Transferindo um projeto pela Ethernet com o IPsec

Este produto suporta transferência criptografada IPsec via Ethernet para impedir o acesso não autorizado.

Observação:

A transferência de Ethernet com IPsec não está disponível para uma unidade de display conectada à Pro-face Connect. Transferir o projeto sem IPsec. A transferência é criptografada pelo Pro-face Connect.
Transferindo um projeto pela Ethernet
Os modelos listados abaixo são compatíveis com IPsec. Para todos os outros modelos, use a transferência Ethernet.
Série ST6000
Série ST6000 2nd Gen
Série STM6000
Série SP5000
Série SP5000X
Série GP-4100
Transferindo um projeto pela Ethernet
Exceto para transferência, o IPsec não pode ser usado para comunicação TCP entre um PC e uma unidade de display. Mesmo durante a transferência Ethernet com IPsec, outra comunicação TCP entre o PC e a unidade de display não está disponível.

Introdução à IPsec

A Internet Engineering Task Force (IETF) desenvolveu e projetou a Internet Protocol Security (IPsec) como um conjunto aberto de padrões de protocolo que tornam as sessões de comunicação IP privadas e seguras. Os algoritmos de autenticação e criptografia IPsec exigem chaves criptográficas definidas pelo usuário que processam os pacotes de comunicação em uma sessão IPsec.

Configurar fluxo de trabalho

Execute as seguintes etapas para usar a criptografia IPsec para transferência Ethernet.

Atualizar a versão de runtime
Configurar IPsec no PC
Configurar IPsec na unidade do display
Transferir arquivo de projeto

Atualizar a versão de runtime

Se a versão do runtime for anterior a 3.1.100.***, use qualquer método de transferência que não seja transferência IPsec para atualizar o runtime para a versão 3.1.100.*** ou posterior. Quando o projeto for transferido com o software de edição de tela versão 3.1 Service Pack 1 ou posterior, a versão do runtime será atualizada.

Transferindo um projeto pela Ethernet

Transferindo um projeto por um cabo USB

Transferindo um projeto com o sistema de arquivos

Observação:

Esta etapa só é necessária quando a versão de runtime for anterior à versão 3.1.100.***. Verifique sua versão de runtime da tela de Configuração de hardware.
Sobre configuração de hardware

Configurar IPsec no PC

O seguinte descreve como habilitar IPsec em seu PC.

Observação: Antes de configurar o IPsec, Habilite o Windows Defender Firewall. Os direitos de administrador são necessários para configurar o firewall. Para obter mais informações, consulte ajuda do Windows

Em seu teclado, pressione a tecla [Logotipo do Windows] + tecla [R].
Digite wf.msc e clique [OK].
Clique com o botão direito do mouse [Windows Defender Firewall com Segurança Avançada no Computador Local], e selecione [Propriedades].
Na guia [Configurações IPsec], clique em [Personalizar].
No campo [Troca de tecla (Modo principal)], selecione a opção [Avançado] e clique em [Personalizar].
Clique em [Adicionar].

Selecione o seguinte e clique em [OK].

[Algoritmo de integridade]	[SHA-256]
[Algoritmo de criptografia]	[AES-CBC 128]
[Algoritmo de troca de chaves]	[Grupo Diffie-Hellman 14]

Selecione o item adicionado, e clique no ícone para mover o item para o topo da lista.
Clique em [OK].
No campo [Proteção de dados (Modo rápido)], selecione a opção [Avançado] e clique em [Personalizar].

Selecione a caixa de seleção [Exigir criptografia para todas as regras de segurança de conexão para proteger o tráfego da rede] e mova o seguinte item para o topo do item para o topo da lista [Integridade e criptografia de dados], como mostrado abaixo.

Observação: Se o item destacado não estiver na lista, adicione o item clicando em [Adicionar].

[Protocolo]	[ESP]
[Integridade]	[SHA-1]
[Criptografia]	[AES-CBC 128]
[Validade da chave (minutos/KB)]	[60/100.000]

Clique em [OK].
Clique com o botão direito do mouse em [Regras de segurança de conexão], e clique em [Nova regra].
Selecione [Personalizado] e clique em [Próximo].
Para [Ponto final 1], selecione o [Qualquer endereço IP].
Para [Ponto final 2], selecione a opção [Estes endereços IP] e adicione o endereço IP da unidade do display.
Clique em [Próximo].
Selecione [Exigir autenticação para conexões de entrada e saída] e clique em [Próximo].
Selecione a opção [Avançado] e clique em [Personalizar].
Na área [Primeira autenticação], clique em [Adicionar].
Selecione a opção [Chave pré-partilhada (não recomendado)] e digite a chave pré-partilhada.

Observação: A chave pré-partilhada deve ter 16 caracteres com pelo menos 1 letra minúscula, 1 letra maiúscula, 1 número e 1 caractere especial ( ~ ! @ $ % ^ & * _ + - = ` \ ( ) [ ] : “ ‘ < > { } # ;).
Clique em [OK].
Clique em [Próximo].
Em [Tipo de protocolo], selecione [TCP].

