5.8.5 使用验证和加密功能
第5章 西门子工业无线通信
5.1 西门子工业无线通信概述
无线技术已经成为工控领域的核心技术,成为工业自动化发展的方向。未来工业系统信息越来越智能化,可随时随地提供信息访问的路径。无线解决方案的主要优点就是移动站的简单性和灵活性。
如图5-1所示,SIMATIC NET是西门子工业级通信协议的网络集成。基于此种协议开发的不同系列产品可满足不同的性能和应用要求,它们可以在不同子系统之间或不同的自动化站之间的不同层级中进行数据交换。工业移动通信(IMC)的主要功能如下:工业移动通信是SIMATIC NET家族使用无线通信的工业移动通信产品;符合国际标准IEEE 802.11,GSM,GPRS以及UMTS和PROFIBUS红外传输技术;SIMATIC NET组件都配有统一的接口,并能够相互完善协同。无线通信将是对常规有线解决方案的有力补充,并越来越多地渗透到工业领域。SIMATIC NET提供有经由局域网、Intranet、Internet或无线网络的跨公司数据传送。使用SIMATIC NET,即可实现公司范围内的从简单的设备直到最复杂的系统通信。
图5-1 通信环境中的工业无线通信
SIMATIC NET工业无线局域网网络接入点使用所有现行IEEE 802.11标准进行通信,可支持a、b、g以及h标准,并在此基础上增加了工业性能,以满足工业环境中对无线系统的更高的要求。
5.2 SCALANCE W概述
SCALANCE W是SIMENS专门为工业场合设计的工业无线以太网设备,其特别的工业特性设计使WLAN技术很好地融合到现场级控制系统中,其灵活、可靠、友好的特性为传统工业控制提供了崭新的网络解决方案,是工业网络自动化、一体化发展的方向。
5.2.1 SCALANCE W特点
SCALANCE W产品在可靠性、坚固性和安全性方面表现出众。使用工业无线局域网技术,并对IEEE 802.11标准加以延伸,以满足工业领域中对确定性响应和冗余性有较高要求的用户的要求。通过该产品,用户将首次实现一种单一的无线网络集成对数据要求严格的过程应用(报警信号发送)和一般通信应用(维护和诊断)。
SCALANCE W系列产品如图5-2所示,其主要优点在于其无线通道的可靠性,防水设计的金属外壳(IP65),以及众所周知的SIMATIC产品的机械耐用性。为防止未授权访问,该产品提供有先进的用户识别验证和数据加密标准机制,并还可与现有安全系统很容易地进行集成。
与电缆和光缆相比,无线传输技术使用的是无线电波。根据环境条件以及所安装的无线电系统结构,电磁波的传播特性有很大的不同。SIMATIC NET模板都采用分集天线等技术以及高质量的接收器和容错调制技术,以增强信号质量,防止无线电通信中断。
图5-2 SCALANCE W系列产品
1.可靠性
借助于冗余机制和封包重复法(Packet Repetition),SCALANCE W网络接入点可产生可靠的无线连接,并可耐受工业区域的干扰。数据传输速率裕量大,从而可防止数据通信的访问延时,甚至是生产停顿。
通过“数据速率裕量”功能,可实现明确的传输次数和数据包的净比特率,提供无线循环通信站。无线网络实现全面实时功能,如图5-3和图5-4所示。
图5-3 标准竞争的无线通信机制
图5-4 通过数据速率裕量,实现循环无线通信
冗余网络解决方案也可无线实施,无线通道冗余设计,数秒内即可交换完成,因此封包重复以及无线通道中的干扰不会影响到应用,如图5-5所示。
图5-5 冗余无线网络通信
参数配置卡C-PLUG可保存组态数据,无需专业人员即可在短时间内完成设备更换。从而也可降低停机时间,节省培训成本。C-PLUG如图5-6所示。
借助于“快速漫游”,可实现移动站的快速传送,以及PROFINET IO的无中断通信。另外,几个PROFINET IO设备也可实现实时无线操作,如图5-7所示。
图5-6 参数配置卡(C-PLUG)
图5-7 PROFINET I/O快速漫游
2.结构坚固,工业适用性提高
SCALANCE W产品可用在高达-20~+60℃的温度范围内,或用在含尘和有水的场合。金属外壳以及耐冲击和抗震保护,使之还可用于苛刻的工况环境。诸如天线、电源和布线等附件,也均采用这种设计理念,适用于工业应用。
电源和数据都使用一根Power-over-Ethernet(以太网供电)电缆传送,节省投资和维护成本。
3.数据安全性
SCALANCE W除了支持普通无线产品的安全特点,还支持具有工业特点的信息安全技术。丰富的身份验证(例如WPA2、WPA-Auto-PSK)和数据加密技术(例如TKIP和AES,RADIUS的验证方法),以及通过SCALANCE S与SCALANCE W组合的安全VPN通道,满足工业用户的安全需求。
4.支持PROFIsafe,实现故障安全无线通信
在SIMATIC S7控制器、PROFIBUS和PROFIsafe标准自动化系统中,都已融合了安全工程与组态的理念。PROFINET扩展了支持PROFIsafe的安全部件,提供完善的产品系列,包括故障安全型控制器、故障安全I/O以及相应的工程与组态环境。在通过PROFIsafe数据连续编号传输消息、时间监控,以及使用密码或优化CRC备份进行认证监控时,PROFIsafe可防止诸如地址损坏、丢失、延时等故障。
西门子SCALANCE W工业无线局域网同样支持故障安全通信PROFIsafe,IWLAN通过PROFIsafe保障现场设备和人身安全,如图5-8所示。
图5-8 使用PROFIsafe实现故障安全无线通信
5.2.2 SCALANCE W-780和W-740功能概述
SCALANCE W-780系列分为SCALANCE W 788-1和SCALANCE W788-2不同产品,SCALANCE W-740系列又分为SCALANCE W744,SCALANCE W746和SCALANCE W747等产品。这些系列产品都有相似的功能及外形,但也有着自己专属的工业特性,其对照图如图5-9所示。
图5-9 SCALANCE W-780和W-740功能
1)无线卡(与IEEE 802.11b/g和IEEE 802.11a兼容)固定安装在设备中。频带为2.4 GHz或5 GHz,数据传输速率最大为54 Mbit/s。
2)坚固的金属外壳,即使在严重的机械负荷下,也耐冲击,抗振。
3)无旋转部件设计(例如无风扇运行)。
4)防水,防尘,防护等级IP65/IP30,抗冷凝。
5)环境温度-20~+60℃/-40~+70℃。
6)支持IEEE 802.3af标准的POE以太网供电。
7)使用SIMATIC控制部件构建和设计相应的应用场合。
8)用于故障和运行状态指示LED。
9)借助于WPA和128位编码(AES),可高度保护未授权访问、间谍、窃听和伪造。
10)根据向导和在线帮助,进行组态。
11)使用WEB-Server和SNMP,网络管理简单。
12)任选C-PLUG作为交换介质,故障时设备更换快速。
13)丰富的附件包括天线、插头、电缆等。
SCALANCE W可以通过专门设计的快速连接模块化引出插座进行供电,如图5-10所示。如果不选择此种供电方式,可以选择M12电缆连接器供电。
图5-10 通过SCALANCE W-700混合电缆传输数据和供电
1)在混合连接器的外壳插座中也可使用标准RJ45插头。但是会降低防护等级IP65。
2)SCALANCE W-700还支持经由以太网供电、符合IEEE 802.3af标准。
根据外形的不同,SCALANCE W无线产品如图5-11所示。
图5-11 SCALANCE W设备一览图
5.2.3 SCALANCE W-780接入点
SCALANCE W-780系列无线通信接入点主要有W788、W786、W784几种,如图5-12所示。
图5-12 SCALANCE W788、W786、W784外形
1.SCALANCE W788-1/2PRO、W786-1/2/3PRO、W784-1
SCALANCEW780作为无线接入点,可以进行有线网络的拓展,建立一个无线局域网。网络接入点提供有一个工业以太网接口,用于连接有线网络。移动控制器、PDA或带无线网卡的现场编程器等用户都可在无线覆盖区域内自由移动,并通过网络接入点再相互之间交换数据,如图5-13所示。
如果只有一个网络接入点的无线覆盖范围不够,则还可通过设置多网络接入点进行扩展。系统存在多网络接入点时,每个无线接入点所覆盖区域之间应相互重叠,以便移动用户可无缝通过网络接入点(漫游),如图5-14所示。
图5-13 移动设备可通过网络接入点实现无线连接,访问自动化网络
图5-14 移动单元可在具有两个网络接入点的无线网络中漫游
如果网络接入点无法通过有线网络来连接工业以太网,则必须选择无线分布式系统(WDS)运行模式。在这种情况下,一个SCALANCE W-780网络接入点最多可和8个其他没有通过直接有线连接到数据网络的网络接入点进行通信,如图5-15所示。
对于双/多网卡接入点SCALANCE W-780,两/多个网络接入点可集成在一个外壳中。由此,可经济地实现各种应用。该产品尤其适用于设计可靠性要求较高应用中的冗余无线网络。并可通过使用生成树(Spanning Tree)机制进行扩展。如果一个连接出现故障,则无线网络自动寻找冗余路径。从而实现高度运行安全性。
对于这种运行模式,两个工业以太网网段耦合在一起,并通过两个无线卡并行传送数据流。如果一个无线卡选择2.4GHz频段,而对另一个无线卡选择5GHz,则实现的无线链路具有最大的可靠性。采用SCALANCE W-780冗余模式,可实现可靠的点对点连接,如图5-16所示。
图5-15 无线分布式系统
图5-16 采用SCALANCE W788-2PRO冗余模式,可实现可靠的点对点连接
2.SCALANCE W788-1/2RR、W786-2RR、W784-1RR
SCALANCE W-780RR网络接入点的功能与SCALANCE W-780工业无线局域网接入点的功能一致。另外,SCALANCEW-780RR还提供有可靠的无线链路,可实现移动用户在无线覆盖区域之间的极为快速的数据传输(快速漫游)。该传输是极为快速的,即使是PROFI-NET IO通信在漫游过程中也没有中断。而且,此无线链路可预测授权用户的访问,从而可支持最多50个用户的实时响应。为保证系统的实时响应,西门子提供具有确定和可靠无线电场特性的Rcoax漏波电缆解决方案来支持快速漫游的需求。
无线用户必须配有相应的接收设备,才能与具有快速漫游特性的网络接入点进行通信(例如SCALANCE W740/IWLAN/PB Link PN IO)。由于标准IEEE 802.11协议组不支持快速漫游,因此具有快速漫游功能的无线系统具有特殊机制的无线场,而一台符合标准IEEE802.11(WiFi)的设备则不能在此快速漫游无线场中运行。这样的优点是避免WLAN黑客的攻击,因为其探测工具无法检测到这种无线场。
虽然SCALANCE W-780的IWLAN无线场也支持PROFINET IO通信,但漫游时,由于标准IEEE 802.11协议限制会有几百毫秒的延时,因此不适用于快速刷新时间处理PROFI-NET IO设备的通信,此时选择具有快速漫游功能的RR设备(AP和客户端)来完成此种需求,如图5-17所示。SCALANCE W788-1RR还可进行标准的IEEE 802.11配置,代替常规IWLAN无线场。
