《工業(yè)網(wǎng)絡技術與應用（微課版）》 課件 第7、8章 工業(yè)無線網(wǎng)絡技術、工業(yè)網(wǎng)絡安全技術

工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡第7章工業(yè)無線網(wǎng)絡技術7.1工業(yè)無線通信技術概述工業(yè)無線通信技術是在現(xiàn)有智能數(shù)字儀表和現(xiàn)場總線技術基礎上發(fā)展起來的最新技術，它不僅能傳送現(xiàn)場設備（如各類變送器）的檢測參數(shù)的測量值信號（如壓力、溫度的實時測量值），還可以同時傳送多種類型信息，如設備狀態(tài)和診斷報警、過程變量的測量單位、回路電流和百分比范圍、生產(chǎn)商和設備標簽等。應用的行業(yè)包括石化、冶金、電力、煤炭、煙草、長距離管線、海上石油平臺等各行各業(yè)。7.1工業(yè)無線通信技術概述7.1.1無線通信技術簡介無線通信是利用電磁波信號在自由空間中傳播的特性進行信息交換的一種通信方式。無線通信技術自身有很多優(yōu)點，成本較低，無線通信技術不必建立物理線路，更不用大量的人力去鋪設電纜，而且無線通信技術不受工業(yè)環(huán)境的限制，對抗環(huán)境的變化能力較強，故障診斷也較為容易，相對于傳統(tǒng)的有線通信的設置與維修，無線網(wǎng)絡的維修可以通過遠程診斷完成，更加便捷；擴展性強，當網(wǎng)絡需要擴展時，無線通信不需要擴展布線；靈活性強，無線網(wǎng)絡不受環(huán)境地形等限制，而且在使用環(huán)境發(fā)生變化時，無線網(wǎng)絡只需要做很少的調(diào)整，就能適應新環(huán)境的要求。7.1工業(yè)無線通信技術概述1.Zig-Bee技術Zig-Bee是基于IEEE802.15.4標準而建立的一種短距離、低功耗的無線通信技術。Zig-Bee來源于蜜蜂群的通信方式，由于蜜蜂（Bee）是靠飛翔和‘嗡嗡’（Zig）地抖動翅膀來與同伴確定食物源的方向、位置和距離等信息，從而構(gòu)成了蜂群的通信網(wǎng)絡。。2.藍牙技術藍牙（Bluetooth）最早始于1994年，由瑞典愛立信研發(fā)，截止目前為止已經(jīng)更新了9個版本，通信半徑從幾米延伸到幾十米，可實現(xiàn)點對點或一點對多點的無線數(shù)據(jù)和聲音傳輸，其數(shù)據(jù)傳輸帶寬可達1Mbps，通訊介質(zhì)為頻率在2.402GHz到2.480GHz之間的電磁波。藍牙技術可以廣泛應用于局域網(wǎng)絡中各類數(shù)據(jù)及語音設備，如PC、撥號網(wǎng)絡、筆記本電腦、打印機、傳真機、數(shù)碼相機、移動電話和高品質(zhì)耳機等，實現(xiàn)各類設備之間隨時隨地進行通信。7.1工業(yè)無線通信技術概述3.Wi-Fi技術Wi-Fi的全稱是Wireless-Fidelity，即無線保真，是無線局域網(wǎng)（WLAN）中的一個標準，是一種基于802.11協(xié)議的無線局域網(wǎng)接入技術。從1999年推出以來一直是是我們生活中較常用的訪問互聯(lián)網(wǎng)的方式之一。4.UWB技術UWB（UltraWideband，超寬帶）是一種無載波通信技術，利用納秒至微秒級的非正弦波窄脈沖傳輸數(shù)據(jù)。通過在較寬的頻譜上傳送極低功率的信號，UWB能在10米左右的范圍內(nèi)實現(xiàn)數(shù)百Mbit/s至數(shù)Gbit/s的數(shù)據(jù)傳輸速率。5.NFC技術NFC是一種新的近距離無線通信技術，其工作頻率為13.56MHz，與目前廣為流行的非接觸智能卡ISO14443所采用的頻率相同，這就為所有的消費類電子產(chǎn)品提供了一種方便的通訊方式，已經(jīng)成為得到越來越多主要廠商支持的正式標準7.1工業(yè)無線通信技術概述7.1.2無線局域網(wǎng)（WLAN）WLAN為WirelessLAN的簡稱，即無線局域網(wǎng)。無線局域網(wǎng)是利用無線通信技術實現(xiàn)快速接入的以太網(wǎng)技術。主要在中短距離覆蓋范圍內(nèi)承載高速數(shù)據(jù)業(yè)務，支持固定和移動接入。Wi-Fi是WLAN技術中一項關鍵技術，由“Wi-Fi聯(lián)盟”所發(fā)布，其核心技術采用了電子電氣工程師協(xié)會（IEEE）制定的802.11系列標準。WLAN指的是基于IEEE802.11標準并兼容有線以太網(wǎng)的無線局域網(wǎng)絡。因此，無線局域網(wǎng)通常被稱為無線以太網(wǎng)。在PROFINETRT、EtherNet/IP或Modbus/TCP等基于以太網(wǎng)的自動化網(wǎng)絡中，通過WLAN可無線集成自動化設備。7.1工業(yè)無線通信技術概述1.WLAN的特點與優(yōu)勢隨著各行業(yè)數(shù)字化趨勢愈演愈烈，要實現(xiàn)行業(yè)數(shù)字化，需要強大的工業(yè)通信網(wǎng)絡。無線局域網(wǎng)作為核心技術之一，代表著出色的性能和可靠性。1）多臺設備構(gòu)建的大型網(wǎng)絡。WLAN具有與以太網(wǎng)相同的特性，即通過多臺設備構(gòu)建大型網(wǎng)絡。2）漫游技術支持設備自由移動。WLAN的一個獨特優(yōu)勢在于支持設備在網(wǎng)絡中移動。大型WLAN網(wǎng)絡中的設備可自由移動，從而自動切換無線連接至無線信號較佳的接入點，這一過程即為漫游。WLAN網(wǎng)絡的無線場可通過增加接入點無限擴展。3）高性能和高可靠性新型WLAN系統(tǒng)符合IEEE802.11n標準，相比舊WLAN標準，提供高達數(shù)百

