隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�,遠(yuǎn)程訪問在工業(yè)網(wǎng)絡(luò)的應(yīng)用越來越普及�����!而且隨著移動(dòng)網(wǎng)絡(luò)技術(shù)的進(jìn)步,3G/4G技術(shù)已經(jīng)可以提供100M級(jí)別的帶寬���,高帶寬意味著遠(yuǎn)程訪問不僅僅只是局限于簡單的維護(hù)��,進(jìn)而可以用于設(shè)備之間的通訊�!
Internet作為現(xiàn)階段最為普及的公共網(wǎng)絡(luò)����,它的應(yīng)用也最為廣泛,在這里我總結(jié)一下通過Internet實(shí)現(xiàn)遠(yuǎn)程訪問西門子PLC的方案�!
1.通過路由器的端口轉(zhuǎn)發(fā)功能
要求:路由器能夠上網(wǎng),而且必須有公網(wǎng)(internet)IP地址�����,在國內(nèi)可以咨詢運(yùn)營服務(wù)商����,或者查看路由器WAN口的IP地址,如果是網(wǎng)IP范圍�,那肯定不是直接上到internet,那就不行了(什么是網(wǎng)IP?問問某度:))
優(yōu)勢(shì):簡單�����!幾乎沒有成本!適合多種應(yīng)用��,常用端口見以下:哪些協(xié)議使用哪些TCP端口���?在使用路由器和防火墻時(shí)應(yīng)該注意些什么����?
|
服務(wù)
|
端口號(hào)
|
傳輸協(xié)議
|
描述
|
|
FTP
|
20, 21
|
TCP
|
FTP(文件傳送協(xié)議)用來文件管理和訪問CPU中的數(shù)據(jù)塊(客戶端和服務(wù)器功能)��。FTP將 TCP/IP 用作底層協(xié)議�。
可以使用 FTP 協(xié)議對(duì)文件和目錄執(zhí)行命令,例如
-
列出或刪除遠(yuǎn)程計(jì)算機(jī)系統(tǒng)上的文件和目錄��。
-
訪問通訊處理器(CP)上的文件��。通過FTP客戶端可以從PC端下載文件(HTML網(wǎng)頁���,例如)到CP��。
|
|
Telnet
|
23
|
TCP
|
Telnet 服務(wù)用于在 Telnet 服務(wù)器上 建立一個(gè)面向 Telnet 客戶端的終端會(huì)話�。該客戶端/服務(wù)器協(xié)議是基于 TCP 的,允許遠(yuǎn)程配置����,例如����,對(duì)于SCALANCE產(chǎn)品,可以通過Telnet使用CLI(命令行接口)對(duì)其進(jìn)行遠(yuǎn)程配置�,對(duì)于未加密的訪問SCALANCE 產(chǎn)品的CLI(命令行接口),可以使能或取消使能Telnet服務(wù)器服務(wù)�����。
|
|
SMTP
|
25
465 (加密)
587
|
TCP
|
簡單郵件傳送協(xié)議用來在因特網(wǎng)中向郵件服務(wù)器投遞電子郵件���,以及在兩個(gè)郵件服務(wù)器間交換郵件�。
SMTP 用來在郵件服務(wù)器上(SMTP服務(wù)器)獲取對(duì)郵件客戶端(IT CP 或 Advanced CP 是 SMTP 客戶端)的訪問���。
訪問方法:
通過 S7 CPU或 CP ����,使用用戶程序發(fā)送電子郵件�。這是通過向郵件服務(wù)器的端口(25,465或587)和 IP 地址發(fā)送信息完成的。
|
|
DNS
|
53
|
TCP,
UDP
|
域名系統(tǒng)在基于 IP 的網(wǎng)絡(luò)中名稱轉(zhuǎn)讓以及名稱解析。
|
|
bootps (DHCP)
|
67 (服務(wù)器)
|
UDP
|
動(dòng)態(tài)主機(jī)配置協(xié)議允許通過服務(wù)器來對(duì)客戶端分配網(wǎng)絡(luò)配置�。
|
|
bootpc (DHCP)
|
68 (客戶機(jī))
|
UDP
|
|
TFTP
|
69
|
UDP
|
