close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Application description - Siemens

EinbettenHerunterladen
Projektierungsbeispiel 09/2014
Einrichtung einer
gesicherten VPN-Verbindung
zwischen SCALANCE S und
CP x43-1 Adv. über eine
statische IP-Adresse
SCALANCE S, CP 343-1 Advanced, CP 443-1 Advanced
http://support.automation.siemens.com/WW/view/de/99681025
Gewährleistung und Haftung
Gewährleistung und Haftung
Hinweis
Die Applikationsbeispiele sind unverbindlich und erheben keinen Anspruch auf
Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher
Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifischen
Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen
Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen
Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht
der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und
Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass wir
über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden
haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen
an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei
Abweichungen zwischen den Vorschlägen in diesem Applikationsbeispiel und
anderen Siemens Publikationen, wie z.B. Katalogen, hat der Inhalt der anderen
Dokumentation Vorrang.
Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine
Gewähr.
Siemens AG 2014 All rights reserved
Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der
in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme,
Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen,
soweit nicht z.B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der
groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der
Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer
Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen
Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den
vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder
grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers
oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu
Ihrem Nachteil ist hiermit nicht verbunden.
Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge
daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens Industry Sector
zugestanden.
Securityhinweise
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an,
die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder
Netzwerken unterstützen. Sie sind wichtige Komponenten in einem
ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von
Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens
empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren.
Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es
erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu
ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept
zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch
eingesetzte Produkte von anderen Herstellern zu berücksichtigen.
Weitergehende Informationen über Industrial Security finden Sie unter
http://www.siemens.com/industrialsecurity.
Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren
produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie
unter http://support.automation.siemens.com.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
2
Inhaltsverzeichnis
Inhaltsverzeichnis
Gewährleistung und Haftung ...................................................................................... 2
1
Aufgabenstellung und Lösung ......................................................................... 4
1.1
1.2
1.3
2
Konfiguration und Projektierung ..................................................................... 6
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.2
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2.3
Siemens AG 2014 All rights reserved
Aufgabe ................................................................................................ 4
Lösungsmöglichkeit .............................................................................. 4
Merkmale der Lösung........................................................................... 5
Einrichten der Umgebung..................................................................... 6
Erforderliche Komponenten und IP-Adressenübersicht ....................... 6
SCALANCE S ....................................................................................... 7
DSL-Zugang beim SCALANCE S612 (DSL-Router2) .......................... 8
SIMATIC S7-300 Station ...................................................................... 8
Aufbau der Infrastruktur...................................................................... 15
Projektierung des VPN-Tunnels ......................................................... 16
Integration des VPN-Endpunkts CP 343-1 Advanced ....................... 16
Integration des VPN-Endpunkts SCALANCE S612 ........................... 18
Projektierung des VPN-Tunnels ......................................................... 20
Laden der Komponenten .................................................................... 22
Abschlussarbeiten .............................................................................. 23
Status der VPN-Verbindung ............................................................... 24
3
Tunnelfunktion testen ..................................................................................... 28
4
Historie.............................................................................................................. 29
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
3
1 Aufgabenstellung und Lösung
1
Aufgabenstellung und Lösung
1.1
Aufgabe
Die Aufgabe besteht darin, einer Servicezentrale den Zugriff auf ein
Automatisierungssystem über Internet oder ein firmeninternes Netzwerk zu
ermöglichen.
Dabei sind folgende Kundenanforderungen zu berücksichtigen:
Absicherung gegen Spionage und Datenmanipulation.
Verhindern von unerlaubtem Zugriff.
Bereitstellung eines sicheren Fernzugriffs zum Fernwarten und –wirken.
Netzwerkschutz ohne zusätzliche Security-Appliance auf
Automatisierungsseite.
1.2
Lösungsmöglichkeit
Gesamtübersicht
Die folgende Grafik zeigt eine Möglichkeit, die Kundenanforderung umzusetzen:
Siemens AG 2014 All rights reserved
Service PC
Automatisierungszelle
SCALANCE S
Internet
Router
Internet
Modem/Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN-Server
VPN tunnel
Industrial Ethernet
VPN-Client
Die Verbindung zwischen dem Service PC (oder andere Teilnehmer/
Netzwerkgeräte) und der Automatisierungszelle (Teilnehmer wie z.B. SIMATIC
Station, Panel, Antriebe, PCs) wird durch einen VPN-Tunnel abgesichert.
