两个 S7-1500 CPU 之间的安全 OUC

时间：2021-07-23

下文章节介绍如何通过 TCP 在两个 S7-1500 CPU 之间建立安全的开放式用户通信。在该过程中，一个 S7‑1500 CPU 用作 TLS 客户端（建立主动连接），另一个 S7‑1500 CPU 用作 TLS 服务器（建立被动连接）。

在两个 S7-1500 CPU 之间建立安全 TCP 连接

为了在两个 S7‑1500 CPU 之间建立安全的 TCP 通信，需要在各个 CPU 中创建系统数据类型为 TCON_IP_V4_SEC 的数据块，执行参数分配以及直接以指令进行调用。TCON 指令支持系统数据类型 TCON_QDN_SEC 和 TCON_IP_V4_SEC。在固件版本 V2.5 及以上版本中，TSEND_C 和 TRCV_C 指令也支持 TCON_QDN_SEC 和 TCON_IP_V4_SEC 系统数据类型。

要求：

已在 CPU 中设置当前的日期和时间。

两个 S7-1500 CPU 的固件版本较低为 V2.0

TLS 客户端和 TLS 服务器具备所需的全部证书。

TLS 客户端的设置

如需在 TLS 客户端建立 TCP 安全连接，请按照以下步骤操作：

在项目树中，创建一个全局数据块。

在该全局数据块中，定义一个数据类型为 TCON_IP_4_SEC 的变量。为此，需在“数据类型”(Data type) 字段中输入字符串“TCON_IP_V4_SEC”。

以下示例中显示了全局数据块“Data_block_1”，其中，定义了数据类型为 TCON_IP_V4_SEC 的变量“SEC 连接 1 TLS 客户端”(SEC connection 1 TLS Client)。

在“起始值”(Start value) 列设置 TCP 连接的连接参数。例如，在“RemoteAddress”中输入 TLS 服务器的 IPv4 地址。

提示

连接参数 InterfaceID

请注意，可为数据类型为 TCON_IP_V4_SEC 的接口 ID 输入值“0”。此时，CPU 将自行搜索相匹配的本地 CPU 接口。

在“起始值”(Start value) 列设置安全通信的参数。

- “ActivateSecureConn”：激活该连接的安全通信。如果该参数的值为 FALSE，则将忽略后面的安全参数。此时，可建立一个非安全的 TCP 或 UDP 连接。

- “TLSServerCertRef”：输入值“2”（引用 TIA Portal 项目 (SHA256) 的 CA 证书），或输入值“1”（引用 TIA Portal 项目 (SHA1) 的 CA 证书）。如果使用不同的 CA 证书，则需在证书管理器的全局安全设置中输入相应的 ID。

- “TLSClientCertRef”：自身 X.509-V3 证书的 ID。

在程序编辑器中，创建一个 TCON 指令。

将 TCON 指令的 CONNECT 参数与 TCON_IP_V4_SEC 数据类型的变量进行互连。

TLS 服务器的设置

如需 TLS 服务器建立 TCP 安全连接，请按照以下步骤操作：

在项目树中，创建一个全局数据块。

在该全局数据块中，定义一个 TCON_IP_V4_SEC 数据类型的变量。

以下示例中显示了全局数据块“Data_block_1”，其中定义了数据类型为 TCON_IP_V4_SEC 的变量“SEC 连接 1 TLS 服务器”(SEC connection 1 TLS Server)。

在“起始值”(Start value) 列设置 TCP 连接的连接参数。例如，在“RemoteAddress”中输入 TLS 客户端的 IPv4 地址。

在“起始值”(Start value) 列设置安全通信的参数。

- “ActivateSecureConn”：激活该连接的安全通信。如果该参数的值为 FALSE，则将忽略后面的安全参数。此时，可建立一个非安全的 TCP 或 UDP 连接。

- “TLSServerReqClientCert”：要求 TLS 客户端提供 X.509-V3 证书。输入值“true”。

- “TLSServerCertRef”：自身 X.509-V3 证书的 ID。

- “TLSClientCertRef”：输入值“2”（引用 TIA Portal 项目 (SHA256) 的 CA 证书），或输入值“1”（引用 TIA Portal 项目 (SHA1) 的 CA 证书）。如果使用不同的 CA 证书，则需在证书管理器的全局安全设置中输入相应的 ID。

在程序编辑器中，创建一个 TCON 指令。

将 TCON 指令的 CONNECT 参数与 TCON_IP_V4_SEC 数据类型的变量进行互连。

13681875601

词条
词条说明
将服务器项目保存为 Teamcenter 中的新条目
将服务器项目保存为 Teamcenter 中的新条目在本章节中，将介绍如何在服务器项目视图中将服务器项目保存为 Teamcenter 中的新条目。为此，需在服务器项目视图中激活“Teamcenter”快捷菜单。如果满足以下要求，则可在服务器项目视图中激活快捷菜单项“Teamcenter> 另存为新条目...”(Teamcenter> Save as new item...)。要求需满足
IPv4 * 3 层功能 NETMAP
NETMAP可在此页面中为 NETMAP *规则。NETMAP 是 1:1 比例的静态网络地址映射，其中保留了主机部分。有关详细信息，请参见“NAT 与防火墙”部分。提示包含源 NAT 的防火墙规则包含源 NAT 的地址转换仅在防火墙之后执行；因此使用非转换地址。“安全 > 防火墙 > IP 规则”(Security > Firewall > IP rules)源（范围）
ProfibusDP通讯
S7 300PLC之间的Profibus通讯1．控制要求采用Profibus-DP通信方式，完成S7-300 PLC之间的信息交换和控制功能。要求如下：1) 主站控制从站电动机的运行和停止；2) 从站控制主站电动机的运行和停止；3)按下启动按钮3s后电机运行，同时电机运行5s后停止，3s后继续运行，如此循环。
TIA Portal 版本间的兼容性
TIA Portal 版本间的兼容性在 TIA Portal V16 中，也可打开由该版本 TIA Portal 创建的项目。而在打开由 TIA Portal 旧版本创建的项目之前，需将这些升级为较新版本。打开由旧版本产品生成的项目。下表列出了打开由该产品旧版本生成的项目时，TIA Portal 的响应：TIA Portal 的版本（相应版本的文件扩展名）使用 TIA Portal 较新版本打开时