簡單文件傳輸協(xié)議(TFTP)是一個(gè)文件傳輸?shù)暮唵螀f(xié)議。每個(gè)文件包是被分別確認(rèn)的�����。SCALANCE產(chǎn)品使用 TFTP來加載固件或保存以及加載配置��。
|
|
HTTP
|
80
|
TCP
|
超文本傳輸協(xié)議(HTTP)是在萬維網(wǎng) (WWW) 中傳送信息的傳輸協(xié)議���?����?梢允褂?span style="font-family:inherit;font-style:inherit;vertical-align:baseline;">HTTP 訪問 S7 CPU或CP的WEB服務(wù)器�����,來監(jiān)控設(shè)備和過程數(shù)據(jù)以及使用WEB診斷功能�。
|
|
RFC1006
|
102
|
TCP
|
RFC 1006 等同于“基于TCP上的ISO傳輸服務(wù)” (ISO-on-TCP)是基于 TCP 協(xié)議���,并允許在兩個(gè)系統(tǒng)間建立可靠的連接�。
RFC 1006 應(yīng)用于 SIMATIC 環(huán)境中的標(biāo)準(zhǔn)連接����。
應(yīng)用范圍:
-
通過 LAN 的 STEP 7 遠(yuǎn)程編程
-
ISO on TCP 連接
-
通過工業(yè)以太網(wǎng)的 S7連接
注意
-
在路由器和防火墻中端口 102 缺省狀態(tài)為關(guān)閉�����。
|
|
NTP
|
123
|
UDP
|
網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)是基于 IP 的網(wǎng)絡(luò)中時(shí)間同步的標(biāo)準(zhǔn)�����。
|
|
SNMP
|
161,162
|
UDP
|
簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)基于UDP 協(xié)議,特定為數(shù)據(jù)網(wǎng)絡(luò)管理使用�����。SNMP 用來管理和組態(tài)不同的網(wǎng)絡(luò)組件�。這樣就可從中央工作站集中管理路由器、交換機(jī)和其它廣泛分布的組件���。
|
|
HTTPS
|
443
|
TCP
|
安全超文本傳輸協(xié)議(HTTPS) 用于加密及認(rèn)證萬維網(wǎng)網(wǎng)頁服務(wù)器和瀏覽器之間的通信���。
|
|
ISAKMP
|
500
|
UDP
|
因特網(wǎng)安全協(xié)議與密鑰管理協(xié)議(ISAKMP)是在因特網(wǎng)上建立安全關(guān)聯(lián) (SA) 和交換密鑰的協(xié)議。
|
|
Modbus
|
502
|
TCP,
UDP
|
Modbus TCP是循環(huán)客戶端-服務(wù)器通訊的標(biāo)準(zhǔn)連接��。
|
|
Syslog
|
514
|
UDP
|
系統(tǒng)日志傳輸協(xié)議用于傳輸系統(tǒng)日志信息�����,包括短文本消息(少于 1024 字節(jié)),該傳輸是沒有加密的����。
|
|
IPSec
|
4500
|
TCP,
UDP
|
因特網(wǎng)協(xié)議安全(IPSec)是一個(gè)安全協(xié)議,在 IP 網(wǎng)絡(luò)上為通信提供如下保護(hù)目標(biāo):
用于建立虛擬私有網(wǎng)絡(luò) (VPN)����。
|
不足:
a.西門子PLC通過以太網(wǎng)上傳下載,都是用私有S7協(xié)議����,那就意味著,如果現(xiàn)場有多個(gè)西門子設(shè)備,你只能訪問一個(gè)����!
b.安全!端口轉(zhuǎn)發(fā)功能�,不會(huì)對(duì)數(shù)據(jù)加密!所以���,某些不地道的人只要在路由器上做一下端口監(jiān)視����,你的數(shù)據(jù)就暴漏了!
c.還是安全���!任何人���,只要知道你的路由器的公網(wǎng)IP,他就可以下載�����,或者攻擊PLC��!
d.OPC UA的應(yīng)用��,OPC UA的端口號(hào)不是固定的…..
