西门子授权模块总经销商

工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——浔之漫智控技术(上海)有限公司，作为西门子中国有限公司授权合作伙伴，浔之漫智控技术（上海）有限公司代理经销西门子产品供应全国，西门子工控设备包括S7-200SMART、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。公司国际化工业自动化科技产品供应商，是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统

集成和硬件维护服务的综合性企业。西部科技园，东边是松江大学城，西边和全球**芯片制造商台积电毗邻，作为西门子授权代理商，西门子模块代理商，西门子一级代理商，西门子PLC代理商，西门子PLC模块代理商，

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品与此同时，我们

向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等

交通主干道将松江工业区与上海市内外连接，交通十分便利。

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品，我们以持续的卓越与服务，取得了年销

售额10亿元的佳绩，凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作，只为能给中国的客户提供值得信赖的服务体系，我们

的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。

项目处于**模式。 ● 安全模块处于路由模式，或者 DMZ 接口已激活（** SCALANCE S623 / S627- 2M）。 如何访问此功能 1. 选择要编辑的安全模块。 2. 选择菜单命令“编辑 > 属性...”(Edit > Properties...)，然后选择“NAT/NAPT”选项卡。 3. 需要时，根据 NAT（Network Address Translation，网络地址转换）或 NAPT（Network Address Port Translation，网络地址端口转换）启用地址转换。 使用 NAT（网络地址转换）进行地址转换 NAT 是一种在两个地址空间内转换地址的协议。 主要任务是将私有地址转换为公共地址；换句话说，转换为在 Internet 上使用甚至路由的 IP 地址。这样，内部网络的 IP 地址便不会被外部网络的外部得知。内部节点仅在使用地址转换列表（NAT 表）中指定的外部 IP 地址的外部网络中可见。如果外部 IP 地址不是安全模块的地址并且内部 IP 地址是唯一的，这称为 1:1 NAT。利用 1:1 NAT，内部地址转换为该外部地址时无需端口转换。否则，会使用 n:1 NAT。 使用 NAPT（网络地址端口转换）进行地址转换 使用 NAPT 进行地址转换会将目标 IP 地址和目标端口改为通信关系（端口转发）。 会转换来自外部网络或 DMZ 网络并将用于安全模块 IP 地址的帧。如果帧的目标端口与“源端口”(Source port) 列中指定的其中一个值相同，则安全模块会替换 NAPT 表的相应行中指定的目标 IP 地址和目标端口。回复时，安全模块将初始帧中包含的目标 IP 地址和目标端口的值用作源 IP 地址和与 NAT 的区别是，此协议可以同时转换端口。不存在 1:1 的 IP 地址转换。此时，只有一个公共 IP 地址转换为一系列私有 IP 地址外加端口号。 VPN 隧道中的地址转换 对通过 VPN 隧道建立的通信关系，可使用 NAT/NAPT 进行地址转换。SCALANCE M（仅 1:1-NAT）和 SCALANCE S612/S623/S627-2M V4 型的连接伙伴支持这种转换。 有关在 VPN 隧道中进行地址转换的详细信息，请参见以下部分： ● 使用 NAT/NAPT 进行地址转换 (页 206) ● 在 VPN 隧道中使用 NAT/NAPT 进行地址转换 (页 214) 旧项目 NAT/NAPT 规则的转换 对于 SCT V4.0，NAT/NAPT 规则和相应防火墙规则的组态模式已发生变化。要在 SCT V4.0 中调整或扩展使用 SCT V3.0/V3.1 创建的项目的 NAT/NAPT 规则，首先需要将 NAT/NAPT 规则转换为 SCT V4.0。为此，在 NAT/NAPT 规则的快捷菜单中选择菜单命令“将所有 NAT/NAPT 规则转换为 SCT V4”(Convert all NAT/NAPT rules to SCT V4) 或“将所选的 NAT/NAPT 规则转换为 SCT V4”(Convert selected NAT/NAPT rule to SCT V4)。