SIEMENS西门子 系统选件 6SL5550-0XE20-5CA0
- 供应商
- 浔之漫智控技术(上海)有限公司
- 认证
- 西门子
- 原装正品
- 驱动器电机电缆
- 假一罚十
- 德国
- 现货包邮
- 联系电话
- 15801815554
- 手机号
- 15801815554
- 联系人
- 邓经理
- 所在地
- 上海市松江区石湖荡镇塔汇路755弄29号1幢一层A区213室
- 更新时间
- 2024-11-16 08:00
下表列出了操作“双nat”所需的输入: 功能框 可能的条目 含义 源 ip 地址 源网络中的 ip 地址 源网络中节点的 ip 地址 源转换 - 源nat 的地址始终转换为目标网络 中安全模块的 ip 地址。因此,无法 组态“源转换”(source translation)输入框。 目标 ip 地址 源网络中的 ip 地址 源网络中的目标 ip 地址,通过该地 址可以访问目标网络中的 ip 地址。如果帧的目标 ip 地址与输入的 ip 地 址匹配,那么将用“目标转 换”(destination translation) 输入框中指定的 ip 地址替换该 ip 地址。 如果此处输入的 ip 地址不是安全模 块的 ip 地址,则会成为别名地址。这意味着,指定的地址还将注册为 所选接口的 ip 地址。确保别名地址 不会在网络中引起 ip 地址冲突。安 全模块的别名 ip地址显示在相应接 口的“别名 ip 地址”(alias ip addresses) 条目下。 目标转换 目标网络中的 ip 地址 目标ip 地址由此处指定的 ip 地址替 换。 编号 - step 7 分配的连续编号,用于引用 step 7 根据 nat规则生成的防火墙 规则。 gaoji nat 编辑器 选择一个 nat 规则后,在巡视窗口的“属性 >常规”(properties > general) 中,会显示gaoji nat 编辑器,用于对端口和 ip地址的地址范围进行简单组态。在该编辑器中进行的更改会 应用到所选 nat 规则中。除此之外,可在gaoji nat 编辑器中复制所选nat 规则和 nat 规则 集。要复制 nat 规则集,必须选中该规则集的第一行。通过修改为 nat 规则调整生成的 ip 规则,可指定使用哪些已复制的 nat 规则。以下部分通过示例介绍gaoji nat 编辑器中地址范 围的组态。
在gaoji nat编辑器中组态地址范围 可在文本框“起始地址”(from) 和“结束地址”(to) 列中组态地址范围。如果为一个 nat 规则组态了多个地址范围,每种情况下的地址数必须匹配。组态地址范围后,step 7 会通过所选 nat 规则(包含每个地址的对应 nat规则)创建一个 nat 规则集。 另一种方法是,在端口的文本框中,可将占位符“*”用在“结束地址”(to) 栏中。在此情况下,会根据其它 nat 参数形成受影响的端口范围和 nat 规则。 使用 napt 进行地址转换 菜单栏中提供以下控制元素:操作员控制元素 功能 激活 napt 启用 napt 规则编辑器。如果编辑器已启用,相应的规则可进行组态,并会在加载过程中传送到模块。选择 napt 规则后,巡视窗口的“属性 > 常规”(properties > general) 选项卡中会提供gaoji napt 设置编辑器。 上插规则 将规则插入到所选规则/所选规则集上方。要上插规则集,则必须选中其第一行。下插规则 将规则插入到所选规则/所选规则集下方。要下插规则集,则必须选中其第一行。 上移将所选规则/所选规则集上移一行。要移动规则集,则必须选中其第一行。 下移将所选规则/所选规则集下移一行。要移动规则集,则必须选中其第一行。 展开规则集 展开显示现有规则集。 折叠规则集 折叠显示现有规则集。分离 将所选行转换为单独的规则。如果选择的是规则集的第一行,则规则集的所有规则都会转换为单独的规则。如果选择的是规则集中包含的一个规则,则该规则会转换为单独的规则。 除此之外,规则集的以下规则也会转换为单独的规则集。创建 napt 规则以后,相应的防火墙规则会在gaoji防火墙模式下生成并显示,请参见以下部 分: nat/napt路由器与防火墙之间的关系 (页 537)可在以下方向上使用 napt 执行 ip 地址转换: • 外部到内部如果安全模块(仅适用于 scalance s623/s627-2m)的 dmz 接口已激活,还可以在以下 方向上使用 napt 执行ip 地址转换: • 外部到 dmz • dmz 到内部 • dmz 到外部 如果 scalance s 模块(仅适用于scalance s612/s623/s627-2m v4 及更高版本)在 vpn 组中并且启用了隧道接口,还可以在以下方向上使用napt 执行 ip 地址转换: • 隧道到内部 • 隧道到外部 • 隧道到 dmz(仅当 dmz 接口激活时)例如,以下规则适用于“外部到内部”方向:将用于安全模块外部 ip 地址的帧和用于“虚 拟端口”(virtual port)列中所输入端口的帧转发到内部网络中指定的目标 ip 地址和指定的目 标端口。 将帧转发至目标网络所用的 ip 地址显示在“虚拟 ip地址”(virtual ip address) 列。如果方向 起始为外部,该地址为安全模块的外部 ip 地址;如果方向起始为dmz,该地址为安全模块 dmz 接口的 ip 地址。 下表列出了“napt”选项卡中使用 napt 进行地址转换所需的输入。 