Der SCALANCE S612 und ein CP 343-1/CP 443-1 Advanced bilden in diesem
Beispiel die Tunnelendpunkte für die gesicherte Verbindung. Der SCALANCE
S612 fungiert als VPN-Server, der CP als VPN-Client.
Der Zugang zum SCALANCE S612 aus dem WAN ist über die Nutzung einer
statischen WAN-IP-Adresse fest definiert.
Der WAN-Zugang auf Clientseite ist flexibel; die IP-Adresse des WAN-Zugangs ist
nicht relevant.
Die Rollenverteilung beim Aufbau des VPN-Tunnels ist wie folgt festgelegt:
Tabelle 1-1
Komponente
VPN-Rolle
SCALANCE S
Responder (VPN-Server); wartet auf VPN-Verbindung
CP x43-1 Advanced
Initiator (VPN-Client); startet die VPN-Verbindung
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
4
1 Aufgabenstellung und Lösung
CP x43-1 Advanced
Der CP x43-1 Advanced (ab Version 3) ist ein Kommunikationsprozessor mit
Security Funktionen. Er bildet für die SIMATIC S7-300 bzw. S7-400 die Brücke
zwischen Feldebene und Leitebene und schließt nahtlos an die Security-Strukturen
der Office- und IT-Welt an.
Die Baugruppe ermöglicht den Schutz der Datenübertragung zwischen Geräten
oder Netzsegmenten vor Datenmanipulation / Spionage und unberechtigten
Zugriffen.
Sie bieten neben den Basis-Kommunikationsdiensten folgende Funktionen:
Hochwertige Stateful Inspection Firewall mit Filterung von IP-basiertem und
MAC-basiertem Datenverkehr.
HTTPS, FTPS, NTP (gesichert).
IPSec-VPN (Datenverschlüsselung und Authentifizierung).
Schutz der S7-Station, in welcher der CP betrieben wird.
Schutz der an der PROFINET-Schnittstelle angeschlossenen, internen
Netzwerke.
Unterstützung von mehreren VPN-Tunneln gleichzeitig.
SCALANCE S
Siemens AG 2014 All rights reserved
Die Security-Baugruppen der SCALANCE S-Familie sind speziell für den Einsatz in
der Automatisierungstechnik vorgesehen, schließen dabei aber nahtlos an die
Security-Strukturen der Office- und IT-Welt an. Sie bieten folgende Funktionen:
Hochwertige Stateful Inspection Firewall mit Filterung von IP-basiertem und
MAC-basiertem Datenverkehr.
Benutzerspezifische IP-Firewall zur Unterscheidung und Differenzierung der
Zugriffe auf bestimmte Anlagenteile.
Router-Funktionalität (PPPoE, DNS).
IPSec-VPN (Datenverschlüsselung und Authentifizierung).
Schutz aller Geräte eines Ethernet-Netzwerks.
Flexibler, rückwirkungsfreier und protokollunabhängiger Schutz.
Unterstützung von mehreren VPN-Tunnel gleichzeitig.
1.3
Merkmale der Lösung
VPN-Tunnel für einen flexiblen Zugang zur Automatisierungszelle z. B. für
einen Servicemitarbeiter möglich.
Kontrollierter und verschlüsselter Datenverkehr zwischen SCALANCE S und
CP x43-1 Advanced.
Hohe Sicherheit für Maschinen und Anlagen durch Realisierung des
Zellenschutzkonzepts.
Durchgängige Netzwerkdiagnose über SNMP oder Syslog.
Problemlose Integration in vorhandene Netzwerke und Schutz von Geräten
ohne eigene Security Funktionen.
Schutz der SIMATIC-Steuerung ohne zusätzliche Security-Baugruppe.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
5
2 Konfiguration und Projektierung
2
Konfiguration und Projektierung
2.1
Einrichten der Umgebung
2.1.1
Erforderliche Komponenten und IP-Adressenübersicht
Softwarepakete
Für diese Lösung werden folgende Softwarepakete benötigt
„Security Configuration Tool V4“. Diese Software ist im Lieferumfang der
Security- Baugruppen enthalten oder unter der Beitrags-ID: 84467278 als
Download verfügbar.
“STEP 7 V5.5”, ab Service Pack 2, Hotfix 1. Das nötige HSP (HSP 1058) ist im
Lieferumfang des CP 343-1 Advanced enthalten oder unter der Beitrags-ID:
23183356 als Download verfügbar.
Installieren Sie diese Software auf einen PC/PG.
