BLUE 用户指南
按一下此处即可查看此页面的完整内容
  1. Home >
  2. 传输 >
  3. 通过具有IPsec的以太网传输工程

通过具有IPsec的以太网传输工程

此产品支持通过以太网进行的 IPsec 加密传输,以防止未经授权的访问。

注:

  • 对于连接到Pro-face Connect的人机界面,不能通过IPsec进行以太网传输。不使用 IPsec 进行工程传输。传输由 Pro-face Connect 加密。
    通过以太网传输工程
  • 除传输之外,IPsec 不能用于 PC 和人机界面之间的 TCP 通信。即使在使用 IPsec 进行以太网传输过程中,PC 和人机界面之间的其他 TCP 通信也不可用。

IPsec 简介

国际互联网工程任务组 (IETF) 开发并设计了互联网安全协议 (IPsec) 作为一套开放的协议标准,从而实现隐秘和安全的 IP 通信。IPsec 验证和加密算法需要用户定义的加密密钥来处理 IPsec 会话中的通信数据包。

设置工作流程

执行以下步骤以使用 IPsec 加密进行以太网传输。

  1. 更新运行时版本
  2. 在 PC 上配置 IPsec
  3. 人机界面上配置 IPsec
  4. 传输项目文件

更新运行时版本

如果运行时为 3.1.100.*** 之前版本,请使用 IPsec Transfer 以外的任何传输方法将运行时更新到 3.1.100.*** 或更高版本。使用 3.1 Service Pack 1 或更高版本的屏幕编辑软件传输工程时,将更新运行时版本。

通过以太网传输工程

通过 USB 电缆传输工程

使用文件系统传输工程

注:

  • 仅当运行时版本早于 3.1.100 *** 时需要执行此操作。检查运行时版本“硬件配置”画面。
    关于硬件配置

  • 传输到 IPC 系列或 PC/AT 时,如果版本未更新,请使用安装程序重新安装运行时应用程序。
    使用 IPC 系列或 PC/AT 时

在 PC 上配置 IPsec

下面介绍如何在 PC 上启用 IPsec。

注: 配置 IPsec 之前,请启用 Windows Defender 防火墙。配置防火墙需要管理员权限。有关更多信息,请参阅 Windows 帮助。

  1. 在键盘上,按[Windows 徽标]键 + [R]键。
  2. 输入 wf.msc 并单击[确定]。
  3. 右键单击[本地计算机上的高级安全 Windows Defender 防火墙],然后选择[属性]。
  4. 从[IPsec 设置]选项卡中,单击[自定义]。
  5. 在[密钥交换(主模式)]字段中,选择[高级]选项并单击[自定义]。
  6. 单击[添加]。
  7. 选择以下选项并单击[确定]。

    [完整性算法]

    [SHA-256]

    [加密算法]

    [AES-CBC 128]

    [密钥交换算法]

    [Diffie-Hellman Group 14]
  8. 选择添加的项目,然后单击图标将项目移动到列表顶部。
  9. 单击[确定]。
  10. 在[数据保护(快速模式)]字段中,选择[高级]选项并单击[自定义]。
  11. 选中[需要加密所有连接安全规则以保护网络流量]复选框,并将以下项目移到[数据完整性和加密]列表顶部的项目顶部,如下所示。

    注:如果突出显示的项目不在列表中,请单击[添加]添加该项目。


    [协议]

    [ESP]

    [完整性]

    [SHA-1]

    [加密]

    [AES-CBC 128]

    [密钥生存期(分钟/KB)]

    [60/100.000]

  12. 单击[确定]。

  13. 右键单击[连接安全规则],然后单击[新建规则]。
  14. 选择[自定义]并单击[下一个]。
  15. 对于[端点1],选择[任意 IP 地址]。
  16. 对于[端点2],选择[这些 IP 地址]选项并添加人机界面的 IP 地址。
  17. 单击[下一个]。
  18. 选择[要求对入站和出站连接进行身份验证],然后单击[下一个]。
  19. 选择[高级]选项并单击[自定义]。
  20. 在[第一身份验证]区域中,单击[添加]。
  21. 选择[预共享密钥(不推荐)]选项并输入预共享密钥。

    注:预共享密钥必须是 16 个字符,至少有 1 个小写字符、1 个大写字符、1 个数字和 1 个特殊字符 ( ~ ! @ $ % ^ & * _ + - = ` \ ( ) [ ] :“ ‘ < > { } # ;).