Mbps的數(shù)據(jù)速率，傳輸距離更長，穩(wěn)定性更佳。7.1工業(yè)無線通信技術概述2.IEEE802.11標準IEEE802.11系列標準對各種不同的無線技術進行了規(guī)定，如表7-1所示。7.1工業(yè)無線通信技術概述7.1.3工業(yè)無線局域網(wǎng)（IWLAN）工業(yè)無線局域網(wǎng)（IndustrialWirelessLocalAreaNetwork，簡稱IWLAN），是一種基于無線電技術，用于工業(yè)現(xiàn)場和設備之間傳輸數(shù)據(jù)的網(wǎng)絡。它可以提供無線通信傳輸，代替?zhèn)鹘y(tǒng)的有線網(wǎng)絡，節(jié)省了設備布線和設備移動的時間。1.IWLAN的優(yōu)勢1）高靈活、易使用。2）高可靠、易維護。3）數(shù)據(jù)傳輸穩(wěn)定。4）成本降低。7.1工業(yè)無線通信技術概述2.工業(yè)無線局域網(wǎng)的應用領域無線網(wǎng)絡在工業(yè)現(xiàn)場主要應用在設備或環(huán)境實現(xiàn)物理連接困難以及技術上不允許或不希望用物理連接的場合，如移動或旋轉(zhuǎn)設備、運動節(jié)點、遠距離設備管理、障礙物阻隔環(huán)境、高危環(huán)境等，以彌補有線網(wǎng)絡的不足。目前工業(yè)無線局域網(wǎng)已經(jīng)廣泛應用于以下領域：1）工業(yè)自動化由于工業(yè)自動化需要大量的無線傳輸數(shù)據(jù)，工業(yè)無線局域網(wǎng)是實現(xiàn)智能化和自動化的必要條件。2）機器人機器人使用工業(yè)無線局域網(wǎng)可以將大量數(shù)據(jù)傳輸?shù)街醒胩幚韱卧瑢崿F(xiàn)遠程操作和監(jiān)控。3）物流和倉儲工業(yè)無線局域網(wǎng)可以幫助物流和倉儲企業(yè)實現(xiàn)設備自動化管理，包括固定和移動裝置的追蹤和流程優(yōu)化。7.1工業(yè)無線通信技術概述3.工業(yè)WLAN與通用WLAN的比較工業(yè)WLAN比一般企業(yè)辦公和家庭應用環(huán)境用的WLAN要求要高許多，可歸納如下：

（1）嚴格的延遲要求：用于現(xiàn)場設備要求延遲不大于10ms，用于運動控制不大于1ms，對于周期性的控制通信，使延遲時間的波動減至最小也是很重要的指標。

（2）確定性性能的保證：保證確定性是對任務執(zhí)行有嚴格保證的工業(yè)通信系統(tǒng)必備的特性。

（3）支持大量設備掛網(wǎng)，并容許掛網(wǎng)設備的接入數(shù)量可隨機變化：工業(yè)WLAN的接入點約為數(shù)百個的數(shù)量級。若節(jié)點過多和接入的節(jié)點數(shù)有變化，有可能導致IEEE802.11的MAC協(xié)議層效率太低。

（4）網(wǎng)絡安全的保證：滿足安全保密法規(guī)是工業(yè)WLAN的基本要求。包括防止黑客用戶的侵入及對這些接入點的檢測等。7.2工業(yè)無線網(wǎng)絡設備工業(yè)無線通信是數(shù)字化轉(zhuǎn)型的關鍵要素，為向企業(yè)提供交換各種數(shù)據(jù)的基礎設施，西門子開發(fā)了具有特殊附加功能的專用工業(yè)無線局域網(wǎng)產(chǎn)品，以滿足工業(yè)中WLAN的特殊需求。西門子工業(yè)無線通信系列產(chǎn)品都具備高度的可靠性、耐用性和安全性，各組件可在十分惡劣的室內(nèi)和室外條件下使用。開放式工業(yè)以太網(wǎng)標準PROFINET或Ethernet/IP以及PROFIsafe也可確保更高的效率、靈活性和安全性。7.2工業(yè)無線網(wǎng)絡設備7.2.1西門子SCALANCEW系列產(chǎn)品簡介西門子SCALANCEW系列是基于IEEE802.11標準的工業(yè)無線局域網(wǎng)產(chǎn)品。具有如下優(yōu)勢：1.投資安全性高。所有產(chǎn)品都符合國際公認標準IEEE802.11，并適用于2.4GHz和5GHz。2.可節(jié)約成本。無磨損和破損，從而可節(jié)省插入式連接、電纜架等裝置的維護和維修成本。3.可實現(xiàn)安全、可靠通信。通過PROFINET、PROFIsafe、Ethernet/IP、CIPSafety和其它自動化協(xié)議，無線傳輸標準信號和故障安全信號。4.高數(shù)據(jù)傳輸率。傳輸率最高可達1733Mbps，適用于要求高帶寬和高網(wǎng)絡用戶密度的應用。5.可維護性強。通過KEY-PLUG或CLPiFeature擴展SCALANCEW產(chǎn)品的特殊工業(yè)功能，可以在發(fā)生故障時輕松更換設備。6.穩(wěn)健和靈活。具有IP65防護等級的SCALANCEW設備適用于控制柜外部應用。7.2工業(yè)無線網(wǎng)絡設備7.2.2西門子無線訪問接入點和無線客戶端1.西門子SCALANCEW774和W734設備簡介SCALANCEW774無線接入點和SCALANCEW734無線客戶端模塊是為了在控制柜內(nèi)部使用而開發(fā)的。它們可作為控制器或分布式I/O的頭部組件，以確保可靠的無線通信。由于具有IP65防護等級，SCALANCEW774接入點和SCALANCEW734客戶機模塊也可安裝在控制柜外部。由于總數(shù)據(jù)速率高達300Mbit/s且具有可選的iFeatures功能，即使是在要求更加苛刻的應用環(huán)境下也可以正常使用。兩個設備的外觀及設備描述信息如圖7-1所示。7.2工業(yè)無線網(wǎng)絡設備7.2工業(yè)無線網(wǎng)絡設備SCALANCEW774和W734設備具有如下屬性：