Erforderliche Geräte/Komponenten:
Für den Aufbau verwenden Sie folgende Komponenten:
Siemens AG 2014 All rights reserved
Ein SCALANCE S612 (Firmware V4) (optional: eine entsprechend montierte
Hutschienen mit Montagematerial).
Einen CP 343-1 Advanced (MLFB: 6GK7343-1GX31-0XE0)
Eine CPU 315-2 PN/DP (MLFB: 6ES7315-2EH14-0AB0) mit einer MMC-Karte
Einen DSL-Zugang mit dynamischer WAN-IP-Adresse und einen DSL-Router.
Einen DSL-Zugang mit statischer WAN-IP-Adresse und einen DSL-Router.
Eine bzw. zwei 24V-Stromversorgungen mit Kabelverbindung und
Klemmenblockstecker (die Baugruppen können auch mit einer gemeinsamen
Stromversorgung betrieben werden).
Eine Hutschiene mit Montagematerial für die S7-300.
Ein PC, auf dem das Projektierungswerkzeug „Security Configuration Tool"
und „STEP 7 V5.5“ installiert ist.
Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC
RJ45 für Industrial Ethernet.
Hinweis
Es kann auch eine andere S7-300-PROFINET-CPU verwendet werden. In
welcher Geräteumgebung der CP mit dem hier beschriebenen Funktionsumfang
betrieben werden kann, finden Sie im entsprechendem Kapitel des CP 343-1
Advanced-Handbuchs:
https://www.automation.siemens.com/mdm/default.aspx?DocVersionId=4259769
6395&Language=de-DE&TopicId=37239174923
Hinweis
Sie können auch einen anderen SCALANCE S-Typ (außer SCALANCE S602)
oder Internet-Zugang (z.B. UMTS) verwenden.
Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im
Abschnitt „Erforderliche Geräte/Komponenten“ erwähnten Komponenten.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
6
2 Konfiguration und Projektierung
IP-Adressen
Die Zuordnung der IP-Adressen ist für dieses Beispiel wie folgt festgelegt:
S612
172.22.80.2
DSL-Router2
172.16.47.1
172.16.0.1
DSL-Router1
Statische Dynamische
WAN-IP
WAN-IP
SIMATIC S7-300 mit
CP 343-1 Advanced
192.168.2.1
192.168.2.89
10.70.0.4
Tabelle 2-1
Siemens AG 2014 All rights reserved
Komponente
Port
IP-Adresse
Router
Subnetzmaske
S612
Interner Port
172.22.80.2
-
255.255.255.0
S612
Externer Port
172.16.47.1
172.16.0.1
255.255.0.0
DSL-Router2
LAN-Port
172.16.0.1
-
255.255.0.0
DSL-Router2
WAN-Port
Statische IP-Adresse
vom Provider
-
Vom Provider
zugewiesen
DSL-Router1
WAN-Port
Dynamische IP-Adresse
vom Provider
-
Vom Provider
zugewiesen
DSL-Router1
LAN-Port
192.168.2.1
-
255.255.255.0
CP 343-1 Adv.
Gigabit-Port
192.168.2.89
192.168.2.1
255.255.255.0
CP 343-1 Adv.
PROFINET-Port
10.70.0.4
-
255.255.255.0
CPU
PROFINET-Port
10.70.0.2
10.70.0.4
255.255.255.0
2.1.2
SCALANCE S
Um sicherzugehen, dass keine alten Konfigurationen und Zertifikate im
SCALANCE S612 gespeichert sind, setzen Sie die Baugruppe auf
Werkseinstellung zurück.
Das entsprechende Kapitel im Handbuch des SCALANCE S finden Sie unter
diesem Link:
https://www.automation.siemens.com/mdm/default.aspx?DocVersionId=58712435
339&Language=de-DE&TopicId=57280996235.
Der konfigurierte Zustand ist daran zu erkennen, dass die Fault-Anzeige orange
leuchtet.
Sollten Probleme beim Zugriff auf den SCALANCE S oder beim Reboot auftreten,
beachten Sie bitte das entsprechende Kapitel zur Fehlerfindung:
https://www.automation.siemens.com/mdm/default.aspx?DocVersionId=58712435
339&Language=de-DE&TopicId=57279890699
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
7
2 Konfiguration und Projektierung
2.1.3
DSL-Zugang beim SCALANCE S612 (DSL-Router2)
Statische IP-Adresse bei DSL-Router2
Der WAN-Zugriff des CP 343-1 Advanced auf den SCALANCE S612 erfolgt über
eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider
beantragt und anschließend im DSL-Router2 hinterlegt werden.