  22. 单击[确定]。
  23. 单击[下一个]。
  24. 从[协议类型],选择[TCP]。
  25. 设置[端点2端口]。
    当使用 SP5000 系列 Open Box (Windows 10 IoT Enterprise 型)、IPC 系列或 PC/AT 时

    选择[特定端口]并输入3320,3321,8050

    使用SP5000系列Power Box、SP5000X系列、GP-4100系列、ST6000系列或STM6000系列时

    选择[全部端口]。
  26. 单击[下一个]。
  27. 选择传输操作的网络配置文件,然后单击[下一个]。
  28. 输入[名称],然后单击[完成]。
  29. 确认规则已添加到[连接安全规则]中,并且[已启用]列中显示[是]。

    注: 传输工程文件后,右键单击规则,然后单击[禁用规则]以禁用 IPsec。如果在传输后仍启用 IPsec,则 PC 和人机界面之间的 TCP 通信将无法工作。

 

 

在人机界面上配置 IPsec

当使用 SP5000 系列 Open Box (Windows 10 IoT Enterprise 型)、IPC 系列或 PC/AT 时

在人机界面上,配置 Windows 防火墙以使用 IPsec。

在 PC 上配置 IPsec

注:

  • 使用与 PC 上设置的相同预共享密钥。
  • IP 地址设置与 PC 上的相同。
    [端点1] [任何 IP 地址]
    [端点2]

    选择[这些 IP 地址:]并添加人机界面的 IP 地址。
  • 端口设置与 PC 上的相同。

    [端点 2 端口:]

    选择[特定端口]并输入3320,3321,8050

 

使用SP5000系列Power Box、SP5000X系列、GP-4100系列、ST6000系列或STM6000系列时

打开硬件配置画面并设置预共享密钥。

  1. 打开硬件配置画面。
    关于硬件配置
  2. 触摸[IPsec]字段右边的按钮。
  3. [IPsec]中,触摸[Enable]按钮。
  4. 输入预共享密钥。

    注:使用与 PC 上设置的相同预共享密钥。

  5. 触摸[Save and Reboot]。保存更改并重新启动运行时应用程序。

传输项目文件

要运行以太网传输,需要在 PC (屏幕编辑软件) 和人机界面 (硬件配置画面) 上进行操作。由于人机界面上的以太网端口通常是关闭的,作为传输过程的一部分,您需要在硬件配置画面中打开该端口 (见下表第 8 步)。

重要事项:

  • 要使用以太网进行通信,必须在人机界面上设置以太网设置的 IP 地址。

  • 人机界面系统使用端口号为 3320-3321 和 8050-8051 的以太网端口。请勿在防火墙设置中关闭这些端口。

  • 要防止篡改人机界面上的工程文件,请为工程文件传输操作启用用户身份验证。有关设置步骤,请参阅下表。
    请做好预防措施,因为如果您忘记用户名或密码,将无法进行传输。

注:

  • 检查已配置的以太网端口在人机界面上是否可用。
  • PC 或网卡可能不支持使用以太网电缆直接与人机界面连接。如果无法通信,请尝试以下操作:

    • 如果通过以太网电缆直接连接到目标设备,请使用以太网交换机。

    • 使[Auto Negotiation]、[Speed Setting]和[Duplex Setting]设置与目标设备匹配。
      您可以在硬件配置画面上更改这些设置。
      配置以太网设置

  • 不能在模拟过程中传输工程。

  • 当屏幕编辑软件和运行时程序位于同一台 PC 上时,请将目标属性 [传输方式] - [IP 地址] 设置为 [127.0.0.1]。

传输工程:

 

PC(画面编辑软件)

人机界面 (硬件配置画面)

1

 将 PC(安装有画面编辑软件)和人机界面连接到以太网。

2

打开人机界面。

(当使用 SP5000 系列 Open Box (Windows 10 IoT Enterprise 型) 时)

从程序菜单上,单击 [BLUE Runtime]>[BLUE Runtime (Run as Administrator)]。

(使用 IPC 系列或 PC/AT 时)

从程序菜单中,右击[BLUE Runtime],然后选择[以管理员身份运行]。

注:如果无法选择[以管理员身份运行],请与系统管理员联系。

3

启动画面编辑软件并打开要传输的工程。

4

在工程浏览器窗口中,从[系统架构]单击[目标01]。

注: 请确保您要传输到的人机界面与屏幕编辑软件中定义的人机界面类型相同。

5

在属性窗口中,转到[功能]选项卡 ➞ [基本]选项卡并在[类型]中确认以下[传输方式]为[以太网]:

设置工程文件要传输到的 IP 地址。

6

从[安全设置]选择[启用],并在[安全级别]字段中设置执行传输操作所需的安全级别。

注:

  • 在[安全设置]中,如果选择了[禁用],工程文件将在没有用户身份验证的情况下传输。
  • 在[设置]属性窗口中未选择[启用]时,将在没有验证的情况下传输工程文件。
    (要打开[设置]属性窗口,请在工程浏览器窗口中转到[安全],然后单击[设置]。)
  • 如果没有满足[安全级别]的用户组或用户,则无法传输工程文件。有关创建用户组和用户的信息,请参阅以下内容。
    设计步骤 (安全)
  

7

打开硬件配置画面。硬件配置

8

[Ethernet Download]中,触摸 [Enable] 按钮。 ➞ 待机画面将显示。待机画面显示时,不能进行人机界面操作。

(使用 IPC 系列或 PC/AT 时)

首次传输工程文件时,可能会显示以下对话框。

当未打开所需的以太网端口时,将显示对话框。

单击[允许访问]。

单击[允许访问]将打开所需的以太网端口。

注: 如果您在上面的对话框中单击[取消],或由于Windows设置而没有出现以上对话框,请手动设置权限。有关权限的信息,请参阅以下内容。

手动设置通讯权限

9

在应用程序工具栏上,单击图标。

注:如果产品未经授权,则图标灰显,不能传输工程。

10

Download Manager 对话框显示传输状态。

系统将提示您输入[用户名]和[密码]。输入满足所需安全级别的用户的用户名和密码,然后单击[确定]。

重要事项: 在传输过程中 (PC 到人机界面),请勿关闭 PC 或人机界面,亦勿断开传输电缆。这可能导致人机界面启动时出现错误。

注:

  • 在显示 Download Manager 对话框之前,将显示一个显示验证和文件生成进度的对话框。此外,根据工程大小,可能需要一些时间才能显示 Download Manager 对话框。
  • 下载管理器对话框显示保留和覆盖/清除运行时数据选项,具体取决于用户信息、以太网设置、本地存储、报警、日志和操作日志的设置。
    有关更多信息,请参阅以下内容。
    传输后保留运行时数据
  • 传输很大的工程文件可能需要一些时间。

11

传输完成后,关闭 Download Manager 对话框。

成功传输工程后,人机界面重新启动并运行传输的工程。

注:如果传输到的 GP-4100 系列设备装有 3.0 或更低版本的系统,则在显示消息框指示传输完成后,即使经过几分钟,GP-4100 系列设备也可能无法重新启动。

传输操作完成后,可以拔出并重新插入电源线,重新启动 GP-4100 系列设备。

始终允许以太网传输

在需要频繁传输时设置以下内容,例如在调试应用程序时,这样可以避免每次都必须进入硬件配置和启用以太网下载。

重要事项:

不建议使用以下配置。使用此配置时,人机界面始终接受以太网传输,这会增加安全风险。

  1. 在工程浏览器窗口中,从[系统架构]单击[目标01]。

  2. 在属性窗口中,转到[高级]选项卡➞[设置]选项卡,并从[偏好]中选中[始终允许以太网传输]复选框。

故障解决

下载管理器对话框显示错误时,请参阅以下内容。

错误 原因 解决方法

[无法连接指定的目标。
检查人机界面是否处于工程传输待机状态。]

人机界面和 PC 上都未启用 IPsec。

 启用 IPsec。在 PC 上配置 IPsec

在人机界面上配置 IPsec

人机界面和 Windows PC 上都未正确配置 IPsec。
  • 确认 PC 中的 IPsec 设置。
    在 PC 上配置 IPsec
  • 确认人机界面和 PC 上使用了相同的预共享密钥。
IKE 和 IPsec 端口被防火墙或与防病毒应用程序关联的其他程序阻止。

验证 PC 和人机界面之间所有防火墙上的 IKE 端口 (UDP 500) 和 IPsec ESP 端口 (50) 是否打开,包括与防病毒应用程序关联的防火墙。

 

Copyright (C) 2025 Schneider Electric Japan Holdings Ltd. 保留所有权利。 |BLUE 4.2 (手册版本: 4.2.0.000)| 用户指南