图5-17 通过快速漫游,实现RCoax电缆网段之间的快速数据传输
对于SCALANCE W780-2RR双网络接入点,SCALANCE W780-1RR和SCALANCE W780-1PRO的功能可集成在一个外壳中。由此,可经济地实现多种应用。
举例来说,如图5-18所示,如果需要使用标准IEEE 802.11的设备(例如现场编程器,MOBIC)管理或组态快速漫游的车辆,可使用SCALANCE W780-2RR双网络接入点。一个无线网卡以快速漫游模式运行,另一个按标准IEEE 802.11模式运行。然后,控制单元(例如MOBIC)即可通过工业无线局域网接口访问SCALANCE W780-2RR双网络接入点,将其数据通过该设备和RCoax电缆上的支持快速漫游的无线网卡,传送到移动车辆。
图5-18 快速漫游
5.2.4 SCALANCE W-740客户端
以太网客户机模块SCALANCE W-740系列(如图5-19所示)可将一个带有以太网接口的移动设备无线连接到无线网络。SCALANCE W-740可在使用SCALANCE W-780实现的无线网络中自由移动并且可以自动、透明地从一个网络接入点切换到另一个网络接入点,其特点如下:
1)支持IEEE 802.11a/b/g/h,具有附加扩展功能,可用于工业环境。
2)借助于WPA和128位编码(AES),可高度保护未授权访问、间谍、窃听和伪造。
3)频带为2.4 GHz或5 GHz,数据传输速率最大为54 Mbit/s。
4)使用Web-Server和SNMP,管理简单。
5)任选C-PLUG交换介质,故障时设备更换快速。
图5-19 SCALANCE W747、W746、W744外形
6)丰富的附件,带天线、插头、电缆,包括RCoax电缆(光纤)控制传输功率的辐射。
7)可对数据流进行预测,对实时要求严格的客户端可以提供明确的响应时间。
1.SCALANCE W744-1/1PRO
SCALANCE W744-1可管理一个独立的IP地址设备。如果被替换,以太网客户端模块能够自动识别,管理新的地址设备。这将降低工厂停工时间和故障点。
除了基础设施模式以外,SCALANCE W744-1还可以以Ad-hoc模式运行。对于这种很少使用的模式,无需使用网络接入点,即可在几个移动设备之间建立一个简单的无线链路。这样,SCALANCE W744-1可与其他SCALANCE W-740或与无线网卡(例如CP 7515)进行通信,图5-20所示即为自动引导车辆(AGV)中的移动控制的例子。
图5-20 自动引导车辆(AGV)中的移动控制
2.SCALANCE W746-1PRO
SCALANCE W746-1PRO以太网客户端模块能够管理多达8个带有以太网接口的设备。从而可将具有一个小型以太网网络的移动单元(最多8台设备)极为有效地集成到IWLAN无线电场中。
如果所连接设备有一个被替换,以太网客户端模块能够自动识别,管理新的地址。这将减少工厂停工时间和故障源。
如图5-21所示,自动引导车辆(AGVS)可在两个无线单元中自由移动,自动无缝穿过SCALANCE W788-1PRO网络接入点(漫游)。
图5-21 带有SCALANCE W746-1PRO客户端模块的以太网
3.SCALANCE W744-1RR/W747-1RR
SCALANCE W780-RR网络接入点的无线接口可提供支持快速漫游功能的无线覆盖,可用于需要极短刷新时间的PROFINET IO数据通信。快速漫游是无线局域网的一种扩展,可以支持需要16 ms刷新时间的POFINET IO设备的漫游。由于标准WiFi不支持这种高性能,只有支持快速漫游的客户端才可以在此特殊的无线覆盖中运行。
SCALANCE W744-1RR可管理一个独立的IP地址设备,而SCALANCE W747-1RR以太网客户端模块能够管理多达8个带有以太网接口的设备,从而可将具有一个小型以太网网络的移动单元(最多8台设备)极为有效地集成到快速漫游无线场中。如果所连接设备有一个被替换,以太网客户端模块能够自动识别,管理新的地址,降低工厂停工时间和故障点。
RCoax电缆(漏波电缆)可以建立一种非接触连接,与客户端之间进行数据通信,以避免轨道车辆的滑动触点磨损所带来的问题,并支持毫秒级的漫游,以满足漫游时PROFINET IO通信的要求,带有SCALANCE W747-1RR客户端模块的以太网如图5-22所示。
图5-22 带有SCALANCE W747-1RR客户端模块的以太网
5.2.5 IWLAN/PB Link PN IO
IWLAN/PB Link PN IO是将PROFIBUS设备通过无线的方式透明地连接到PROFINET的代理设备,其外形如图5-23所示。
IWLAN/PB Link PN IO可以工作为以下方式:
1)工业以太网、无线局域网和PROFIBUS之间的紧凑型“路由器”。
2)作为PROFIBUS主站,用于将现场级系统灵活集成到IWLAN无线网络中,符合标准IEEE 802.11b/g和IEEE 802.11a,最大传输速率54 Mbit/s,频带为2.4 GHz或5 GHz,支持快速漫游。
3)PROFINET IO代理;用于根据PROFINET标准将PROFIBUS DP从站连接到PROFINET IO控制器。
4)连接WLAN天线或使用RCoax电缆(泄漏电缆)的天线。
图5-23 IWLAN/PB Link PN IO外形
5)与移动式应用中的PLC进行通信,如自动导航车辆、立体仓库或单轨小车输送机。
6)用于安装在机柜中,防护等级IP20。
7)通过充足的数据传输速率和无线的循环监控,可靠性高。
8)借助于WPA和128位编码(AES),可高度保护未授权访问。
9)模块更换无需编程器,使用C-PLUG卡用于组态数据的备份。
10)集成在STEP 7中。
5.2.6 RCoax电缆
图5-24 RCoax电缆外观
RCoax电缆是一种漏波电缆,可用于复杂区域中SCALANCE W网络接入点的专用天线,其外观如图5-24所示。它是一种同轴电缆,外导体中规则的开有槽孔,以便使射频信号能够均匀地沿着电缆通过槽孔传出和传入。这种结构意味着沿RCoax电缆可形成一个明确的锥形无线场。RCoax电缆最适用于复杂的无线覆盖区以及通行各种交通车辆的区域。
特点
1)同轴电缆安装简单易行,因此无需专门的培训,即可进行无线电磁场的设计。
2)高防护等级,适用在苛刻的环境中。
3)漏波电缆的无线电磁场可控,适用于复杂环境中。
4)直接取代滑环和拖缆,节省成本。
5)实施高度灵活。
配合RCoax漏波电缆使用的移动客户端都配有一个专用柱状天线,以达到最优化的使用效果。
如图5-25所示,以小车输送系统为例,采用RCoax电缆的系统解决方案可以提供可靠的无线电场,从而提高整个系统的实用性与可靠性。
图5-25 以小车输送系统为例、采用RCoax电缆的系统解决方案
5.2.7 天线、终端电阻和避雷器件
天线及附件如图5-26所示。
1.天线
分集天线,通过优化信号的接收和辐射,可增加无线电链路的可靠性
工业无线局域网(IWLAN)以及标准无线局域网(IEEE 802.11),频带为2.4 GHz和5 GHz,数据传输速率最大54 Mbit/s
所有天线电缆都阻燃、耐化学腐蚀,不含硅,有下面几个种类:
(1)ANT795-6MN/ANT795-4MR ANT792-6MN/ANT793-6MN
这些天线是“全向天线”,通过它,无线电磁场就聚集在与天线垂直的平面上,如图5-27所示该磁场将在天线周围均匀分布(360°),并随着离天线越远,衰减越快。两个天线总波束角为30°,并具有相似的天线增益。与直接安装在外壳上的ANT795-4MR相比,外接天线可以使用固定连接的天线电缆分立安装。
图5-26 天线及附件
图5-27 全向天线传输路径
在天线的上方和下方都没有辐射。在垂直天线平面外,当达到总波束角时,天线增益会降为一半。无线电链路的质量也显著降低。
图5-28 定向天线传输路径
(2)ANT792-8DN/ANT793-8DN/ANT795-6DN
该款天线为“定向天线”,可以将无线电磁场聚集在一个锥面上(为清楚起见,图5-28中示意为一个漏斗)。在垂直天线平面中辐射较强。如在一定角度之外无线信号会衰减的较为严重,这也是该类型天线称为“定向天线”的原因。
2.天线馈线
天线馈线是为方便天线安装外接的延长线缆。因此馈线的衰减应该尽可能的低,以最大程度地降低对无线发射信号的影响。西门子馈线工业应用的设计特性如下:
1)阻燃;
2)火灾时发生烟量小;
3)不含硅;
4)耐腐蚀;
5)根据天线的接口不同,有多种接口的馈线可供选择。
3.终端电阻TI795-1R
SCALANCE W-700产品的有两个天线接口可配装分集天线,以便在无线电接收困难的区域实现最佳接收。在这种情况下同时使用两个天线,可以降低来自金属物体的反射效应或多路径传播对有效信号的影响。
如果没有使用该功能,而是只使用了一个天线(例如当使用定向天线或为节省成本时),则必须使用终端电阻端接SCALANCE W-700的另一个天线接口。
5.3 SCALANCE W网络结构
5.3.1 Ad-hoc网络
Ad-hoc网络不存在接入点(Access Point,AP),客户端之间直接进行通信。图5-29的网络结构示意图显示了一个Ad-hoc网络例子——节点互相连接。因为没有更高级的管理结构,且网络所有的客户端需位于彼此无线信号的覆盖范围内,WLAN的物理扩展和安全性受到严格限制。
图5-29 Ad-hoc网络的结构示意图
Ad-hoc网络受限于IEEE 802.11b标准,最高通信速率为11 Mbit/s。因此它们只适用于少量节点并且对实时性要求不高的网络。在阻止未经授权的入侵方面,该网络的安全性也存在问题(只支持WEP加密方式),因此,应当尽可能地以带有保护机制的无线拓扑结构代替Ad-hoc网络。
5.3.2 基础架构网络
如果将无线接入点(AP)引入WLAN中进行组织与协调网络运行的工作,则变成了基础架构(Infrastructure)模式。基础架构式网络由一个接入点和多个客户端组成,这些客户端都位于具有单独一个接入点的无线覆盖区域中。接入点的功能用于组织与协调客户端通信。图5-30所示为基础架构网络的典型结构。
图5-30 基础架构网络的结构示意图
如图5-30所示,网络中存在一个无线接入点(AP),该无线接入点协调管理其他节点的数据通信,并通过该无线接入点管理所有的通信业务。无线接入点确定网络的识别名(SSID),客户端通过SSID识别该网络并进行登录。
在基础架构网络中,进行网络的扩展的限制条件为所有的客户端必须位于接入点的覆盖范围内。
5.3.3 WLAN与LAN互联
如果一个或多个SCALANCE W无线接入点连接到有线以太网上,存在下列两种应用:
1)SCALANCE W作为网关:具有无线网卡的计算机可以以客户端模式通过SCALANCE W连接到无线网络中从而连接到有线网络。