Configurar [Porta do ponto final 2].

Ao utilizar a Série SP5000 Open Box (Windows 10 IoT Enterprise Model) ou Série ST6000 2nd Gen

Selecione [Portas específicas] e digite 3320,3321,8050.

Ao utilizar a Série SP5000 Power Box, Série SP5000X, Série GP-4100, Série ST6000 ou Série STM6000

Selecione [Todos as portas].

Clique em [Próximo].
Selecione o perfil da rede para operação de transferência, e clique em [Próximo].
Digite o [Nome], e clique em [Concluir].
Confirme se a regra foi adicionada em [Regras de segurança de conexão] e se [Sim] é exibido na coluna [Habilitar].

Observação: Após transferir o arquivo do projeto, clique com o botão direito do mouse na regra e clique em [Desabilitar regra] para desabilitar IPsec. Quando o IPsec ainda estiver habilitado após a transferência, a comunicação TCP entre o PC e a unidade do display não funcionará.

Configurar IPsec na unidade do display

Ao utilizar a Série SP5000 Open Box (Windows 10 IoT Enterprise Model)

Na unidade do display, configure o Windows Firewall para usar o IPsec.

Configurando IPsec no PC

Observação:

Use a mesma chave pré-partilhada que foi configurada no PC.

As configurações de endereço IP são as mesmas que no PC.

[Ponto final 1]	[Qualquer endereço IP]
[Ponto final 2]	Selecione [Estes endereços IP:] e adicione o endereço IP da unidade do display.

As configurações da porta são as mesmas que no PC.

[Porta do ponto final 2:]

Selecione [Portas específicas] e digite 3320,3321,8050.

Ao utilizar a Série SP5000 Power Box, Série SP5000X, Série GP-4100, Série ST6000, Série ST6000 2nd Gen ou Série STM6000

Abra a tela de Configuração de hardware e definir a chave pré-partilhada.

Abra a tela Hardware Configuration.
Sobre configuração de hardware
Pressione o botão à direita do campo [IPsec].
Em [IPsec], toque no botão [Enable].

Observação: Ao utilizar a série ST6000 2nd Gen, o sistema reinicia após o [IPsec] ser habilitado. Abra a tela de Configuração de hardware e toque novamente no botão à direita do campo [IPsec].
Insira a chave pré-partilhada.

Observação: Use a mesma chave pré-partilhada que foi configurada no PC.
Toque [Save and Reboot]. As alterações são salvas e a aplicação de runtime é reiniciado.

Transferir arquivo de projeto

Para executar a transferência por Ethernet, são necessárias operações no PC (software de edição de tela) e na unidade do display (tela de configuração de hardware). Como a porta Ethernet na unidade do display é normalmente fechada, como parte do processo de transferência, é necessário abrir a porta na tela de Configuração de hardware (consulte a etapa 8 na tabela abaixo).

Importante:

Para se comunicar usando Ethernet, o endereço IP das configurações de Ethernet deve ser configurado na unidade do display.
O sistema da unidade de display utiliza as portas Ethernet número 3320-3321 e 8050-8051. Não feche essas portas nas configurações de firewall.
Para evitar adulterações no arquivo do projeto na unidade do display, habilitar a autenticação do usuário para operações de transferência do arquivo do projeto. Para o procedimento de configuração, consulte a tabela abaixo.
Por favor, tome precauções, pois a transferência não será possível se você esquecer o nome de usuário ou senha.

Observação:

Verifique se as portas de Ethernet configuradas estão disponíveis na unidade de display.
Seu PC ou placa de rede pode não suportar uma conexão direta com a unidade de display usando um cabo Ethernet. Se a comunicação não for possível, tente o seguinte:
Você não pode transferir o projeto durante a simulação.
Quando o software de edição de tela e o aplicativo de runtime residirem no mesmo PC, defina [127.0.0.1] para a propriedade [Método de transferência] - [Endereço IP] do terminal.

Para transferir um projeto:

