Descrizione
Se il controllore S7-400 supporta un CP Ethernet con funzionalità IP Access List, è possibile evitare un accesso non autorizzato, tramite la LAN (local area network)!
Le seguenti unità supportano la funzionalità IP Access List:
6GK7 343-1GX20-0XE0 - da V1.0 (CP 343-1 IT)
6GK7 343-1GX21-0XE0 - da V1.0 (CP 343-1 Advanced)
6GK7 343-1EX21-0XE0 - da V1.0 (CP 343-1)
6GK7 343-1EX30-0XE0 - da V2.0 (CP 343-1)
6GK7 443-1EX10-0XE0 - da V2.3 (CP 443-1)
6GK7 443-1EX11-0XE0 - da V2.3 (CP 443-1)
6GK7 443-1EX40-0XE0 - da V1.0 (CP 443-1 Advanced)
6GK7 443-1EX41-0XE0 - da V1.0 (CP 443-1 Advanced)
IP Access List
La IP Access List può essere progettata nella finestra di dialogo delle proprietà del relativo CP S7.
Nella progettazione è possibile definire una lista di indirizzi IP, ai quali è consentito l'accesso all'unità. Lì, ad esempio, è possibile registrare tutti i dispositivi di programmazione con diritto di accesso. Con ciò si evita che, inavvertitamente, si esegua un accesso non autorizzato al controllore, da parte di altri PC attraverso la LAN!
Il CP funziona secondo il seguente principio
Per ogni telegramma in arrivo tramite la LAN viene controllato se l'indirizzo IP del mittente è presente nella Access List. Se non lo è, il telegramma viene scartato e al partner non viene data alcuna risposta al telegramma, nè positiva nè negativa. Se l'indirizzo IP è presente nella Access List e quindi è autorizzato all'accesso, il telegramma viene inoltrato ed elaborato!
Particolarità nell'impiego della IP Access List
Se si desidera riconoscere un doppio indirizzo IP nella rete, si deve registrare il proprio indirizzo IP nella Access List !
In caso contrario il PING trasmesso dall'unità partner non riceve risposta, poichè dopo la verifica della Access List, questa viene identificata come non autorizzata. Il doppio indirizzo IP nella rete non viene altrimenti riconosciuto.
Progettazione della IP Access List
- Aprire la configurazione hardware della stazione S7-400.
- Doppio click sul CP443-1. Si apre la finestra di dialogo delle proprietà.
- Selezionare la cartella "IP-Access Protection".
- Impostare la spunta su "Activate access protection for IP communication", per attivare la IP Access List.
- Registrare ora gli indirizzi IP o le bande di indirizzi IP delle apparecchiature autorizzate all'accesso..
NET_Zugriffsschutz_IP_01_th_e.gif) 
Figura 1
Avvertenza
La IP Access List è attiva solo per la comunicazione TCP / UDP o ISO-on-TCP. Telegrammi tramite protocollo di trasporto ISO e indirizzi MAC non vengono presi in considerazione.
Caricamento della progettazione nell'unità
Nel caricamento dei dati di progettazione ci sono normalmente due possibilità. Caricamento tramite l'interfaccia MPI della CPU ed il caricamento tramite la LAN (protocollo ISO opp. protocollo TCP/IP).
Quì occorre fare attenzione a quanto segue.
- Caricamento tramite MPI
Nel caricamento di dati di progettazione tramite MPI non ci sono limitazioni.
- Caricamento tramite protocollo ISO
Il CP tramite il quale si deve caricare la progettazione, deve sopportare il protocollo ISO!
- Caricamento tramite il protocollo TCP/IP
Se la progettazione con la IP-Accesslist deve essere caricata sull'unità tramite TCP/IP, l'indirizzo IP del PC opp. PG di progettazione deve essere registrato nella IP-Accesslist!
Questo è dovuto un fatto che la IP-Accesslist diventa attiva prima che l'operazione di caricamento delle unità sia conclusa, l'indirizzo IP del PC/PG improvvisamente non ha più il diritto di accesso alla stazione. STEP7 segnala poi una operazione di caricamento con errore e la CPU segnala una progettazione inconsistente.
Rimedio
Registrare l'indirizzo IP del PC/PG di progettazione nella IP-Accesslist e caricare nuovamente la progettazione tramite il protocollo ISO opp. MPI.
Avvertenza
Se l'indirizzo IP del PC/PG non deve essere registrato nella IP-Accesslist, la progettazione generalmente deve essere caricata tramite MPI opp. protocollo ISO.
Ricerca
Sicurezza, LAN, diritto di accesso, protezione unità, rete.
| 
NET_Zugriffsschutz_IP_01_e.gif)
tedesco
