STEP 7 中的组态STEP 7 中的组态也可以通过以下组态工具组态 CP：• STEP 7 V5要组态安全功能，还需 Security Configuration Tool (SCT)。• STEP 7 Professional可以在项目工程 (页 40)部分中找到所需版本。以下有关组态的信息同时适用于这两种组态工具IP 地址分配和通信路径联网千兆位接口和 PROFINET 接口如果可通过 PROFINET 接口和路由器访问通信伙伴，则不应同时将千兆位接口与通信伙伴的子网联网。 根据通信服务或物理网络组态，有可能产生冲突。 • 保护等级在“保护”(Protection) 下组态访问 CPU。• 禁用对 CPU（CPU 组态）Web 服务器和对 CP 的 Web 服务器的访问。• 记录功能启用安全组态功能，并定期检查对未经授权的访问的记录事件。• 保护程序块密码防止存储在数据块中的块密码被查看。此过程将在后文进行介绍。块的专有技术保护 (STEP 7 V5)通过以“KNOW_HOW_PROTECT”选项对块进行保护，可以防止数据块内容（如，密码）被读取。请在 STEP 7 中执行下面列出的步骤。1. 在块文件夹中选择数据块。2. 在编辑器中打开块。3. 在编辑器中关闭块。4. 在编辑器中，从块中生成源。5. 在源文件夹中选择数据块源。6. 打开该源。7. 在源的标头中插入空行，然后在该行中写入“KNOW_HOW_PROTECT”。8. 编译该源。结果：该块被保护。可以通过块文件夹中数据块的挂锁符号对其进行识别。如果之后要更改数据块中的参数，例如密码，请记住以下内容：带有专有技术保护的数据块内容将不再显示，只能通过源或直接分配参数来对其进行更改。密码• 定义设备使用和密码分配规则。• 定期更新密码以提高安全性。• 仅使用密码强度高的密码。避免使用密码强度弱的密码，如“password1”、“123456789”或类似的密码。组态和操作6.1 安全建议CP 443-1 Advanced设备手册, 03/2023, C79000-G8952-C256-07 67• 确保所有密码都受到保护，未授权人员无法访问。相关信息，另请参见上述部分。• 请勿将同一密码用于不同用户和系统。证书和密钥• 使用认证机构（包括密钥撤销与管理）来签署证书。• 确保用户自定义的私人密钥都受到保护，未授权人员无法访问。• 建议使用 PKCS #12 格式的受密码保护的证书。• 验证服务器和客户端上的证书和指纹，避免“中间人”的攻击。• 建议使用密钥长度至少为 2048 位的证书。• 如果怀疑发生泄露，请立即更改证书和密钥。协议可用协议的列表以下是所有可用协议及其端口的列表，通过这些协议和端口可对设备进行访问。还要注意用于组态和编程连接的端口。请参见组态手册“/2/ (页 120)”中的第 5.6 节，第5.7 项。表格说明：• 服务/协议设备支持的协议。• 协议/端口号分配给协议的端口号。• 默认端口状态– 打开组态开始时，该端口打开。– 关闭组态开始时，该端口关闭。• 可组态端口– ✓此端口可组态。– --此端口不可组态。• 身份验证指定是否对通信伙伴进行验证。• 加密指定传输是否加密。通信伙伴和路由器的端口确保在相应的防火墙中启用了通信伙伴和中介路由器所需的客户端端口。其中包括：• DHCP / 67, 68 (UDP)• DNS / 53 (UDP)• NTP / 123 (UDP)• SNMP / 161 (UDP)组态和操作6.2 控制模式CP 443-1 Advanced设备手册, 03/2023, C79000-G8952-C256-07 69• SMTP / SMTP (STARTTLS) / 25 (TCP) - 在块调用时在 CP 中打开（jinxian传出）• FTPS / 20, 21 (TCP)• Syslog / 514 (UDP)6.2 控制模式可以使用 STEP 7 组态软件或使用 STEP 7 特殊诊断使 CP 在 RUN 和 STOP 两种模式之间切换。为 CPU 组态保护级别时请注意相关限制。相关信息，请参见保护级别的影响 (页 70)部分。从 STOP 切换到 RUN：CP 将组态的数据和/或下载的数据加载到工作存储器中，然后切换为 RUN 模式。从 RUN 切换到 STOP：CP 切换到 STOP（转换阶段 LED 显示“正在停止”(Stopping)）。STOP 模式会产生如下反应：• 已建立的连接（ISO 传输、ISOonTCP、TCP 和 UDP 连接）被终止。