2)使用若干SCALANCE W接入点扩展无线网络的覆盖范围:SCALANCE W接入点被组态成使用同一个SSID,所有希望通过这个网络进行通信的节点使用这个SSID自动选择不同接入点连接到有线网络。
图5-31 混合网络的的结构示意图
在图5-31所示的WLAN与LAN互联的混合网络中,接入点不仅用于客户端的通信,而且还提供与有线网络的连接,该有线网络通常为工业以太网。
多个接入点连接到同一有线网络,意味着会存在多个无线区域。如果这些无线区域完全覆盖特定的一个区域,则位于该区域内的客户端可以从一个无线区域平滑移动到另一个无线区域,这称为“漫游”。若相邻接入点以相同的频率工作,在无线覆盖区域之间的重叠区域就可能发生同信道干扰。
5.3.4 多频道配置
多频道配置用于WLAN与LAN互联的混合网络,但是各个接入点工作于不同的、非重叠无线频道上。这样可确保无线区域重叠时不再发生干扰。这同时也方便了漫游,也就是客户端从一个无线覆盖区域切换到另一个无线覆盖区域,从而带来了性能的大幅提高。
在图5-32所示的配置中,多个接入点(AP)组成了一个骨干网,通过有线网络(例如工业以太网)互相连接。在实际无线网络配置中多应用此种配置,接入点配置成相同的SSID和不同的信道。
图5-32 多频道配置的结构示意图
5.3.5 无线分布式系统
无线分布式系统(Wire less Distribution System,WDS)对应于多信道配置,无线接入点并不通过第二个介质(例如有线网络),而是通过无线网络保持与其他接入点之间的连接。接入点需要配置成相同的信道,但可以配置成不同的SSID,如图5-33所示。
WDS的特性如下:
图5-33 无线分布式系统的原理
1)接入点之间的距离必须足够小,以确保每个接入点均位于其通信伙伴的范围内。
2)每做一层WDS,有效的数据带宽减半,因为必须将带宽分配给客户端与接入点的通信和接入点之间的通信。如果存在多层WDS,有效的带宽继续减小。
5.3.6 冗余WLAN
冗余WLAN需要使用带有两个无线网卡的接入点,这样接入点就可以在两个信道和频率上传输数据。图5-34所示的网络结构与无线分布式系统的结构类似,但是接入点不仅在主信道上通信,而且还通过第二套天线在第二个信道上通信。
图5-34 冗余WLAN
这样可以同时确保高带宽和连接的高可靠性:即使一个信道中,节点因遮挡或干扰而被临时中断,连接也有可能仍然经由另一个信道而保持有效。
5.4 SCALANCE W通信网络组态
5.4.1 软硬件需求
本例通过两套SCALANCE W788模块进行无线连接的简单实例来介绍通信组态,SCALANCE W788可以通过组态作为工业无线局域网接入点(AP)或客户端,网络拓扑图如图5-35所示,硬件和软件的需求见表5-1和表5-2。
图5-35 网络拓扑图
表5-1 硬件列表
表5-2 软件列表
5.4.2 安装PST 3.2软件
获取和安装PST软件的方法和步骤可参照本书4.2.1节的内容。
5.4.3 使用PST软件为SCALANCE W组态IP地址
打开PST V3.2软件,依次在工具栏选取“Settings”→“Network Adapter”→“Local Area Connection”,如图5-36所示。然后单击“搜索”按钮,在列出的设备列表中,根据MAC地址找到SCALANCE W788对应的设备,并为它分配IP地址192.168.9.81和子网掩码255.255.255.0
图5-36 PST软件
在IE浏览器输入SCALANCE W788的IP地址,就会打开SCALANCE W788的Web组态界面。初始的管理员身份的用户名和密码都是“admin”。
5.4.4 组态SCALANCE W788为Ad-hoc方式
根据图5-35的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。
首先组态SCALANCE W788作为客户端模式。如图5-37所示,在SCALANCE W788-2RR的“System Information”标签下,选择“Device mode”为“Client”;选择“Country code”,本例选择“CHINA”。可选填“System name”。最后单击“Set Values”按钮。
图5-37 系统信息
在“Interfaces”→“WLAN”→“SSID List”中,在“Add new SSID”中输入无线网络的SSID。注意SSID区分大小写。注意Ad-hoc网络中所有节点的SSID必须一致。最后单击“Set Values”按钮,如图5-38所示。
在SCALANCE W788-1RR的“Interfaces”→“WLAN”中,选择“Ad-hoc”,在“Wire-less mode”中选择使用802.11b无线标准,因为Ad-hoc只能使用802.11b。可以在“Radio channel”中选择希望使用的信道。注意Ad-hoc网络中所有节点使用的信道必须完全一致,最后单击“Set Values”按钮,如图5-39所示。
图5-38 SSID列表
图5-39 无线接口参数
组态如果需要更改,在窗口上部正中会出现“Restart to apply changes”的字样,在全部组态更改完毕后,可以单击该字样,或单击“System”→“Restart”,进入System Restart窗口,单击“Restart”按钮,如图5-40所示。
之后,设备将会重启,动态显示启动成功所需的秒数,重启后会出现登录画面,如图5-41所示。
在“Information”→“Available WLAN”中查看是否连接上了Ad-hoc节点,即“State”栏是否有“AD-HOC connected”。勾选“Update”可以动态显示Ad-hoc节点列表,如图5-42所示。
图5-40 重启
图5-41 重启画面
图5-42 AP信号列表
5.4.5 组态SCALANCE W788为基础架构方式
首先组态SCALANCE W788作为无线接入点(AP)模式。在“System Information”标签下,选择“Country code”,本例选择“CHINA”,并可选填“System name”,最后单击“Set Values”按钮,如图5-43所示。
图5-43 系统信息
在“Interfaces”→“WLAN”中,填写想要定义的SSID。注意SSID区分大小写。可以在“Wireless mode”中选择希望使用的无线标准。如果去掉“Auto channel select”后的对勾,就可以在“Radio channel”中选择希望使用的信道(例如通道1),最后单击“Set Val-ues”按钮,如图5-44所示。
图5-44 无线接口参数
组态如果有更改,如图5-45所示,在窗口上部正中会出现“Restart to apply changes”的字样,在全部组态更改完毕后,单击“System”→“Restart”,进入“System Restart”窗口,单击“Restart”按钮。
图5-45 重启
这时如图5-46所示,设备将会重启,动态显示启动成功所需的秒数。重启后会出现登录画面。
图5-46 重启画面
在“Information”→“Client list”中查看是否有client连接,即“State”栏是否有“As-sociated”。勾选“Update”,可以动态显示client列表。当客户端也配置完成后,会看到“State”栏显示Associated,如图5-47所示。
其次组态SCALANCE W788-2RR作为客户端模式。如图5-48所示,在“System Informa-tion”标签下,选择“Device mode”为“Client”。选择“Country code”为“CHINA”。可选填“System name”。最后单击“Set Values”按钮。
在“Interfaces”→“WLAN”中,选择“Infrastructure”。在“Wireless mode”中选择和接入点中设置相同的无线标准。最后单击“Set Values”按钮,如图5-49所示。
图5-47 AP信号列表
图5-48 系统信息
图5-49 无线接口参数
在“Interfaces”→“WLAN”→“SSID List”中,去掉“Connect to ANY SSID”后面的对勾,在“Add new SSID”中输入AP中设置的SSID。注意SSID区分大小写。最后单击“Set Values”按钮,如图5-50所示。
图5-50 SSID列表
组态如果有更改,如图5-51所示,在窗口上部正中会出现“Restart to apply changes”的字样,在全部组态更改完毕后,单击“System”→“Restart”,进入“System Restart”窗口,单击“Restart”按钮。
图5-51 重启
然后设备会重启,动态显示启动成功所需的秒数,重启后会出现登录画面,如图5-52所示。
图5-52 重启画面
在“Information”→“Available WLAN”标签下,查看是否连接上了接入点,即“State”栏是否有“AP connected”字样。勾选“Update”可以动态显示AP列表,如图5-53所示。
图5-53 AP信号列表
5.4.6 组态SCALANCE W788为WDS方式
首先组态SCALANCE W788作为无线接入点(AP)模式。在“System Information”中,在“Country code”中选择“CHINA”,可选填“System name”,最后单击“Set Values”按钮,如图5-54所示。
在“Interfaces”→“WLAN”标签下,填写无线网络的SSID。注意SSID区分大小写。可以在“Wireless mode”中选择希望使用的无线标准。如果去掉“Auto channel select”后的对勾,就可以在“Radio channel”中选择希望使用的信道。注意WDS中的所有AP必须使用同一个信道,SSID可以不同。最后单击“Set Values”按钮,如图5-55所示。
在“Bridge”→“WDS”标签下,填入与本AP进行WDS连接的对方AP的无线网卡MAC地址并打勾选取,最后单击“Set Values”按钮,如图5-56所示。注意在对方AP的相应位置也要填写并选取本方AP的无线网卡MAC地址。如果WDS没有连接上,“Link”状态显示为红色。
图5-54 系统信息
图5-55 无线接口参数
图5-56 WDS无线接口设定
查看对方无线网卡MAC地址的方法是,在对方AP的组态页面中单击“Interfaces”,如图5-57所示。
图5-57 接口MAC地址
如果WDS连接成功,“Link”灯为绿色,如图5-58所示。
图5-58 WDS状态
组态如果有更改,在窗口上部正中会出现“Restart to apply changes”的字样,在全部组态更改完毕后,依次单击“System”→“Restart”,进入“System Restart”窗口,单击“Restart”按钮如图5-59所示。
图5-59 重启
