西门子SITOP电源中国一级经销商

提供西门子G120、G120C V20 变频器； S120 V90 伺服控制系统；6EP电源；电线；电缆；

网络交换机；工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——浔之漫智控技术(上海)有限公司，作为西门子中国有限公司授权合作伙伴，浔之漫智控技术（上海）有限公司代理经销西门子产品供应全国，西门子工控设备包括S7-200SMART、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。公司国际化工业自动化科技产品供应商，是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统

集成和硬件维护服务的综合性企业。西部科技园，东边是松江大学城，西边和全球**芯片制造商台积电毗邻，作为西门子授权代理商，西门子模块代理商，西门子一级代理商，西门子PLC代理商，西门子PLC模块代理商，

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品与此同时，我们

向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等

交通主干道将松江工业区与上海市内外连接，交通十分便利。

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品，我们以持续的卓越与服务，取得了年销

售额10亿元的佳绩，凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作，只为能给中国的客户提供值得信赖的服务体系，我们

的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。

必须对不满足这些条件的网络节点进行静态组态。 说明 DMZ 接口不支持 VPN 隧道学习模式 只有网桥模式下连接的接口才支持内部节点学习功能。DMZ 接口始终以路由模式连接。 如何访问此功能 1. 选择要编辑的 SCALANCE S 模块。 2. 选择菜单命令“编辑 > 属性...”(Edit > Properties...)，“VPN”选项卡。如果内部网络是静态网络（即内部节点的数量及其地址不发生变化），则禁用学习模式很 有效。 禁用学习模式可减少内部网络中介质和网络节点因传送学习数据包带来的负载。SCALAN CE S 模块的性能也会得到**，因为再无需处理学习帧。 注意：在学习模式下，会检测内部网络中的所有网络节点。与 VPN 组态限制有关的信息仅与内部网络中通过 VPN 进行通信的网络节点有关。 说明 如果对多于 128 个内部节点进行操作，则会超出允许的组态限制，并导致非法操作状态。由于网络**中 存在动态变化，这会导致已学习的内部节点被新出现的以前未知的内部节点替换。 无法学习的网络节点 内部网络中存在无法学习的节点。这包括 SCALANCE S 模块内部局域网中的子网节点（例如，路由器下游）。这些子网也无法学习。必须在** 模式下静态组态这些无法学习的节点和子网。 说明 无法返回标准模式 如果针对当前项目切换到**模式并更改组态，则无法再切换回原来的模式。 SCT 单机版的补救措施：关闭项目而不保存，然后再次打开。 6.9.3 显示检测到的内部节点 所有找到的网络节点都显示在安全组态工具中。 1. 切换到“在线”模式。 2. 选择菜单命令“编辑 > 在线诊断...”(Edit > Online diagnostics...)，“内部节点”(Internal nodes) 选项卡运行期间，可通过路由器和防火墙冗余对安全模块 SCALANCE S623（V4 及更高版本）和 SCALANCE S627-2M（V4 及更高版本）的故障自动进行补偿。为此，将 SCALANCE S623 或 SCALANCE S627- 2M 类型的两个安全模块以构成冗余关系的方式分在一个组中，然后决定哪个模块是正常运行 时，冗余关系中的主动安全模块。如果主动安全模块发生故障，则被动安全模块将自动接 管其功能，充当防火墙和 (NAT/NAPT) 路由器。为确保两个安全模块的组态相同，须通过它们的 DMZ 接口将这两个安全模块连接在一起，并在运行期间同步它们的组态。这种情况下，所涉及 安全模块的 DMZ 接口不能用于其他用途。 地址冗余 除了其模块 IP 地址外，两个安全模块还在外部接口和内部接口上共用一个公共的 IP 地址，从而在其中一个安全模块出现故障时，无需修改 IP 地址。为此，需要为冗余关系的外部和内部接口组态一个 IP 地址。 组态冗余关系和涉及的安全模块 将安全模块加入到冗余关系中后，将基于冗余关系单独组态模块的部分属性。各安全模块 的这部分属性将被禁用，并且只有从冗余关系中删除安全模块后才再次激活并可编辑。以 下属性将基于冗余关系组态： ● 冗余关系的基本设置（网络参数、主模块） ● 防火墙 ● 路由 ● NAT/NAPT 路由（非 1:1 NAT）各安全模块的下列设置保持激活状态，即使将安全模块加入冗余关系中也如此。对于涉及 的两个安全模块而言，这些设置仍可单独进行更改。 ● 接口设置（无法取消激活接口） ● IP 服务的标准规则（防火墙） ● DDNS ● 时钟同步 ● 日志设置 ● SNMP ● MRP/HRP ● RADIUS 说明 在冗余关系的安全模块上加载组态（仅适用于 V4 及更高版本的 SCALANCE S623/S627- 2M） 必须在两个安全模块上都加载冗余关系的已组态属性。要加载该组态，必须使用工程师站 可通过其访问安全模块的物理 IP 地址。不能使用冗余关系的虚拟 IP 地址进行加载。 说明 使用路由器和防火墙冗余时组态路由 在冗余关系中，仅同步在冗余关系的“路由”(Routing) 选项卡的属性中静态组态的安全模块之间的路由信息。由于使用标准路由器，因此不会同 步动态生成的路由条目。因此，当使用路由和防火墙冗余时，建议静态组态所有已知路由 器。 7.2 创建冗余关系并分配安全模块 要求 只有满足以下要求的安全模块才能分配到一个冗余关系： ● 安全模块为“S623 V4”或“S627-2M V4”类型安全模块的所有接口均已激活 ● 为所有接口组态了 IP 分配方法“静态地址” ● 安全模块不属于 VPN 组的成员。 ● 安全模块未分配给任何其它的冗余关系 操作步骤 1. 在导航面板中选择“冗余关系”(Redundancy relationships) 对象。 2. 选择该对象快捷菜单（鼠标右键）中的菜单命令“插入冗余关系...”(Insert redundancy relationship...)。 结果： 在导航面板中显示所创建的冗余关系。 3. 通过在内容区中选中安全模块并将它们拖动到在导航面板中创建的冗余关系上，将安 全模块分配给冗余关系。 4. 在“组态冗余关系”(Configuration of the redundancy relationship) 对话框中，可使用以下选项组态冗余关系： – 为冗余关系接受安全模块“防火墙”(Firewall)、“路由”(Routing) 和“NAT/NAPT”选项卡中的组态。 从下拉列表中，可选择要将其组态用于冗余关系的安全模块。 这会覆盖现有的冗余关系组态。 – 在冗余关系中创建已分配的安全模块。 这只有给创建的冗余关系分配了仅一个安全模块时才可行。 也可以选择在后来使用冗余关系的属性组态冗余关系，请参见： 组态冗余关系 (页 284) 结果： 冗余关系创建完毕，并为其分配了所需的安全模块。在导航面板中选择冗余关系，然后选择“编辑 > 属性...”(Edit > Properties...) 菜单命令。 组态冗余关系的网络参数 表格 7- 1 “基本设置”(Basic settings) 选项卡中的参数 可组态参数 含义 主模块 选择在正常运行时作为主动安全模块运行的安全模 块。 激活虚拟路由器 ID（仅适用于 V4.0.1 及更高版本固件的 SCALANCE S623/S627-2M） 如果启用此复选框，则可调整虚拟接口的虚拟路由 器 ID。 使用虚拟路由器 ID 指定虚拟接口的虚拟 MAC 地址。 可能值： 01...FF IP 地址 冗余关系外部或内部接口的虚拟 IP 地址 子网掩码 冗余关系的虚拟外部或内部接口的子网掩码 注释 可选的注释 虚拟路由器 ID（仅适用于 V4.0.1 及更高版本固件的 SCALANCE S623/S627-2M） 使用虚拟路由器 ID 指定虚拟接口的虚拟 MAC 地址。 有关组态网络参数的一般信息，请参见以下部分： 创建模块并设置网络参数 (页 103) 组态防火墙 组态冗余关系的 IP 数据滤规则与组态各安全模块的 IP 数据滤规则基本相同。 支持通信方向“从外部到内部”和“从内部到外部”。 有关在**模式下组态 IP 数据滤规则的一般信息，请参见以下部分组态 NAT/NAPT 地址转换 为冗余关系组态 NAT/NAPT 地址转换与为各安全模块组态 NAT/NAPT 地址转换基本相同。 对于冗余关系，只可组态源 NAT 和 NAPT。 使用源 NAT 时，内部子网的源 IP 地址仅可替换为冗余关系的虚拟外部 IP 地址。 不能在冗余关系的外部接口注册别名 IP 地址。 使用 NAPT 时，仅可组态“外部到内部”地址转换方向。 有关组态 NAT/NAPT 地址转换的一般信息，请参见以下部分： 使用 NAT/NAPT 进行地址转换 (页 206) 组态路由 为冗余关系组态路由与为各安全模块组态路由基本相同。 有关组态路由的一般信息，请参见以下部分： 指定标准路由器和路由 (页 202) 参见 MAC 数据滤规则 (页 190)安全地远程访问受安全模块保护的自动化系统。 本章介绍如何在“安全组态工具”中组态 SOFTNET 安全客户端，以及如何在 PC/PG 中对其进行调试。 更多信息 您还可以在 SOFTNET 安全客户端的在线帮助中找到有关对话框和参数设置的详细信息。 您可以使用 F1 键或使用相关对话框中的“帮助”(Help) 按钮进行调用。 8.1 使用 SOFTNET 安全客户端 应用领域 - 通过 VPN 进行访问 利用 SOFTNET 安全客户端对 PC/PG 进行组态，使其可在 VPN（虚拟专用网络）中与一个或多个安全模块自动建立安全 IPsec 隧道连接。 NCM Diagnostics 或 STEP 7 等 PG/PC 应用程序可以通过安全隧道连接访问受安全模块保护的内部网络中的设备或网络。