通过 RADIUS 服务器验证概览

时间：2021-07-20作者：上海腾希电气技术有限公司浏览：82

幻象模式的特殊功能



模块特定的功能

该功能只适用于 V3.1 及更高版本的 SCALANCE S602。

含义

在幻象模式下，安全模块在内部接口或外部接口上都没有自己的 IP 地址。 而是由安全模块在运行期间通过安全模块内部接口所连接的节点（其 IP 地址参数在组态期间未知）获取其外部接口的 IP 地址。 可以更改内部节点的 IP 地址及外部接口处相应的 IP 地址。 由于内部节点基于其 MAC 地址进行识别，因此只针对学到的 MAC 地址更改 IP 地址。 在安全模块的内部接口未组态或获取任何 IP 地址。

至于 MAC 地址，安全模块在外部接口上的所有传出数据包（来自内部节点的响应）中，将内部节点的 MAC 地址替换为安全模块的 MAC 地址。

激活幻象模式

选择待编辑的模块。

在本地安全设置中，选择“模式”(Mode) 条目。

选择“幻象模式”(Ghost mode) 选项。

可组态的模块属性

在幻象模式下，可在本地安全设置中组态以下模块属性：

外部接口 [P1] 红色

防火墙

时钟同步

日志设置

SNMP

由于无法在幻象模式下组态 DNS 服务器，因此无法实现 FQDN 分辨率。

标识内部节点的要求

仅在内部节点发起与外部网络通信伙伴的数据通信时，安全模块才能获取内部节点的 IP 地址。
除此之外，安全模块在获取 IP 地址时不会提供任何服务器服务。 仅在数据包由内部节点发送到安全模块后，安全模块才能回复来自外部的查询。

用于传入和传出数据连接的端口分配

由于安全模块的外部接口和内部节点具有相同的 IP 地址，必须通过 TCP/UDP 端口对网络组件进行明确编址。 因此，可将端口分配给安全模块或内部节点。 下表显示了用于传入和传出数据连接的针对相关设备的端口分配：

列表: 用于传入连接的端口分配（从外部到安全模块）

服务	端口	协议	注释
Web 服务、组态和诊断访问	443	TCP	HTTPS 端口使用 STEP 7 *激活用于组态和诊断访问，并且不能更改。
SNMP	161	TCP	在 STEP 7 中激活 SNMP 后，传入 SNMP 查询将通过 UDP 端口 161 传送。也可以通过 TCP 端口 161 传送（如为了能够访问内部节点）。 注意 激活 SNMP 后，SNMP 端口将*分配给安全模块。 如果未激活 SNMP，则可以在防火墙规则的帮助下通过 SNMP 访问内部节点。
		UDP




列表: 用于传出连接的端口分配（从安全模块到外部）

服务	端口	协议	注释
Syslog	514	UDP	如果已在 STEP 7 中激活 Syslog 服务，则 Syslog 消息将由安全模块通过 UDP 端口 514 传送。 该端口分配不能更改。
NTP	123	UDP	如果将 NTP 服务器用于时间同步，则通过 UDP 端口 123 传送 NTP 查询。该端口分配不能更改。

可识别的 IP 地址和子网掩码

安全模块只识别 IP 地址处于网络类别 A、B 或 C 范围内的内部节点。子网掩码由安全模块按照相应的网络类别标识（请参见“网络类别及相应的子网掩码”表）。 必须输入用于内部节点的标准路由器，才能正确确定子网掩码。

IP 地址处于网络类别 D 和 E 范围内的节点会被安全模块拒绝。




网络类别	IP 地址		子网掩码
	下限	上限
A	0.0.0.0	127.255.255.255	255.0.0.0
B	128.0.0.0	191.255.255.255	255.255.0.0
C	192.0.0.0	223.255.255.255	255.255.255.0
D	224.0.0.0	239.255.255.255	被安全模块拒绝
E	240.0.0.0	255.255.255.255	被安全模块拒绝

组态限制

安全模块较多可识别一个内部节点。 如果存在多个内部节点，安全模块将做出如下反应：

如果防火墙组态适当，则安全模块在内部网络中首先识别出的设备将获准访问外部网段。

内部网络区域中任何附加节点的数据流量都会根据发送方地址在传出方向上的 2 级（MAC 层）被阻止。

调试后加载组态和诊断

从内部节点获取 IP 地址后，安全模块在外部接口的 IP 地址可以与较初为安全模块组态的 IP 地址不同。 要加载组态或运行诊断，需要在 STEP 7 中为到外部接口的连接* IP 地址（由安全模块在运行期间从内部节点获取）。 这可在本地安全设置或直接在“高级下载”(Advanced download) 或“在线连接”(Connect online) 对话框中实现。 有关建立在线连接的详细信息，请参见以下部分： 下载组态

外部接口上分层网络的路由信息

如果安全模块的外部接口具有带子网转换的分层网络，则安全模块需从内部节点中获取相关的路由信息。 为此，内部节点必须响应发送给它的 ICMP 查询。 不需要对 ICMP 广播做出响应。





上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• “从 Teamcenter 打开全局库”(Open global library from Teamcenter) 对话框中的对象状态

  “从 Teamcenter 打开全局库”(Open global library from Teamcenter) 对话框中的对象状态“从 Teamcenter 打开全局库”(Open global library from Teamcenter) 对话框中的符号“数据集的状态”(Status of dataset) 列根据数据集的状态，在“数据集的状态”(Status of dataset) 列

• 1200更新过程映像

  更新过程映像顺序除非另行定义，否则操作系统将以组态中的循环时间间隔更新过程映像。 过程映像输入/输出按以下顺序更新：执行操作系统的内部任务。将过程映像输出 (PIQ) 表写入到模块的输出。将输入状态读取到过程映像输入 (PII) 表中。执行用户程序以及其内部调用的所有块。操作系统自动控制过程映像输出到模块输出的写入过程和过程映像输入的读取过程。特性可以选择通过直接 I/O 访问来直接访问输入或输出

• PC Access 与 S7-1200 通信

  可以建立 PC Access 和 S7-1200 PLC 之间的通信连接。但是，请注意一些限制。注意尽管西门子还没有正式声明支持在 S7-1200 PLC 和 SIMATIC NET OPC 之间建立连接，本 FAQ 描述一个解决方案。通过在以下章节的描述，可以得到如何建立这样一个连接。限制由于原来 PC Access 是专为 S7-200 PLC 设计，这里会有一些限制：在 S7-1200 PL

• 组态安全功能常规

  常规网络节点登录菜单中使用的标志“AAA”代表“验证、授权、审计”(Authentication, Authorization, Accounting)。该功能用于识别和允许网络节点，并为网络节点提供相应的服务。在此页面中组态登录信息。描述该页面包含以下框：提示要使用登录验证模式“RADIUS”、“本地和 RADIUS”(Local and RADIUS) 或“RADIUS 和本地回退”(RADI