SIEMENS西门子 3VA1 IEC断路器 3VA11324ED260AA0
SINEMA Remote Connect 使用 SINEMA Remote Connect (SINEMA RC) 进行远程维护 应用程序“SINEMA Remote Connect”(SINEMA RC) 可用于远程维护。 SINEMA RC 使用 OpenVPN 对数据加密。通信中心为 SINEMA RC 服务器,通过该服务器可实现用户间的通信及管理通信系统的组态。 准备步骤 在 STEP 7 中开始组态模块的 SINEMA RC 连接之前,请执行以下步骤。这是确保 STEP 7 项目一致性的先决条件。 • 组态 SINEMA Remote Connect Server 根据需要组态 SINEMA RC Server(不在 STEP 7 中)。必须在 SINEMA RC 服务器中组态通信模块及其通信伙伴。属性 • VPN 构成了一个嵌入到相邻(已分配)网络中的逻辑子网。VPN 使用已分配网络的通常寻址机制,但就数据而言,其传输自己的网络数据包,因此独 立于该网络的其余部分运行。 • VPN 允许 VPN 伙伴通过分配的网络进行通信。 • VPN 基于隧道技术,可单独进行组态,并且是客户特定且独立的。 • 使用密码、公钥或数字证书(= 身份验证)可保护 VPN 伙伴间的通信免遭窃听或操纵。VPN 仅当将模块分配给全局安全功能中的 VPN 组时,才会显示模块的“VPN”参数组。 什么是 VPN? 虚拟专用网络 (VPN) 是用于在公共 IP 网络(例如 Internet)中安全传输保密数据的技术。利用 VPN,可通过非安全网络在两个安全 IT 系统或网络间建立安全连接(= 隧道)并进行操作。 VPN 隧道的主要特性之一是,无论是否使用高层协议(HTTP,FTP),它都能转发所有网络数 据包。 两个网络组件间的数据通信实际上是通过其它网络进行无限制传输。这样便可通过相邻网 络将整个网络连接在一起。应用领域 • 可通过 Internet 将局域网安全地连接在一起(“站点到站点”连接)。 • 对公司网络进行安全访问(“端到站点”连接)。 • 对服务器进行安全访问(“端到端”连接)。 • 无需访问第三方即可在两个服务器间进行通信(“端到端”连接或“主机到主机”连接)。 • 确保联网的自动化系统中的信息安全性。 • 保护包含自动化网络中或通过 Internet 进行的安全远程访问中的相关数据通信的计算机系统。 • 可通过公共网络从 PC/编程设备对受安全模块保护的自动化设备或网络进行安全远程访问。单元保护概念 利用工业以太网安全,单个设备、自动化单元或以太网网段均可受到保护: • 允许对受安全模块保护的各个设备甚至整个自动化单元进行访问。 • 通过非安全网络结构实现安全连接成为可能。 借助不同安全措施(例如防火墙、NAT/NAPT 路由器和 IPsec 隧道上的 VPN)的组合,安全模块可防止: • 数据间谍 • 数据操纵 • 不希望的访问在 S7-1500 站之间建立 VPN 隧道通信 要求 要在 S7-1500 站之间创建 VPN 隧道,必须满足以下要求: • 已组态两个 S7-1500 站。 • 相关 CP 1543-1 组态 V1.1 及以上版本的固件。 • 两个站的以太网接口位于统一子网中。 说明 也可通过 IP 路由器进行通信 也可通过 IP 路由器在两个 S7-1500 站之间进行通信。但是,要使用此通信路径,需要进行进一步设置。操作步骤 要创建 VPN 隧道,需要完成以下步骤: 1. 创建安全用户。 如果已创建安全用户:请以该用户身份登录。 2. 选中“激活安全特性”(Activate security features) 复选框。3. 创建 VPN 组并分配安全模块。 4. 组态 VPN 组的属性。 组态两个 CP 的本地 VPN 属性。 有关各步骤的详细说明,请参见本部分的以下段落。 创建安全用户 要创建 VPN 隧道,需要相应的组态权限。要激活安全功能,需要至少创建一个安全用户。 1. 在 CP 的本地安全设置中,单击“用户登录”(User logon) 按钮。 结果:打开一个新窗口。 2. 输入用户名、密码和密码确认。 3. 单击“用户登录”(User login) 按钮。 您已创建新的安全用户。现在,您可以使用安全功能。 对于所有其它登录,请以该用户身份登录。 启用“激活安全特性”选项 • 登录后,必须将两个 CP 的“激活安全特性”(Activate security features) 选项都选中。 现在,两个 CP 均可使用安全功能。创建 VPN 组并分配安全模块 说明 安全模块上的当前日期和时钟 使用安全通信(例如 HTTPS、VPN...)时,确保涉及的安全模块具有当前时钟和当前日期。否则,使用的证书 将无法评估为有效,安全通信不会工作。 1. 