	PC (Software de edição de tela)	Unidade de display (Tela de configuração de hardware)
1	Conecte o PC (instalado com o software de edição de tela) e a unidade do display à rede Ethernet.
2	—	Ligue a unidade do display. (Ao utilizar a Série SP5000 Open Box (Windows 10 IoT Enterprise Model)) No menu Programa, clique em [BLUE Runtime] > [BLUE Runtime (Executar como administrador)]. Observação: Se você não puder selecionar [Executar como administrador], favor entrar em contato com seu administrador do sistema.
3	Inicie o software de edição de tela e abra o projeto que você deseja transferir.	—
4	Na janela do Explorador de projeto, de [Arquitetura do sistema] clique em [Target01]. Observação: Certifique-se de que a unidade de display para a qual você está transferindo é do mesmo tipo de unidade de display definida no software de edição de tela.	—
5	Na janela Propriedades, ir para a guia [Função] ➞ guia [Básico] e em [Tipo] confirme que o [Método de transferência] é [Ethernet]. Defina o endereço de IP para o qual os arquivos do projeto devem ser transferidos.	—
6	No campo [Configuração de segurança] selecione [Habilitar] e no campo [Nível de segurança] defina o nível de segurança necessário para executar as operações de transferência. Observação: Na [Configuração de segurança] se [Desabilitar] for selecionado, o arquivo do projeto é transferido sem autenticação do usuário. Quando [Habilitar] não é selecionado na janela Propriedades de [Configurações], o arquivo do projeto é transferido sem autenticação. (Para abrir a janela Propriedades de [Configurações], na janela do Explorador de projeto, ir para [Segurança] e clique em [Configurações].) Se não houver nenhum grupo de usuários ou usuário que satisfaça o [Nível de segurança], o arquivo do projeto não poderá ser transferido. Para criar grupos de usuários e usuários, consulte o seguinte. Etapas para projetar (Segurança)
7	—	Abra a tela Hardware Configuration. Configuração de hardware
8	—	Em [Ethernet Download], toque no botão [Enable]. ➞ A tela de espera será exibida. As operações da unidade do display não são possíveis enquanto a tela de espera for exibida.
9	Na barra de ferramentas da Aplicação, clique no ícone . Observação: Se o produto não estiver licenciado, então o ícone ficará acinzentado e você não poderá transferir o projeto.	—
10	A caixa de diálogo Gerenciador de downloads exibe o status da transferência. Você será solicitado para um [Nome do usuário] e [Senha]. Digite o nome de usuário e a senha para um usuário que satisfaça o nível de segurança exigido e clique em [OK]. Importante: Não DESLIGUE o PC ou a unidade de display, nem desconecte o cabo de transferência durante a transferência (PC para Unidade do display). Isso pode causar um erro quando a unidade de display for iniciada. Observação: Antes que a caixa de diálogo do Gerenciador de downloads seja exibida, uma caixa de diálogo mostrando a validação e o progresso da geração de arquivos é exibida. Além disso, dependendo do tamanho do projeto, pode levar algum tempo até que a caixa de diálogo do Gerenciador de downloads apareça. A caixa de diálogo Gerenciador de downloads exibe as opções de dados de runtime Manter e Substituir/Limpar, dependendo das configurações de Informações do usuário, Configurações de Ethernet, Armazenamento local, Alarme, Registro e Registros de operação. Para obter mais informações, consulte o seguinte. Manter dados de runtime após a transferência Pode levar alguns minutos para transferir arquivos de projetos muito grandes.	—
11	Após a transferência ser concluída, feche a caixa de diálogo Gerenciador de downloads.	—

Depois que o projeto é transferido com sucesso, a unidade de display reinicia e executa o projeto transferido.

Observação: Ao transferir para uma unidade da Série GP-4100 que tenha um sistema da versão 3.0 ou anterior, após uma caixa de mensagem ser exibida para indicar que a transferência foi concluída, a unidade da Série GP-4100 pode não reiniciar mesmo depois de vários minutos decorrido.

À medida que a operação de transferência for concluída, você pode reiniciar a unidade da Série GP-4100 retirando e reinserindo o cabo de alimentação.

Sempre permitir transferência via Ethernet

Configure o seguinte quando você tiver que transferir freqüentemente, como ao depurar o aplicativo, para evitar ter que entrar na Configuração de hardware e habilitar o download de Ethernet toda as vezes.

Importante:

A configuração abaixo não é recomendada. Ao utilizar esta configuração, a unidade do display sempre aceita transferências Ethernet, o que aumenta o risco de segurança.

Na janela do Explorador de projeto, de [Arquitetura do sistema] clique em [Target01].
Na janela Propriedades, ir para a guia [Avançado] ➞ guia [Configurações] e nas [Preferências] selecione as caixas de seleção [Sempre permitir transferência via Ethernet].

Solução de problemas

Quando a caixa de diálogo Gerenciador de downloads exibir um erro, consulte o seguinte.

Erro	Causa	Solução
[Não é possível conectar-se ao destino especificado. Verifique se a unidade de display está no modo de espera de transferência do projeto.]	O IPsec não está habilitado em nenhum das unidade de display e nem no PC.	Habilitar IPsec. Configurando IPsec no PC Configurando IPsec na unidade do display
	O IPsec não está configurado corretamente em uma ou em ambas as unidades de display e no PC Windows.	Confirmar as configurações IPsec no PC. Configurando IPsec no PC Confirmar que a mesma chave pré-partilhada é utilizada na unidade de display e no PC.
	As portas IKE e IPsec são bloqueadas por um firewall ou outro programa associado a aplicativos antivírus.	Verifique se a porta IKE (UDP 500) e a porta IPsec ESP (50) estão abertas em todos os firewalls entre o PC e a unidade de display, incluindo o firewall associado aos aplicativos antivírus.