（1）具有2個RJ-45以太網(wǎng)接口，支持全雙工和半雙工10Mbps和100Mbps速率，可實現(xiàn)自動跨接和自動極性變換。（2）具有2個天線接口，可連接ANT795-4MA型號的全向天線。（3）WLAN接口支持IEEE802.11n標準，同時兼容IEEE802.11a、IEEE802.11b和IEEE802.11g標準，可在2.4GHz和5GHz范圍內(nèi)工作，可實現(xiàn)高速WLAN通信。（4）支持WPA、WPA-PSK、WPA2、WPA2-PSK和IEEE802.1x驗證標準，并支持WEP、AES和TKIP加密方法。（5）通過向?qū)Ш驮诰€幫助實現(xiàn)組態(tài)支持；通過Web服務器和SNMP實現(xiàn)輕松管理。7.2工業(yè)無線網(wǎng)絡設備2.西門子無線訪問接入點SCALANCEW774的功能無線訪問接入點（wirelessAccessPoint，簡稱AP）是組建無線局域網(wǎng)時最核心的設備。AP相當于是無線網(wǎng)絡中的交換機，是無線網(wǎng)和有線網(wǎng)之間溝通的橋梁。SCALANCEW774無線接入點的主要功能就是將各個無線網(wǎng)絡客戶端連接到一起，然后將無線網(wǎng)絡接入以太網(wǎng)，從而達到無線覆蓋的目的。AP的中繼加橋接功能可以實現(xiàn)兩個無線設備通訊，也可以起到放大信號的作用，保證了傳輸速度和穩(wěn)定性；AP的主從模式可以方便網(wǎng)管統(tǒng)一管理子網(wǎng)絡，實現(xiàn)一點對多點的連接。SCALANCEW774無線接入點通過MIMO（多輸入多輸出）技術實現(xiàn)可靠的無線鏈路，最多可以使用四個流同時進行發(fā)送和接收。適用于具有實時和冗余要求的苛刻應用，如PROFINET、PROFIsafe，擴展工業(yè)功能尤其適用于高可靠性要求的場合。7.2工業(yè)無線網(wǎng)絡設備3.西門子無線客戶端SCALANCEW734的功能SCALANCEW734是無線客戶端（wirelessAccessClient，簡稱AC），是一種具有WLAN功能的設備，在該設備中永久性安裝了一個無線卡。SCALANCEW734客戶端模塊可保證實時無線通信，在滿足極高帶寬要求的情況下保持穩(wěn)定運行。該節(jié)省空間的客戶機模塊適合需要將設備安裝在控制柜內(nèi)的應用。由于采用SIMATIC設計，SIMATICS7PLC、ET200SP等自動化組件可無縫集成到工業(yè)WLAN中，可以節(jié)省控制柜內(nèi)的空間。7.2工業(yè)無線網(wǎng)絡設備4.全向天線和定向天線在工業(yè)無線局域網(wǎng)中使用的天線主要有全向天線和定向天線兩種，其外觀如圖7-3所示。7.2工業(yè)無線網(wǎng)絡設備5.工業(yè)無線網(wǎng)絡結(jié)構(gòu)使用無線接入點AP和無線客戶端AC可以建立各種網(wǎng)絡結(jié)構(gòu)。1）使用AP的獨立組態(tài)

2）對有線以太網(wǎng)網(wǎng)絡進行無線訪問3）通過客戶端或客戶端模式下的接入點訪問網(wǎng)絡7.3實訓本章實訓的主要目標是能熟練配置和使用工業(yè)無線網(wǎng)絡設備。首先能完成對西門子SIMATICW774無線AP和W734無線客戶端的基本管理配置，包括復位和IP地址配置。在此基礎上要求學生能熟練完成工業(yè)無線網(wǎng)絡設備的無線通信功能配置，從而能夠在工業(yè)網(wǎng)絡中靈活應用無線網(wǎng)絡設備將現(xiàn)場終端設備接入網(wǎng)絡中。最后介紹了NAT和NAPT技術在無線網(wǎng)絡中的應用與配置。1.實訓目的（1）掌握西門子SIMATICW774無線AP和W734無線客戶端的基本管理配置；（2）掌握在SIMATICW774無線AP和SIMATICW734無線客戶端上實現(xiàn)無線通信功能的配置方法；（3）掌握SIMATICW734無線客戶端上實現(xiàn)NAT和NAPT功能的配置方法。7.2工業(yè)無線網(wǎng)絡設備2.實訓準備（1）復習本章內(nèi)容；