Portforwarding am DSL-Router2
Durch die Nutzung eines DSL-Routers als Internet-Gateway müssen Sie die
folgenden Ports am DSL-Router2 freischalten und die Datenpakete an den S612
(VPN-Server; externe IP-Adresse) weiterleiten:
UDP Port 500 (ISAKMP)
UDP Port 4500 (NAT-T)
VPN-Funktion
Wenn Ihre DSL-Router selbst VPN-fähig sind, stellen Sie sicher, dass diese
Funktion deaktiviert ist.
Siemens AG 2014 All rights reserved
2.1.4
SIMATIC S7-300 Station
Verbindung zwischen PC und Steuerung
Verbinden Sie den PC, auf welchem STEP 7 V5.5 installiert ist, mit einem
PROFINET-Port der CPU und ändern die Netzeinstellung am PC wie folgt:
IP-Adresse: 10.70.0.100
Subnetzmaske: 255.255.255.0
Werkseinstellung
Um sicherzugehen, dass keine alten Konfigurationen und Zertifikate im CP 343-1
Advanced gespeichert sind, setzen Sie die Baugruppe auf Werkseinstellung
zurück.
Das entsprechende Kapitel im Handbuch des CP 343-1 Advanced finden Sie unter
diesem Link:
https://www.automation.siemens.com/mdm/default.aspx?DocVersionId=42597696
395&Language=de-DE&TopicId=40344018827
IP-Adresse der CPU anpassen
Zum Laden der Projektdaten in die CPU ist es hilfreich, die IP-Adresse der CPU im
vorab gemäß Tabelle 2-1 anzupassen.
Für die Vergabe der IP-Adresse eignet sich die STEP 7-Funktion „Ethernet
Teilnehmer bearbeiten…“. Informationen dazu finden Sie im Handbuch unter der
Beitrags-ID:45531110.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
8
2 Konfiguration und Projektierung
STEP 7-Projekt
Legen Sie mit der Konfigurationssoftware STEP 7 ein neues Projekt an und
erstellen Sie eine Hardwarekonfiguration mit Ihren verwendeten Modulen.
Die benötigten IP-Adressen für den CP 343-1 Advanced (Gigabit-Port und
PROFINET-Port) und der CPU (PROFINET-Port) entnehmen Sie der Tabelle 2-1.
Siemens AG 2014 All rights reserved
Schnittstellenprojektierung der CPU:
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
9
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
Schnittstellenprojektierung des CPs (Gigabit-Port):
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
10
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
Schnittstellenprojektierung des CPs (PROFINET-Port):
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
11
2 Konfiguration und Projektierung
Uhrzeitsynchronisation
Im ausgeschalteten Zustand verliert der CP 343-1 Advanced den aktuellen
Zeitstempel und ist standardmäßig auf den 01.01.1984 eingestellt.
Für den Aufbau einer sicheren Kommunikation ist es unabdingbar, dass auf dem
CP stets die aktuelle Uhrzeit und Datum eingestellt ist. Anderenfalls werden die
verwendeten Zertifikate als ungültig interpretiert und eine sichere VPNKommunikation ist nicht möglich.
Der CP bietet folgende Verfahren zur Uhrzeitsynchronisation zur Auswahl an:
SIMATIC-Verfahren (in diesem Beispiel verwendet)
NTP-Verfahren (Network Time Protocol)
Die Konfiguration der Uhrzeitsynchronisation für die S7-300 Station erfolgt in der
Hardware-Konfiguration.
Gehen Sie dafür wie folgt vor:
Siemens AG 2014 All rights reserved
1. Öffnen Sie im SIMATIC Manager Ihr STEP 7-Projekt und die
Hardwarekonfiguration der S7-300-Station.
2. Aktivieren Sie in den STEP 7-Objekteigenschaften des CP 343-1 Advanced im
Register „Uhrzeitsynchronisation“ („Time-of-Day Synchronisation") das
Optionskästchen „Uhrzeit weiterleiten" („Accept time of day on CP“) und
„Automatisch“ („Automatic“).
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
12
2 Konfiguration und Projektierung
3. Schließen Sie den Dialog mit „OK“.
Siemens AG 2014 All rights reserved
4. Stellen Sie in den STEP 7-Objekteigenschaften der CPU im Register
„Diagnose/Uhr“ („Diagnostics/Clock“) für die Synchronisation im
Automatisierungssystem die Synchronisationsart „Als Master“ („As Master“)
und als Zeitintervall „1 Minute“ ein.
