這里介紹如何創(chuàng)建舒適型面板與 WinCC 之間通過 OPC UA 建立安全（簽名和加密）鏈接， 也就是鏈接認(rèn)證的操作。

本 FAQ 中， 已經(jīng)創(chuàng)建了 WinCC（TIA Portal）V14 SP1和 WinCC V7.4 SP1 兩個項目。

按照如下步驟使用 OPC UA 連接。請確保按照給定的順序。 .

在 WinCC (TIA Portal) 工程系統(tǒng)

1. 在面板的項目樹種，找到  "Runtime settings" ，打開 "Services" 項。
2. 在  "Read/write tags" 中激活 “Operate as OPC-UA server”。
    

   
   圖. 01
    

3. 打開 "OPC settings" 項，在  "Port number:" 中輸入 "4870"。
    

   
   圖. 02
    

4.  在  "Security policy of the application" 中，為創(chuàng)建安全鏈接設(shè)置安全策略  "Basic128Rsa15" 。激活 "Enabled" 和"Sign and encrypt" (在 "Message security mode"下)。
5. 編譯項目并下載到面板。

在 WinCC V7.4 SP1

準(zhǔn)備
  OPC UA 通訊不是使用 IP 地址，而是使用 Windows  設(shè)備名稱。沒有在網(wǎng)絡(luò)中沒有使用 DNS  服務(wù)器，首先將 OPC UA 服務(wù)器的 IP 地址與設(shè)備名相關(guān)聯(lián)。

在  OPC UA  戶端的 "%systemroot%\System32\Drivers\Etc\lmhosts" 文件中， 使用 OPC UA 服務(wù)器創(chuàng)建條目  "[IP address][computer name]"比如：
"172.16.33.2 HMI_Panel123"

注意事項：

1. 此操作需要管理員權(quán)限。.
2. 更多信息請參 閱the "lmhosts" 文件和  Microsoft TechNet 中 of new entries。
3. 如果不僅能通過 IP 使用 "ping [Host]"  命令，也能通過計算機名稱，那么 "lmhosts" 就是正確的。

配置步驟

1. 在 WinCC 資源管理器中打開項目的 "Tag Management" ，右鍵點擊的彈出菜單中，選擇 "Add new driver -> OPC UA WinCC Channel"。 創(chuàng)建一個 OPC UA 通道。
    

   
   圖. 03

2.  右鍵點擊的彈出菜單中，創(chuàng)建組，選擇 "New Connection"。

圖. 04

3.右鍵點擊鏈接， 在彈出菜單中選擇 "Connection Parameters"。
圖. 05

4. 在打開的對話框中， 選擇 the "UA Server Browser" 選項卡， 在 "UA Server Discovery" -> "Custom Discovery" 中雙擊"Double click to add server"。
圖. 06

5. 在打開的對話框中， 在  "Add New Server" 輸入  WinCC 面板的 "opc.tcp://[Host_name]:[Port]"。
  [Host_name] 使用設(shè)備名稱，不是 IP 地址。 [Port] 輸入之前 圖 2 中的端口號，默認(rèn)值是 "4870"。
 

圖. 07

注意事項

設(shè)備名稱是Windows設(shè)備名稱，而不是TIA項目中配置的面板的名稱。您可以通過關(guān)閉面板上的WinCC（TIA Portal）運行，并在 "Settings -> System -> Device Name" 下打開對話框找到它。 
 

 6. 點擊面板中 OPC UA 服務(wù)器條目。
 在“安全設(shè)置”區(qū)域中，您可以在“安全策略”和“安全模式”字段中選擇所需的連接類型，確定服務(wù)器端點。

在下拉列表框分別選擇“basic128rsa15”和“signandencrypt”。 
 

圖. 08

注意事項

如果您為兩種設(shè)置選擇“無”，那么您就可以執(zhí)行一個OPC UA通信。然而，這種連接是不安全的。建議您使用此僅用于測試。

為了能夠使用安全連接，戶機和服務(wù)器計算機交換的OPC UA證書仍然需要移動。為此進行如下操作：

1. 在圖. 08 中，點擊 "Certificates" 按鍵， 打開 Windows 文件選擇對話框。
2. 打開  "C:\Program Files (x86)\Siemens\WinCC\opc\UAClient\PKI\Rejected\certs"。
   該目錄包含一個證書文件。
    

