新疆西門子變頻器代理商

《銷售態(tài)度》：質(zhì)量保證,、誠信服務(wù)、及時到位,！
《銷售宗旨》：為客戶創(chuàng)造價值是我們永遠追求的目標(biāo),！
《服務(wù)說明》：現(xiàn)貨配送至全國各地含稅（13%）含運費！
《產(chǎn)品質(zhì)量》：原裝產(chǎn)品,，*,！
《產(chǎn)品優(yōu)勢》：專業(yè)銷售 薄利多銷 信譽好,，口碑好,，價格低，貨期短,，大量現(xiàn)貨,服務(wù)周到,！
 

1 更改登錄用戶名和密碼
對于SCALANCE X來說，需要輸入用戶名和密碼才能更該設(shè)置,。這些設(shè)備有出廠的默認密碼,。SCALANCE X產(chǎn)品的用戶名和默認密碼是admin。知道用戶名和默認密碼,，會嘗試用該密碼訪問您的工業(yè)以太網(wǎng)交換機從而惡意更改網(wǎng)絡(luò)設(shè)置,。要防止任何未經(jīng)授權(quán)的更改，可以修改設(shè)定設(shè)備的密碼,。如圖1所示,，可以通過這個界面配置管理員和用戶的密碼。

圖 1

2 訪問協(xié)議控制
用戶登錄SCALANCE X有多種協(xié)議支持方式,，例如FTP,TELNET,SSH和HTTP等協(xié)議,。如圖2所示，可以禁止一些未被使用的協(xié)議來滿足工業(yè)安全要求,。在SCALANCE X中可以通過Agent標(biāo)簽下的選項禁止或者激活相應(yīng)協(xié)議的訪問,。

圖 2

3 禁用SCALANCE X硬件的SELECT/SET按鈕
在SCALANCE X的硬件正面的SELECT/SET按鈕可以執(zhí)行“恢復(fù)工廠設(shè)置”、“使能環(huán)網(wǎng)冗余管理者”等功能,。在項目正式運行期間很少更改網(wǎng)絡(luò)架構(gòu),，因此可以考慮通過如圖 ３
所示，禁用該按鈕，避免誤操作而導(dǎo)致的工業(yè)網(wǎng)絡(luò)故障,。

圖 ３

4 禁用未被使用的以太網(wǎng)接口
對于在項目中暫時未使用的以太網(wǎng)口可以通過如圖４所示界面,，禁用該口，這樣相當(dāng)于從物理上禁用,，從而避免誤連接而導(dǎo)致的網(wǎng)絡(luò)系統(tǒng)故障,。

圖 ４

5 HTTPS協(xié)議
HTTPS安全基礎(chǔ)是SSL協(xié)議，提供了身份驗證與加密通訊方法,，現(xiàn)在它被廣泛用于互聯(lián)網(wǎng)上安全敏感的通訊 ,。SSL極難竊聽，對中間人攻擊提供一定的合理保護,。認證用戶和服務(wù)器,，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器；加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變,。如圖5所示為SCALANCE X啟用HTTPS協(xié)議,，在登錄系統(tǒng)時如圖6所示，必須要使/,，這樣就可以通過安全通道訪問交換機,。

圖 5                                                                             圖 6

6 使用ACL協(xié)議
ACL全稱Access Control List（訪問控制列表）。訪問控制列表是交換機,、路由器及防火墻中的常用技術(shù),，用來根據(jù)事先設(shè)定的訪問控制規(guī)則，過濾某些特定MAC地址,、IP地址,、協(xié)議類型、服務(wù)類型的數(shù)據(jù)包,，合法的允許通過,，不合法的阻截并丟棄。SCALANCE X 300/400的訪問控制列表使用了特定的MAC地址過濾技術(shù),，給網(wǎng)絡(luò)管理提供系統(tǒng)訪問的基本安全手段,。例如，ACL允許某一主機訪問您的系統(tǒng)資源,，而禁止另一主機訪問同樣的資源,。單播過濾技術(shù)使用在訪問控制列表中。如果訪問控制列表使能,，來自于“不知道”MAC地址的數(shù)據(jù)包就立刻被過濾掉,。所以要讓“知道”MAC地址的數(shù)據(jù)包通過,，就必須建立一個單播入口規(guī)則。

圖 7

網(wǎng)絡(luò)組態(tài)由2臺交換機SCALANCE X414-3E,，分別稱為Switch A和Switch B（如圖7所示）。通過各自的Port 5.1相連,。Switch C為SCALANCE X204-2與Switch A的Port 9.4相連,。PG/PC1,、PG/PC2分別與Switch B的10.4、11.4相連,。其中PG/PC1的MAC地址為08-00-06-90-BA-AD,；PG/PC2的MAC地址為00-13-72-7C-98-6B,。相應(yīng)的IP地址參考ACL組態(tài)圖。Switch B不做組態(tài),，通過Switch A組態(tài)設(shè)置ACL，查看PG/PC1和PG/PC2對Switch C (資源) 的訪問,。
交換機A的組態(tài)：
通過IE瀏覽器打開Switch A的Web頁面，輸入用戶名和密碼,，均為“admin”,。在點擊目錄樹Switch?Unicast Filter(ACL)，可以看見右側(cè)當(dāng)前的單播過濾表,，其中可以看到通過5.1端口，交換機學(xué)習(xí)到PG/PC1和PG/PC2的MAC地址（如圖8所示）,。

新疆西門子變頻器代理商

圖 8

通過Ping指令,，PG/PC1和PG/PC2可以Ping通Switch C。
點擊下面New Entry按鈕,，復(fù)制拷貝PG/PC1的靜態(tài)MAC地址并設(shè)置Port5.1為M。M表示允許單播數(shù)據(jù)通過該端口（如圖9所示）。點擊Set Values按鈕結(jié)束,。

