化工儀器網(wǎng)
詳細(xì)介紹
浙江西門子觸摸屏代理商
《銷售態(tài)度》:質(zhì)量保證,、誠(chéng)信服務(wù),、及時(shí)到位!
《銷售宗旨》:為客戶創(chuàng)造價(jià)值是我們永遠(yuǎn)追求的目標(biāo),!
《服務(wù)說明》:現(xiàn)貨配送至全國(guó)各地含稅(13%)含運(yùn)費(fèi),!
《產(chǎn)品質(zhì)量》:原裝產(chǎn)品,*,!
《產(chǎn)品優(yōu)勢(shì)》:專業(yè)銷售 薄利多銷 信譽(yù)好,,口碑好,價(jià)格低,,貨期短,,大量現(xiàn)貨,服務(wù)周到!
問題1. PCS 7 V7.0 SP1以及更早的版本中是否可以使用CP1623?
由于PCS 7 V7.0 SP1的發(fā)布時(shí)間是在2007年,,而CP1623是在2008年正式發(fā)布的,。所以PCS 7 V7.0 SP1以及更早的版本均不支持CP1623, 但是在之后發(fā)布的PCS 7 V7.0 SP2, PCS 7 V7.0 SP3里加入了對(duì)CP1623的支持,。
問題2. 在PCS 7 V7.0 SP2和SP3里如何使用CP1623 ,?
雖然在這兩個(gè)版本里能夠使用CP1623,但是由于它們的SIMATIC NET 版本還是偏低,, 所以還不能夠在PC Station中直接組態(tài)成CP1623,,而只能組態(tài)CP1613以兼容模式運(yùn)行。在SCE里“Type”列組態(tài)是插入CP1623,, 將PC站的硬件下裝后,,SCE里的“Name”列仍然顯示為CP1613,后,,CP1623仍然可以正常工作,,如下圖所示:。
圖 1 PC站組態(tài)和下裝后的狀態(tài)
問題3. CP1623和CP1613有什么區(qū)別?
CP1623是西門子公司2009年新推出的工業(yè)以太網(wǎng)卡,, 它是CP1613的升級(jí)產(chǎn)品,。基本功能與CP1613相同,, 用于將 PG 或 PC 連接到工業(yè)以太網(wǎng),,同時(shí)它的功能比CP1613更加強(qiáng)大,如加入了對(duì)1000M 以太網(wǎng)的支持,,支持目前主流的PCI-E插槽,,內(nèi)置兩口小交換機(jī)等。
詳細(xì)CP1623的發(fā)布信息請(qǐng)參考如下鏈接內(nèi)容:
28402000
圖 2 CP1623 的實(shí)物圖
二者的比較如下表所示:
| 特點(diǎn) | CP1613 | CP1623 |
| 支持的插槽 | 傳統(tǒng)的PCI插槽 | PCI Express x1 卡,,也可以支持其它的PCI Express 插槽 (例如 X4,、X8、X16等) |
| S7 連接數(shù) | 120 | 120 |
| 是否支持和400H 冗余通訊 | 是 | 是 |
| 支持的速度 | 10/100Mbit/s | 10/100/1000 Mbit/s |
| 內(nèi)置交換機(jī) | 無 | 集成的 2 端口交換機(jī)兩個(gè) RJ45 端口 |
| 使用新功能需要的NET 版本 | SIMATIC NET V6.2 SP1 | 2007 版 SIMATIC NET CD + Hotfix 1 或更高版本 |
| 網(wǎng)絡(luò)自動(dòng)交叉 | 不支持 | 支持 |
| 是否支持外接電源 | 不支持 | 12-24 V DC 用于交換機(jī) |
表 1 CP1613 和CP1623的特點(diǎn)對(duì)比
問題4. 哪種情況下可以使用CP1623 ,,而哪種情況下只能使用CP1613?