（2）熟悉西門子SIMATICW774無線AP和的W734無線客戶端設備外觀及基本管理配置；

（3）熟悉西門子無線AP和無線客戶端實現(xiàn)無線通信的基本配置；（4）熟悉無線客戶端實現(xiàn)NAT和NAPT功能的基本配置。3.實訓設備（1）1臺電腦：已安裝博途和PRONETA軟件（2）1臺SIMATICS7-1200PLC（3）2臺SCALANCEXB-208第2層工業(yè)交換機（4）1臺SCALANCEW774無線AP、1臺SCALANCEW734無線客戶端（5）網(wǎng)線若干7.3實訓7.3.1西門子SCALANCEW工業(yè)無線設備的基本配置本實驗將介紹使用PRONETA軟件完成對工業(yè)無線APW774和工業(yè)無線ACW734進行IP地址配置及復位操作的方法和實施步驟。7.3實訓步驟1按照實驗拓撲將W774、W734和上位機連接到XB-208的任意端口。步驟2啟動PRONETA軟件進行網(wǎng)絡分析，可顯示出在線圖形視圖和設備列表7.3實訓步驟3在設備表中依次選中W774和W734無線設備，會在窗口右側(cè)顯示出該設備的詳細信息7.3實訓步驟4依次對XB-208、W774和W734執(zhí)行復位操作。在圖形視圖下右擊相應設備圖標，選擇“復位網(wǎng)絡參數(shù)”，將對3個設備執(zhí)行復位操作并恢復到出廠配置，復位完成后會自動重啟設備。步驟5為W774和W734配置IP地址，右擊相應設備圖標，選擇“設置網(wǎng)絡參數(shù)”，在IP組態(tài)下手工輸入IP地址和子網(wǎng)掩碼，必要時可設置網(wǎng)關地址。結(jié)果如圖7-11所示。步驟6通過瀏覽器訪問W774配置界面，右擊SCALANCEW-700無線接入點圖標，選擇“打開Web瀏覽器”，進入系統(tǒng)登錄界面。輸入用戶名和密碼（初始都是admin）。按界面提示設置新密碼為：ZD@123456，點擊SetValues按鈕使設置生效，如圖7-12所示。步驟7通過瀏覽器訪問W734配置界面，使用相同的用戶名和密碼為無線客戶端W734進行登錄，按界面提示設置新密碼為：ZD@123456。登錄成功后進入將分別進入無線AP和AC的管理及配置界面7.3實訓7.3.2西門子SCALANCEW無線通信功能配置本實驗按照如圖7-14所示的網(wǎng)絡結(jié)構(gòu)邏輯拓撲圖連接交換機與無線模塊、交換機與上位機、交換機與S71200，PLC已和開關連接。通過在SCALANCEW774和W734上配置啟動無線通信功能實現(xiàn)上位機和PLC之間的通信，同時通過上位機中的博途軟件能夠遠程監(jiān)控S71200PLC中的開關變量。7.3實訓1.網(wǎng)絡設備基礎配置步驟1將交換機和PLC恢復出廠設置。步驟2按照拓撲圖連接XB208-1的P3端口與W774的以太網(wǎng)端口P1相連、P1端口與上位機相連；XB208-2的P5端口與W734的以太網(wǎng)端口P1相連、P1端口與S71200PLC的以太網(wǎng)端口相連。步驟3用博途軟件為PLC分配地址為。步驟4在上位機中用PRONETA軟件為W774、W734、XB208和XM408分配IP地址7.3實訓2.無線APW774配置步驟1將上位機重新連接XB208-1的P3端口，在上位機的瀏覽器中輸入W774的IP地址1，登錄后將進入W774的向?qū)渲媒缑?。步驟2點擊配置界面左側(cè)“Interfaces”的子項“WLAN”進行無線配置。在“Antennas”標簽頁下，選擇“AntennaType”為“ANT795-4MA”7.3實訓步驟3在“Basic”標簽頁下，選擇“CountryCode”為“China”，選中表格中“Enabled”標題欄下的復選框，將“FrequencyBand”值選擇為5GHz，將“max.TxPower”值修選擇為20dBm7.3實訓步驟4在“AllowedChannels”頁簽，列出了選擇頻率帶寬為2.4G或5G時可以選擇的信道，可以保持默認設置，即所有信道都勾選，如圖7-19所示；也可以勾選“UseAllowedChannelsonly”后，選擇特定的149信道。7.3實訓步驟5在“AP”頁簽下，可以修改SSID號，如CIMC，要確保要使用的SSID號之前的“Enabled”為勾選狀態(tài)，同時禁用SSID廣播，如圖7-20所示。7.3實訓3.無線客戶端W734配置步驟1將上位機與XB208-2的空閑網(wǎng)口相連，在上位機的瀏覽器中輸入W734的IP地址https://2，進入其登陸界面，首次登錄和W774類似，需重新配置密碼。步驟2重新登錄W734，點擊配置界面左側(cè)“Interfaces”的子項“WLAN”進行無線配置，配置過程與SCALANCEW774的類似。步驟3在“Antennas”標簽頁下，選擇“AntennaType”為“ANT795-4MA”步驟4在“Basic”標簽頁下，選擇“CountryCode”為“China”，選擇“DeviceMode”為“Client”步驟5“AllowedChannels”頁簽頁面內(nèi)容保持不變，在“Client”頁簽下，設置SSID名稱為CIMC，即要與AP設置的SSID名稱一樣，以便該客戶端能夠自動連接到AP上。7.3實訓4.無線通信測試步驟1將上位機重新連接XB208-1的P3端口，進行連通性測試。步驟2在博途軟件中，在“監(jiān)控與強制表”中雙擊“添加新監(jiān)控表”，在添加的監(jiān)控表_1中新增地址為I0.0的變量，下載程序到IP地址對應的S71200PLC中。如圖7-24所示7.3實訓步驟3在博途軟件“項目樹”中，選中“CPU1214C”項，點擊工具欄中的“轉(zhuǎn)到在線”按鈕，然后在“監(jiān)控表_1”中點擊“全部監(jiān)視”按鈕。變量監(jiān)視界面如圖7-25所示。撥動輸入設備上的I0.0開關，可以看到監(jiān)控表中的變量監(jiān)控值變?yōu)門RUE，從而驗證了無線通信正常。7.3實訓步驟4測試上位機和PLC之間的連通性，如圖7-26所示，因為兩臺無線設備間通信成功，因此通過上位機能ping通S7-1200PLC的IP地址。7.3實訓7.3.3西門子SCALANCEW無線NAT和NAPT功能配置首先需要在無線AP和無線客戶端上配置啟動無線通信功能。在此基礎上，要求在W734無線客戶端上完成NAT和NAPT功能配置，使得內(nèi)部網(wǎng)絡的PLC地址00能夠映射為W734的端口地址2。配置完成后上位機可以通過2地址：端口號方式訪問PLC的WEB界面。7.3實訓1.W734無線客戶端NAT和NAPT功能配置步驟1通過瀏覽器登錄到W734的配置界面，在左側(cè)選擇Layer3->NAT，在Basic標簽下完成NAT啟動與配置，具體配置參數(shù)如圖7-28所示。7.3實訓

在下拉列表“Interface”中選擇所需的以太網(wǎng)接口：P1端口。

這里需要注意的是，NAT默認將P1端口作為映射端口，實際連接時，必須將線纜連接到W734設備的P1端口上，P1端口是靠里側(cè)的PN端口。

勾選復選框“EnableNAT”為以太網(wǎng)接口P1啟用NAT。

指定本地接口IP地址“LocalInterfaceIPaddress”，該地址將作為內(nèi)網(wǎng)PLC的網(wǎng)關地址，應與PLC在一個網(wǎng)段，這里設置為。