之后,设备会重启,动态显示启动成功所需的秒数,重启后会出现登录画面,如图5-60所示。
图5-60 重启画面
如图5-61所示,在“Information”→“Client list”标签下,查看是否有WDS AP连接,即“State”栏是否有“Joined”。勾选“Update”可以动态显示WDS AP列表。
图5-61 AP信号列表
5.4.7 组态SCALANCE W788为冗余WLAN
根据图5-62的网络拓扑图,设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。
首先如图5-63所示,组态IP地址为192.168.9.88的SCALANCE W788-2,选择为无线接入点(AP)模式,可以看到模块具有两个无线MAC地址,即有两个无线接口。
图5-62 网络拓扑图
图5-63 接口MAC地址
如图5-64所示,设置第一个WLAN接口,设置相应的SSID和无线模式,注意要使用冗余方式进行AP与AP的连接,因此“Auto channel select”一定要取消勾选,选用固定通道,例程中使用IEEE802.11g通道5(2432MHz)。
图5-64 无线网卡1接口参数
如图5-65所示,设置第二个WLAN接口,首先使能无线接口,然后设置相应的SSID和无线模式。这里注意无线模式应该选择不同的频段,而且“Auto channel select”一定要取消勾选,选用固定通道,例程中使用IEEE802.11a通道149(5745MHz)。
图5-65 无线网卡2接口参数
最后如图5-66所示,要设置“IFeatures”标签下的冗余功能。冗余模式可以使用“系统名”进行连接,也可以使用MAC地址进行连接。我们采用后者,在第一个WLAN接口上设置连接方第一个WLAN接口的MAC地址,同样在第二个WLAN接口上设置连接方第二个WLAN接口的MAC地址。
图5-66 冗余配置监控
其次,组态IP地址为192.168.9.89的SCALANCE W788-2,选择为无线接入点(AP)模式。按照上面的步骤进行冗余组态,设置完SCALANCE W788-2参数,重新启动后会发现冗余连接已建立,相应的连接状态为“connected”。
注意:使用冗余连接时,只能用在SCALANCE W788-2RR和SCALANCE W788-2PRO模块上,而且不能操作在iPCF模式下。如果使用安全机制,也只能选择WEP和AES两种加密机制。
5.5 SCALANCE W工业特性
在传统的工业应用场合,自动化系统要求无线系统可以提供可靠的传输链路,可以满足严格的响应时间的要求。因此西门子SCALANCE W无线设备在标准的无线传输机制进行了优化,以满足工业场合的特殊要求。
5.5.1 iQoS
1.iQoS概述
SCALANCE W的无线接入点(AP)和客户端之间实现标准的基础架构的通信的过程中,AP和客户端基于DCF(Distrubuted Coordination Function,分布式协调功能)的方式进行。也就是客户端与AP之间通过协商,某一时刻只能有一个客户端与AP进行通信,其他的客户端只能等待直到该客户端与AP完成通信后,其他客户端之间再次竞争与AP建立连接进行通信。
如图5-67所示,若无线系统需要处理多业务时,例如同时传输控制数据与视频数据,由于视频数据包较大,占用AP资源较多,保证PROFINET I/O的响应时间成为系统的难点。
iQoS是指接入点AP给某一客户端或某些客户端预留一定的带宽。这种预留是给被预留的客户端的数据通信预留了一段周期。这种技术对于要想获得固定的响应时间是非常有效的。对于非被预留带宽的客户端来说,不会保证其数据响应的时间,尤其是网络负载很大的情况下,AP只是保证预留客户端的响应时间。对于通信要求响应时间严格的情况下,注意数据报文的大小,计算时需要添加报文头,例如S7通信,TCP报头,IP报头等等。对于SCALANCE W的无线接入点AP来说,可以预留的客户端的个数最多为4个。
图5-67 多业务系统图
2.iQoS组态
根据图5-68的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。
组态IP地址为192.168.9.88的SCALANCE W788-2RR为AP,其SSID设为“DG-SIE-MENS WLAN”,组态另外两个SCALANCE W788-1RR为客户端1和客户端2,连接到AP上进行数据通信。
首先,iQoS功能仅在SCALANCE W788作为接入点AP时才能使用,而且不能操作在iPCF模式下。如图5-69所示,设置iQoS功能如下所示:
在“IFeatures”→“iQoS”→“WLAN1”标签下单击“New”按钮,弹出如下界面,设置MAC地址为客户端1的MAC地址。
图5-68 iQoS网络拓扑图
图5-69 iQos MAC地址设定
如图5-70所示,设定响应时间为15ms,这个时间表示了从AP到客户端的数据传输时间。激活使能键后,这样就在AP中为客户端1的数据通信保留了带宽——200kbit/s。其状态值为“CC”,即客户端1是设定为对响应时间有严格要求的客户端,而且满足了设定的带宽和响应时间的要求。
图5-70 iQos信息显示
同时如图5-71所示,我们可以查看“Information”→“iQoS”标签下客户端的相关iQoS数据。第一个数据状态“NCS”代表客户端2对响应时间和最小带宽没有严格要求,第二个数据状态“CC”代表客户端1对响应时间和最小带宽有严格要求。
图5-71 iQos信息显示
5.5.2 iPCF
1.iPCF概述
无线网络处理数据通信有两种方法:DCF和PCF(Point Coordination Function,点协调功能)。下面对这两种机制进行简单的解释。
DCF采用CSMA/CA机制,其工作原理如下:在分散协调功能DCF中,所有的节点始终“对自己负责”。只有当一个节点的频率上不存在待处理的信号,并且接收器在收到了发给自己的信息后,发出一个发送成功的确认信号给发送器后,这个节点才开始进行数据发送。DCF不保证在最大的时间间隔内能传送特定的数据量。因此,DCF主要适合于异步数据传输(例如电子邮件或网络浏览)。使用DCF并不能防止出现隐藏节点问题。
另外,若两个节点同时试图使用无线资源,可使用RTS/CTS方法避免冲突,因而可以增加某些DCF网络的数据吞吐量。想要发送大量数据的节点在发送数据帧之前首先向无线资源登记,方法为先发送一个短的发送请求数据帧“RTS”,只有收到一个清除发送“CTS”响应信号时,才实际发送数据。借助于这种方法,可以大大减少发送失败重试的次数,因为在发送大的数据包之前就检测到了冲突。
PCF是描述802.11标准定义的另一种处理方法;但是并不强制执行该方法。该方法可以避免DCF方法的一些不利因素。
在PCF中,并非所有的网络节点都有同等的权力,而是只有一个或者多个接入点作为网络中的中央管理者。一个接入点为其他节点(即客户端)分配时隙,在这些时隙内将无线资源保留给这些客户,它们可以不受干扰地发送信息。
PCF能够为客户分配定期的网络接入并确保在特定的时期传输数据。因此,PCF更适合于需要连续数据流的应用。如果通信需要的话,可以在时隙内将网络在DCF和PCF之间切换。
由SIEMENS开发的“工业点协调功能”iPCF可以替代PCF,它解决了与PCF有关的许多问题并允许快速漫游。
快速漫游是指客户端从一个无线区域快速切换到另一个无线区域的过程,在这个过程中,客户端的退出和重新登录即“移交”发生得非常快,可以满足通信的实时性要求。在iPCF中,接入点以非常短的时间间隔定期轮询其无线覆盖区域内的客户端。客户端可以登记自己想要发送长数据帧的要求,并在得到接入点的允许之后才开始发送。
iPCF为实时性要求较高(几十毫秒范围)的工业应用提供无线解决方案,如PROFINET IO设备的无线连接。iPCF的劣势是不能兼容非iPCF设备。W788-1RR和W788/6-2RR接入点和W747-1RR客户端模块支持iPCF。iPCF将漫游时移交时间降低到小于50 ms,因此可以确保整个网络内几乎不间断的通信,如图5-72所示。
图5-72 通过RCoax电缆实现快速漫游
2.iPCF组态
首先在STEP7管理器中组态S7-300 CPU与ET200S PN的PROFINET IO通信,如图5-73和图5-74所示。
图5-73 iPCF网络拓扑图
用鼠标双击以太网线“PROFINET-IO System(100)”,打开属性设置,设置更新时间为16ms。如图5-75所示。
根据图5-73的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。首先组态SCALANCE W788作为无线接入点AP模式。如图5-76所示,在“IFeatures”→“iPCF”标签下使能iPCF功能,单击“Set Values”按钮会弹出对话框,系统将会自动设置iPCF的默认模式。注意,这里组态的“PNIO update time”需要与Step7组态的“IO update time”需要一致。如图5-77所示,包括通信速率和最大数据长度等参数。
图5-74 硬件组态
图5-75 更新时间设定
图5-76 iPCF设定
图5-77 iPCF信息提示
设置客户端,如图5-78所示,必须设置想要连接的无线接入点的SSID,不要勾选“Connect to ANY SSID”项,因为在“Connect to ANY SSID”模式下,iPCF无法使用。
图5-78 SSID列表
设置iPCF功能,如图5-79和图5-80所示,单击“Set Values”按钮会弹出对话框,系统将会自动设置iPCF的默认模式。
图5-79 iPCF设定
图5-80 iPCF设定
图5-81 无线接口参数
因为客户端连接了ET200S PN,和带PN口的S7-300 CPU进行PN IO通信,所以MAC模式设置为“Layer 2 Tunnel”,如图5-81所示,这个模式也同样适用于客户端连接有多个ET200S PN的通信。
这时,对无线接入点AP和客户端进行重启后,会发现S7-300 CPU与ET200S PN建立了PROFINET IO通信。
5.5.3 强制漫游
1.强制漫游概述
强制漫游(Forced Roaming)是指在IP连接断掉的情况下循环监控一个特定的IP地址。强制漫游是通过ICMP报文实现的(Echo请求/回复或Ping功能)。当IP连接断掉时,即从通信方没有ping包返回,这时一个取消认证的报文帧将会发送到所有WLAN的客户端,相应的WLAN接口被禁止。
IP连接继续被监控,并且只要无线接入点AP接收到从通信方返回的ping包,那么WLAN接口被使能。这种机制可以监控在无线客户端和服务器之间的连接。如果不能经过无线接入点访问服务器,那么客户端就被取消认证并且无线接入点的WLAN接口被禁掉。客户端开始漫游然后连接到一个不同的服务器能够访问的无线接入点。只要第一个无线访问点能够再次到达服务器,它就重新使能WLAN接口。
注意,IP连接中断时的强制漫游不能在相同WLAN接口上与iPCF或WDS联合使用。
强制漫游网络拓扑图如图5-82所示。
