所有的安全保护措施与相应的协议进行匹配(如,防火墙)。由于安全措施jinxian于以太网或PROFINET 网络,因此下表中不包含任何 PROFIBUS 协议。说明使用的端口号指定的端口号为 S7‑1500 CPU所用的标准端口号。由于支持各种不同的通信协议和通信连接,因此也可使用其它端口号。下表列出了 S7‑1500 CPU 和 S7‑1500通信模块中使用的不同层和 S7-1500CPU 和软件控制器的通信层和协议(通过 CPU 的 PROFINET 接口)下表列出了 S7‑1500 CPU、ET 200SPCPU 和 1513/1516pro‑2 PN CPU支持的协议。S7‑1500软件控制器也支持下表中所列协议,以太网接口将基于这些协议分配给相应的软件控制器。表格 5-2 S7‑1500 CPU 和软件控制器的通信层和协议(通过 CPU 的 PROFINET 接口)协议/角色 端口号 (2) 链路层(4)传输层说明/功能 默认设置/说明PROFINET 协议DCP 不相关 (2)Ethertype0x8892(PROFINET)PROFINET Discovery and BasicConfigurationProtocol.DCP 决定 PROFINET 设备并启用基本设置。默认值:固件版本 V3.0 及以下版本启用,固件版本 V3.1及更高版本启用写保护。在活动通信关系期间,DCP 不允许在写保护模式下从外部发出 DCP Set 命令。可通过 CPU属性中接口的Boundary“可访问节点检测结束”(Endof detection of accessible nodes)取消激活此功能。DHCP客户端68 (4) UDP Dynamic Host Configuration Protocol.IP地址套件是在 PROFINET 接口启动期间从 DHCP 服务器获取的。默认值:取消激活。可以在 CPU 属性中更改(自固件版本2.9起)。LLDP 不相关 (2) Ethertype0x88CC (LLDP)PROFINET Link LayerDiscoveryProtocol.LLDP 决定和管理 PROFINET 设备间的相邻关系。默认值:激活。可通过 CPU 属性中的Boundary“拓扑发现结束”(End of topology discovery)取消激活发送功能;仍处于准备接收状态。LLDP使用特定的多播 MAC 地址:01-80-C2-00-00-0E.MRP 不相关 (2) Ethertype0x88E3(IEC62493-2-2010)Media Redundancy Protocol.MRP采用环形拓扑结构对冗余传输路径进控制。默认值:“管理器(自动)”。可以在 CPU 属性中更改。如果组态CPU 并将 PN接口与子网连接,则 TIAPortal 中的默认设置为“非环中的设备”。MRP 使用标准的多播 MAC 地址:PROFINET IO数据不相关 (2) Ethertype0x8892(PROFINET)PROFINET Cyclic IO DataTransfer通过 PROFINET IO 报文,基于以太网在 PROFINET IO 控制器与 IO 设备之间对 IO数据进行循环传输。默认值:取消激活。仅为 PROFINET IO 数据流量激活此协议。PROFINET上下文管理器34964 (4)UDP 不采用 RPC 的 PROFINET 连接。管理 IO 控制器与 IO 设备之间的应用和通信关系。默认值:已启用(UDP端口打开)。不能取消激活此功能。PTCP 不相关 (2) Ethertype0x8892(PROFINET)PROFINETPrecision Transparent ClockProtocol,基于 IEEE 1588。PTCP 提供 RJ45端口之间的延时测量,并随后发送时钟和时间同步。默认值:取消激活。可通过以下组态启用:• 采用同步域额 IRT。•通过指定长度的电缆进行端口互连。可通过 CPU 属性中接口的“同步域结束”(End of sync domain) Boundary取消激活此功能。PTCP 使用标准的多播 MAC 地址。1 注:OUC(开放式通信)可直接访问 UDP 和 TCP 协议。必须考虑IANA (Internet Assigned Numbers Authority) 端口限制和定义。2 请勿将其它协议已用端口分配给OUC TP 用于与 CPU 内部Web 服务器通信。默认值:取消激活。可以在 CPU 属性中启用。要求:在 CPU 的属性中启用 Web服务器。