5. Schließen Sie den Dialog mit „OK“.
Hinweis
Informationen zu diesen Verfahren und zur Projektierung finden Sie im Kapitel
3.3.5 des Projektierungshandbuch zu SIMATIC S7-CPs (Beitrags-ID:60053848).
Laden der Steuerung
1. Speichern und Übersetzen Sie Ihr Projekt über „Station“ > „Speichern und
übersetzen“ („Station“ > „Save and Compile“).
2. Laden Sie die Konfiguration über „Zielsystem" > „Laden in Baugruppe..."
(„PLC“ > „Download…“) in Ihre CPU.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
13
2 Konfiguration und Projektierung
Uhrzeit in der CPU anpassen
Durch die Uhrzeitsynchronisation „SIMATIC-Verfahren“ reicht die CPU zyklisch ihre
Uhrzeit an den CP 343-1 Advanced weiter.
Die Uhr der CPU darf sich nicht mehr im Default-Zustand befinden. Sie muss
einmalig gestellt sein. Die Uhrzeitsynchronisation als Uhrzeit-Master startet erst,
sobald die Uhrzeit erstmalig über SFC 0 „SET_CLK" oder über PG-Funktion
gestellt wurde.
Hinweis
Die Uhr der CPU ist in folgenden Fällen noch nicht gestellt:
im Auslieferungszustand.
nach dem Zurücksetzen in den Auslieferungszustand mit dem
Betriebsartenschalter.
nach einem Firmware-Update.
1. Öffnen Sie im SIMATIC Manager Ihr STEP 7-Projekt und die
Hardwarekonfiguration der S7-300-Station.
Siemens AG 2014 All rights reserved
2. Markieren Sie die CPU und öffnen Sie den Dialog zum Uhrzeitstellen über
„Zielsystem“ > „Uhrzeit stellen“ („PLC“ > „Set Time of Day“).
3. Aktivieren Sie das Optionskästchen „Von PG/PC übernehmen“
(„Take from PG/PC“) und bestätigen Sie die Auswahl.
4. Schließen Sie den Dialog mit „Schließen“ („Close“).
Ergebnis
Die Uhrzeit der CPU wurde auf die aktuelle PG-Zeit gestellt.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
14
2 Konfiguration und Projektierung
2.1.5
Aufbau der Infrastruktur
Verbinden Sie alle teilnehmenden Komponenten dieser Lösung miteinander.
S612
Interner
Port
DSL-Router2
Externer
Port
LAN-Port
DSL-Router1
WAN-Port
WAN-Port
SIMATIC S7-300 mit
CP 343-1 Advanced
LAN-Port
Gigabit-Port
PROFINET-Port
Tabelle 2-2
Siemens AG 2014 All rights reserved
Komponente
Hinweis
Lokaler Port
Partner
Partner Port
S612
Interner Port
z. B. ein PC in der Servicezentrale (in dieser
Lösung nicht vorhanden)
S612
Externer Port
DSL- Router2
LAN-Port
CP 343-1 Adv.
Gigabit-Port
DSL- Router1
LAN-Port
CP 343-1 Adv.
PROFINET-Port
z. B. ein Automatisierungsnetzwerk (in dieser
Lösung nicht vorhanden)
Beachten Sie, dass Sie in allen Geräten, die sich im internen Netzwerk des S612
oder des CP 343-1 Advanced befinden (z. B. Steuerungen, Panels etc.), die IPAdresse des internen Ports bzw. PROFINET-Ports als Standard-Gateway
eingetragen werden muss.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
15
2 Konfiguration und Projektierung
2.2
Projektierung des VPN-Tunnels
SCT-Projekt
Die Projektierung des VPN-Tunnels erfolgt über das in STEP 7 integrierte Security
Configuration Tool V4 und wird bei Aktivierung der Security-Funktion im
CP 343-1 Advanced gestartet.
Verwendete Komponenten
Für diese Lösung werden die Security-Komponenten SCALANCE S612
(Firmware V4) und CP 343-1 Advanced (ab Version 3) verwendet.
2.2.1
Integration des VPN-Endpunkts CP 343-1 Advanced
Übersicht
Die Einbindung des CPs in das Security Configuration Tool erfordert folgende
Handlungsschritte:
Aktivierung der Security-Funktion des CPs.