图5-82 强制漫游网络拓扑图
2.强制漫游组态
S7-300 CPU通过交换机与作为AP的SCALANCE W788-1RR和SCALANCE W788-2RR进行有线局域网(LAN)连接,ET200S PN直接连接到SCALANCE W客户端上。根据图5-82的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。
如图5-83所示,首先设置PC的以太网地址为192.168.9.158/24,与所连接以太网设备都在同一个网段上。组态SCALANCE W788-1RR的IP地址为192.168.9.82/24。
图5-83 PC以太网口设定
如图5-84所示,在System标签下,组态SCALANCE W788-1RR作为无线接入点AP模式。设置相应的国家代码以及系统名称等参数。
图5-84 系统参数
同样组态SCALANCE W788-2RR为AP点,IP地址为192.168.9.88/24,如图5-85所示,其SSID与前一个AP是相同的,都设置为“DG-SIEMENS WLAN”。
图5-85 无线接口参数
同时组态工作在客户端模式的SCALANCE W788,如图5-86所示。
图5-86 系统信息
因为客户端连接了ET200S PN,和带PN口的S7-300 CPU进行PN IO通信。如图5-87所示,MAC模式设置为“Layer 2 Tunnel”,这个模式也同样适用于客户端连接有多个ET200S PN的通信。
如图5-88所示,使客户端连接到SSID为DG-SIEMENS WLAN的网络上。
这时如图5-89所示,客户端与第一个接入点已经建立起了连接。
图5-87 无线接口参数
图5-88 SSID列表
图5-89 AP信号列表
如图5-90所示,设置SCALANCE W788-1RR工作在强制漫游模式下,打开“IFeatures”→“Forced Roaming”标签项,设置目标IP地址为PLC的IP地址,其他参数采用默认设置。
图5-90 强制漫游信息监控
如图5-91所示,第二个无线接入点的客户端列表为空:
图5-91 客户端列表信息
这时,当有线连接的接入点出现电缆断线等故障时,它所连接的客户端会自动漫游到无线信号强度更强的第二个接入点,这样可以保证连接的可靠性。
当拔掉与第一个接入点的工业以太网连接后,可以看到S7-300 CPU与ET200S PN的PN IO通信仍然保持。如图5-92所示,客户端被强制漫游到第二个接入点。
图5-92 客户端列表信息
如图5-93所示,此时另一个接入点的认证记录里多了两条客户端进行重新登录的内容。
图5-93 客户端认证信息
5.5.4 iHOP
1.iHOP概述
iHOP的功能是一种在2.4GHz和5GHz频段两个频段的自适应跳频技术,接入点一直监视所选择的跳跃通道的信号质量(包括接收信号强度,丢包率等)并对其评估。哪个通道的信号质量更好,便成为接入点的首选信道。iHOP功能可与其他设置的无线模式(如“限制频道”/“背景扫描通道”)共同使用,可以选择一部分或者所有通道都使用。iHOP的可配置为同时在5GHz/2.4GHz(IEEE802.11 a+g)上一同使用。
iHOP的工作原理:接入点定义了一个跳频序列,并通过特殊信号帧告诉客户端,客户端知道接入点工作在哪个信道上,在遇到干扰时,接入点与它的客户端会一起自动跳跃到其他无线信道。接入点会向客户端预报下5个循环其所在的信道,以使客户端跟随其进行跳跃。这样可保证在射频场中存在干扰时也能进行可靠通信,如图5-94所示。
图5-94 iHOP工作原理图
2.iHOP配置
(1)AP配置
如图5-95所示,在iFeatures-iHOP标签下,激活iHOP功能。注意此时有几项参数会有改变。此时会有提示框出现。
图5-95 iHOP设定
选择Interface-WLAN标签下,将SSID设置为iHOP,Wireless mode模式选择为“Mixed5GHz/2.4GHz 54Mbps(802.11a+g)”,如图5-96所示。
图5-96 选择无线模式
在Advanced标签下,激活“Restricted channel select”选项,并将预备使用的信道填入“Restricted channels”选项框中,如图5-97所示。
图5-97 WLAN高级参数设置
(2)Client设置
如图5-98所示,在选择Interface-WLAN-SSID List标签下,SSID1设置为iHOP,使客户端只能连接到使用此名称的接入点上。
图5-98 SSID列表
在iFeatures-iHOP标签下,激活iHOP功能,如图5-99所示。
图5-99 iHOP设定
选择Interface-WLAN标签下,将Wireless mode模式选择为“Mixed 5GHz/2.4GHz54Mbps(802.11a+g)”,与接入点保持一致,如图5-100所示。
图5-100 选择无线模式
在“Advanced Wireless Interface Properties”标签下,激活“Background scan ch.select”选项,并将iHOP使用的信道填入“Background scan channels”选项框中,如图5-101所示,效果如图5-102所示。
图5-101 WLAN高级参数设置
图5-102 iHOP效果图
5.5.5 iPCF-MC
1.功能描述
客户端需要在信号重叠的无线单元中才能漫游,此时为了避免信号的重叠使激活iPCF功能的客户端不停的产生漫游,无线客户端在漫游之前必须扫描所有的无线单元。这样给漫游时的快速性带来了消极的影响。为了进一步优化iPCF模式下的漫游效果,iPCF-MC使用独立的管理信道进行无线单元信号的扫描和管理,以减少客户端在漫游时过长的扫描时间。管理信道会告诉客户端下一次漫游可以连接的最强的接入点,避免客户端再一次进行全面的扫描。客户端使用一个无线网卡,交互式通与数据信道和管理信道进行数据通信,如图5-103所示。
图5-103 iPCF-MC示意图
2.iPCF配置
(1)接入点配置
如图5-104所示,在“Wireless Interface 1 Properties”标签下,设置第一个无线网卡工作为数据信道。SSID名称设置为“Data”,“wireless mode”选择为“2.4GHz 54Mbps(802.11g)”,信道选择为“6”。以同样的方式设置第二块无线网卡,SSID名称为“Management”,“wire-less mode”选择为“2.4GHz 54Mbps(802.11g)”,信道选择为“11”。
图5-104 无线接口参数
如图5-105所示,在iFeatures-iPCF MC标签下,激活iPCF MC功能。设置两块网卡的不同工作角色。
图5-105 iPCF-MC设定
(2)Client设置
如图5-106所示,在“iFeatures”→“iPCF MC”标签下,激活“iPCF-MC”功能。
图5-106 iPCF-MC设定
5.5.6 Dual-Client
1.Dual-Client简介
Dual-Client,即双客户端,专门为高数据吞吐量(即视频流)与快速切换(<50ms)组合的场合开发的功能,它可以使客户端稳定的连接到无限信号不规则覆盖的地区,如隧道、过程控制行业及物流行业。可以保持客户端无线连接不中断,尤其是当系统存在会影响无线通信的临时障碍如卡车、火车等。如图5-107所示。
图5-107 双客户端示意图
无线客户端可以冗余工作在不同频率或模式下,其切换时间可以控制在500~1000ms。可以支持IEEE 802.11i安全标准。
2.Dual-Client配置
如图5-108、图5-109所示,双客户端的设置非常简单,只需在客户端侧,在“Wireless Interface Properties”标签下,将“MAC mode”设置为“Layer 2 Tunnel”,在目录树“iFea-tures”→“Dual-Client”标签下,激活“Dual-Client”功能即可。
图5-108 无线接口参数
图5-109 双客户端设定
5.5.7 Aeroscout
西门子SCALANCE W无线设备可以配合Aeroscout完成定位的功能,其工作原理如下:客户端或者标签会持续向扫描到的所有接入点传送其MAC地址(源地址),接入点将生成的标签报告传送到Aeroscout管理引擎。为了更有效地进行定位和跟踪的工作,至少应该有3个接入点应收到标签传送的信号。Aeroscout管理引擎可以通过接收到的RSSI信号进行位置定位,如图5-110所示。
Aeroscout的配置方式非常简单,只需激活其选项即可,如图5-111所示。
图5-110 Aeroscout示意图
图5-111 激活Aeroscout
5.6 SCALANCE W桥模式
5.6.1 VLAN组态
1.概述
前文讲过,VLAN(虚拟局域网)是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。每一个VLAN都包含一组有着相同需求的网络节点,与物理上形成的LAN有着相同的属性。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN标签,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播域,并能够形成虚拟工作组,动态管理网络。
西门子交换机和WLAN都支持基于端口的VLAN。这种划分VLAN的方法是根据以太网交换机的端口来划分,属于同一VLAN的端口可以不连续。以交换机为例,如果有多个交换机,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法。IEEE 802.1q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分方法定义VLAN成员时非常简单,只要将所有的端口都进行定义就可以了。但是如果一个VLAN用户离开了原来的端口,到了一个新的交换机的端口,那么就必须重新定义。
2.组态
根据图5-112的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。下面的例子将会使用两个SCALANCE W模块(替代无线摄像头)作为客户端,一个SCALANCE W模块作为接入点。首先设置作为无线接入点的SCALANCE W模块,在目录树“Interfaces”→“WLAN”标签下,设置虚拟接入点的个数(“Virtual AP count”),如图5-113所示。
图5-112 VLAN网络拓扑图
图5-113 无线接口参数
这时在目录树WLAN标签下会生成新的“VAP”标签。如图5-114所示,单击相应的VAP1标签,使能接口后,设置“SSID”为“PLC”,使用同样的方法设置VAP2的“SSID”为“VIDEO”。
图5-114 VAP设定
如图5-115所示,再设置VLAN ID的成员列表,最多可以建立32个VLAN ID。分别建立VLAN ID9和VLAN ID88。
