通过 IP 转发功能转发 IP 数据包

IP 转发是一种在两个已连接 IP 子网之间转发 IP 数据包的设备功能。

启用/禁用 STEP 7 中的 IP 转发功能。如果启用 IP 转发，则 S7‑1500 CPU 会将已接收但未发送到 CPU 的 IP 数据包转发到本地连接的 IP 子网或已组态的路由器。

下图显示了编程设备访问 HMI 设备中数据的方式：编程设备和 HMI 设备位于不同的 IP 子网中。IP 子网与 CPU 的两个接口 X1 和 X2 相连。

图片: 编程设备通过 IP 转发访问 HMI

应用范围

从控制级轻松访问现场级，以便对现场设备进行组态和参数分配，例如通过 PDM 或 Web 浏览器

简化远程访问设备的集成，例如，在远程维护或固件更新期间进行诊断

使用 IP 转发的要求

S7‑1500 CPU 固件版本 V2.8 及更高版本

以太网接口的数量：

- CPU 至少具有两个以太网接口。

- 或者 CPU 具有一个以太网接口，而由固件版本 V2.2 及更高版本的 CP 1543-1 提供另一个以太网接口。在这种情况下，必须在 CPU 中为 CP 启用“通过通信模块访问 PLC”(Access to PLC via communication module) 功能。

IP 转发已启用。

在每个参与设备中沿 IP 数据包的传出和返回路径组态适当的标准网关/路由。

IP 路由表

如果启用 IP 转发，则 CPU 会对已接收但未发送到其自身的 IP 数据包进行转发。CPU 转发 IP 数据包的方式在其内部 IP 路由表中定义。

CPU 会通过已下载硬件配置的以下信息自动创建 IP 路由表。

以太网接口的 IP 组态

已组态的路由器

带有 IP 转发的组态示例

下图显示了带有所需 IP 地址设置和路由器设置的组态示例。

IP 子网 192.168.4.0 上的 PC 与 IP 子网 192.168.2.0 上的 HMI 设备进行通信。

在 CPU 的以太网接口 X3 上组态路由器的 IP 地址（“标准网关”）；在下图中，它是*为“IP 路由器”的设备。
在 STEP 7 中，在“以太网地址 > IP 协议”(Ethernet Addresses > IP Protocol) 下的接口属性中组态路由器。

对于 PC、IP 路由器、IO 设备和 HMI 设备，还需输入标准网关的 IP 地址或相应的路由。

图片: 组态路由器

此示例组态为 CPU 生成以下 IP 路由表。

图片: 示例组态

对于 PG/PC 和 HMI 设备之间的 IP 通信，需要同时在 PC 和 IP 路由器中设置到 HMI 设备 IP 子网的附加 IP 路由。在 HMI 设备中，将 CPU 接口 X1 的 IP 地址组态为标准网关。

例如，在 Windows 计算机中，通过命令提示符使用命令“route add <目标 IP 子网> mask <子网掩码> <网关>”设置附加 IP 路由。但是，需要特定权限才能完成此操作。针对本示例，输入如下提示：

“route add 192.168.2.0 mask 255.255.255.0 192.168.4.20”

在 IP 路由器中，可以设置附加路由，例如，通过 Web 接口。针对本示例，设置如下路由：

目标 IP 子网：192.168.2.0

子网掩码：255.255.255.0

网关：10.10.0.10

限制

对于 S7-1500 CPU，您无法为其组态路由器（“标准网关”）以外的任何其它 IP 路由。网络目标是连接的 IP 子网，或者只能通过一个可组态的路由器访问网络目标。由于 S7-1500 CPU 不支持附加 IP 路由，因此，无法构建双向 IP 路由器级联。

在以下组态中，您可以在 CPU 中组态“路由器 1”或“路由器 2”。以组态“路由器 1”为例。在这种情况下，无法组态“路由器 2”。PC 和 HMI 设备之间的 IP 通信无法实现，因为两个方向上的路由不连续。

图片: 不支持的 IP 路由器级联

通过 CP 接口进行的 IP 转发

通过 CP 接口也可以进行 IP 转发。在这种情况下，必须在 CPU 中为 CP 激活“通过通讯模块访问 PLC”(Access to PLC via communication module) 功能。

STEP 7 的在线帮助中介绍了如何启用“通过通讯模块访问 PLC”(Access to PLC via communication module) 功能。

通过 X1 或 X2 接口访问 CPU 1518 4 PN/DP MFP 的 Linux

如果为 CPU 1518 4 PN/DP 激活 PN/DP MFP IP 转发，则不仅可以通过 X1 和 X2 接口访问 X3 接口 IP 子网中的设备，还可以访问 Linux。通过 CPU 1518 4 PN/DP MFP 的 Linux，可以访问 X1、X2 和 X3 接口 IP 子网中的所有设备。

限制：

已针对 CPU 1518 4 PN/DP MFP 激活了 IP 转发。

Linux 的 IP 地址和 X3 接口的 IP 地址位于同一 IP 子网中。

在 Linux 中，输入到 X1 和 X2 接口 IP 子网的路由。
在 Linux 中使用以下命令输入路由："Route add-net <目标 IP 子网> mask <子网掩码> gw <网关>

下图显示了 PC 通过 X2 接口访问 CPU 1518-4 PN/DP MFP 的 Linux 的组态。

图片: 通过 X2 接口访问 Linux

进行 IP 转发时考虑网络安全

如果激活 CPU 的 IP 转发，则可以对实际只能由 CPU 访问和控制的设备启用“外部”访问。因此，这些设备通常无法防止攻击。

下图显示了如何保护自动化系统以防止未授权的访问。

CPU 通过接口 X1 和 X2 直接靠近 CPU 的深绿色 IP 子网 B 和 C 内的所有设备。

图片: IP 转发的网络安全

已在 CPU 中组态 SCALANCE S 路由器。CPU 通过路由器访问远程浅绿色 IP 子网 A 中的设备。

已在 CPU 中为 CP 1543 启用“通过通信模块访问 PLC”(Access to PLC via communication module) 功能。CPU 通过 W1 接口访问 IP 子网 D 内的所有设备。

如果在 CPU 中激活了 IP 转发，则 IP 子网 A 中的设备可以访问 IP 子网 B、C 和 D 中 CPU 附近的任何设备。

保护自动化系统和连接的设备以防止来自外部的未授权访问。

使用防火墙分隔 CPU 相关的 IP 子网和远程 IP 子网。例如，使用集成了防火墙的 SCALANCE S 安全模块。
此应用示例将介绍如何使用 SCALANCE S602 V3 和 SCALANCE S623 安全模块保护带防火墙的自动化单元。

启用/禁用 IP 转发

要启用 IP 转发，请执行以下操作：

在 STEP 7 (TIA Portal) 的网络视图中选择 CPU。

在巡视窗口的 CPU 属性中，浏览至“常规 > 高级组态 > IP 转发”(General > Advanced Configuration > IP forwarding)。

在“组态 IPv4 转发”(Configuration IPv4 Forwarding) 区域中，选中“为此 PLC 的接口激活 IPv4”(Activate IPv4 for interfaces of this PLC) 复选框。


图片: 启用 IP 转发

结果：已针对 S7-1500 CPU 的所有接口启用 IP 转发。

通过清除“为此 PLC 的接口启用 IPv4 转发”(Enable IPv4 forwarding for interfaces of this PLC) 复选框来禁用 IP 转发。

冗余系统 S7-1500R/H 的 IP 转发

有关组态 S7-1500R/H 系统的 IP 转发的信息，请参见《通信功能手册》中“与冗余系统 S7-1500R/H 的通信”部分。