功能框可能的条目 含义 虚拟端口 tcp/udp 端口或端口范围 输入端口范围的示例:78:99源网络中的节点可以通过该端口号将帧发送到目标网络 中的节点。 目标 ip 地址 目标网络中的 ip 地址 将用于源网络中安全模块 ip地址的帧和用于“虚拟端 口”(virtual port) 框中所指定 tcp/udp 端口的帧转发到此 处指定的 ip 地址。目标端口 tcp/udp 端口 向其转发来自源网络的帧的端口号。 协议 • tcp+udp • tcp • udp为指定的端口号选择协议系列 编号 - step 7 分配的连续编号,用于引用 step 7 根据 napt 规则生成的防火墙规则。gaoji napt 编辑器 选择一个 napt 规则后,gaoji napt 编辑器会出现在巡视窗口的“属性> 常规”(properties > general) 中,并用于对端口和 ip地址的地址范围进行简单组态。在该编辑器中进行的更改 会应用到所选 napt 规则中。除此之外,所选 napt 规则和 napt规则集可复制到gaoji napt 编辑器中。要复制 napt 规则集,则必须选中其第一行。可通过调整为 napt 规则生成的 ip规则指定使用哪一已复制 napt 规则。以下部分通过示例介绍gaoji napt 编辑器中地址范围 的组态。 gaoji napt编辑器中地址范围的组态 可在文本框“起始地址”(from) 和“结束地址”(to) 列中组态地址范围。如果为 napt 规则组态了多个地址范围,每种情况下的地址数必须匹配。组态地址范围后,step 7 会通过所选 napt 规则(包含每个地址的对应 napt规则)创建 napt 规则集。 下例介绍了虚拟端口、目标 ip 地址和目标端口的地址范围组态。gaoji napt 编辑器:示例3(napt 规则) 在示例 3 中,每个 napt 规则的虚拟 ip 地址和虚拟端口都完全相同。在这种情况下,使用 哪一 napt规则是由 step 7 为 napt 规则创建的防火墙规则的优先级决定的。为 napt 规则 创建的编号为 napt_1.1的防火墙规则的优先级zui高。 图gaoji napt 编辑器:示例 3(防火墙规则) 为此,将用于 ip 地址 192.168.0.1以及范围在 85...90 的端口的所有帧都会转发到目标 ip 地 址 192.168.1.5 和目标端口 95。 为了对虚拟 ip地址相同、虚拟端口/端口范围相同的 napt 规则进行唯一标识,可在相关 ip 规 则中组态源 ip 地址。源 ip地址随后决定使用哪一 napt 规则。在 vpn 隧道中使用 nat/napt 进行地址转换 模块特定的功能 在 vpn 隧道中使用nat/napt 进行地址转换仅适用于 scalance s612/s623/s627-2m v4 模 块及更高版本,请参见 在vpn 隧道中使用 nat/napt 进行地址转换 (页 624)部分: nat/napt 路由器与防火墙之间的关系 含义在创建 nat/napt 规则后,step 7 自动生成防火墙规则,启用在组态的地址转换方向上的通信。所生成的防火墙规在gaoji防火墙模式中显示为防火墙规则集,并可根据需要对其进行扩展 (附加 ip 地址/ip 地址范围/ip地址段、服务、传输速度)。此外,应就优先级和位置等对自动生成的防火墙规则进行检查。如果规则列表里还存在优先级高于自动生成的防火墙规则的 手动组态的防火墙规则,在某些情况下将不执行nat/napt。 如果存在多个相同的 nat/防火墙规则对,则由防火墙规则列表中的优先级决定所使用的规则。 无法更改 step 7生成的防火墙参数。取消激活 nat/napt 后,将禁用 step 7 生成的防火墙 规则。 为指明 nat/napt规则和对应的防火墙规则之间的关系,相关规则以对应的连续编号进行标 识。 在为 nat/napt规则自动生成的防火墙规则中,无法禁用“状态”(stateful) 复选框。状态数据包检查 防火墙和 nat/napt路由器支持“状态数据包检查”机制。因此,回复帧可以通过 nat/napt 路由器和防火墙,而不需要将其地址额外包含在防火墙规则和nat/napt 地址转换中。 nat/napt 路由器与用户特定防火墙之间的关系 模块特定的功能 用户特定防火墙中的nat/napt 规则组态仅适用于 v3 及更高版本的 scalance s 模块,请 参见以下部分: nat/napt路由器与用户特定防火墙之间的关系 (页 625)组态时间同步 时钟同步的步骤 含义对于传送生产数据的时间同步,日期和时间保存在安全模块中,用于验证证书以及时间戳日 志条目的有效性(时间)。对于 security功能,必须同步项目安全模块的时钟。 说明 组态防火墙以便与 ntp 服务器通信 如果安全模块无法访问 ntp服务器,则需要在防火墙中明确允许来自 ntp 服务器的帧 (udp,端口 123)。 说明时间同步仅与安全模块相关,且不能用于同步安全模块内部网络中的设备。 有些 cp 可以将时间转发到站中的其它模块。cp 443‑1 opc ua 只能从站中接收 simatic 模式的时钟,但是不能转发。 说明 使用cp(时钟从站)的安全功能前,该 cp 必须从时间主站接收有效的时钟帧。 为安全模块组态时间同步 如何访问该功能 1.选择待编辑的模块。 2. 在本地安全设置中选择“时间同步”(time-of-day synchronization) 条目。 3.选中“激活时间同步”(activate time-of-day synchronization) 复选框。