图5-115 VLAN ID成员设置
最后设置相应的端口属性,如图5-116所示,依次单击目录树“Bridge”→“VLAN”→“Ports”标签,使能VLAN功能后,修改虚拟接入点(VAP)相应SSID对应网络的用户优先级和端口的VLAN ID。
按照同样的方法设置SSID为“PLC”的虚拟接入点,设置完成后,得到如图5-117的结果。这时在无线接入点上的所有设置已经完成。
另外,设置作为客户端的SCALANCE W,如图5-118所示,分别设置两个客户端:一个客户端连接到SSID为“VIDEO”的虚拟网络上,另外一个客户端连接到SSID为“PLC”的虚拟网络上。
图5-116 VLAN ID端口设置
图5-117 VLAN端口信息
图5-118 VLAN客户端设定
重新启动客户端后,如图5-119所示,查看连接到SSID为“PLC”的虚拟网络上的可用WLAN的AP列表。
图5-119 AP列表信息
如图5-120所示,查看无线接入点上连接的客户端列表,可以看到两个虚拟网络下的客户端都已经连通。
图5-120 客户端列表信息
最后,根据图5-112所示的网络拓扑图,把相应的PLC端口连接到SCALANCE X-400交换机的端口11.3上,AP的以太网接口连接到端口11.2上,相应的视频服务器(PC)连接到端口11.1上。设置西门子交换机SCALANCE X414-3E的VLAN,如图5-121所示,相应端口设置成“M”方式,即无线接入点与SCALANCE X-400交换机之间通过TRUNK方式连接。具体设置方式请参考本书第4章。
图5-121 交换机VLAN设置
相应端口的Port VLAN ID设置如图5-122所示。
图5-122 交换机VLAN ID设置
这样就完成了WLAN上VLAN与SCALANCE X-400交换机VLAN之间的数据通信。两个VLAN——PLC和VIDEO分别建立起来,并且VLAN内的节点通信不会影响VLAN外的节点通信,有效地分割了广播域,减轻了网络负载。
5.6.2 NAT
1.NAT概述
NAT是Network Address Translation,意为网络地址转换,它是一个IETF标准,允许一个局域网结构以一个公用IP地址出现在因特网上。是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通信时,就在网关处,将内部地址替换成公用地址,从而在外部公网上正常使用,NAT屏蔽了内部网络,所有内部网络节点对于外部网络来说是不可见的。
NAT的功能就是指在一个网络内部,根据需要可以不需要经过申请自定义IP地址。在网络内部,各个网络节点通过内部的IP地址进行通信,而当内部的网络节点要与外部网络进行通信时,具有NAT功能的设备(比如SCALANCE W)负责将其内部的IP地址翻译为合法的IP地址(例如经过申请的IP地址)进行通信。
NAPT(Network Address Port Transition,网络地址端口转换)的功能是与NAT的概念是接近的,也就是端口地址解析。与NAT技术的不同,数据是内部网络主机的IP地址和端口号在通过路由器时被替换修改为(Translation)外部网络的IP地址和端口号。
2.NAT组态
根据图5-123所示的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。首先组态作为客户端的SCALANCE W788。如图5-124所示,单击目录树System标签,修改“Device Mode”为“Client”,“Country code”为“CHINA”。单击“Set Values”按钮完成设置。
图5-123 NAT网络拓扑图
图5-124 系统信息
如图5-125所示,在目录树“Interfaces”→“WLAN”标签下,保持默认参数。
图5-125 无线接口参数
如图5-126所示,在目录树“Interfaces”→“WLAN”→“SSID List”标签下,取消“Connect to ANY SSID”的勾选,添加新的SSID为“NAT”。单击“Set Values”按钮设置成功。
图5-126 SSID列表
如图5-127所示,在目录树“Bridge”→“NAT”标签下,首先使能“NAT”,添加本地IP地址和子网掩码为192.168.0.1,255.255.255.0。单击“Set Values”按钮设置成功。然后单击“New”。该IP地址是内部网络设备的默认网关的IP地址。也就是NAT要替换的IP地址。
图5-127 NAT IP地址设定
如图5-128所示,编辑PAT来访问IP地址为192.168.0.2的SCALANCE X-400的Web Server。HTTP的目的端口号为80。外部网络访问内部网络的端口号自定义为15555。
图5-128 设置端口号
这时如图5-129所示,查看设置完毕的NAT界面。
图5-129 NAT设置信息查询
如图5-130所示,单击上方蓝色的“Restart to apply changes”,自动弹出重启画面。
图5-130 重启
单击“Restart”按钮重新启动SCALANCE W模块。重新启动之后,PG/PC会与该SCALANCE W断开连接,而且使用PST浏览,只能看到192.168.0.1/24的设备。这个IP地址是所设置的本地IP。这时PG处于内部网络。修改PG的IP地址为192.168.0.13,可以再次登录该设备。不过可以看到登录界面的标题栏为192.168.10.1,如图5-131所示。
图5-131 登录界面
组态SCALANCE W788作为接入点模式。如图5-132所示,首先设置PG的IP地址为192.168.10.13,通过以太网网线直接与SCALANCE W相连。然后使用PST软件,浏览网上设备。给W788无线访问点AP分配IP地址为192.168.10.2。通过IE浏览器打开该SCALANCE W的Web页面,输入用户名和密码,均为“admin”进入。单击目录树“Sys-tem”标签,修改“Country code”为“CHINA”,单击“Set Values”按钮设置成功。
图5-132 系统参数
如图5-133所示,单击目录树“Interfaces”→“WLAN”标签,修改SSID为“NAT”。
重新启动后,查看两个SCALANCE W788模块的客户端和AP的状态。如图5-134所示,在客户端目录树“Information”→“Available WLAN”标签下,可以发现已经与接入点连接,SSID为“NAT”。
图5-133 无线接口参数
图5-134 AP信号列表
如图5-135所示,在接入点的“Information”→“Clients list”标签下,可以发现客户端已经与该接入点建立起了连接。
图5-135 客户端信号列表
测试NAT和PAT。按照图5-125的网络组态结构,设置PC和交换机的IP地址。网络连接后,设置PG/PC1主机的IP地址信息。如图5-136所示,注意需要设置默认网关为192.168.0.1。需要与在客户端设置的Local IP的IP地址相一致。
设置SCALANCE X400-1的IP地址为192.168.0.2。通过IE浏览器打开,如图5-137所示,在Agent标签中,设置“Default Gateway”为192.168.0.1。这需与在客户端设置的Lo-cal IP的IP地址相一致。
图5-136 设置PG/PC IP地址
图5-137 设置交换机IP地址
按照外部网络的IP设置,分别给SCALANCE X400-2和PG/PC2设置IP地址。这里不需要设置任何的默认网关。
图5-138 SuperScan操作页面
PG/PC1通过SuperScan来Ping外部网络设备,观察结果如图5-138所示。证明可以全部Ping通。
PG/PC2通过SuperScan来Ping内部网络设备,观察结果如图5-139所示。发现找不到任何内部网络的设备。从而达到了保护内部网络的作用。
图5-139 搜索结果
在外部网络的PG/PC2上,通过IE浏览器输入网址//192.168.10.1∶15555。可以发现打开了SCALANCE X-400的一个登录画面。如图5-140所示,输入用户名和密码均为“admin”。
图5-140 交换机登录界面
登录该设备,如图5-141所示。可以看到登录界面的标题栏为192.168.10.1。内部Web页面上显示的是192.168.0.2,这样就完成了端口的地址解析。
图5-141 页面显示
5.6.3 生成树组态
1.STP概述
生成树协议(Spanning Tree Protocol,STP)能够提供路径冗余,使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树,并且迫使一定的备份路径处于备用状态。如果生成树中的网络一部分不可达,或者STP值变化了,生成树算法会重新计算生成树拓扑,并且通过启动备份路径来重新建立连接。
2.STP组态
根据图5-142的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。
图5-142 STP网络拓扑图
首先配置三个作为无线接入点的SCALANCE W788,按照前面WDS的设置方式以线性方式连接三个无线接入点成为无线主干网。
如图5-143所示,在无线接入点的目录树“Bridge”→“WDS”标签下,填入与自身接入点进行WDS连接的对方接入点的WLAN接口MAC地址,单击“Set Values”按钮。注意在对方接入点的相应位置也要填写并选取本方接入点的WLAN接口MAC地址。WDS连接没有建立时,Link状态显示为红色。
图5-143 设置WDS
为了增加无线连接的可靠性,我们可以采用环形方式连接WDS系统,实现首尾连接。这时如果不采用STP,无线网络内会形成广播风暴,并且导致整个无线网络通信瘫痪。
其次如图5-144所示,在三个无线接入点上的目录树“Bridge”→“Spanning Tree”标签下,使能RSTP或STP协议,其他参数按默认设置即可。
图5-144 激活RSTP
5.7 SCALANCE W网络管理
5.7.1 Load&Save
1.TFTP概述
TFTP是Trivial File Transfer Protocol的缩写,意为简单文件传输文件协议。该协议与FTP(文件传输协议)的区别在于没有目录和授权加密机制,并且传输的容量有限制,一般用于传输小文件。所以主要用于简单下载组态文件,网络器件的软件升级等等。
TFTP协议基于UDP协议,数据报文长度为512B,服务器端口号为69。TFTP协议有着自身的校验机制。每一个数据报文发送之后,都有一个应答来响应。
TFTP支持3种传输模式,分别为“netascii”,“octet”和“mail”。前两种模式分别对应“ASCII”和“Image”(binary)模式。“mail”模式现在很少使用。
SCALANCE W作为TFTP客户端,支持TFTP协议,不能通过WBM来禁止或激活该协议。
2.TFTP组态