設置端口子網(wǎng)掩碼“LocalInterfaceSubnetMask”為

配置完成后，W734內(nèi)網(wǎng)端口地址為；外網(wǎng)端口地址為2。PLC映射出去的地址就是W734的外網(wǎng)端口地址：2。配置完成后，當通過連接到交換機XB208-2的上位機訪問W734時，因為內(nèi)網(wǎng)地址已被設置為，此時必須以才能進入W734的配置界面。7.3實訓步驟2點擊NAPT標簽，完成NAPT端口映射配置，具體配置參數(shù)如圖7-29所示。7.3實訓

在下拉列表“Interface”中選擇P1端口。

全局端口號“GlobalPort”：指的是外部訪問時使用的端口號，這里設置為443，表示要以HTTPS方式訪問PLC。

本地IP地址“LocalIPAddress”：指的是內(nèi)網(wǎng)設備的IP地址，就是PLC的地址00。

本地端口號“LocalPort”：因為要訪問PLC的WEB界面，因此設置為443，代表HTTPS協(xié)議。

單擊“Create”生成一條記錄，勾選“Enable”，單擊SetValues按鈕。

需要重啟W734設備才能使設置生效。配置完成后就在PLC地址00和W734外網(wǎng)地址2之間建立了NAT地址映射關系。7.3實訓2.S71200PLC的配置步驟1用博途軟件為PLC分配IP地址和網(wǎng)關，如圖7-30所示。注意這里的網(wǎng)關地址必須與NAT配置中的本地接口IP地址保持一致。7.3實訓步驟2配置PLC允許通過WEB方式訪問，右擊PLC->屬性->常規(guī)選項卡->Web服務器訪問，勾選“啟用使用該接口的IP地址訪問Web服務器，如圖7-31所示。7.3實訓步驟3在PLC中激活WEB服務器，右擊PLC->屬性->常規(guī)選項卡->Web服務器，勾選“在此設備的所有模塊上激活Web服務器”，注意不要勾選“僅允許通過HTTPS訪問”。如圖7-32所示。7.3實訓3.無線NAT功能測試配置完成后通過上位機將以https：//2方式來訪問到PLC的WEB界面，如圖7-33所示，點擊進入鏈接，將會顯示出當前PLC的常規(guī)和狀態(tài)信息，如圖7-34所示，至此說明NAT和NAPT功能配置成功。7.3實訓本章實訓的主要目標是能熟練配置和使用工業(yè)無線網(wǎng)絡設備。首先能完成對西門子SIMATICW774無線AP和W734無線客戶端的基本管理配置，包括復位和IP地址配置。在此基礎上要求學生能熟練完成工業(yè)無線網(wǎng)絡設備的無線通信功能配置，從而能夠在工業(yè)網(wǎng)絡中靈活應用無線網(wǎng)絡設備將現(xiàn)場終端設備接入網(wǎng)絡中。最后介紹了NAT和NAPT技術在無線網(wǎng)絡中的應用與配置。1.實訓目的（1）掌握西門子SIMATICW774無線AP和W734無線客戶端的基本管理配置；（2）掌握在SIMATICW774無線AP和SIMATICW734無線客戶端上實現(xiàn)無線通信功能的配置方法；（3）掌握SIMATICW734無線客戶端上實現(xiàn)NAT和NAPT功能的配置方法。7.3實訓本章實訓的主要目標是能熟練配置和使用工業(yè)無線網(wǎng)絡設備。首先能完成對西門子SIMATICW774無線AP和W734無線客戶端的基本管理配置，包括復位和IP地址配置。在此基礎上要求學生能熟練完成工業(yè)無線網(wǎng)絡設備的無線通信功能配置，從而能夠在工業(yè)網(wǎng)絡中靈活應用無線網(wǎng)絡設備將現(xiàn)場終端設備接入網(wǎng)絡中。最后介紹了NAT和NAPT技術在無線網(wǎng)絡中的應用與配置。1.實訓目的（1）掌握西門子SIMATICW774無線AP和W734無線客戶端的基本管理配置；（2）掌握在SIMATICW774無線AP和SIMATICW734無線客戶端上實現(xiàn)無線通信功能的配置方法；（3）掌握SIMATICW734無線客戶端上實現(xiàn)NAT和NAPT功能的配置方法。工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡第8章工業(yè)網(wǎng)絡安全技術8.1訪問控制列表工業(yè)以太網(wǎng)可以將現(xiàn)場層與企業(yè)管理層連接起來，但同時給生產(chǎn)現(xiàn)場帶來了網(wǎng)絡安全隱患。為工業(yè)以太網(wǎng)設置訪問控制策略是比較基礎的網(wǎng)絡安全防范方法。工業(yè)現(xiàn)場網(wǎng)絡具有規(guī)模大、用戶密集等特點，容易導致高峰時段網(wǎng)絡流量劇增，另一方面，用戶類型較多，不同類型應該有不同的網(wǎng)絡訪問權(quán)限。為了對網(wǎng)絡流量和用戶權(quán)限實施有效控制,，需要應用訪問控制技術，通過設置訪問控制列表來實施訪問控制。8.1訪問控制列表8.1.1ACL概述訪問控制列表（AccessControlList，ACL）是包過濾技術的核心內(nèi)容，通過獲取IP數(shù)據(jù)包的包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號，數(shù)據(jù)包的源地址、目的地址、源端口號和目的端口號等，然后與設定的規(guī)則進行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進行處理，合法的允許通過，不合法的阻截并丟棄，以達到提高網(wǎng)絡安全性能的目的。8.1訪問控制列表訪問控制列表也是包過濾防火墻的基礎技術，但是在防火墻和交換機、路由器中默認的轉(zhuǎn)發(fā)和攔截規(guī)則是不一樣的。交換機、路由器以轉(zhuǎn)發(fā)數(shù)據(jù)包為主要任務，因此常使用“寬松規(guī)則”，也就是“只要不是禁止的就是允許的”，默認情況下會轉(zhuǎn)發(fā)所有數(shù)據(jù)包，僅僅攔截訪問控制列表中定義的特定數(shù)據(jù)包。而防火墻則以安全控制為主要任務，因此常使用“嚴謹規(guī)則”，即“只要不是允許的就是禁止的”，只轉(zhuǎn)發(fā)在防火墻規(guī)則中允許的數(shù)據(jù)包。8.1訪問控制列表ACL可以通過定義規(guī)則來允許或拒絕流量的通過，其應用場景如圖8-1所示。通過設置ACL可以限制內(nèi)部主機對服務器和Internet網(wǎng)絡之間的訪問操作。8.1訪問控制列表8.1.2ACL工作原理ACL定義了一組規(guī)則，可配置為應用于入端口或出端口。入口ACL：傳入數(shù)據(jù)包經(jīng)過處理之后才會被路由到出站接口。因為如果數(shù)據(jù)包被丟棄，就節(jié)省了執(zhí)行路由查找的開銷，所以入口ACL非常高效。如果ACL允許該數(shù)據(jù)包，則會處理該數(shù)據(jù)包以進行路由。當與入接口連接的網(wǎng)絡是需要檢測的數(shù)據(jù)包的唯一來源時，最適合使用入口ACL來過濾數(shù)據(jù)包。出口ACL：傳入數(shù)據(jù)包路由到出接口后，由出口ACL進行處理。在來自多個入接口的數(shù)據(jù)包通過同一出接口之前，對數(shù)據(jù)包應用相同過濾器時，最適合使用出站ACL。8.1訪問控制列表