   
   圖. 09
    

3. 剪切該文件，復(fù)制到 "C:\Program Files (x86)\Siemens\WinCC\opc\UAClient\PKI\Trusted\certs"。
4. 如果有必要，終止項目運行，切換到面板。打開開始菜單，選擇命令 "Programs -> Windows Explorer"。
5. 切換到  "\flash\simatic\SystemRoot\SSL\rejected"，標(biāo)記WinCC戶機的證書并選擇命令 "Edit -> Cut"
6. 切換到  "\flash\simatic\SystemRoot\SSL\cert"。使用命令 "Edit -> Paste" 把證書粘貼到文件夾。重新運行。

然后完成OPC UA連接的配置。在連接“握手”圖標(biāo)上的綠色復(fù)選標(biāo)記指示成功連接到OPC UA服務(wù)器 (參看圖 10)。
 

圖. 10

在WinCC計算機的條目管理器中，您標(biāo)記所創(chuàng)建的OPC UA連接，并在彈出菜單中選擇“瀏覽OPC服務(wù)器”命令。顯示OPC UA服務(wù)器面板的條目管理器，您可以使用WinCC項目中的條目。 

如何在工業(yè)以太網(wǎng)CP/CM中給UDP連接使用和組態(tài)IP組播？

IP組播是一種特殊的通信方式，只能通過工業(yè)以太網(wǎng)CP/CM組態(tài)UDP連接(UDP用戶數(shù)據(jù)包協(xié)議)的方式進行組態(tài)。IP組播用于將消息從一個站發(fā)送到多個伙伴站。

組播消息由一個特殊的組播地址發(fā)送的。IP地址范圍從224.0.1.0到239.255.255.255專門用于IP組播。

廣播消息會發(fā)送給網(wǎng)絡(luò)中所有的設(shè)備。例如，在搜索IP地址的MAC地址（ARP請求）時，使用的就是廣播消息。這就是為什么通信模塊必須處理和評估廣播信息的原因。如果網(wǎng)絡(luò)中存在太多的廣播信息，網(wǎng)絡(luò)的性能會下降。因為每個模塊要處理完所有的廣播消息后才能確定哪些信息是給自己的。

如果使用S7-300/S7-400工業(yè)以太網(wǎng)CP卡，關(guān)于廣播消息需注意以下兩點：

• S7-300/S7-400的工業(yè)以太網(wǎng)CP在收到信息之后，廣播消息會zui先被篩選出來，并立即丟掉所有無用的消息（例如，ARP請求），以防止廣播消息對其他鏈路產(chǎn)生負(fù)面的影響。

• S7-300/S7-400工業(yè)以太網(wǎng)CP通過UDP鏈接可以發(fā)送數(shù)據(jù)，但是不能接受數(shù)據(jù)。

自STEP 7/ NCM V5.1 + SP2及以后版本 S7-300/S7-400工業(yè)以太網(wǎng)CP的UDP組播可以給一個特定組的通訊伙伴發(fā)送信息。

通訊處理器特性：

通常通訊處理器不接受除時間外的其他組播消息。如果在組態(tài)中激活一個組播組，那么在控制器中也需要激活此組播。這樣只激活了一個特定組，通訊處理器仍然繼續(xù)過濾網(wǎng)絡(luò)中其它廣播消息。每個已組態(tài)的組播都必須在控制器中標(biāo)記。                       

這就是為什么在信息要發(fā)送到一組伙伴站時選擇組播。

• 在條目ID 16767769 中，可以找到關(guān)于S7-300工業(yè)以太網(wǎng)CP中支持的zui大組播組數(shù)的信息。
• 在條目ID 15368142 中，可以找到關(guān)于S7-400工業(yè)以太網(wǎng)CP中支持的zui大組播組數(shù)的信息。

• 在S7-1200 / S7-1500 CP / CM的手冊中，可以找到支持的zui大組播組數(shù)的信息。

• 與UDP一樣，數(shù)據(jù)長度的限制是2048字節(jié)。

• 通訊處理器仍然不受廣播負(fù)載影響。

• 所有的伙伴站也都必須支持組播。

• 發(fā)送的信息沒有任何安全機制（應(yīng)答）。

• IP組播信息可以通過路由器發(fā)送到外部不同網(wǎng)段IP。

由于UDP協(xié)議不提供應(yīng)答機制，所以發(fā)送的消息沒有應(yīng)答。例如如果將一個消息發(fā)送給100個伙伴，然后同時到達100個確認(rèn)(一個伙伴一個確認(rèn))，發(fā)送方模塊無法評估如此泛洪的數(shù)據(jù)。

