SIEMENS西门子 3VA1 IEC断路器 3VA1096-2ED32-0AA0

             cp 作为 vpn连接的被动用户 设置通过被动用户建立 vpn 连接的权限 如果 cp 通过网关连接另一个 vpn 用户，则需要将建立 vpn连接的权限设置为“responder”。 以下典型组态中会出现这种情况： vpn 用户（主动）⇔ 网关（动态 ip 地址）⇔internet ⇔ 网关（固定 ip 地址）⇔ cp（被动） 按如下方法，组态将 cp 作为被动用户建立 vpn 连接的权限： 1.在 step 7 中，转到设备和网络视图。 2. 选择 cp。 3. 在本地安全设置中，打开“vpn”参数组。 4. 对于每个将 cp作为被动 vpn 用户的 vpn 连接，将默认设置“initiator/responder”更改为设置“responder”。说明连接中止 如果由于固件更新或“下载到设备”而导致 cpu 停止，则 openvpn 连接将中止。仅在启用“自动”选项后才能使用这些功能。 组态，程序块 3.10 安全性 cp 1543-1 78 操作说明, 07/2021,c79000-g8952-c289-08 • 建立连接的 plc 变量 如果已选择选项“plc 触发器”，则当 plc 变量(bool) 变为值 1 时模块会建立一个连接。操作期间可根据需要通过使用 hmi 面板等方式设置 plc 变量。 将 plc变量重置为 0 后，会再次终止连接。 调试期间手动设置时钟 说明 使用 security/sinema rc 时的时钟同步使用安全功能（例如 sinema remote connect）时，cp 需要当前时间以在伙伴或 sinema rc服务器上进行验证。 首次建立连接之前，cp 会从 ntp 服务器接收时间。身份验证 • 设备 id (device id) 输入在sinema rc 中为模块生成的设备 id。 • 设备密码 (device password) 输入在 sinema rc中组态的模块的设备密码。 大字符数： 127 可选设置 在“安全 > vpn >可选设置”参数组中通过参数“连接类型”对连接建立进行组态。 • 更新间隔 可通过此参数设置 cp 在 sinema rc服务器上查询组态的间隔。 请注意，如果将 sinema rc 服务器的组态设置更改为 0（零），则 cp 将无法再与 sinemarc 服务器建立连接。 • “连接类型” 该参数的两个选项将在连接建立中具有以下作用： – 自动 模块建立与 sinemarc服务器的连接。在连接参数由 sinema 远程连接服务器更改之前，openvpn 连接都会保持。如果连接中断，则 cp会自动重新建立连接。 如果 sinema 远程连接服务器更改了连接参数，则 cp 将在上述组态的更新间隔结束后请求获取新的连接数据。– plc 触发器 该选项用于模块通过 sinema rc 服务器进行的偶发通信。 如果要在模块和 pc之间建立临时连接，则可使用该选项。例如，临时连接通过 plc 变量建立，可用于提供服务。

            只有禁用了内部节点，vpn 隧道通信才会工作在某些情况下，在 softnet security client 与 cp 之间建立 vpn 隧道通信会失败。 softnetsecurity client 也尝试建立与低级别内部节点的 vpn 隧道通信。与不存在的节点建立通信将妨碍与 cp 建立所需的通信。要成功建立与 cp 的 vpn 隧道通信，需要禁用内部节点。 只有出现所描述的问题时，才会使用下述节点禁用步骤。 在 softnetsecurity client 通道概述中禁用节点： 1. 移除“启用主动学习”(enable active learning)复选框中的复选标记。 低级别节点在初始时从隧道列表中消失。 2. 在隧道列表中，选择所需的 cp 连接。 3.使用鼠标右键，在快捷菜单中选择“启用所有成员”(enable all members)。 低级别节点暂时再次出现在隧道列表中。 4.在隧道列表中选择低级别节点。 5. 使用鼠标右键，在快捷菜单中选择“删除条目”(delete entry)。结果：现在已完全禁用低级别节点。成功建立与 cp 的 vpn 隧道通信。 3.10.2.4 sinema remote connect使用 sinema remote connect (sinema rc) 进行远程维护 应用程序“sinema remoteconnect”(sinema rc) 可用于远程维护。 sinema rc 使用 openvpn 对数据加密。通信中心为sinema rc 服务器，通过该服务器可实现用户间的通信及管理通信系统的组态。 准备步骤 在 step 7 中开始组态模块的sinema rc 连接之前，请执行以下步骤。这是确保 step 7 项目一致性的先决条件。 • 组态 sinema remoteconnect server 根据需要组态 sinema rc server（不在 step 7中）。必须在 sinema rc服务器中组态通信模块及其通信伙伴。 