在全局安全设置中,选择条目“防火墙 > VPN 组 > 添加新 VPN 组”(Firewall > VPN groups > Add new VPN group)。 2. 双击条目“添加新 VPN 组”(Add new VPN group) 来创建 VPN 组。 结果:新的 VPN 组显示在所选条目下。3. 在全局安全设置中,双击条目“VPN 组 > 将模块分配给 VPN 组”(VPN groups > Assign module to a VPN group)。 4. 分配将在其间建立到 VPN 组的 VPN 隧道的安全模块。 组态 VPN 组的属性 1. 双击新创建的 VPN 组。 结果:VPN 组的属性显示在“身份验证”(Authentication) 下。 2. 输入 VPN 组的名称。在属性中组态 VPN 组的设置。 通过这种方式,可以定义 VPN 组的基本属性。 说明 指定 CP 的 VPN 属性 请在模块的本地属性中指定所需 CP 的 VPN 属性(“安全性 > 防火墙 > VPN”(Security > Firewall > VPN)) 结果 您已创建 VPN 隧道。CP 的防火墙将自动激活:创建 VPN 组时,已默认选中“激活防火墙”(Activate firewall) 选项。无法禁用此选项。 • 将组态下载到属于该 VPN 组的所有模块。
在 CP 和 SCALANCE M 之间建立 VPN 隧道通信 在 CP 和 SCALANCE M 之间建立 VPN 隧道通信的步骤实际上与“适用于 S7-1500 站的步骤 (页 72)”中的说明相同。 只有在已创建的 VPN 组(“VPN 组 > 身份验证”(VPN groups > Authentication))的全局安全设置中启用“Perfect Forward Secrecy”选项,才能建立 VPN 隧道通信。 如果禁用此选项,则 CP 会拒绝建立连接。与 SOFTNET Security Client 进行 VPN 隧道通信 在 SOFTNET 安全客户端和 CP 之间设置 VPN 隧道通信的步骤实际上与适用于 S7-1500 站的步骤 (页 72)中的说明相同。只有禁用了内部节点,VPN 隧道通信才会工作 在某些情况下,在 SOFTNET Security Client 与 CP 之间建立 VPN 隧道通信会失败。 SOFTNET Security Client 也尝试建立与低级别内部节点的 VPN 隧道通信。与不存在的节点建立通信将妨碍与 CP 建立所需的通信。 要成功建立与 CP 的 VPN 隧道通信,需要禁用内部节点。 只有出现所描述的问题时,才会使用下述节点禁用步骤。 在 SOFTNET Security Client 通道概述中禁用节点: 1. 移除“启用主动学习”(Enable active learning) 复选框中的复选标记。 低级别节点在初始时从隧道列表中消失。 2. 在隧道列表中,选择所需的 CP 连接。 3. 使用鼠标右键,在快捷菜单中选择“启用所有成员”(Enable all members)。 低级别节点暂时再次出现在隧道列表中。 4. 在隧道列表中选择低级别节点。 5. 使用鼠标右键,在快捷菜单中选择“删除条目”(Delete entry)。 结果:现在已完全禁用低级别节点。成功建立与 CP 的 VPN 隧道通信。• 导出 CA 证书(可选) 如果要在建立连接期间使用服务器证书作为通信模块的身份验证方式,请从 SINEMA RC Server 中导出 CA 证书。 然后将 CA 证书从 SINEMA RC Server 导入工程师站。 或者,也可以使用服务器证书的识别码作为通信模块的身份验证方式。识别码的有效 期限可能短于证书的有效期限。 请注意,更换模块时需要重复导入证书。 组态 SINEMA Remote Connect 导入自己的证书 1. 在 CP 上,导航到参数组“安全 > 证书管理器 > 伙伴设备的证书”。 2. 双击第一个表格空行以打开证书选择对话框。 3. 选择 SINEMA RC Server 的 CA 证书。 然后导航到参数组“安全 > VPN”(Security > VPN)。 VPN > 常规 1. 激活 VPN 2. 对于“VPN 连接类型”,如果要通过 SINEMA Remote Connect 进行通信,则选择“通过 SINEMA 远程连接服务器进行的自动 OpenVPN 组态”选项。SINEMA 远程连接服务器 输入该服务器的地址和端口号。 服务器验证 在此可以选择建立连接期间的通信模块身份验证方式。 • CA 证书 在“CA 证书”下,从之前导入并在本地证书管理器中进行分配的 SINEMA RC Server 中选择 CA 证书。 模块通常会检查服务器的 CA 证书及其有效期。这两个选项无法更改。 • 识别码 选择这种身份验证方式时,应输入 SINEMA RC Server 服务器证书的识别码。