8.1訪問控制列表8.1.3ACL分類根據(jù)工作方式的不同，訪問控制列表分為基于MAC地址的ACL、基于IP地址的ACL和管理ACL三種類型。1.基于MAC地址的ACL當數(shù)據(jù)通過設置ACL規(guī)則的網(wǎng)絡設備時，網(wǎng)絡設備會查看設備內(nèi)的ACL規(guī)則表，判斷此數(shù)據(jù)攜帶的MAC地址是否能通過ACL規(guī)則由指定接口轉(zhuǎn)發(fā)。8.1訪問控制列表2.基于IP地址的ACL當數(shù)據(jù)通過設置ACL規(guī)則的網(wǎng)絡設備時，網(wǎng)絡設備會查看設備內(nèi)的ACL規(guī)則表，判斷此數(shù)據(jù)攜帶的IP地址是否能通過ACL規(guī)則由指定接口轉(zhuǎn)發(fā)。如圖8-4所示，定義規(guī)則時使用的是第3層的源IP地址和目的IP地址。8.1訪問控制列表3.管理ACL要指定具有哪個IP地址的工作站允許訪問設備，必須組態(tài)相應的IP地址或一個地址范圍，這就需要用到管理ACL8.2工業(yè)防火墻8.2.1防火墻概述1.防火墻系統(tǒng)的組成防火墻通常是由專用硬件和相關軟件組成的一套系統(tǒng)，也有純軟件的防火墻。一般來說，防火墻由四大要素組成。（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個防火墻能否充分發(fā)揮作用的關鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過防火墻、哪些數(shù)據(jù)可以通過防火墻。（2）內(nèi)部網(wǎng)絡：需要受保護的網(wǎng)絡。（3）外部網(wǎng)絡：需要防范的外部網(wǎng)絡。（4）技術手段：具體的實施技術。8.2工業(yè)防火墻2.防火墻與OSI參考模型的關系絕大多數(shù)防火墻系統(tǒng)工作在OSI參考模型的4個層次上：數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層和應用層。（1）根據(jù)第2層數(shù)據(jù)鏈路層的MAC地址進行過濾（2）根據(jù)第3層網(wǎng)絡層的IP地址進行過濾（3）根據(jù)第4層傳輸層的端口號進行過濾8.2工業(yè)防火墻3.防火墻和路由器實現(xiàn)安全控制的區(qū)別路由器與交換機的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。8.2工業(yè)防火墻防火墻規(guī)則集由一組防火墻規(guī)則組成，是防火墻實現(xiàn)過濾功能的基礎。1.防火墻規(guī)則的組成一條防火墻規(guī)則通常由以下部分組成：（1）網(wǎng)絡協(xié)議：如ALL、ICMP、TCP、UDP、GRE等。（2）發(fā)送方的IP地址；接收方的IP地址。（3）發(fā)送方的端口號；接收方的端口號。（4）操作（Action）：對滿足規(guī)則的數(shù)據(jù)包的處理方式，允許（Accept）、拒絕（Reject）和丟棄（Drop）三個選項。8.2工業(yè)防火墻2.規(guī)則集的應用流程8.2工業(yè)防火墻8.2.3VPN技術1.VPN概述VPN是一種是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。之所以稱為虛擬網(wǎng)絡，是因為VPN網(wǎng)絡中兩個節(jié)點之間的連接并不是傳統(tǒng)專用網(wǎng)絡所需的端到端的物理鏈路，而是架構(gòu)在第三方網(wǎng)絡平臺之上的邏輯鏈路，用戶數(shù)據(jù)在邏輯鏈路中進行傳輸。8.2工業(yè)防火墻VPN主要具有以下優(yōu)勢：（1）可降低成本。通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費用，而不必投入大量的人力和物力去安裝和維護廣域網(wǎng)設備和遠程訪問設備。（2）連接方便靈活。VPN技術能夠讓移動員工、遠程員工、商務合作伙伴和其他人利用本地可用的高速寬帶網(wǎng)連接到企業(yè)網(wǎng)絡。（3）容易擴展。設計良好的寬帶VPN是模塊化的和可升級的。（4）傳輸數(shù)據(jù)安全可靠。VPN能提供高水平的安全，使用高級的加密和身份識別協(xié)議保護數(shù)據(jù)避免受到窺探，阻止數(shù)據(jù)竊賊和其他非授權(quán)用戶接觸這種數(shù)據(jù)。（5）完全控制主動權(quán)。虛擬專用網(wǎng)使用戶可以利用ISP的設施和服務，同時又完全掌握著自己網(wǎng)絡的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡資源，對于其它的安全設置、網(wǎng)絡管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。8.2工業(yè)防火墻2.VPN的分類VPN可以按照以下幾個標準進行類別劃分。（1）按照數(shù)據(jù)傳輸方式分類隧道模式（TunnelingMode）：通過在原始數(shù)據(jù)包外包含新的數(shù)據(jù)包頭，將數(shù)據(jù)加密后傳輸，通常用于遠程訪問、連接不同地區(qū)的私有網(wǎng)絡等場景。透明模式（TransparentMode）：在不修改數(shù)據(jù)包的情況下，直接對數(shù)據(jù)包進行加密，通常用于保障公共網(wǎng)絡傳輸?shù)陌踩?。?）根據(jù)網(wǎng)絡類型分類遠程訪問VPN：用于遠程工作人員訪問企業(yè)內(nèi)部網(wǎng)絡資源。例如，PPTP、L2TP、SSLVPN等。點對點VPN：兩個設備之間建立VPN連接，用于連接分布在不同地方的局域網(wǎng)。例如，IPSec適用于點對點場景。8.2工業(yè)防火墻2.VPN的分類（3）根據(jù)安全協(xié)議分類PPTP協(xié)議：使用GRE協(xié)議封裝，加密強度較低，適用不需要太高安全度的場景。L2TP協(xié)議：基于PPTP協(xié)議，加入L2TP協(xié)議使其更安全，適用于需要中等安全度的場景。IPSec協(xié)議：加密強度高，安全性好，但設置較為復雜，適用于需要高度安全保障的場景。8.2工業(yè)防火墻8.2.4IPSecVPNIPSecVPN是一種通過互聯(lián)網(wǎng)建立虛擬專用網(wǎng)絡（VPN）的技術，也是目前應用最多的一種VPN技術。它使用IPSec協(xié)議來提供安全的遠程訪問解決方案，加密和認證網(wǎng)絡數(shù)據(jù)包，以確保數(shù)據(jù)在傳輸過程中的安全性和完整性。