组态，程序块 3.10 安全性 cp 1543-1 76 操作说明, 07/2021,c79000-g8952-c289-08 • 导出 ca 证书（可选）如果要在建立连接期间使用服务器证书作为通信模块的身份验证方式，请从 sinema rc server 中导出 ca 证书。 然后将ca 证书从 sinema rc server 导入工程师站。或者，也可以使用服务器证书的识别码作为通信模块的身份验证方式。识别码的有效 期限可能短于证书的有效期限。请注意，更换模块时需要重复导入证书。 组态 sinema remote connect 导入自己的证书 1. 在 cp上，导航到参数组“安全 > 证书管理器 > 伙伴设备的证书”。 2. 双击第一个表格空行以打开证书选择对话框。 3. 选择sinema rc server 的 ca 证书。 然后导航到参数组“安全 > vpn”(security >vpn)。vpn > 常规 1. 激活 vpn 2. 对于“vpn 连接类型”，如果要通过 sinema remoteconnect 进行通信，则选择“通过 sinema 远程连接服务器进行的自动 openvpn 组态”选项。 sinema远程连接服务器 输入该服务器的地址和端口号。 服务器验证 在此可以选择建立连接期间的通信模块身份验证方式。 • ca 证书 在“ca证书”下，从之前导入并在本地证书管理器中进行分配的 sinema rc server 中选择 ca 证书。 模块通常会检查服务器的ca 证书及其有效期。这两个选项无法更改。 • 识别码 选择这种身份验证方式时，应输入 sinema rc server服务器证书的识别码。检查到达帧和离去帧时的防火墙顺序 每个到达帧或离去帧都会经过 mac 防火墙（第 2 层）。如果帧在此层级被丢弃，则 ip 防火墙（第 3 层）不会对其进行检查。 这表示，通过合适的 mac 防火墙规则，可以限制或阻止 ip通信。 参见 已编程的连接：防火墙规则的限制 (页 47) cpu 的虚拟接口 (页 43) 3.10.3.2 源 ip地址的表示法（gaoji防火墙模式） 如果在 cp 的gaoji防火墙设置中指定源 ip 地址的地址范围，请确保表示法正确无误： •仅使用连字符来分隔两个 ip 地址。 正确：192.168.10.0-192.168.10.255 • 不要在两个 ip地址之间输入任何其它符号。 错误：192.168.10.0 - 192.168.10.255如果错误地输入范围，则不会使用防火墙规则。 3.10.3.3 http 和 https 不可使用 ipv6 在工作站的 web服务器上无法通过 ipv6 协议使用 http 和 https 通信。 如果在本地安全设置的“防火墙 > 预定义的 ipv6规则”(firewall > predefined ipv6 rules) 条目中启用防火墙： 所选复选框“允许http”(allow http) 和“允许 https”(allow https) 没有作用。连接的 vpn 隧道防火墙设置gaoji防火墙模式中的 ip 规则 如果已组态 cp 间的连接，则在gaoji防火墙模式下操作 cp 时，请注意以下设置。 在“安全> 防火墙 > ip 规则”(security > firewall > ip rules)参数组中，选择“accept”设置进行两个 cp 的隧道连接。 组态，程序块 3.10 安全性 cp 1543-1 80 操作说明,07/2021, c79000-g8952-c289-08 如果不启用该选项，则将终止并重新建立 vpn 隧道连接。 这适用于 cp154x-1 与 cp 343-1 advanced、cp 443-1 advanced、cp 1628 或 cp 1243-1等之间的连接。 参见 防火墙激活情况下的在线安全诊断和下载到站设置 (页 80)防火墙激活情况下的在线安全诊断和下载到站设置针对在线功能设置防火墙 若已启用安全功能，请按照下面列出的步骤进行操作。 全局安全功能： 1. 选择条目“防火墙 > 服务> 为 ip 规则定义服务”(firewall > services > define services forip rules)。 2. 选择“icmp”选项卡。 3. 插入一个类型为“echo reply”和一个类型为“uest”的新条目。 cp 的本地安全功能： 现在选择 s7 站中的 cp。 1. 在 cp 的本地安全设置中，在“安全> 防火墙”(security > firewall) 参数组中启用gaoji防火墙模式。 2. 打开“ip 规则”(iprules) 参数组。 3. 在表中，按如下方式为之前已创建的全局服务插入新的 ip 规则： –操作：accept；从：外部；至：站；服务 > icmpv4/6 服务 > echo request（此前全局创建的服务）– 操作：accept；从：站；至：外部；服务 > icmpv4/6 服务 > echo reply（以前全局创建的服务）4. 对于“echo request”服务的 ip 规则，在“源 ip 地址”(source ip address) 下输入工程师站的ip 地址。