Siemens AG 2014 All rights reserved
Anlegen eines Benutzers und Passwort für das in STEP 7 integrierte SCTProjekt.
Gehen Sie dafür wie folgt vor:
1. Öffnen Sie im SIMATIC Manager Ihr STEP 7-Projekt und die
Hardwarekonfiguration der S7-300-Station.
2. Aktivieren Sie in den STEP 7-Objekteigenschaften des CP 343-1 Advanced im
Register „Security" das Optionskästchen „Security aktivieren"
(„Activate Security“).
3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und
dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle
„Administrator" zugewiesen.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
16
2 Konfiguration und Projektierung
4. Bestätigen Sie Ihre Eingabe mit „OK".
5. Schließen Sie die STEP 7-Objekteigenschaften mit „OK".
6. Bestätigen Sie den darauffolgenden Sicherheitshinweis mit „OK“.
Ergebnis
Ein neues Security-Projekt ist angelegt.
SCT-Projekt öffnen
Öffnen Sie in HW-Konfig das Security Configuration Tool über den Menübefehl
„Bearbeiten" > „Security Configuration Tool" („Edit" > „Security Configuration
Tool"…).
Siemens AG 2014 All rights reserved
Ergebnis
Die Security-Baugruppe wird in der Liste der konfigurierten Baugruppen angezeigt.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
17
2 Konfiguration und Projektierung
2.2.2
Integration des VPN-Endpunkts SCALANCE S612
Zur Einbindung der Komponente SCALANCE S612 in das Security Configuration
Tool gehen Sie wie folgt vor:
1. Öffnen Sie über „Einfügen“ > „Baugruppe“ („Insert“ > „Module“) oder das
entsprechende Menüsymbol den Dialog zur Baugruppenwahl.
Definieren Sie folgende Baugruppe:
Produkttyp: SCALANCE S
Baugruppe: S612
Firmwarerelease: V4
Siemens AG 2014 All rights reserved
2. Vergeben Sie der Baugruppe einen Namen und übernehmen Sie die MACAdresse vom Gehäuse des S612 in das entsprechende Eingabefeld.
Tragen Sie die externe IP-Adresse und die Subnetzmaske nach Tabelle 2-1
ein.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
18
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
3. Ändern Sie den Betriebsmodus des SCALANCE S auf Routing. Tragen Sie
die interne IP-Adresse und die Subnetzmaske nach Tabelle 2-1 ein.
4. Schließen Sie dien Dialog mit „OK“.
Ergebnis
Der S612 erscheint als weitere Baugruppe.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
19
2 Konfiguration und Projektierung
2.2.3
Projektierung des VPN-Tunnels
VPN-Gruppe anlegen
Alle Mitglieder einer VPN-Gruppe sind berechtigt, über einen VPN-Tunnel
miteinander zu kommunizieren.
Gehen Sie zum Anlegen einer VPN-Gruppe wie folgt vor:
Siemens AG 2014 All rights reserved
1. Markieren Sie im Projektbaum den Eintrag „VPN Gruppe“ („VPN groups“).
Legen Sie über „Einfügen“ > „Gruppe“ („Insert“ > „Group“) oder das
entsprechende Menüsymbol eine neue VPN-Gruppe an.
2. Markieren Sie nacheinander die Security- Baugruppen aus der Liste „Alle
Baugruppen“ („All modules“) und fügen Sie diese über Drag&Drop in die VPNGruppe ein.
Ergebnis
Die beiden Security- Baugruppen wurden der VPN-Gruppe Group1 zugewiesen.
Zur Authentifizierungsmethode werden Zertifikate verwendet.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
20
2 Konfiguration und Projektierung
VPN-Parameter definieren
Zum Aufbau des VPN-Tunnels werden noch folgende Informationen benötigt:
Eintrag für den Standard-Router
WAN-IP-Adresse des DSL-Routers
Parametrieren Sie diese wie folgt:
1. Markieren Sie im Projektbaum „Alle Baugruppen“ („All modules“) den S612 und
öffnen Sie über einen Doppelklick dessen Eigenschaftsdialog.
Siemens AG 2014 All rights reserved
2. Im Register „Routing“ tragen Sie den Standard Router nach Tabelle 2-1 ein.
3. Im Register „VPN“ ändern Sie für den S612 die VPN-Rolle zu „Responder“.
Tragen Sie die WAN-IP-Adresse Ihres DSL-Zugangs (DSL-Router2) ein.