1.IPSec概述IPsec是一種開放標準的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要等手段，來保證數(shù)據(jù)包在Internet上傳輸時的私密性、完整性和真實性。IPsec工作在OSI第3層，即網(wǎng)絡層，可以保護和驗證所有參與IPsec的設備之間的IP數(shù)據(jù)包，也可以在第4層到第7層上實施保護。通常，IPsec可以保護網(wǎng)關與網(wǎng)關之間、主機與主機之間或網(wǎng)關與主機之間的路徑。IPsec可在所有的第2層協(xié)議中運行，例如以太網(wǎng)、ATM或幀中繼等。IPsec的特征可歸納如下：（1）IPsec是一種與算法無關的開放式標準框架。（2）IPsec提供數(shù)據(jù)機密性、數(shù)據(jù)完整性和來源驗證。（3）IPsec在網(wǎng)絡層起作用，保護和驗證IP數(shù)據(jù)包。8.2工業(yè)防火墻2.IPsec的基本模塊IPsec協(xié)議框架包含安全協(xié)議、加密、數(shù)字摘要、身份驗證和對稱密鑰交換五個基本組成模塊，這些模塊的組合可以為IPsecVPN提供機密性、完整性和身份驗證等功能。3.IPSec的封裝模式IPsec必須將IP數(shù)據(jù)包進行封裝，才能通過Internet等不安全網(wǎng)絡進行傳輸，封裝模式主要有傳輸模式和隧道模式兩種。

4.IPSecVPN的協(xié)商過程當需要保護的流量流經(jīng)VPN網(wǎng)關時，就會觸發(fā)VPN網(wǎng)關啟動IPsecVPN相關的協(xié)商過程，啟動IKE（InternetKeyExchange，Internet密鑰交換）階段1，對通信雙方進行身份認證，并在兩端之間建立一條安全的通道；啟動IKE階段2，在上述安全通道上協(xié)商IPsec參數(shù)，并按協(xié)商好的IPsec參數(shù)對數(shù)據(jù)流進行加密、Hash等保護。8.3實訓為了進一步熟悉掌握訪問控制列表和防火墻的具體應用，本章實訓要基于西門子工業(yè)網(wǎng)絡設備完成如下安全功能配置：一是基于SCALANCEXM408第3層工業(yè)交換機實現(xiàn)ACL訪問控制列表的功能配置；二是在SCALANCES615工業(yè)防火墻上實現(xiàn)安全策略和用戶管理功能配置。1.實訓目的（1）了解訪問控制列表ACL的基本概念和工作原理；

（2）理解工業(yè)防火墻的基本概念和工作原理；

（3）掌握在SCALANCEXM408工業(yè)交換機上部署訪問控制列表的配置方法；（4）掌握SCALANCES615工業(yè)防火墻上部署安全策略的配置方法。8.3實訓2.實訓準備（1）復習本章內(nèi)容；

（2）熟悉西門子SCALANCEXM-408第3層工業(yè)交換機ACL基本配置；

（3）熟悉SCALANCES615工業(yè)防火墻的基本配置3.實訓設備（1）1臺電腦：已安裝博途和PRONETA軟件（2）2臺SIMATICS7-1200PLC（3）2臺SCALANCEXB-208第2層工業(yè)交換機（4）1臺SCALANCEXM-408第3層工業(yè)交換機（5）1臺SCALANCES615工業(yè)防火墻（6）網(wǎng)線若干8.3實訓8.3.1第3層工業(yè)交換機訪問控制列表配置實驗任務1基于MAC地址的訪問控制列表配置8.3實訓首先完成所有設備IP地址配置，在此基礎上在第3層交換機XM408上配置基于MAC地址訪問控制列表，實現(xiàn)如下訪問控制：（1）只有S71200-A能通過P3端口訪問上位機，具有其他MAC地址的設備均不能通過P3端口訪問上位機；（2）只有S71200-B能通過P5端口訪問上位機，具有其他MAC地址的設備均不能通過P5端口訪問上位機。8.3實訓1.各設備IP地址配置步驟1按照實驗拓撲圖將XM408的P3端口連接到S71200-A；將P5端口連接到S71200-B；將P8端口與上位機相連。步驟2使用博途軟件分別為S71200-A和S71200-B設置IP地址為1和2。步驟3使用PRONETA為XM-408復位并配置IP地址，配置后的結(jié)果如圖8-14所示8.3實訓在圖形視圖中顯示設備間的連接狀態(tài)；在設備表中逐行顯示出交換機和兩臺PLC的概要信息，其中能清晰看到其MAC地址，這個地址將在后續(xù)ACL配置中被應用。步驟4為上位機配置IP地址并查看其MAC地址，結(jié)果如圖8-15所示。8.3實訓2.在三層交換機XM-408上配置MACACL步驟1通過瀏覽器訪問第3層交換機XM408（），登錄后進入其配置界面。步驟2在左側(cè)選擇“Security”項目下的“MACACL”，進入“MACAccessControlListConfiguration”界面，雙擊三次“Create”按鈕，產(chǎn)生三條默認規(guī)則。對這三條規(guī)則修改后，點擊“SetValues”按鈕8.3實訓規(guī)則1： SourceMAC：源MAC地址8c:f3:19:10:23:9f是S71200-A的MAC地址；Dest.MAC：