目前CP1613和CP1623都可正常供貨,,基本功能相同,具體使用與否需要根據(jù)項(xiàng)目具體情況來決定:
1. 由于CP1623只有在PCS 7 V7.0 SP2 版本上才能支持,,所以在此之前的PCS 7版本只能使用CP1613,。
2. 在上述基礎(chǔ)上,還需要檢查計(jì)算機(jī)的插槽情況,。目前有的計(jì)算機(jī)不再提供PCI插槽的支持,,只提供PCI-E接口,這種情況下只能用CP1623,。而以前老的計(jì)算機(jī)則有可能不提供PCI-E的插槽,,那么只能使用CP1613。
1 更改登錄用戶名和密碼
對(duì)于SCALANCE X來說,,需要輸入用戶名和密碼才能更該設(shè)置,。這些設(shè)備有出廠的默認(rèn)密碼。SCALANCE X產(chǎn)品的用戶名和默認(rèn)密碼是admin。知道用戶名和默認(rèn)密碼,,會(huì)嘗試用該密碼訪問您的工業(yè)以太網(wǎng)交換機(jī)從而惡意更改網(wǎng)絡(luò)設(shè)置,。要防止任何未經(jīng)授權(quán)的更改,可以修改設(shè)定設(shè)備的密碼,。如圖1所示,,可以通過這個(gè)界面配置管理員和用戶的密碼。
圖 1
2 訪問協(xié)議控制
用戶登錄SCALANCE X有多種協(xié)議支持方式,,例如FTP,TELNET,SSH和HTTP等協(xié)議,。如圖2所示,可以禁止一些未被使用的協(xié)議來滿足工業(yè)安全要求,。在SCALANCE X中可以通過Agent標(biāo)簽下的選項(xiàng)禁止或者激活相應(yīng)協(xié)議的訪問,。
圖 2浙江西門子觸摸屏代理商
3 禁用SCALANCE X硬件的SELECT/SET按鈕
在SCALANCE X的硬件正面的SELECT/SET按鈕可以執(zhí)行“恢復(fù)工廠設(shè)置”、“使能環(huán)網(wǎng)冗余管理者”等功能,。在項(xiàng)目正式運(yùn)行期間很少更改網(wǎng)絡(luò)架構(gòu),,因此可以考慮通過如圖 3
所示,禁用該按鈕,,避免誤操作而導(dǎo)致的工業(yè)網(wǎng)絡(luò)故障,。
圖 3
4 禁用未被使用的以太網(wǎng)接口
對(duì)于在項(xiàng)目中暫時(shí)未使用的以太網(wǎng)口可以通過如圖4所示界面,禁用該口,,這樣相當(dāng)于從物理上禁用,,從而避免誤連接而導(dǎo)致的網(wǎng)絡(luò)系統(tǒng)故障。
圖 4
5 HTTPS協(xié)議
HTTPS安全基礎(chǔ)是SSL協(xié)議,,提供了身份驗(yàn)證與加密通訊方法,,現(xiàn)在它被廣泛用于互聯(lián)網(wǎng)上安全敏感的通訊 ,。SSL極難竊聽,,對(duì)中間人攻擊提供一定的合理保護(hù)。認(rèn)證用戶和服務(wù)器,,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器,;加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取,;維護(hù)數(shù)據(jù)的完整性,,確保數(shù)據(jù)在傳輸過程中不被改變。如圖5所示為SCALANCE X啟用HTTPS協(xié)議,,在登錄系統(tǒng)時(shí)如圖6所示,,必須要使/,這樣就可以通過安全通道訪問交換機(jī),。
圖 5 圖 6
6 使用ACL協(xié)議
ACL全稱Access Control List(訪問控制列表),。訪問控制列表是交換機(jī)、路由器及防火墻中的常用技術(shù),用來根據(jù)事先設(shè)定的訪問控制規(guī)則,,過濾某些特定MAC地址,、IP地址、協(xié)議類型,、服務(wù)類型的數(shù)據(jù)包,,合法的允許通過,不合法的阻截并丟棄,。SCALANCE X 300/400的訪問控制列表使用了特定的MAC地址過濾技術(shù),,給網(wǎng)絡(luò)管理提供系統(tǒng)訪問的基本安全手段。例如,,ACL允許某一主機(jī)訪問您的系統(tǒng)資源,,而禁止另一主機(jī)訪問同樣的資源。單播過濾技術(shù)使用在訪問控制列表中,。如果訪問控制列表使能,,來自于“不知道”MAC地址的數(shù)據(jù)包就立刻被過濾掉。所以要讓“知道”MAC地址的數(shù)據(jù)包通過,,就必須建立一個(gè)單播入口規(guī)則,。
圖 7
網(wǎng)絡(luò)組態(tài)由2臺(tái)交換機(jī)SCALANCE X414-3E,分別稱為Switch A和Switch B(如圖7所示),。通過各自的Port 5.1相連,。Switch C為SCALANCE X204-2與Switch A的Port 9.4相連。PG/PC1,、PG/PC2分別與Switch B的10.4,、11.4相連。其中PG/PC1的MAC地址為08-00-06-90-BA-AD,;PG/PC2的MAC地址為00-13-72-7C-98-6B,。相應(yīng)的IP地址參考ACL組態(tài)圖。Switch B不做組態(tài),,通過Switch A組態(tài)設(shè)置ACL,,查看PG/PC1和PG/PC2對(duì)Switch C (資源) 的訪問。