4. Schließen Sie den Dialog mit „OK“.
5. Bestätigen Sie die Meldung mit „OK“.
6. Speichern Sie das Projekt.
Ergebnis
Die VPN-Konfiguration ist abgeschlossen.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
21
2 Konfiguration und Projektierung
2.2.4
Laden der Komponenten
Die Übertragung der Konfigurationsdaten in die Security-Komponenten
SCALANCE S und CP 343-1 Advanced erfolgt direkt aus dem Security
Configuration Tool heraus.
Vorbereitung
Da als externes öffentliches Netzwerk ein WAN verwendet wird, können die
Security- Baugruppen mit Werkseinstellung nicht über dieses WAN konfiguriert
werden. Konfigurieren Sie in diesem Fall die Security-Baugruppen aus dem lokalen
Netz heraus.
Verbinden Sie dafür den PC, auf welchem der Security Configuration Tool
installiert ist, mit dem internen Port des SCALANCE S bzw. PROFINET-Port der
CPU und ändern die Netzeinstellung am PC wie folgt:
Zum Laden des S612:
IP-Adresse: 172.22.80.100
Subnetzmaske: 255.255.255.0
Siemens AG 2014 All rights reserved
Zum Laden des CP 343-1 Advanced:
IP-Adresse: 10.70.0.100
Subnetzmaske: 255.255.255.0
SCALANCE S
Der SCALANCE S612 wird wie folgt geladen:
1. Verbinden Sie den PC mit dem internen Port des SCALANCE S612 und
passen Sie die Netzwerkkonfiguration des PCs an.
2. Selektieren Sie den S612 im Security Configuration Tool und wählen Sie den
Menübefehl „Übertragen" > „An Baugruppe(n)..." („Transfer“ > „To
module(s)…“).
3. Beim ersten Laden einer Konfiguration nach der Installation des Security
Configuration Tools erscheint ein Dialog zur Wahl des Netzwerkadapters. Hier
wählen Sie explizit Ihren Netzwerkadapter aus, über welchen Sie tatsächlich
mit der Baugruppe verbunden sind.
4. Durch Klicken auf die Schaltfläche „Start" im Dialog „Konfigurationsdaten auf
Security-Baugruppe laden" („Download configuration data to security module“)
übertragen Sie die Konfiguration auf die SCALANCE S-Baugruppe.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
22
2 Konfiguration und Projektierung
5.
Wurde der Ladevorgang fehlerfrei abgeschlossen, wird die SCALANCE SBaugruppe automatisch neu gestartet und die neue Konfiguration aktiviert.
6. Schließen Sie das Security Configuration Tool.
Ergebnis
Der S612 ist jetzt konfiguriert und kann auf IP-Ebene kommunizieren. Dieser
Betriebszustand wird von der Fault-Anzeige durch grünes Licht signalisiert.
CP 343-1 Advanced
Der CP 343-1 Advanced wird wie folgt geladen:
1. Verbinden Sie den PC mit der PROFINET-Schnittstelle der CPU und passen
Sie die Netzwerkkonfiguration des PCs an.
2. Wählen Sie im SIMATIC Manager in der HW-Konfig das Menü „Station" >
„Speichern und Übersetzen" („Station“ > „Save and Compile“).
Siemens AG 2014 All rights reserved
3. Laden Sie die neue Konfiguration über das Menü „Zielsystem" > „Laden in
Baugruppe..." („PLC“ > „ Download…“) in die Steuerung.
4.
Wurde der Ladevorgang fehlerfrei abgeschlossen, startet die SecurityBaugruppe automatisch und die neue Konfiguration ist aktiviert.
Ergebnis
Die Security-Baugruppe befindet sich im Produktivbetrieb.
2.2.5
Abschlussarbeiten
Verbinden Sie den internen Port des SCALANCE S612 bzw. PROFINET-Ports des
CP 343-1 Advanced mit Ihrem Netzwerk (z. B. Automatisierungsnetzwerk).
Stellen Sie bei allen Geräten, die sich am internen/ PROFINET-Port der Geräte
befinden, den entsprechenden Standard-Router (IP-Adresse des internen/
PROFINET-Ports) ein.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
23
2 Konfiguration und Projektierung
2.3
Status der VPN-Verbindung
Sind alle Security-Baugruppen parametriert, geladen und mit den entsprechenden
DSL-Routern verbunden, initialisiert der CP 343-1 Advanced den VPN-Tunnel zum
S612.
Den Status können Sie über die Diagnose im Security Configuration Tool oder die
NCM Diagnose einsehen.
