IP 转发是一种在两个已连接 IP 子网之间转发 IP 数据包的设备功能。
启用/禁用 STEP 7 中的 IP 转发功能。如果启用 IP 转发,则 S7‑1500 CPU 会将已接收但未发送到 CPU 的 IP 数据包转发到本地连接的 IP 子网或已组态的路由器。
下图显示了编程设备访问 HMI 设备中数据的方式:编程设备和 HMI 设备位于不同的 IP 子网中。IP 子网与 CPU 的两个接口 X1 和 X2 相连。
图片: 编程设备通过 IP 转发访问 HMI
从控制级轻松访问现场级,以便对现场设备进行组态和参数分配,例如通过 PDM 或 Web 浏览器
简化远程访问设备的集成,例如,在远程维护或固件更新期间进行诊断
S7‑1500 CPU 固件版本 V2.8 及更高版本
以太网接口的数量:
- CPU 至少具有两个以太网接口。
- 或者 CPU 具有一个以太网接口,而由固件版本 V2.2 及更高版本的 CP 1543-1 提供另一个以太网接口。在这种情况下,必须在 CPU 中为 CP 启用“通过通信模块访问 PLC”(Access to PLC via communication module) 功能。
IP 转发已启用。
在每个参与设备中沿 IP 数据包的传出和返回路径组态适当的标准网关/路由。
如果启用 IP 转发,则 CPU 会对已接收但未发送到其自身的 IP 数据包进行转发。CPU 转发 IP 数据包的方式在其内部 IP 路由表中定义。
CPU 会通过已下载硬件配置的以下信息自动创建 IP 路由表。
以太网接口的 IP 组态
已组态的路由器
下图显示了带有所需 IP 地址设置和路由器设置的组态示例。
IP 子网 192.168.4.0 上的 PC 与 IP 子网 192.168.2.0 上的 HMI 设备进行通信。
在 CPU 的以太网接口 X3 上组态路由器的 IP 地址(“标准网关”);在下图中,它是*为“IP 路由器”的设备。
在 STEP 7 中,在“以太网地址 > IP 协议”(Ethernet Addresses > IP Protocol) 下的接口属性中组态路由器。
对于 PC、IP 路由器、IO 设备和 HMI 设备,还需输入标准网关的 IP 地址或相应的路由。
图片: 组态路由器
此示例组态为 CPU 生成以下 IP 路由表。
图片: 示例组态
列表: CPU 的 IP 路由表
网络目标 | 接口 | 网关 |
---|---|---|
0.0.0.0/0 | 10.10.0.10 | 10.10.0.1 |
192.168.1.0/24 | 192.168.1.1 | - |
192.168.2.0/24 | 192.168.2.1 | - |
10.10.0.0/24 | 10.10.0.10 | - |
对于 PG/PC 和 HMI 设备之间的 IP 通信,需要同时在 PC 和 IP 路由器中设置到 HMI 设备 IP 子网的附加 IP 路由。在 HMI 设备中,将 CPU 接口 X1 的 IP 地址组态为标准网关。
例如,在 Windows 计算机中,通过命令提示符使用命令“route add <目标 IP 子网> mask <子网掩码> <网关>”设置附加 IP 路由。但是,需要特定权限才能完成此操作。针对本示例,输入如下提示:
“route add 192.168.2.0 mask 255.255.255.0 192.168.4.20”
在 IP 路由器中,可以设置附加路由,例如,通过 Web 接口。针对本示例,设置如下路由:
目标 IP 子网:192.168.2.0
子网掩码:255.255.255.0
网关:10.10.0.10
对于 S7-1500 CPU,您无法为其组态路由器(“标准网关”)以外的任何其它 IP 路由。网络目标是连接的 IP 子网,或者只能通过一个可组态的路由器访问网络目标。由于 S7-1500 CPU 不支持附加 IP 路由,因此,无法构建双向 IP 路由器级联。
在以下组态中,您可以在 CPU 中组态“路由器 1”或“路由器 2”。以组态“路由器 1”为例。在这种情况下,无法组态“路由器 2”。PC 和 HMI 设备之间的 IP 通信无法实现,因为两个方向上的路由不连续。
图片: 不支持的 IP 路由器级联
通过 CP 接口也可以进行 IP 转发。在这种情况下,必须在 CPU 中为 CP 激活“通过通讯模块访问 PLC”(Access to PLC via communication module) 功能。
STEP 7 的在线帮助中介绍了如何启用“通过通讯模块访问 PLC”(Access to PLC via communication module) 功能。
如果为 CPU 1518 4 PN/DP 激活 PN/DP MFP IP 转发,则不仅可以通过 X1 和 X2 接口访问 X3 接口 IP 子网中的设备,还可以访问 Linux。通过 CPU 1518 4 PN/DP MFP 的 Linux,可以访问 X1、X2 和 X3 接口 IP 子网中的所有设备。
限制:
已针对 CPU 1518 4 PN/DP MFP 激活了 IP 转发。
Linux 的 IP 地址和 X3 接口的 IP 地址位于同一 IP 子网中。
在 Linux 中,输入到 X1 和 X2 接口 IP 子网的路由。
在 Linux 中使用以下命令输入路由:"Route add-net <目标 IP 子网> mask <子网掩码> gw <网关>
下图显示了 PC 通过 X2 接口访问 CPU 1518-4 PN/DP MFP 的 Linux 的组态。
图片: 通过 X2 接口访问 Linux
如果激活 CPU 的 IP 转发,则可以对实际只能由 CPU 访问和控制的设备启用“外部”访问。因此,这些设备通常无法防止攻击。
下图显示了如何保护自动化系统以防止未授权的访问。
CPU 通过接口 X1 和 X2 直接靠近 CPU 的深绿色 IP 子网 B 和 C 内的所有设备。
图片: IP 转发的网络安全
已在 CPU 中组态 SCALANCE S 路由器。CPU 通过路由器访问远程浅绿色 IP 子网 A 中的设备。
已在 CPU 中为 CP 1543 启用“通过通信模块访问 PLC”(Access to PLC via communication module) 功能。CPU 通过 W1 接口访问 IP 子网 D 内的所有设备。
如果在 CPU 中激活了 IP 转发,则 IP 子网 A 中的设备可以访问 IP 子网 B、C 和 D 中 CPU 附近的任何设备。
保护自动化系统和连接的设备以防止来自外部的未授权访问。
使用防火墙分隔 CPU 相关的 IP 子网和远程 IP 子网。例如,使用集成了防火墙的 SCALANCE S 安全模块。
此应用示例将介绍如何使用 SCALANCE S602 V3 和 SCALANCE S623 安全模块保护带防火墙的自动化单元。
要启用 IP 转发,请执行以下操作:
在 STEP 7 (TIA Portal) 的网络视图中选择 CPU。
在巡视窗口的 CPU 属性中,浏览至“常规 > 高级组态 > IP 转发”(General > Advanced Configuration > IP forwarding)。
在“组态 IPv4 转发”(Configuration IPv4 Forwarding) 区域中,选中“为此 PLC 的接口激活 IPv4”(Activate IPv4 for interfaces of this PLC) 复选框。
图片: 启用 IP 转发
结果:已针对 S7-1500 CPU 的所有接口启用 IP 转发。
通过清除“为此 PLC 的接口启用 IPv4 转发”(Enable IPv4 forwarding for interfaces of this PLC) 复选框来禁用 IP 转发。
有关组态 S7-1500R/H 系统的 IP 转发的信息,请参见《通信功能手册》中“与冗余系统 S7-1500R/H 的通信”部分。
产品推荐
友情链接