交換機(jī)A的組態(tài):
通過IE瀏覽器打開Switch A的Web頁面,,輸入用戶名和密碼,,均為“admin”。在點(diǎn)擊目錄樹Switch?Unicast Filter(ACL),,可以看見右側(cè)當(dāng)前的單播過濾表,,其中可以看到通過5.1端口,交換機(jī)學(xué)習(xí)到PG/PC1和PG/PC2的MAC地址(如圖8所示),。
圖 8
通過Ping指令,,PG/PC1和PG/PC2可以Ping通Switch C,。
點(diǎn)擊下面New Entry按鈕,復(fù)制拷貝PG/PC1的靜態(tài)MAC地址并設(shè)置Port5.1為M,。M表示允許單播數(shù)據(jù)通過該端口(如圖9所示),。點(diǎn)擊Set Values按鈕結(jié)束。
圖 9
設(shè)置完畢后,,再次點(diǎn)擊進(jìn)入,,可見端口9.1和10.1的端口屬性為#(如圖10所示)。表明該端口無效,,因?yàn)檫@兩個(gè)端口被設(shè)置了VLAN,,而不在VLAN1上。
圖 10
再次點(diǎn)擊目錄樹Switch?Unicast Filter(ACL),,右側(cè)當(dāng)前的單播過濾表中PG/PC1的MAC地址已被設(shè)置為靜態(tài)(static)(如圖11所示),。
圖 11
點(diǎn)擊目錄樹Switch?Unicast Filter(ACL) ?Ports,使能端口5.1,,然后點(diǎn)擊Set Values按鈕結(jié)束設(shè)置(如圖12所示),。
圖 12
這時(shí)點(diǎn)擊目錄樹Switch?Unicast Filter(ACL),只有PG/PC1在5.1端口上(如圖13所示),。
圖 13
通過對(duì)Switch A的訪問控制列表設(shè)置,,只有PG/PC1可以訪問Switch C。這樣從網(wǎng)絡(luò)管理和安全角度,,來自于非PG/PC1的MAC的單播幀都將被丟棄,。
7 IEEE802.1X基于用戶的認(rèn)證
所謂認(rèn)證(Authentication),是指驗(yàn)證某個(gè)實(shí)體所聲明的身份的真實(shí)性。認(rèn)證服務(wù)器在通常情況下為RADIUS(Remote Authentication Dial In User Service)服務(wù)器,,用戶帳戶信息存儲(chǔ)在該服務(wù)器中,。802.1X允許對(duì)用戶而非機(jī)器進(jìn)行身份驗(yàn)證,同時(shí)可以確保用戶連接至合法,、經(jīng)過授權(quán)而非竊取個(gè)人數(shù)據(jù)的冒牌網(wǎng)絡(luò),。識(shí)別用戶(而非機(jī)器)的身份可以讓網(wǎng)絡(luò)架構(gòu)更有效率。認(rèn)證端(SCALANCE X)通常為支持IEEE 802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備,,對(duì)客戶端進(jìn)行認(rèn)證并起到中繼的作用,。連接在端口上的用戶設(shè)備如果能通過驗(yàn)證,,就可以訪問LAN內(nèi)的資源,;如果不能通過驗(yàn)證,端口接入將被阻止,,相當(dāng)于物理上斷開連接,。
802.1X為認(rèn)證會(huì)話過程定義了三個(gè)組件:
申請(qǐng)者(Supplicant)是尋求訪問網(wǎng)絡(luò)資源的用戶機(jī)器。
網(wǎng)絡(luò)訪問由認(rèn)證者(Authenticator)控制,,它扮演著傳統(tǒng)撥號(hào)網(wǎng)絡(luò)中訪問服務(wù)器的角色,。認(rèn)證者只負(fù)責(zé)鏈路層的認(rèn)證交換過程,,并不維護(hù)任何用戶信息。
任何認(rèn)證請(qǐng)求均會(huì)被轉(zhuǎn)送至認(rèn)證服務(wù)器(RADIUS)進(jìn)行實(shí)際的處理,。
整個(gè)認(rèn)證交換過程在邏輯上是通過申請(qǐng)者與認(rèn)證服務(wù)器來完成的,,認(rèn)證者只是扮演中介的角色(如圖14所示)。
192.168.1.22 192.168.1.14 192.168.1.119
申請(qǐng)者 認(rèn)證者(SCALANCE X300/400) 認(rèn)證服務(wù)器
圖 14
7.1 在認(rèn)證者(SCALANCE X300/400)側(cè)的設(shè)置:
如圖15所示,,輸入RADIUS Server的IP地址 192.168.1.119,認(rèn)證的端口號(hào) 1812,,密碼 admin。
圖 15
如圖16所示,,應(yīng)用802.1X進(jìn)行認(rèn)證的交換機(jī)端口,。
圖 16
。
化工儀器網(wǎng)