浙江西门子模块代理商

上海朕锌电气设备有限公司

浙江西门子模块代理商

《销售态度》：质量保证、诚信服务、及时到位！
《销售宗旨》：为客户创造价值是我们永远追求的目标！
《服务说明》：现货配送至全国各地含税（16%）含运费！
《产品质量》：原装正品，全新原装！
《产品优势》：专业销售 薄利多销 信誉好，口碑好，价格低，货期短，大量现货,服务周到！

1 概述

    根据通讯接口的不同，SINAMICS S120的控制单元分两类：

· 支持PROFINET IO的控制单元：CU310-2 PN，CU320-2 PN

· 支持PROFIBUS DP的控制单元：CU310-2 DP，CU320-2 DP

    对于支持PROFIBUS DP通讯的控制单元，可以使用Y-Link模板将CU3x0-2 DP接入到S7-400H冗余系统中。

    对于支持PROFINET IO通讯的控制单元，在固件版本V4.8之前，一直没有相应的解决方案。但从固件版本V4.8开始，SINAMICS S120增加了一个新功能，开始支持与S7-400H冗余系统的PROFINET通讯。一个带有3个CU310-2 PN的S7-400H系统连接示意图，如图1-1所示。

图1-1  连接示意图：S7-400H与S120的PROFINET通讯

    S7-400H系统由两个相互冗余的控制器组成，两个CPU一用一备，双方通过光纤连接，保持数据同步。如果一个CPU故障停机，另一个CPU会立即投用，这大大降低了系统停机的风险，提高了系统可靠性。S120配合S7-400H系统使用时，同样具有以上优点，在一个CPU出现故障时S120*停机，在切换CPU的过程中，上一个连接的设定值将被冻结并仍然有效。

    但是，目前这种配置不支持PROFINET IRT模式，不支持设备共享（Shared Device），而且只能使用控制单元的板载PN接口实现系统冗余。

2 通讯连接与配置

2.1 硬件需求

在SINAMICS S120配合S7-400H系统进行PN通讯时，需要以下硬件：

· SIMATIC S7-400H控制系统

带有PROFINET接口的H-CPU，型号为 41xH

· SINAMICS S120控制单元

带PROFINET接口的 控制单元，CU310-2 PN 或 CU320-2 PN

2.2 通讯拓扑

S120与S7-400H的PROFINET冗余通讯连接有两种拓扑结构。

2.2.1 不使用交换机的通讯拓扑

不使用交换机时，可以将S120控制单元上的两个PN接口分别与S7-400H系统的两个CPU相连接，如图2-1所示。

2.2.2 使用交换机的通讯拓扑

可以使用交换机同时与S7-400H系统的两个CPU相连接，S120控制单元只使用一个PN接口与交换机相连接，如图2-2所示。

图2-2 使用交换机：S120与S7-400H的连接拓扑

2.3  硬件组态示例

使用SIMATIC PCS7软件可以完成项目硬件组态和后续调试。以2.2节中图2-1与图2-2的拓扑为例，其硬件组态如图2-3所示。

图2-3 硬件组态示例

1 更改登录用户名和密码
对于SCALANCE X来说，需要输入用户名和密码才能更该设置。这些设备有出厂的默认密码。SCALANCE X产品的用户名和默认密码是admin。黑客知道用户名和默认密码，会尝试用该密码访问您的工业以太网交换机从而恶意更改网络设置。要防止任何未经授权的更改，可以修改设定设备的密码。如图1所示，可以通过这个界面配置管理员和用户的密码。

浙江西门子模块代理商

图 1

2 访问协议控制
用户登录SCALANCE X有多种协议支持方式，例如FTP,TELNET,SSH和HTTP等协议。如图2所示，可以禁止一些未被使用的协议来满足工业安全要求。在SCALANCE X中可以通过Agent标签下的选项禁止或者激活相应协议的访问。

图 2

3 禁用SCALANCE X硬件的SELECT/SET按钮
在SCALANCE X的硬件正面的SELECT/SET按钮可以执行“恢复工厂设置”、“使能环网冗余管理者”等功能。在项目正式运行期间很少更改网络架构，因此可以考虑通过如图 ３
所示，禁用该按钮，避免误操作而导致的工业网络故障。

图 ３

4 禁用未被使用的以太网接口
对于在项目中暂时未使用的以太网口可以通过如图４所示界面，禁用该口，这样相当于从物理上禁用，从而避免误连接而导致的网络系统故障。

图 ４

5 HTTPS协议
HTTPS安全基础是SSL协议，提供了身份验证与加密通讯方法，现在它被广泛用于互联网上安全敏感的通讯 。SSL较难窃听，对中间人攻击提供一定的合理保护。认证用户和服务器，确保数据发送到正确的客户机和服务器；加密数据以防止数据中途被窃取；维护数据的完整性，确保数据在传输过程中不被改变。如图5所示为SCALANCE X启用HTTPS协议，在登录系统时如图6所示，必须要使/，这样就可以通过安全通道访问交换机。