根据图5-145的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W。可以通过两种协议对SCALANCE W进行配置组态文件、Firmware文件和日志文件的操作:HTTP和TFTP。下面将会举例升级Firmware文件的步骤。
图5-145 TFTP网络拓扑图
从西门子中国技术支持网站下载最新的SCALANCE W788的Firmware,在网址http://support.automation.siemens.com/CN下,输入条目号:26730993。下载Firmware文件SCALANCE_W700_V3315.LAD。
如图5-146所示,在目录树“System”→“Load&Save”标签下,可以看到SCALANCE W788的Firmware版本是V 3.1.26。
图5-146 查看软件版本号
首先通过HTTP协议进行配置,只需要配置要升级的Firmware文件目录,如图5-147所示,单击“Set Values”按钮后再单击“Load”按钮,就完成了对SCALANCE W的固件进行了升级。
图5-147 HTTP升级软件版本
然后,通过TFTP协议进行配置,选择TFTP Desktop软件作为TFTP服务器安装在PG/PC上。设置Firmware文件存放路径如图5-148所示。
图5-148 TF TP服务器
如图5-149所示,依次进入目录树“System”→“Save&load”→“TFTP”标签,设置TFTP Server的IP地址为192.168.9.158。端口为69,Firmware文件名称一定要有存放路径内的Firmware文件名称一致。单击“Set Values”按钮后再单击“Load”按钮,就完成了对SCALANCE W的固件进行了升级。保存组态文件和日志文件的方法也可按上述步骤进行。
这时如图5-150所示,查看SCALANCE W的Firmware版本号为V3.3.15。
图5-149 TFTP升级软件版本
图5-150 查看软件版本
5.7.2 Syslog
Syslog组态
PG/PC与SCALANCE W的以太网端口相连。根据图5-151所示的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W模块。
图5-151 Syslog网络拓扑图
使用PST软件给SCALANCE W788的IP地址设置为192.168.9.82,然后通过IE浏览器打开,如图5-152所示,在目录树“System”→“Events”标签下,使能Log选项,单击“Set Values”按钮完成设置。
图5-152 系统事件配置
如图5-153所示,在目录树“System”→“Syslog”标签下,根据需要设置Syslog Server的PG/PC的IP地址为192.168.9.158。
图5-153 设定Syslog服务器
将Kiwi Syslog Daemon软件安装在PG/PC上,作为Syslog服务器。对SCALANCE W788进行热启动,如图5-154所示,查看Syslog的内容,这样可以容易地管理和诊断SCALANCE W788。
图5-154 Syslog服务器界面
5.7.3 E-mail
1.SMTP概述
SMTP是Simple Mail Transfer Protocol的缩写,意为“简单邮件传输协议”。它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。SMTP协议属于TCP/IP协议族,它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,我们就可以把E-mail寄到收信人的服务器上了,整个过程只要几分钟。SMTP服务器则是遵循SMTP协议的发送邮件服务器,用来发送或中转你发出的电子邮件。
SMTP用于客户端和服务器之间直接建立通信关系。使用端口号25。我们常用的E-mail地址用于一对一的识别。例如user@domain。domain指的是域名,该域名是SMTP Server的域名。这样SCALANCE-W788@ADCS.COM就表示用户SCALANCE-W788在ADCS.COM的域上。
SCALANCE W支持SMTP协议,可以通过WBM来禁止或激活该协议。通过这样的设置,客户端所产生的事件信息通过SMTP协议发送到邮件服务器中的账户SCALANCE-W788上。
2.SMTP组态
PG/PC与SCALANCE W的以太网端口相连,根据图5-155所示的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W模块。
图5-155 SMTP网络拓扑图
使用PST软件给SCALANCE W788的IP地址设置为192.168.9.82,然后通过IE浏览器打开,如图5-156所示,在目录树“System”→“Events”标签下,使能“E-mail”选项,单击“Set Values”按钮完成设置。
图5-156 系统事件配置
如图5-157所示,在目录树System→E-Mail标签下,设置E-mail地址为“SCALANCE-W788@ADCS.COM”。SMTP服务器的IP地址192.168.9.158。单击“Set Values”按钮结束设置。
使用Mailtraq软件作为SMTP server安装在PG/PC上。首先定义SMTP server的属性。如
图5-157 E-mail地址设置
图5-158 设置SMTP服务器
图5-158所示,点选菜单栏“Options”→“Server”,“Server Properties”对话框显示出来。根据该属性对话框,在“Server”栏定义该SMTP Server的域名为ADCS.COM。在“LAN”标签下,定义“192.168.9.∗”,目的是指定接收邮件信息的设备的IP地址范围。在“On-line”标签下,选中“No Internet Connection(Local Network Only)”项。
对SCALANCE W788进行热启动,在邮件服务器上查看收到的邮件,如图5-159所示。
图5-159 查看邮件状态
5.7.4 SNMP
关于SNMP的概念,在本书4.2.9节已进行过介绍,下面专门介绍SNMP在SCALANCE W的组态。
图5-160 SNMP网络拓扑图
SNMP组态
PG/PC通过本机网卡与SCALANCE W788模块用以太网线直接相连,SNMP OPC Server通过轮询方式接收到SCALANCE X-400的状态信息。这些信息可以通过OPC Client来显示,这个项目使用WinCC Flexible RT HMI系统,通过组态SNMP变量,显示到画面上。
根据图5-160的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W模块。使用PST软件给SCALANCE W788的IP地址设置为192.168.9.82,浏览IE左侧的目录树,如图5-161所示,选择目录树“System”→“SNMP”标签。“public”和“private”是SNMPv1/v2c的认证名。通过public认证名和private认证名,管理器(PG/PC)可对代理设备(SCALANCE W788)进行读、写操作。
图5-161 SNMP设定
如图5-162所示,在IE浏览器的地址栏内输“192.168.9.82/snScalanceW.mib”,注意区分大小写,可以看到SCALANCE W700系列对应的SIEMENS制造商的私有MIB信息。
图5-162 私有MIB信息
打开Step7程序,在SIMATIC Manager中,选择“options”菜单下的“Set PG/PC inter-face”。如图5-163所示,设置PG/PC接口为“TCP/IP→Broadcom NetXtreme 57...”,指向本机网卡。
图5-163 设置PG/PC接口
如图5-164所示,在Step7中新建一个项目SCALANCE W_SNMP,然后在该项目中加入一个SIMATIC PC Station。
图5-164 插入SIMATIC PC Station
首先进行硬件组态,如图5-165所示,分别插入WinCC flexible RT,OPC Server,IE General。需要注意OPC Server的版本为6.4。这要与本机的SIMATIC Net版本一致。
IE General的IP地址,需要设置与本机一致192.168.9.158,如图5-166所示,双击OPC Server栏,弹出OPC Server属性画面。选择SNMP栏,默认属性保持不变。
图5-165 硬件组态
图5-166 设置OPC参数
如图5-167所示,单击Edit Plant Configuration按钮,打开编辑系统组态画面。
如图5-168所示,单击“Find”按钮,打开浏览网络画面。单击“Start”按钮,开始搜索网络节点SCALANCE W788。然后导入此节点。在编辑系统组态画面,可以看到需要监视的节点。
图5-167 编辑系统画面
图5-168 查看监视节点
选中该节点是底色变为蓝色,单击Edit....按钮,可以对选择的节点进行编辑。如图5-169所示,Name就是在IE中设置的SCALANCE X-400的系统名。
图5-169 节点编辑
IP地址就是SCALANCE X-400(A-gent)的IP地址。“Device profile”是系统推荐的device profile。也可以选择一个对应的profile或新建一个所需要的profile。“Community”就是Manager(WinCC flexible RT)访问Agent(SCALANCE X-400)的一种权限密码,即认证名,“public”认证名表示访问Agent的只读权限;“Private”认证名表示访问Agent的读写权限。“Time-out”表示OPC Client轮询Agent的最大响应时间,默认为9s。使能“SNMP Optimiza-tion”表示为了较少网络负载,较少循环时间,许多相同类型的数据可以用一个数据帧来传送。
默认的“Device profile”为MIB-II_V10.txt,如图5-170所示,可以通过下拉菜单选择适用于SCALANCE W788的profile为“Profile_SCALANCE_W700_V10.txt”。
图5-170 节点编辑
通过选择匹配的Profile,就可以选择多种SNMP变量显示在PG/PC上。另外用户也可以根据需求定制Profile,如图5-171所示。
图5-171 选择/建立Profile
单击PG/PC右下角任务栏内的图标
,双击弹出“Station Configuration Editor”,如图5-172所示,按照硬件组态的顺序,添加相应的硬件,单击Station Name按钮,设置站名与STEP7中建的PC站的名字相同,为“SNMP”。
在Step7的SIMATIC Manager中下载组态的硬件。观察“Station Configuration Editor”,如图5-173所示,组态OPC Server已经设置成功。