HTTPS服务器443 (4) TCP Hypertext Transfer Protocol Secure.HTTPS用于通过安全套接层 (SSL) 与CPU 内部的 Web 服务器通信。默认值:取消激活。可以在 CPU 属性中启用。要求:在 CPU的属性中启用 Web 服务器。IGMPv2 不相关 (3) 网络层 Internet GroupManagementProtocol.IGMPv2 是用于组织多播组的网络协议(jinxian UDP 多播)。IGMPv2 是 IP堆栈的功能。系统功能通过多播功能激活。ISO-on-TCP服务器102 (4) TCP ISO-on-TCP 协议(基于 RFC1006)。S7 协议使用 ISO‑on‑TCP(基于RFC 1006)与工程组态系统进行PG/HMI 通信 (TIAPortal)。默认值:激活。不能取消激活此功能。MODBUSTCP服务器/客户端502 (4) TCP MODBUSTransmission ControlProtocol.MODBUS/TCP 由用户程序中的MB_CLIENT/MB_SERVER指令使用。默认值:取消激活。可在用户程序中通过 Modbus 指令激活。NTP客户端123 (4) UDP Network TimeProtocol.NTP 用于同步 CPU 系统时间与 NTP 服务器时间。默认值:取消激活。可以在 CPU 属性中启用。OPCUA服务器/客户端4840 (4) TCP Open Platform CommunicationsUnifiedArchitecture(基于 TCP/IP 协议)。从企业级到现场级的通信标准。默认值:取消激活。可以在 CPU属性中启用服务器和客户端功能。可在用户程序中组态客户端访问。1 到 1999使用范围有限22000 到5000(建议)OUC1OUC安全连接服务器/客户端自固件版本V3.0 起,以下要求适用于程序设定连接和已组态连接:5001 ...65535使用范围有限2(4)TCP(4) UDP(4)ISO-on-TCP(端口:102)Open UserCommunication(TCP/UDP)。Secure Open User Communication(TLS)。OUC指令可通过用户程序建立连接、终止连接和传输数据。默认值:取消激活。在用户程序中通过相应的 Open UserCommunication指令或通过网络视图中的连接组态激活各个协议。以下要求适用固件版本低于 V3.0 的情况:• 程序设定的连接:5001 ...49152• 通过组态建立连接:5001imple Mail Transfer Protocol.SMTP用于发送电子邮件。默认值:取消激活。可在用户程序中通过 TMAIL_C 指令启用。SMTPS(通过TLS 进行SMTP连接)客户端465 (4) TCP Simple Mail Transfer Protocol Secure.SMTP用于通过安全连接发送电子邮件。默认值:取消激活。可在用户程序中通过 TMAIL_C 指令启用。使用 STARTTLS进行 SMTP连接客户端25587(4) TCP Simple Mail Transfer Protocol 使用SMTP 命令"STARTTLS"SMTP 用于发送电子邮件。默认值:取消激活。可在用户程序中通过 TMAIL_C指令启用。SNMP代理161162(陷阱)(4) UDP Simple Network ManagementProtocol.SNMP管理器使用 SNMP 读取和设置网络管理数据(SNMP 管理的对象)。默认值:固件版本 V2.9 及以下版本激活,固件版本 V3.0及更高版本取消激活。可在用户程序中通过数据记录启用。可在 CPU 属性中启用(自固件版本V3.0 起)。自固件版本 V3.1 起,可在CPU 属性中额外启用写保护。Syslog(系统日志)6514514(4) TCP(4) UDPSyslog 属于 IETF标准协议(RFC 5424),用于传输 CPU 检测到的事件。默认值:取消激活。可以在 CPU 属性中启用。可在 CPU属性中组态为,将 Syslog 消息转发到 Syslog 服务器。自固件版本V3.1 起,无法禁用 CPU 内系统日志事件的收集。预留49152 到65535(4) TCP(4) UDP如果已移除未寻址到本地端口,CPU会为活动连接点使用该端口范围。-1注:OUC(开放式通信)可直接访问 UDP 和 TCP 协议。必须考虑 IANA (Internet Assigned NumbersAuthority) 端口限制和定义。2 请勿将其它协议已用端口分配给 OUC。