西门子产品远程访问方案介绍RemoteAccessforSiemensproductsUserGuideEdition(2009年3月)摘要本文旨在介绍各种针对Simatic产品的远程访问的方案,并具体介绍在何种情况下该选择什么样的方案。关键词远程访问远程诊断SCALANCES612VPNMD741-1GPRS路由器TSAdapterKeyWordsRemoteAccessRemoteDiagnoseSCALANCES612VPNMD741-1GPRSRouterTSAdapterIA&DTService&SupportPage2-10目录通过TSAdapter对Simatic产品的远程访问编程与诊断―――――――――4通过VPN实现对Simatic产品的远程访问编程与诊断-----------------------6通过公网直接对Simatic产品的远程访问编程与诊断-----------------------8可以通过计算机的远程协助的功能来实现---------------------------------8IA&DTService&SupportPage3-10远程编程方案一、通过TSAdapter对Simatic产品的远程访问编程与诊断。TSAdapter从连接工业网络类型上来说分两类:TSAdapterII和TSAdapterIE。两类的区别是TSAdapterII是针对PROFIBUS或MPI网络设备,而TSAdapterIE是针对工业以太网设备。网络示意图如下:TSAdapterII网络结构图TSAdapterIE网络结构图从上面的示意图,我们可以看出,中心端需要装有Step7及Teleservice软件的编程器,通过串口连接到外置的调制解调器上,再把调制解调器通过电话线接到模拟电话网络上。在远程站从模拟电话网路出来的电话线接TSAdapter,从TSAdapter再连接到工业网络(如MPI/PB/IE),此方案用编程器上的Teleservice对远程的TSAdapter建立拨号的连接。通讯的速度决定于调制解调器的速度。这种方案的特点是两边都需要固定电话线,在编程器上需要Teleservice软件来拨号,TeleService本身带有安全机制的功能。在TeleService里可以建立多个拨号连接站点,需要维护时就与此站建立拨号连接。下图为TeleService软件的界面图:IA&DTService&SupportPage4-10下面相关产品的订货信息:TSAdapterIIANALOG订货号:6ES7972-0CB35-0XA0TSAdapterIEANALOG订货号:6ES7972-0EM00-0XA0Teleservice6.1订货号6ES7842-0CE00-0YE0IA&DTService&SupportPage5-10方案二、通过VPN实现对Simatic产品的远程访问编程与诊断由于VPN的搭建有多种方式:如可以在网关与网关之间建立VPN通道、在终端设备与网关之间建立VPN、在终端与终端建立VPN。由于PLC本身不具有VPN的功能,所以在远程访问方案用终端与终端建立VPN是不可以的。网关与网关之间建立VPN的隧道根据上网的方式,大致上分两种,通过ADSL有线的方式和通过GPRS无线的方式。如下图:在此方案中,编程器侧的SCALANCES612可与远程站的GPRS路由器MD741-1在Internet上建立一VPN通道,这样使的编程器与远程站相当于在一个局域网内,那么局域网所能实现的功能在这种情况下也基本能实现,区别在于实际局域网的带宽为百兆,而采用VPN的方式的带宽最快也不到1M,受限于与Internet的接入的速度。这样的好处在于远程的站不需要安装电话线,只要有GSM的信号就可以,是通过GPRS路由器MD741-1接入Internet。但是此种方案要求编程器侧的ADSL上Internet需要获得固定的公网IP地址。SCALANCES612可同时建立64个VPN通道,SCALANCES613可同时建立128个VPN通道。除了于GPRS的VPN的解决方案外还有基于ADSL的VPN解决方案,但两端都的有电话线,且都需要申请ADSL账号,如下图。