图5-172 添加硬件组态
图5-173 下载/监控硬件组态
依次进入Windows操作系统“开始”→“SIMATIC”→“SIMATIC Net”→“Configura-tion Console”弹出OPC组态控制台,如图5-174所示,注意一定要勾选“SNMP”。
图5-174 OPC组态控制台
打开OPC Scout进行测试。如图5-175所示,添加SNMP变量,Quality指示为“good”代表数据通信正常。
图5-175 OPC Scout测试
在SIMATIC Manager中打开集成的WinCC flexible RT的连接组态。如图5-176所示,在WinCC flexible组态通信连接。
如图5-177所示,在WinCC flexible中添加“通信速率”、“信号强度”和“IP地址”等SNMP变量。
如图5-178所示,在WinCC flexible画面中组态相应的变量。
在Screen_1新建一个画面。给定义的方格定义显示方式。添加文本框,添加对应的IO对话框加入要显示的变量,如图5-179所示。
图5-176 组态WinCC flexible通信连接
图5-177 添加详细参数
图5-178 组态画面1
图5-179 组态画面2
保存编译后显示SCALANCE W788的“信号强度”和“IP地址”等SNMP变量画面,如图5-180所示。
图5-180 画面显示
5.7.5 SNTP
1.SNTP概述
SNTP(Simple Network Time Protocol,简单网络时间协议),是NTP(Network Time Proto-col,网络时间协议)的改进版本。使用该协议可以同步Internet上的网络设备的时钟。
SNTP协议采用客户机/服务器的工作方式,服务器通过接收GPS信号或自带的原子钟作为系统的时间基准,客户机通过定期访问服务器提供的时间服务获得准确的时间信息,并调整自己的系统时钟,达到网络时间同步的目的,精确到秒。
客户端和服务器通信采用UDP协议,端口为123。SNTP协议可以使用单播、广播或多播模式进行工作。
2.SNTP组态
PG/PC通过西门子交换机与SCALANCE W的以太网端口相连,根据图5-181所示的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W模块。
图5-181 SNTP网络拓扑图
首先设置SNTP服务器——西门子时钟同步模块SICLOCK TM。
1)通过参数2A Time&Date设置当前的时间和日期。
2)通过参数6A LAN gerneral,设置SICLOCK TM的SNTP Server的IP地址为192.168.9.99,子网掩码为255.255.255.0。
3)通过参数6F LAN extras,设置SNTP Server的参数为Multicast 10sec。
然后设置作为SNTP客户端的SCALANCE W788,如图5-182所示,在目录树“System”→“SNTP”标签下,设置SNTP Server的IP地址为192.168.9.99。更新间隔和时区偏差为默认设置。
图5-182 设置SNTP
如图5-183所示,单击“Set Values”按钮后,SCALANCE W作为客户端可以从SNTP Server上取得系统时间。
图5-183 更新SNTP
时钟同步完成后,对AP1的有线以太网口进行插拔一次,如图5-184所示,可以查看“Information”→“Log Table”标签下的一些连接状态信息。
图5-184 系统信息
5.8 SCALANCE W网络安全功能
无线网络技术提供了使用网络的便捷性和移动性,给复杂的工业控制网络连接提供了灵活的连接方式。但WLAN在工业控制场合与在办公室中有很大的不同,这就要求工业无线局域网IWLAN,有着可靠、耐用、安全等特点。西门子无线产品SCALANCE W具备上述的特点,越来越多的工业控制场合使用SCALANCE W构建无线工业局域网,满足工业设备高速稳定灵活的通信。
工业无线控制场合,信息安全是非常重要的要求。无线局域网络由于是通过无线信号来传送数据的,无线信号在发射出去之后就无法控制其在空间中的扩散,因而任何具有合适接收设备的人都可以捕获该频率的信号,进而进入目标网络。除非访问者及设备的身份验证和授权机制足够健全,这样任何具有兼容的无线网卡的用户就可以访问该网络。如果不进行有效的数据加密,无线数据就以明文方式发送,这样在某个无线访问点的信号有效距离之内的任何人都可以检测和接收往来于该无线访问点的所有数据。黑客不需要攻进内部的有线网络就能轻而易举地在无线局域网信号覆盖的范围内通过无线客户端设备接入网络。只要能破解无线局域网的不安全的相关安全机制就能彻底攻陷企业生产的局域网络,导致影响工业控制,造成产品生产中断,甚至人员伤亡。
为了保证无线网络的安全,西门子SCALANCE W通过安全向导和安全选项提供了多种方式来保证IWLAN的信息安全,保障工业控制的稳定和安全。下面主要介绍保护SCALANCE W无线网络安全需要采取的基本安全措施。
5.8.1 访问协议控制
用户登录无线产品有多种协议支持方式,例如PING,SNMP和Telnet等协议。如图5-185所示,可以禁止一些协议来满足安全要求。在SCALANCE W中可以通过System标签下的选项激活和禁止相应协议的访问。
图5-185 访问协议控制设定
5.8.2 更改默认SSID名称与禁用SSID广播
无线设备有一个出厂前的SSID(服务组标识符)设置。SSID标识您的无线网络,最长不能超过32个字符。SCALANCE W的默认SSID是“Siemens Wireless Network”。如果黑客事先知道这个默认值,就可以用它接入工厂的无线网络。所以将网络的SSID改为独特的名称,如图5-186所示。
图5-186 无线接口参数
虽然修改了SSID的默认名,但是多数无线网络设备默认启用SSID广播,任何人用此信息即可轻而易举地接入您的无线网络,因此最好禁用SSID广播。用户可能会认为广播SSID能通过单击操作方便地接入网络,但用户可以将网络上的设备配置为自动连接到指定SSID,而无须从AP广播SSID。如图5-187所示,SCALANCE W支持禁止SSID广播,启用禁止SSID广播,这样只有知道该SSID的Client才能访问AP,通过这种简单的方法可以保护SCALANCE W无线网络的非授权的访问。
图5-187 加密方式
5.8.3 更改管理员或用户默认密码
对于无线产品(例如接入点和客户端)来说,需要输入用户名和密码才能更改设置。这些设备有出厂前的默认密码。SCALANCE W产品的用户名和默认密码是admin。黑客知道用户名和默认密码,会尝试用该密码访问您的无线设备、更改您的网络设置。要防止任何未经授权的更改,修改设定设备的密码,密码要难以被人猜出。SCALANCE W的密码最长不能超过31个字符。可以有数字、字符和一些特殊字符组成。如图5-188所示,可以通过这个界面配置用户和管理员的密码。
图5-188 密码设定
5.8.4 ACL
1.ACL概述
ACL(Access Control List,访问控制列表)是交换机、路由器及防火墙中的常用技术,常用来根据事先设定的访问控制规则,过滤某些特定MAC地址、IP地址、协议类型、服务类型的数据包,合法的允许通过,不合法的阻截并丢弃。访问控制列表技术是包过滤防火墙的基础技术,但是在防火墙和交换机、路由器中,默认的转发和拦截规则是不一样的。SCALANCE W也支持访问控制列表功能ACL,通过配置MAC地址和访问权限来实现。每个网络设备客户端都有唯一的标识——MAC地址。启用MAC地址过滤功能,只有特定MAC地址的无线设备提供无线网络访问许可。例如,可以指定只让工厂内的客户端访问无线网络。这样黑客很难用随机的MAC地址访问您的网络。同时SCALANCE W配备了两种密钥的验证,一种是默认密钥,另外一种是私钥。
2.ACL组态
PG/PC1与PG/PC2通过各自的无线网卡与AP通过基础架构方式相连接。根据图5-189所示的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W模块。其中PG/PC1的MAC地址为00-11-25-12-7B-1F;PG/PC2的MAC地址为00-0C-F1-5C-83-03。相应的IP地址参考ACL组态图。通过SCALANCE W788组态设置ACL,查看PG/PC1对PG/PC2的访问。
图5-189 ACL网络拓扑图
如图5-190所示,通过IE浏览器打开SCALANCE W的网页,输入用户名和密码,均为“admin”。在“Security”→“ACL”标签下,单击“New”按钮,把管理员PG/PC1的无线网卡MAC地址输入到ACL列表中。选择允许操作。
图5-190 访问控制列表
图5-191 访问控制设定
如图5-191所示,把黑客PG/PC2的无线网卡MAC地址输入到ACL列表中,选择拒绝操作。
如图5-192所示,设置使能菜单后,单击“Set Values”按钮。然后重新启动SCALANCE W。
图5-192 访问控制监控
通过对SCALANCE W的访问控制列表进行设置,使得只有管理员PG/PC1的无线网卡可以访问SCALANCE W。来自于黑客PG/PC2的无线网卡被拒绝访问SCALANCE W。
5.8.5 使用验证和加密功能
1.信息安全概述
有线等效私有协议(WEP)和WiFi保护访问(WPA)为无线通信提供不同级别的安全保护。WPA被公认为比WEP安全,因为它用动态密钥加密。当需要更高的安全级别时,应当启用网络设备支持的高级加密机制。
SCALANCE W通过授权和加密机制对无线网络提供全面的保护。SCALANCE W提供了Shared-key,WPA-PSK,802.1x,WPA2-PSK,WPA2,WPA-Auto-PSK和WPA-Auto等验证方式。并且提供了WEP,TKIP和AES等加密机制。相应的加密机制与授权方式配合使用。
2.网络组态
PG/PC与SCALANCE W的以太网端口相连,根据图5-193所示的网络拓扑图设置PG/PC的IP地址,使用PST软件设置SCALANCE W788的IP地址。另外可以使用PG/PC通过IE浏览器来直接连接调试SCALANCE W模块。
图5-193 网络拓扑图
如图5-194所示,在作为AP的SCALANCE W788的“Security”→“Basic WLAN”标签下,设置验证方式为WPA/WPA2-AUTOPSK,加密机制选择AUTO,既可以是AES也可以是TKIP,最后设置有一定复杂程度的密码,单击“Set Values”按钮完成设置。这时接入点就启用了高级的网络安全功能。
使用PG/PC的无线网卡搜索已有的无线网络,发现设置的无线网络Siemens Wireless Network的网络安全功能已启用。如图5-195所示,单击链接按钮,弹出对话框按要求输入密码。
图5-194 加密方式
图5-195 密码验证
这时如图5-196所示,客户端与接入点的连接已经建立。客户端可以无线访问接入点。
图5-196 连接状态