目的MAC地址50-7B-9D-E9-CF-12是上位機的MAC地址。規(guī)則2： SourceMAC：源MAC地址8c:f3:19:10:26:53是S71200-B的MAC地址；Dest.MAC：目的MAC地址也是上位機的MAC地址。規(guī)則3： SourceMAC：源MAC地址00-00-00-00-00-00b代表的是任意MAC地址；Dest.MAC：目的MAC地址也是上位機的MAC地址?！癆ction”欄下拉列表中的“Forward”表示：

如果報文滿足ACL規(guī)則就允許報文通過；“Discard”表示：如果報文滿足ACL規(guī)則就不允許報文通過。8.3實訓步驟3選擇“IngressRules”，進入對具體端口“入站（ingress）”配置界面。兩條規(guī)則表示：只有S71200-A能通過P3端口訪問上位機，具有其他MAC地址的設備均不能通過P3端口訪問上位機。8.3實訓步驟4以同樣方法，將規(guī)則2和規(guī)則3添加到P5口中，兩條規(guī)則表示：只有S71200-B能通過P5端口訪問上位機，具有其他MAC地址的設備均不能通過P5端口訪問上位機。8.3實訓3.基于MAC地址的訪問控制列表測試步驟1正常通訊測試。在上位機的“命令提示符”環(huán)境中，分別輸入指令“ping1”和“ping2”，結(jié)果

如圖8-19所示。測試結(jié)果表明：上位機能夠訪問到兩個S71200PLC，且兩個S71200PLC均能通過設置的MACACL規(guī)則將數(shù)據(jù)包返回給上位機，說明相關的MAC地址和允許規(guī)則是匹配的。8.3實訓步驟2改變P3和P5端口連接設備測試將S71200-A和S71200-B的連接端口互換，即與XM408的P3端口連接的PLC是S71200-B，而與P5端口連接的PLC是S71200-A。測試結(jié)果表明：由于P3和P5“入口”規(guī)則允許的源MAC地址發(fā)生了改變，P3端口禁止從S71200-B發(fā)出的數(shù)據(jù)包通過P3端口傳輸?shù)缴衔粰C，而P5端口也禁止從S71200-A發(fā)出的數(shù)據(jù)包通過P5端口傳輸?shù)缴衔粰C。8.3實訓實驗任務2基于IP地址的訪問控制列表配置首先完成3個交換機和PC的IP地址配置。在此基礎上在第3層交換機XM408上配置訪問控制列表ACL實現(xiàn)如下訪問控制：（1）PC通過XM408的P1端口只能與XB208_1設備通信；（2）PC通過XM408的P2端口只能與XB208_2設備通信8.3實訓1.網(wǎng)絡基礎配置步驟1按照網(wǎng)絡結(jié)構(gòu)邏輯拓撲圖將SCALANCEXM408的P1、P2端口與兩臺SCALANCEXB208的端口相連，SCALANCEXM408的P8端口與PC相連。步驟2使用PRONETA為3臺交換機復位并配置IP地址步驟3測試PC和XB208-1、XB208-2之間的連通性，確保在配置ACL之前設備間都能正常通信，結(jié)果如圖8-23所示，通過PC均能訪問到兩臺XB208交換機8.3實訓2.基于IP地址的訪問控制列表配置步驟1通過瀏覽器訪問第3層交換機XM408（），登錄后進入其配置界面。步驟2配置IPACL規(guī)則：在左側(cè)選擇Security->IPACL，在RulesConfiguration標簽下完成ACL規(guī)則配置，單擊Create依次創(chuàng)建4條規(guī)則，并設置規(guī)則相應的參數(shù)。8.3實訓

SourceIP：源IP地址；

SourceSubnetMask：源子網(wǎng)掩碼；

Dest.IP：目的IP地址；

Dest.SubnetMask：目的子網(wǎng)掩碼；

Action：要執(zhí)行的操作，F(xiàn)orward表示符合ACL規(guī)則，則轉(zhuǎn)發(fā)數(shù)據(jù)；

Discard表示符合ACL規(guī)則，則丟棄數(shù)據(jù)不轉(zhuǎn)發(fā)。

規(guī)則1：允許源IP地址為00的設備與目的IP地址為0的設備通信。

規(guī)則2：允許源IP地址為00的設備與目的IP地址為0的設備通信。

規(guī)則3：任何其他IP地址都不能與目的IP地址為0的設備通信。

規(guī)則4：任何其他IP地址都不能與目的IP地址為0的設備通信。8.3實訓步驟3將IPACL應用在P1端口上步驟4用同樣方法在P2入口方向上應用IPACL規(guī)則2和規(guī)則3步驟5用同樣方法在P3入口方向上應用IPACL規(guī)則3和規(guī)則4步驟6為P4和P5入口方向上也應用IPACL規(guī)則3和規(guī)則48.3實訓3.基于IP地址的訪問控制列表測試步驟1將PC插入P1端口：能與0的設備通信（滿足規(guī)則1）8.3實訓3.基于IP地址的訪問控制列表測試步驟2將PC插入P1端口：不能與0的設備通信（滿足規(guī)則4）8.3實訓3.基于IP地址的訪問控制列表測試步驟3將PC插入P2端口：不能與0的設備通信（滿足規(guī)則3）8.3實訓3.基于IP地址的訪問控制列表測試步驟4將PC插入P2端口