Security Configuration Tool
Für die Diagnose über das Security Configuration Tool gehen Sie wie nachfolgend
beschrieben vor:
1. Verbinden Sie den PC mit dem Security Configuration Tool mit dem internen
Port des SCALANCE S und ändern Sie die Netzeinstellung am PC wie folgt:
Siemens AG 2014 All rights reserved
IP-Adresse: 172.22.80.100
Subnetzmaske: 255.255.255.0
2. Öffnen Sie in HW-Konfig Ihres STEP 7-Projekts das Security Configuration
Tool über den Menübefehl „Bearbeiten" > „Security Configuration Tool"
(„Edit" > „Security Configuration Tool"…).
3. Aktivieren Sie über den Menübefehl „Ansicht" > „Online" („View“ > „online“) die
Betriebsart „Online“.
4. Markieren Sie im Inhaltsbereich den SCALANCE S612.
5. Wählen Sie den Menübefehl „Bearbeiten" > „Online-Diagnose..."
(„Edit“ > „Online diagnostic…“).
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
24
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
6. Im Register „Kommunikationszustand“ („Communications status“) wird der
Kommunikations-Status angezeigt.
NCM Diagnose
Ist der VPN-Tunnel zwischen den Security-Baugruppen aufgebaut, kann über die
NCM Diagnose auf den CP343-1 Advanced zugegriffen werden.
Gehen Sie dafür wie folgt vor:
1. Öffnen Sie im SIMATIC Manager Ihr STEP 7-Projekt und die
Hardwarekonfiguration der S7-300-Station.
2. Wechseln Sie über „Station“ > „Online öffnen“ („Station“ > „Open ONLINE“) in
die Online-Ansicht.
3. Wählen Sie als Zugangspunkt den Gigabit-Port des CPs aus.
(IP-Adresse: 192.168.2.89).
Ergebnis
Die Online-Ansicht wird geöffnet.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
25
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
4. Öffnen Sie die STEP 7-Baugruppeneigenschaften des CP 343-1 Advanced
und öffnen Sie die Spezialdiagnose.
5. Markieren Sie in der Navigationsübersicht „Security“ und öffnen Sie die
erweiterte Security-Diagnose.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
26
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
6. Im Register „Kommunikationszustand“ („Communications status“) wird der
Kommunikations-Status angezeigt.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
27
3 Tunnelfunktion testen
3
Tunnelfunktion testen
Nach Kapitel 2 ist die Inbetriebsetzung der Konfiguration abgeschlossen und die
Security-Baugruppen haben einen VPN-Tunnel zur sicheren Kommunikation
aufgebaut.
Die aufgebaute Tunnelverbindung können Sie - wie nachfolgend beschrieben - mit
einem Ping-Kommando an einen internen Teilnehmer durchführen.
Alternativ können Sie auch andere Methoden für den Test der Konfiguration
verwenden (z. B. durch Öffnen der internen Webseite des CP 343-1 Advanced mit
der Adresse https://192.168.2.89 oder dem Laden der S7-Steuerung aus STEP 7)
1. Verbinden Sie den PC mit dem Security Configuration Tool mit dem internen
Port des SCALANCE S und ändern Sie die Netzeinstellung am PC wie folgt:
IP-Adresse: 172.22.80.100
Subnetzmaske: 255.255.255.0
Gateway-Adresse: 172.22.80.2
Siemens AG 2014 All rights reserved
2. Rufen Sie auf dem PC in der Startleiste den Menübefehl „Start" > „Alle
Programme" > „Zubehör" > „Eingabeaufforderung" („Start“ > „All programs“ >
„Accessories“ > „command“) auf.
3. Geben Sie in die Kommandozeile des aufgeblendeten Fensters
„Eingabeaufforderung", an der Cursor-Position, den Befehl „ping 192.168.2.89"
ein.
Ergebnis
Sie erhalten eine positive Antwort des internen Teilnehmers.
Hinweis
Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass PingKommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom
Typ „Request" und „Response" freischalten.
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
28
4 Historie
4
Historie
Tabelle 4-1
Datum
V1.0
09/2014
Änderung
Erste Ausgabe
Siemens AG 2014 All rights reserved
Version
Security:CPx43_S6xx_Static
Beitrags-ID: 99681025, V1.0,
09/2014
29
Document
Kategorie
Technik
Seitenansichten
29
Dateigröße
2 071 KB
Tags
1/--Seiten
melden