西门子PLC中国一级经销商
提供西门子G120、G120C V20 变频器; S120 V90 伺服控制系统;6EP电源;电线;电缆;
网络交换机;工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——浔之漫智控技术(上海)有限公司,作为西门子中国有限公司授权合作伙伴,浔之漫智控技术(上海)有限公司代理经销西门子产品供应全国,西门子工控设备包括S7-200SMART、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。公司国际化工业自动化科技产品供应商,是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。西部科技园,东边是松江大学城,西边和全球**芯片制造商台积电毗邻,作为西门子授权代理商,西门子模块代理商,西门子一级代理商,西门子PLC代理商,西门子PLC模块代理商,
,建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品与此同时,我们
向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等
交通主干道将松江工业区与上海市内外连接,交通十分便利。
建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。
下表列出了操作“源 NAT + 目标 NAT”所需的输入:
框 可能的条目 含义
源 IP 地址 (Source
IP address)
源网络中的 IP 地址 组态始终在源 NAT 方向上指定。SCT
源网络中的 IP 地址范围 随后会自动插入目标 NAT 方向的 IP 地址。
源转换 (Source
translation)
目标网络中的 IP 地址
目标 IP 地址
(Destination IP
address)
与此操作无关。
目标转换
(Destination
translation)
与此操作无关。
编号 (No.) - SCT 分配的编号,用于引用 SCT 根据 NAT
规则生成的防火墙规则。
操作“双 NAT”
对于 SCALANCE S 模块,可在以下方向上执行操作“双 NAT”:
● 内部到外部
● 外部到内部
如果安全模块(** SCALANCE S623/S627-2M)的 DMZ
接口已激活,还可以在以下方向上执行操作“双 NAT”。
● 内部到 DMZ
● 外部到 DMZ
● DMZ 到内部
● DMZ 到外部
各个方向上的源和目标 NAT 始终同时进行。
例如,以下规格适用于“外部到内部”方向:从外部访问内部时,替换外部节点的源 IP
地址(源 NAT)。访问内部网络还使用“目标 IP 地址”(Destination IP address)
输入框中指定的外部 IP 地址(目标 NAT)。
例如,使用目标 NAT
为要访问的设备输入标准路由器而非安全模块时,可以使用此操作。这时,此设备的响应
帧不发送到已输入的标准路由器,而是发送到相应的安全模块接口。
表列出了操作“双 NAT”所需的输入。
框 可能的条目 含义
源 IP 地址 (Source IP address) 源网络中的 IP 地址 源网络中节点的 IP 地址
源转换 (Source translation) - 源 NAT
的地址始终转换为目标网络中安全
模块的 IP
地址。因此,不能组态“源转换”(S
ource translation) 输入框。
目标 IP 地址 (Destination IP
address)
源网络中的 IP 地址 源网络中的目标 IP
地址,通过该地址可以访问目标网
络中的 IP 地址。
如果帧的目标 IP 地址与输入的 IP
地址匹配,那么将用“目标转换”(D
estination translation)
输入框中指定的 IP 地址替换该 IP
地址。
如果此处输入的 IP
地址不是安全模块的 IP
地址,则会成为别名地址。这意味
着,指定的地址还将注册为所选接
口的 IP
地址。别名地址还显示在安全模块
的“接口”(Interfaces)
选项卡中。确保别名地址不会在网
络中引起 IP 地址冲突。
目标转换 (Destination translation) 目标网络中的 IP 地址 目标 IP 地址由此处指定的 IP
地址替换。
编号 (No.) - SCT 分配的编号,用于引用 SCT
根据 NAT
规则生成的防火墙规则。
启用 NAPT
启用 NAPT 的输入框。只有使用下述列表中的条目时才能进行 NAPT 转换。创建 NAPT
规则以后,相应的防火墙规则会在**模式下生成并显示,请参见以下部分:
NAT/NAPT 路由器与防火墙之间的关系 (页 216)可在以下方向上使用 NAPT 执行 IP 地址转换:
● 外部到内部
如果安全模块(** SCALANCE S623/S627-2M)的 DMZ
接口已激活,还可以在以下方向上使用 NAPT 执行 IP 地址转换。
● 外部到 DMZ
● DMZ 到内部
● DMZ 到外部
如果 SCALANCE S 模块位于 VPN 组中(对 SCALANCE S602
不适用),还可以在以下方向上使用 NAPT 进行 IP 地址转换:
● 外部到隧道
● 隧道到内部
● 隧道到外部