• 以下功能已禁用：– 时钟同步– PROFINET IO• 以下功能仍为启用状态：– CP 的组态和诊断（用于组态、诊断和 PG 通道路由的系统连接得到保留）。– Web 诊断– 到文件系统的 FTP/FTPS 访问– HTTP/HTTPS 访问– 路由功能组态和操作6.3 保护级别的影响CP 443-1 Advanced70 设备手册, 03/2023, C79000-G8952-C256-076.3 保护级别的影响CP 上的模块访问保护如果在 CP 组态中启用保护级别“状态相关”（“选项”(Options) 选项卡），则只能在 CPU 或CP 处于 STOP 状态时才能进行以下操作：• 更改 CP 的运行状态 (RUN → STOP)• 复位/存储器复位如果启用了 CPU 的保护级别，请注意附加限制。• 格式化 C-PLUG如果启用了 CPU 的保护级别，请注意附加限制。• 使用 NCM 固件加载程序加载固件由于为 CPU 组态保护级别而导致的对 CP 访问的进一步限制。CPU 的保护级别如果在 CPU 组态中将组态 ≥ 2 的保护级别（“选项”(Options) 选项卡），则会对 CP 的运行产生以下影响：• 使用不同的方法初始化 CP/分配 IP 地址使用 Primary Setup Tool (PST) / SINEC PNI，一次只能向 CP 分配一个 IP 地址。• 使用 DHCP 或用户程序进行 IP 组态时无法使用 PST / SINEC PNI如果通过 DHCP 服务器或使用用户程序 (IP_CONFIG) 组态了 CP 的 IP 地址设置，则无法通过 PST / SINEC PNI 向 CP 分配 IP 地址。• 格式化 C-PLUG在站运行期间，无法格式化 CP 的 C-PLUG。将 CPU 切换到 STOP 模式以执行此操作。• 复位/存储器复位在站运行期间，无法进行复位操作或无法复位 CP 的存储器。将 CPU 切换到 STOP 模式以执行此操作。• 将组态数据下载到 CP（EX11、GX11）以下限制仅适用于组态为 CP“EX11”或“GX11”的 CP 343-1 Advanced (GX30)：无法在 CPU 的数据存储与 CP 的数据存储之间实现更改。要执行该操作，删除 CPU 的保护级别。例如： 千兆位接口已联网但未连接千兆位接口，例如已与子网 A 联网，但没有物理连接到子网 A。可通过路由器访问与子网 B 和子网 A 中的通信伙伴 X 联网的 PROFINET 接口。现在已建立与通信伙伴 A 的通信。操作期间，CP 根据组态选择千兆位接口作为到通信伙伴 X 的直接可能通信路径。由于未连接，千兆位接口实际上不可用，也无法建立通信。将 PROFINET 接口与千兆位接口分离建议将 PROFINET 接口与千兆位接口在物理上分离。如果不将这两个接口分离，则在以下条件下使用 ISO 协议建立 S7 连接时可能出现问题：• 通过不同接口组态到同一伙伴地址的连接时。• 需要在一端建立组态的 S7 连接时。6.5.1.2 使用 PROFINET 和千兆位接口的快速以太网下面描述了两个接口的常见传输特性。 有关千兆位接口的 1 Gbps 传输速度的信息，请参见千兆位接口的传输速度 (页 74)部分。在“端口参数”(Port parameters) 参数组中相关接口的端口属性的两个接口中，对网络设置“传输介质/双工”(Transmission medium / duplex) 进行组态。• “X1P1”行： 千兆位接口的端口属性• “X2P1/2/3/4”行： PROFINET 接口的端口 1、2、3 或 4 的属性自动设置或某个具体网络设置默认情况下，CP 组态为自动检测（“自动检测”(autosensing)）。说明正常情况下，基本设置便可确保正常通信。 只有在个别情况下需要更改此设置。如果将 CP 组态为手动检测并禁用自动协商选项，网络设置（自动协商）中的自动协商功能将不再有效。换言之，如果通信伙伴使用自动协商进行通信，则不确定是否会再建立通信。组态和操作6.5 接口组态CP 443-1 Advanced设备手册, 03/2023, C79000-G8952-C256-07 73自动跨接机制利用交换机中集成的自动跨接机制，可以使用标准电缆连接 PC/PG。 无需使用跨接电缆。说明手动组态如果已将端口设置为手动组态并且选择“禁用自动协商”(Disable autonegotiation) 选项，则此端口的自动跨接机制也会禁用。 随后，端口的行为将类似于交换机的接口。 