图 5                                                                             图 6

6 使用ACL协议
ACL全称Access Control List（访问控制列表）。访问控制列表是交换机、路由器及防火墙中的常用技术，用来根据事先设定的访问控制规则，过滤某些特定MAC地址、IP地址、协议类型、服务类型的数据包，合法的允许通过，不合法的阻截并丢弃。SCALANCE X 300/400的访问控制列表使用了特定的MAC地址过滤技术，给网络管理提供系统访问的基本安全手段。例如，ACL允许某一主机访问您的系统资源，而禁止另一主机访问同样的资源。单播过滤技术使用在访问控制列表中。如果访问控制列表使能，来自于“不知道”MAC地址的数据包就立刻被过滤掉。所以要让“知道”MAC地址的数据包通过，就必须建立一个单播入口规则。

图 7

网络组态由2台交换机SCALANCE X414-3E，分别称为Switch A和Switch B（如图7所示）。通过各自的Port 5.1相连。Switch C为SCALANCE X204-2与Switch A的Port 9.4相连。PG/PC1、PG/PC2分别与Switch B的10.4、11.4相连。其中PG/PC1的MAC地址为08-00-06-90-BA-AD；PG/PC2的MAC地址为00-13-72-7C-98-6B。相应的IP地址参考ACL组态图。Switch B不做组态，通过Switch A组态设置ACL，查看PG/PC1和PG/PC2对Switch C (资源) 的访问。
交换机A的组态：
通过IE浏览器打开Switch A的Web页面，输入用户名和密码，均为“admin”。在点击目录树Switch?Unicast Filter(ACL)，可以看见右侧当前的单播过滤表，其中可以看到通过5.1端口，交换机学习到PG/PC1和PG/PC2的MAC地址（如图8所示）。

图 8

通过Ping指令，PG/PC1和PG/PC2可以Ping通Switch C。
点击下面New Entry按钮，复制拷贝PG/PC1的静态MAC地址并设置Port5.1为M。M表示允许单播数据通过该端口（如图9所示）。点击Set Values按钮结束。

图 9

设置完毕后，再次点击进入，可见端口9.1和10.1的端口属性为#（如图10所示）。表明该端口无效，因为这两个端口被设置了VLAN，而不在VLAN1上。

图 10

再次点击目录树Switch?Unicast Filter(ACL)，右侧当前的单播过滤表中PG/PC1的MAC地址已被设置为静态（static）（如图11所示）。

图 11

点击目录树Switch?Unicast Filter(ACL) ?Ports，使能端口5.1，然后点击Set Values按钮结束设置（如图12所示）。

图 12

这时点击目录树Switch?Unicast Filter(ACL)，只有PG/PC1在5.1端口上（如图13所示）。

图 13

通过对Switch A的访问控制列表设置，只有PG/PC1可以访问Switch C。这样从网络管理和安全角度，来自于非PG/PC1的MAC的单播帧都将被丢弃。

7 IEEE802.1X基于用户的认证
所谓认证（Authentication）,是指验证某个实体所声明的身份的真实性。认证服务器在通常情况下为RADIUS（Remote Authentication Dial In User Service）服务器，用户帐户信息存储在该服务器中。802.1X允许对用户而非机器进行身份验证，同时可以确保用户连接至合法、经过授权而非窃取个人数据的冒牌网络。识别用户（而非机器）的身份可以让网络架构更有效率。认证端（SCALANCE X）通常为支持IEEE 802.1X协议的网络设备，对客户端进行认证并起到中继的作用。连接在端口上的用户设备如果能通过验证，就可以访问LAN内的资源；如果不能通过验证，端口接入将被阻止，相当于物理上断开连接。
802.1X为认证会话过程定义了三个组件：
申请者（Supplicant）是寻求访问网络资源的用户机器。
网络访问由认证者（Authenticator）控制，它扮演着传统拨号网络中访问服务器的角色。认证者只负责链路层的认证交换过程，并不维护任何用户信息。
任何认证请求均会被转送至认证服务器（RADIUS）进行实际的处理。
整个认证交换过程在逻辑上是通过申请者与认证服务器来完成的，认证者只是扮演中介的角色（如图14所示）。

192.168.1.22                                             192.168.1.14                             192.168.1.119
申请者                                      认证者（SCALANCE X300/400）         认证服务器

图 14

7.1 在认证者（SCALANCE X300/400）侧的设置：
如图15所示，输入RADIUS Server的IP地址 192.168.1.119,认证的端口号 1812，密码 admin。

图 15

如图16所示，*应用802.1X进行认证的交换机端口。

图 16

浙江西门子模块代理商