圖 9

設(shè)置完畢后,，再次點擊進入,，可見端口9.1和10.1的端口屬性為#（如圖10所示）。表明該端口無效,，因為這兩個端口被設(shè)置了VLAN，而不在VLAN1上,。

圖 10

再次點擊目錄樹Switch?Unicast Filter(ACL)，右側(cè)當(dāng)前的單播過濾表中PG/PC1的MAC地址已被設(shè)置為靜態(tài)（static）（如圖11所示）,。

圖 11

點擊目錄樹Switch?Unicast Filter(ACL) ?Ports，使能端口5.1,，然后點擊Set Values按鈕結(jié)束設(shè)置（如圖12所示）。

圖 12

這時點擊目錄樹Switch?Unicast Filter(ACL),，只有PG/PC1在5.1端口上（如圖13所示）,。

圖 13

通過對Switch A的訪問控制列表設(shè)置，只有PG/PC1可以訪問Switch C,。這樣從網(wǎng)絡(luò)管理和安全角度，來自于非PG/PC1的MAC的單播幀都將被丟棄,。

7 IEEE802.1X基于用戶的認證
所謂認證（Authentication）,是指驗證某個實體所聲明的身份的真實性。認證服務(wù)器在通常情況下為RADIUS（Remote Authentication Dial In User Service）服務(wù)器,，用戶帳戶信息存儲在該服務(wù)器中,。802.1X允許對用戶而非機器進行身份驗證,，同時可以確保用戶連接至合法、經(jīng)過授權(quán)而非竊取個人數(shù)據(jù)的冒牌網(wǎng)絡(luò),。識別用戶（而非機器）的身份可以讓網(wǎng)絡(luò)架構(gòu)更有效率,。認證端（SCALANCE X）通常為支持IEEE 802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備,，對客戶端進行認證并起到中繼的作用,。連接在端口上的用戶設(shè)備如果能通過驗證,，就可以訪問LAN內(nèi)的資源；如果不能通過驗證,，端口接入將被阻止，相當(dāng)于物理上斷開連接,。
802.1X為認證會話過程定義了三個組件：
申請者（Supplicant）是尋求訪問網(wǎng)絡(luò)資源的用戶機器,。
網(wǎng)絡(luò)訪問由認證者（Authenticator）控制,，它扮演著傳統(tǒng)撥號網(wǎng)絡(luò)中訪問服務(wù)器的角色。認證者只負責(zé)鏈路層的認證交換過程,，并不維護任何用戶信息。
任何認證請求均會被轉(zhuǎn)送至認證服務(wù)器（RADIUS）進行實際的處理,。
整個認證交換過程在邏輯上是通過申請者與認證服務(wù)器來完成的，認證者只是扮演中介的角色（如圖14所示）,。

192.168.1.22                                             192.168.1.14                             192.168.1.119
申請者                                      認證者（SCALANCE X300/400）         認證服務(wù)器

圖 14

7.1 在認證者（SCALANCE X300/400）側(cè)的設(shè)置：
如圖15所示，輸入RADIUS Server的IP地址 192.168.1.119,認證的端口號 1812,，密碼 admin,。

圖 15

如圖16所示,，應(yīng)用802.1X進行認證的交換機端口,。

圖 16

問題1． PCS 7 V7.0 SP1以及更早的版本中是否可以使用CP1623?
由于PCS 7 V7.0 SP1的發(fā)布時間是在2007年,，而CP1623是在2008年正式發(fā)布的。所以PCS 7 V7.0 SP1以及更早的版本均不支持CP1623,， 但是在之后發(fā)布的PCS 7 V7.0 SP2， PCS 7 V7.0 SP3里加入了對CP1623的支持,。

問題2． 在PCS 7 V7.0 SP2和SP3里如何使用CP1623 ,？
雖然在這兩個版本里能夠使用CP1623,，但是由于它們的SIMATIC NET 版本還是偏低， 所以還不能夠在PC Station中直接組態(tài)成CP1623,，而只能組態(tài)CP1613以兼容模式運行。在SCE里“Type”列組態(tài)是插入CP1623,， 將PC站的硬件下裝后,，SCE里的“Name”列仍然顯示為CP1613,，后，CP1623仍然可以正常工作,，如下圖所示：。

圖 1 PC站組態(tài)和下裝后的狀態(tài)

問題3． CP1623和CP1613有什么區(qū)別?
CP1623是西門子公司2009年新推出的工業(yè)以太網(wǎng)卡,， 它是CP1613的升級產(chǎn)品?；竟δ芘cCP1613相同,， 用于將 PG 或 PC 連接到工業(yè)以太網(wǎng),，同時它的功能比CP1613更加強大，如加入了對1000M 以太網(wǎng)的支持,，支持目前主流的PCI-E插槽，內(nèi)置兩口小交換機等,。
詳細CP1623的發(fā)布信息請參考如下鏈接內(nèi)容：
28402000

圖 2 CP1623 的實物圖

二者的比較如下表所示：

表 1 CP1613 和CP1623的特點對比

問題4． 哪種情況下可以使用CP1623 ，而哪種情況下只能使用CP1613?
目前CP1613和CP1623都可正常供貨,，基本功能相同,，具體使用與否需要根據(jù)項目具體情況來決定：
1. 由于CP1623只有在PCS 7 V7.0 SP2 版本上才能支持,，所以在此之前的PCS 7版本只能使用CP1613。
2. 在上述基礎(chǔ)上,，還需要檢查計算機的插槽情況,。目前有的計算機不再提供PCI插槽的支持,，只提供PCI-E接口，這種情況下只能用CP1623,。而以前老的計算機則有可能不提供PCI-E的插槽，那么只能使用CP1613,。