IA&DTService&SupportPage6-10此种方案的好处是比前面的GPRSVPN的速度快,但每个远程站都需要有固定电话线且需要申请ADSL上网账号。编程器侧的ADSL需要固定公网IP地址或用动态域名服务。若有多个远程站,则需要支持多VPN通道网关。终端设备与网关之间建立VPN当编程器是一个移动的笔记本时,工程师在家里时,这是前面的VPN的方案就行不通,所以可以采用下面的解决方案。如下图:这种情况是在编程器的计算机与ADSL路由器之间建立VPN的隧道,即在终端设备与网关之间建立VPN。在编程器侧需要普通的无线上网卡,如CMDA无线上网卡或GPRS无线上网卡可以上Internet即可,在编程器安装上相应的VPN客户端软件,进行拨号连接远程的VPN网关。这样编程人员可以随时随地可以对远程站进行维护。若想远程连接另外的一个远程站,则可以断开与此远程的连接,然后重新配置客户端软件的参数,重新拨号即可以。远程站也是需要固定公网IP地址或用动态域名服务。前面讲到的VPN解决方案都是针对工业以太网络,有的现场则不是工业以太网而是Profibus网络,也想使用VPN的解决方案,那么我们只需要在上面的情况下,在远程站添加一个网关IE/PBLink就可以实现对Profibus网络设备的维护。如下图。此方案需要注意的时,在Step项目中需要添加PG/PC站,且需要启用路由的功能。IA&DTService&SupportPage7-10前面介绍的VPN的方案,虽然都上了Internet,但由于应用了VPN的的密钥交换,和证书认证的技术,这是非常安全,就类似于现在流行网上银行所使用的技术,所有不用担心安全的问题。在VPN方案中所提设备的订货信息如下表:ComponentMLFB/OrdernumberNoteSCALANCES612V2.16GK5612-0BA00-2AA3SecurityConfigurationToolV2.2-SCT随SCALANCES硬件一起EGPRS/GPRSrouterMD741-16NH9741-1AA00ANT794-4MR6NH9860-1AA00SIMcardMD741-1上internet需要GSMSIM卡并且激活了EGPRS功能ADSLRouter+Modem带有VPN穿越的功能(端口转发)可选带有集成Modem的路由器或者独立的路由器和Modem例如:LINKSYSBEFSX41IE/PBLINKPNIO6GK1411-5AB00方案三、通过公网直接对Simatic产品的远程访问编程与诊断此种方案虽然也可以作远程的编程与诊断,但由于其不安全性所以这里就不在详细介绍。方案四、可以通过计算机的远程协助的功能来实现此种方案也可以实现远程的编程与诊断,这是利用了微软操作系统的功能,所以这里也不作详细的介绍。IA&DTService&SupportPage8-10附录-推荐网址自动化系统西门子(中国)有限公司工业自动化与驱动技术集团客户服务与支持中心网站首页:自动化系统下载中心:=0&CatFirst=1自动化系统全球技术资源:“找答案”自动化系统版区:=1027IA&DTService&SupportPage9-10注意事项应用示例与所示电路、设备及任何可能结果没有必然联系,并不完全相关。应用示例不表示客户的具体解决方案。它们仅对典型应用提供支持。用户负责确保所述产品的正确使用。这些应用示例不能免除用户在确保安全、专业使用、安装、操作和维护设备方面的责任。当使用这些应用示例时,应意识到西门子不对在所述责任条款范围之外的任何损坏/索赔承担责任。我们保留随时修改这些应用示例的权利,恕不另行通知。如果这些应用示例与其它西门子出版物(例如,目录)给出的建议不同,则以其它文档的内容为准。声明我们已核对过本手册的内容与所描述的硬件和软件相符。由于差错难以完全避免,我们不能保证完全一致。我们会经常对手册中的数据进行检查,并在后续的版本中进行必要的更正。欢迎您提出宝贵意见。版权©西门子(中国)有限公司2001-2008版权保留复制、传播或者使用该文件或文件内容必须经过权利人书面明确同意。侵权者将承担权利人的全部损失。权利人保留一切权利,包括复制、发行,以及改编、汇编的权利。西门子(中国)有限公司IA&DTService&SupportPage10-10