在这种情况下，以下方法适用：• 连接终端设备要连接不支持自动跨接机制的终端设备（例如部件编号为 6GK7 443-1EX11-0XE0 的CP 4431），不得使用跨接电缆。• 连接交换机要连接不支持自动跨接机制的交换机，请使用跨接电缆。STEP 7 特殊诊断和 Web 诊断可显示网络设置通过诊断缓冲区中的条目提供的信息，使用 SNMP、特殊诊断和 LED 显示可以诊断此处描述的 CP 的端口设置。在 STEP 7 中，可在以下位置找到当前使用的网络设置的信息：• 在特殊诊断中，“网络连接”(Network Connection) 组框的诊断对象“工业以太网”(Industrial Ethernet) 下• 在 STEP 7 的菜单命令“PLC > 模块信息”(PLC > Module Information) 中• 在 Web 诊断中附加说明：• 无“自动协商”功能的 10/100 Mbps 网络组件如果使用不支持“自动协商”(Autonegotiation) 功能的 10/100 Mbps 网络组件，则可能必须手动设置模式。• 强制特殊模式而不是“自动设置”(Automatic settings)如果应用需要特殊模式而不是自动设置，则需要匹配伙伴设备。组态和操作6.5 接口组态CP 443-1 Advanced74 设备手册, 03/2023, C79000-G8952-C256-07• 手动组态下对自动协商查询无响应请记住，如果手动组态 CP 并禁用“自动协商”(Autonegotiation) 选项，则它不会响应自动协商查询！因此，连接的伙伴可能无法设置所需模式，也就不会实现通信。示例：如果 CP 设置为“100 Mbps - 全双工”并且禁用自动协商，则以伙伴身份连接的 CP 会设置为“100 Mbps - 半双工”。 原因： 由于固定设置，将无法实现自动协商响应。 尽管连接的伙伴通过自动检测检测到 100 Mbps，但它仍保持为半双工。• 建议： 只通过 MPI 更改某个具体网络设置如果使用“传输介质/双工”(Transmission medium/Duplex) 下拉列表对“选项”(Options)选项卡的 CP 属性对话框中的 LAN 设置进行修改，则这些更改将被 CP 采用并在组态数据下载到目标系统 (STEP 7) 时激活。 在某些情况下，可能无法再通过以太网访问设备。因此，如果更改此设置，建议您通过 MPI 连接将组态数据下载到 S7 站。如果通过 LAN 接口下载组态数据，之后根据所选设置，可能出现因组态更改立即生效而使当前下载无法完成，并报告组态不一致。示例：Zui初以 10 Mbps 半双工 TP/ITP 设置开始下载。 如果之后将“某个具体网络设置”更改为100 Mbps 全双工，则下载将无法完成。千兆位接口的传输速度如果要使用传输速度 1 Gbps，保留接口设置为“自动设置”(Automatic settings)。连接伙伴也必须组态为“1 Gbps 全双工”(1 Gbps full duplex) 或“自动设置”(Automaticsettings)。 如果连接伙伴不支持千兆位以太网，数据将以下一个更低的速度（100 或 10Mbps）进行传输。S7 连接和 DHCP如果通过 DHCP 分配 IP 地址，组态的 S7 连接将无法运行说明如果使用 DHCP 获取 IP 地址，组态的所有 S7 连接都会失效。原因： 运行期间，已组态的IP 地址被通过 DHCP 获取的地址代替。通过 DHCP 千兆位接口进行地址分配静态 DHCP在千兆位接口上使用 DHCP 分配地址时，应当在 DHCP 服务器（静态 DHCP）中为模块分配一个固定的 IP 地址。这也适用于默认路由器。仅在 STOP → START 更改后，才会采用修改后的 IP 地址。为 CPU 组态保护级别时请注意相关限制。相关信息，请参见保护级别的影响 (页 70)部分。在网络中检测重复 IP 地址后重新启动为了减少排除网络故障所花费的时间，CP 可检测网络中的重复地址。运行期间的行为（CP 处于 RUN 模式）如果 CP 检测到了网络上的重复地址（具有已分配的 IP 地址的新节点），则诊断缓冲区中会生成一条消息，并且总线故障 LED 亮起。要在 RUN 模式下确认总线故障 LED，将 CP 设置为 STOP，然后将其重新启动。将具有重复 IP 地址的设备从网络取出后，总线故障 LED 自动熄灭。CP 启动时的行为如果在 CP 启动时检测到重复地址，CP 将保持在 STOP 模式。总线故障 LED 点亮并且生成诊断缓冲区条目。只有在重复地址问题消除后，CP 才会启动。