● DMZ 到隧道(仅当 DMZ 接口激活时)
● 隧道到 DMZ(仅当 DMZ 接口激活时)
例如,以下规则适用于“外部到内部”方向:将用于安全模块外部 IP
地址的帧和用于“源端口”(Source port) 列中所输入端口的帧转发到内部网络中指定的目标
IP 地址和指定的目标端口。
下表列出了使用 NAPT 进行地址转换所需的输入。
框 可能的条目 含义
源端口
(Source
port)
TCP/UDP 端口或端口范围
输入端口范围的示例:78:99
源网络中的节点可以通过其中一个指定端口号将帧发
送到目标网络中的节点。
目标 IP 地址
(Destination
IP address)
目标网络中的 IP 地址 将用于源网络中安全模块 IP
地址的帧和用于“源端口”(Source port) 框中所指定
TCP/UDP 端口的帧转发到此处指定的 IP 地址。
目标端口
(Destination
port)
TCP/UDP 端口或端口范围
仅当在“源端口”(Source port)
列中同时指定端口范围后,才能指
能的条目 含义
协议
(Protocol)
• TCP+UDP
• TCP
• UDP
为指定的端口号选择协议系列
编号 (No.) - SCT 分配的编号,用于引用 SCT 根据 NAPT
规则生成的防火墙规则。
参见
IP 数据包过滤规则 (页 179)
5.1.5 在 VPN 隧道中使用 NAT/NAPT 进行地址转换
含义
对通过 VPN 隧道建立的通信关系,可使用 NAT/NAPT 进行地址转换。
要求
对要在 VPN 隧道中使用 NAT/NAPT 进行地址转换的 SCALANCE S
模块,通常有以下要求:
● SCALANCE S 模块属于一个 VPN 组。
● SCALANCE S 模块处在路由模式下和/或其 DMZ 接口已激活。
● 已启用隧道接口。
所支持的地址转换方向
支持以下部分描述的地址转换方向:
使用 NAT/NAPT 进行地址转换 (页 206)所支持的地址转换操作
对于隧道式通信关系,支持以下地址转换操作:
● 目标 NAT(“重定向”)
● 源 NAT(“地址伪装”)
● 源和目标 NAT(“1:1-NAT”)
● NAPT(“端口转发”)
有关地址转换操作的基本信息,请参见以下部分:
使用 NAT/NAPT 进行地址转换 (页 206)
所支持的 VPN 链路
采用 NAT/NAPT 时,支持以下 VPN 链路:
VPN 链路 VPN 链路发起者 地址转换执行者
SCALANCE S (a) SCALANCE S (b) SCALANCE S (a) 或
SCALANCE S (b)
SCALANCE S (a) 和/或
SCALANCE S (b)
SCALANCE S S7-CP/PC-CP SCALANCE S 或 S7-CP/PC-CP SCALANCE S
SCALANCE S SCALANCE M SCALANCE M SCALANCE S 和/或
SCALANCE M*
SOFTNET 安全客户端 SCALANCE S SOFTNET 安全客户端 SCALANCE S
SCALANCE S NCP VPN 客户端
(Android)
NCP VPN 客户端 (Android) SCALANCE S
* 仅支持 1:1 NAT。
SCALANCE S623 V4 和 SCALANCE S627-2M V4 类型的 SCALANCE S
模块,在外部接口和 DMZ 接口有 VPN 端点时,可同时在这两个接口上进行地址转换。
涉及多个 VPN 组时的地址转换特性
如果 SCALANCE S 模块是多个 VPN 组的成员,则为 SCALANCE S
模块的隧道接口组态的地址转换规则适用于此 SCALANCE S 模块的所有 VPN 连接一旦组态了涉及隧道方向的 NAT 地址转换后,只有 NAT 地址转换规则涉及到的 IP
地址可通过 VPN 隧道进行访问。
5.1.6 NAT/NAPT 路由器与防火墙之间的关系
含义
在创建 NAT/NAPT 规则后,SCT
自动生成防火墙规则,启用在组态的地址转换方向上的通信。 可根据需要扩展(附加 IP
地址/IP 地址范围/IP
地址段、服务、带宽)所生成的防火墙规则。此外,应就优先级和位置等对自动生成的防
火墙规则进行检查。如果规则列表里还存在优先级高于自动生成的防火墙规则的手动组态
的防火墙规则,在某些情况下将不执行 NAT/NAPT。
无法更改 SCT 生成的防火墙参数。 取消激活 NAT/NAPT 后,将删除 SCT
生成的防火墙规则。
为指明 NAT/NAPT
规则和对应的防火墙规则之间的关系,相关规则在“NAT/NAPT”和“防火墙”(Firewall)
选项卡以对应的连续编号标识。
下表给出了为 SCALANCE S 模块的 NAPT 规则生成的防火墙规则背后的体系。
表格 5- 1 NAT 地址转换和 SCALANCE S 模块的相应防火墙规则
NAT 操作 所创建的防火墙规则
动作 自 至 源 IP 地址 目标 IP 地址
目标 NAT 允许 源网络 目标网络 - 在“目标 IP
地址”(Destinatio
n IP address)
输入框中指定的
IP 地址
源 NAT 允许 源网络 目标网络 在“源 IP
地址”(Source IP
address)
输入框中指定的
节点 IP 地址