之后，SCT 会为已转换的 NAT/NAPT 规则自动生成防火墙规则，启用在组态的地址转换方向上的通信。如果这些规则与自动生 成的防火墙规则相矛盾，则修改或删除这些为 NAT/NAPT 规则手动创建的防火墙规则。*后，按需要调整和/或扩展 NAT/NAPT 与防火墙规则。 一致性检查 - 必须遵守这些规则 此外，请记住以下规则，以获得一致的条目： ● 内部接口的 IP 地址不得在 NAT/NAPT 表中使用。 ● NAT/NAPT 地址转换列表中使用的 IP 地址不能是组播地址或广播地址。 ● 为 NAPT 转换分配的外部端口的范围在 0 到 65535 之间（含 65535）。 端口 123 (NTP)、443 (HTTPS)、514 (Syslog)、161 (SNMP)、67+68 (DHCP) 和 500+4500 (IPsec) 在安全模块上已激活相关服务时除外。 ● 安全模块的外部 IP 地址或 DMZ 接口的 IP 地址只能在操作“源 NAT”的 NAT 表中使用。● 检查 NAT 表中的重复项 在“目标 NAT”或“源 NAT + 目标 NAT”方向上使用的外部 IP 地址或 DMZ 网络中的 IP 地址只能在 NAT 表中指定的各个方向上出现一次。 ● 检查 NAPT 表中的重复项 – 接口的“源端口”(Source port) 列的端口号或端口范围不得重叠。 ● 内部 NAPT 端口的范围可在 0 到 65535 之间（含 65535）。 完成输入后，应进行一致性检查。 选择菜单命令“选项 > 检查一致性”(Options > Consistency checks)。 5.1.4 使用 NAT/NAPT 进行地址转换 启用 NAT 启用 NAT 的输入框。NAT 地址转换仅对下面介绍的地址转换列表中的条目有效。创建 NAT 规则以后，相应的防火墙规则会在**模式下生成并显示，请参见以下部分： NAT/NAPT 路由器与防火墙之间的关系 (页 216) 如果外部接口或 DMZ 接口的 PPPoE 已激活，则不能组态操作“目标 NAT”。组态操作“源 NAT”时，不能在“源转换”(Source translation) 输入框中输入 IP 地址，因为此地址会在运行期间动态获得。 可能的 NAT 地址转换 下表列出了使用 NAT 进行地址转换的输入选项。 操作“目标-NAT”-“Redirect” 可在以下方向执行操作“目标 NAT”： ● 外部到内部 如果安全模块（** SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上执行操作“目标 NAT”。 ● 外部到 DMZ ● DMZ 到内部如果 SCALANCE S 模块位于 VPN 组中（对 SCALANCE S602 不适用），还可以在以下方向上执行操作“目标 NAT”： ● 隧道到内部 ● 隧道到外部 ● 隧道到 DMZ（仅当 DMZ 接口激活时） 例如，以下规则适用于“外部到内部”方向：检查从外部网络进入的帧，看其目标 IP 地址是否与“目标 IP 地址”(Destination IP address) 输入框中指定的 IP 地址匹配。如果匹配，则将该帧的目标 IP 地址替换为“目标转换”(Destination translation) 输入框中指定的 IP 地址，将该帧转发到内部网络。此时，可以通过外部地址从外部网络访问内部网络。 下表列出了操作“目标 NAT”所需的输入。 框 可能的条目 含义 源 IP 地址 (Source IP address) 与此操作无关。 - 源转换 (Source translation) 与此操作无关。 - 目标 IP 地址 (Destination IP address) 源网络中的 IP 地址 源网络中的目标 IP 地址，通过该地址可以访问目标网络中的 IP 地址。目标 IP 地址不得与源网络中安全模块的 IP 地址匹配。 如果帧中的目标 IP 地址与输入的地址匹配，那么将用目标网络中 的相应 IP 地址替换该地址。 指定的目标 IP 地址将成为别名地址。这意味着，指定的 IP 地址也将注册为所选接口的 IP 地址。别名地址还显示在安全模块的“接口”(Int erfaces) 选项卡中。确保别名地址不会在网络中引起 IP 地址冲突。NAT”-“Masquerading” 可在以下方向执行操作“源 NAT”： ● 内部到外部 如果安全模块（** SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上执行操作“源 NAT”。 ● 内部到 DMZ ● 外部到 DMZ ● DMZ 到外部 如果 SCALANCE S 模块位于 VPN 组中（对 SCALANCE S602 不适用），还可以在以下方向上执行操作“源 NAT”： ● 内部到隧道 ● 隧道到内部 ● 外部到隧道 ● DMZ 到隧道（仅当 DMZ 接口激活时） 例如，以下规则适用于“内部到外部”方向：检查从内部网络进入的帧，看其源 IP 地址是否与“源 IP 地址”(Source IP address) 输入框中指定的 IP 地址匹配。如果两者匹配，则将带有“源转换”(Source translation) 输入框中所指定外部 IP 地址的帧转发到外部网络，作为新的源 IP 地址。在外部网络中，通过外部 IP 地址进行转换。含义 源 IP 地址 (Source IP address) 源网络中的 IP 地址 指定节点的源 IP 地址由“源转换”(Source translation) 输入框中指定的 IP 地址替换。 源网络中的 IP 地址范围/IP 地址段 IP 地址范围/IP 地址段的 IP 地址由“源转换”(Source translation) 输入框中指定的 IP 地址替换。 源转换 (Source translation) 目标网络中的 IP 地址 将用作新的源 IP 地址的 IP 地址条目。 如果此处输入的 IP 地址不是安全模块的 IP 地址，则会成为别名地址。这意味着，指定的地 址还将注册为所选接口的 IP 地址。别名地址还显示在安全模块的“接口”(Interf aces) 选项卡中。确保别名地址不会在网络中引起 IP 地址冲突。 目标 IP 地址 (Destination IP address) 与此操作无关。 与此操作无关。 目标转换 (Destination translation) 与此操作无关。 与此操作无关。 编号 (No.) - SCT 分配的编号，用于引用 SCT 根据 NAT 规则生成的防火墙规则。可以在目标网络中将地址转换组态为模块的 IP 地址，因为所有帧都是从源网络进入目标网络。安全模块还为每个帧分配端口号。这是一 种 n:1 的 NAT 地址转换，通过此转换，源网络的多个 IP 地址将转换为目标网络的一个 IP 地址。 例如，输入以下适用于“内部到外部”方向的参数： • 操作：“源 NAT” • 从：“内部” • 到“外部” • 源 IP 地址：“*” • 源转换：安全模块的外部 IP 地址 操作“源 NAT + 目标 NAT”-“1:1-NAT” 可在以下方向执行操作“源 NAT + 目标 NAT”： ● 内部到外部 如果安全模块（** SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上执行操作“源 NAT + 目标”。 ● 内部到 DMZ ● 外部到 DMZ ● DMZ 到外部 如果 SCALANCE S 模块位于 VPN 组中（对 SCALANCE S602 不适用），还可以在以下方向上执行操作“源 NAT + 目标 NAT”： ● 外部到隧道 ● 内部到隧道 ● DMZ 到隧道（仅当 DMZ 接口激活时） 例如，以下规则适用于“内部到外部”方向：从内部访问外部时，执行操作“源 NAT”。从外部访问内部时，执行操作“目标 NAT”。表列出了操作“源 NAT + 目标 NAT”所需的输入: 框 可能的条目 含义 源 IP 地址 (Source IP address) 源网络中的 IP 地址 组态始终在源 NAT 方向上指定。SCT 源网络中的 IP 地址范围 随后会自动插入目标 NAT 方向的 IP 地址。 源转换 (Source translation) 目标网络中的 IP 地址 目标 IP 地址 (Destination IP address) 与此操作无关。 目标转换 (Destination translation) 与此操作无关。 编号 (No.) - SCT 分配的编号，用于引用 SCT 根据 NAT 规则生成的防火墙规则。 操作“双 NAT” 对于 SCALANCE S 模块，可在以下方向上执行操作“双 NAT”： ● 内部到外部 ● 外部到内部 如果安全模块（** SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上执行操作“双 NAT”。 ● 内部到 DMZ ● 外部到 DMZ ● DMZ 到内部 ● DMZ 到外部 各个方向上的源和目标 NAT 始终同时进行。 例如，以下规格适用于“外部到内部”方向：从外部访问内部时，替换外部节点的源 IP 地址（源 NAT）。访问内部网络还使用“目标 IP 地址”(Destination IP address) 输入框中指定的外部 IP 地址（目标 NAT）。 例如，使用目标 NAT 为要访问的设备输入标准路由器而非安全模块时，可以使用此操作。这时，此设备的响应 帧不发送到已输入的标准路由器，而是发送到相应的安全模块接口。