2.VPN 功能
要求:上網(wǎng)設(shè)備支持VPN就可以�����,但是至少一側(cè)的上網(wǎng)設(shè)備有公網(wǎng)IP(VPN服務(wù)器)
優(yōu)勢(shì):
a.VPN技術(shù)已經(jīng)很成熟���!一旦VPN隧道建立,兩側(cè)就是一個(gè)局域網(wǎng)�����,任何基于IP的應(yīng)用都可以同時(shí)使用!
b.而且數(shù)據(jù)加密����,安全可靠!端口轉(zhuǎn)發(fā)的種種不足�����,都可以解決���!
c..西門子支持VPN的設(shè)備種類繁多�,功能各異��,根據(jù)網(wǎng)絡(luò)情況可有多種選擇�!
d.VPN 是開放技術(shù),使用第三方VPN設(shè)備組網(wǎng)也沒有問題���!
不足:西門子路由器支持的VPN都是IPsec VPN�����,三層的VPN���,因此某些二層功能(STEP7-編輯以太網(wǎng)節(jié)點(diǎn))不能實(shí)現(xiàn)
3.特殊應(yīng)用:
PLC現(xiàn)場往往比較偏僻�����,不方便上網(wǎng)��,ADSL寬帶上網(wǎng)不方便���!而且設(shè)備間距離比較遠(yuǎn),這樣就要考慮移動(dòng)網(wǎng)絡(luò)����!但是在國內(nèi),移動(dòng)網(wǎng)絡(luò)普遍使用NAT44技術(shù)�,如下圖,3G/4G的手機(jī)卡上網(wǎng)大都是沒有公網(wǎng)IP的�,都是先連接到服務(wù)商的私有網(wǎng)絡(luò)��,有需求時(shí)再連接到internet���。在服務(wù)商的內(nèi)網(wǎng)����,安全考慮���,手機(jī)卡之間是有防火墻攔著的�,不能直接通訊!
這種場合下��,以上的方案就都有問題了���!
解決方案:
a.和運(yùn)營服務(wù)商申請(qǐng)?zhí)厥獾腟IM卡�,SIM卡之間可以直接通訊?�。ê芾щy����!一般運(yùn)營服務(wù)商不會(huì)面向個(gè)人用戶提供這樣的服務(wù))
b.西門子工廠自動(dòng)化有一項(xiàng)服務(wù),M874-3+聯(lián)通大客戶卡捆綁銷售�!等于是西門子和聯(lián)通的一個(gè)合作,聯(lián)通為西門子提供特殊的SIM卡��,SIM卡在聯(lián)通的內(nèi)網(wǎng)里獲得一個(gè)固定的IP(網(wǎng)IP)地址�,而且SIM卡之間沒有任何防火墻規(guī)則,可以直接通訊����!
優(yōu)勢(shì):
因?yàn)镾IM卡之間直接可以通訊,因此方案1/2都可以使用!解決了不方便寬帶上網(wǎng)環(huán)境的應(yīng)用�����!
不足:西門子聯(lián)通大客戶卡連接到服務(wù)商的網(wǎng)���,因此可能不能連接到公網(wǎng)����!
4.其他網(wǎng)絡(luò)技術(shù)��,
很多第三方網(wǎng)絡(luò)公司會(huì)有遠(yuǎn)程方案�����,具體咨詢第三方公司��!多問問��,很多也是使用VPN技術(shù)��,連接到他們的VPN服務(wù)器�����,用戶再使用特殊的賬戶訪問他們的服務(wù)器(等于數(shù)據(jù)經(jīng)過第三方中專)��!但是安全性���,要自己考慮�!