組態(tài)多點傳輸連接：

1. 在NetPro里面插入新的“UDP連接”型鏈接。作為連接伙伴，選擇“All multicast stations”。
      

   
   圖. 1

2. 在UDP鏈接的屬性對話框中，打開“Address”標(biāo)簽。在這里可以定義組播組。224.0.1.0到239.255.255.255的IP地址是專門作為組播地址的。從這個IP地址范圍發(fā)送的消息會作為組播消息被每個模塊識別。IP地址范圍是專門通過UDP連接用于IP組播的。  
   本地和遠(yuǎn)程端口可以使能1到65535。在創(chuàng)建*個組播環(huán)路時，將在默認(rèn)情況下將224.0.1.0分配給它。用戶可以改變組播環(huán)路的IP地址。可用的IP地址范圍是224.0.1.0到239.255.255.255。

圖. 2

3. 在NetPro中，UDP鏈接在配置鏈接中顯示。在Partner欄中顯示條目“All multicast nodes”。
   

圖. 3

組態(tài)建議：

建議在組態(tài)組播連接的時候按照以下規(guī)則操作：

        1.本地和遠(yuǎn)程的組播連接的端口要相同。

        2.考慮LAN上的組播地址。

為組播連接的本地和遠(yuǎn)程端口選擇相同的端口號
如果組播信息到達了控制器，只有端口號碼是相關(guān)的。

只有一個組播鏈接能在兩個站之間組態(tài)。在站1和站2中，需要給組播的本地和遠(yuǎn)程端口組態(tài)相同的端口號。因此，站1可以接收 站2 發(fā)送到組播組的數(shù)據(jù)，并且站2可以接收站1發(fā)送到組播組的數(shù)據(jù)。

表1

考慮在LAN上組播地址的選擇
通過組播，3個低字節(jié)的IP地址被復(fù)制到MAC地址01.00.5E.00.00.00zui后的字節(jié)中。 這之后MAC地址輸入到控制器中的單獨組播組中。這保證了信息能通過各自的控制器。此外，*個被復(fù)制的地址的字節(jié)的zui高位會被忽略而且總是為0。在LAN上的信息中。

被創(chuàng)建的MAC地址也會zui為可見的目標(biāo)MAC地址。

從 站1 發(fā)送到 站2 的組播信息。  

表 2

當(dāng)站1和站2在同一個組播組，并且所有端口號都相同，無限制的雙向數(shù)據(jù)交換就可以在站1和站2之間進行了。         但是，由站1和站2發(fā)送的組播信息也會被站3接收。這是因為組播組224.0.1.0 and 225.0.1.0有相同的MAC地址
 01:00:5E:00:01:00。

注意

• 不同的組播組IP地址實際上是代表了相同的組播組。因此，在分配組播組時應(yīng)當(dāng)注意避免未分配地址的站接收不需要的信息。這是基于RFC 1112的規(guī)則 (互聯(lián)網(wǎng)標(biāo)準(zhǔn))。
• 工業(yè)以太網(wǎng)CP/CM支持IGMP協(xié)議（Internet組管理協(xié)議）。在外部IP子網(wǎng)的站可以訪問，這是由于IGMP協(xié)議在互聯(lián)網(wǎng)上提供IP組播。IP組播會同時分布信息給在同一IP地址下的多個站。組播組的管理發(fā)生在路由器中，會直接與組播組的接收器連接。IGMP協(xié)議提供下面這個功能：工業(yè)以太網(wǎng)CP/CM能建議路由器的特殊組播組的組播信息的需求。組播路由器協(xié)議在路由器之間采取協(xié)調(diào)。

支持組播連接的模塊
表3列出了支持組播和廣播連接的S7-1200/S7-1500模塊。
 

表 3

1) 不支持通過UDP連接發(fā)送。

表4列出了支持組播和廣播連接的S7-300 / S7-400模塊。
   

表 4