Microsoft Word - VPN_Tunnel_Internet_c.doc

Size: px

Start display at page:

Download "Microsoft Word - VPN_Tunnel_Internet_c.doc"

豹焦
5 years ago
Views:

1 关于通信的 FAQ 使用 Microsoft 管理控制台通过 Internet 在 PC 站和 SCALANCE S 61x 之间建立 VPN 隧道 FAQ

2 通过互联网在装有 Win XP SP2 的 PC 站和 SCALANCE S 目录目录... Error! Bookmark not defined. 1 IPsec 隧道组态概述在 PLC 中组态网关在 PC 站中组态网关组态标准 DSL 路由器组态标准 DSL 路由器 A ( 连接到 PC 站 ) 组态标准 DSL 路由器 B ( 连接到 SCALANCE S) 使用 Microsoft 管理控制台组态 IPsec 通道添加管理单元创建 IP 安全策略添加或编辑安全措施添加安全规则, 用于从 PC 站到 SCALANCE S 61x 模块的数据传输创建 IP 筛选器创建和分配筛选器操作定义身份验证方法定义隧道设置项... 2Error! Bookmark not defined. 4.5 添加安全规则, 用于从 SCALANCE S 61x 模块到 PC 站的数据传输创建 IP 筛选器分配筛选器操作身份验证方法定义隧道设置组态 SCALANCE S 61x 建立 VPN 隧道检查 IPsec 服务建立 IPsec 隧道检查 IPsec 隧道状态文档历史...38 本条目内容来自 Siemens AG 自动化和驱动集团的服务与支持网站点击下面的链接可直达本文档的下载页面 V1.0 07/13/07 38/38

3 通过互联网在装有 Win XP SP2 的 PC 站和 SCALANCE S 问题如何使用 Microsoft 管理控制台通过互联网在装有 Windows XP SP2 的 PC 站和 SCALANCE S 61x V2.1 模块之间建立 VPN 隧道? 解答在路由模式下, 可以通过互联网在装有 Windows XP SP2 的 PC 站和 SCALANCE S 组态 VPN 隧道需要使用 Microsoft 管理控制台和 Security Configuration Tool 相应的先决条件如下 : 为了支持在路由模式下通过互联网建立隧道, 必须具备固件版本为 V2.1 的 SCALANCE S 61x 和 Security Configuration Tool V2.1 可以下载 SCALANCE S 61x 模块的固件版本 V2.1; 相应的条目号为标准 DSL 路由器 A 和 B 必须支持 NAT-T( 网络地址翻译转换 ) 和 NAPT( 网络地址端口翻译 ) 功能标准 DSL 路由器必须具有一个固定的外部 IP 地址, 该地址必须在被动 SCALANCE S 61x 模块上配置此处, 被动的意思是 SCALANCE S 61x 模块被动地等待伙伴方发起建立隧道需要装有 Windows XP SP2 的 PC 站用以发起建立隧道 V1.0 07/13/07 38/38

4 通过互联网在装有 Win XP SP2 的 PC 站和 SCALANCE S IPsec 隧道 SCALANCE S 模块使用 IPsec 协议建立隧道在 VPN 中通过 IPsec 隧道进行的数据交换具有下列属性身份验证只有拥有相应授权的人员才可以建立隧道完整性确保交换的数据不被修改保密性交换的数据可防窃听支持基于密钥或证书的身份验证方法 : 预共享密钥证书 SCALANCE S 模块支持下列完整性检查方法 : SHA-1 安全散列算法 1 MD5 消息摘要算法 V5 此外,SCALANCE S 模块还支持两种加密算法 : DES 数据加密标准算法 3DES 三倍 DES AES 高级加密标准算法 (SCALANCE S 模块只在通过 IPsec 进行数据交换的第 2 阶段 (phase 2) 支持该算法 ) 通过 IPsec 隧道进行的数据交换包含两个阶段 : 阶段 1 密钥交换 (IKE, 互联网密钥交换 ) 阶段 2 数据交换 (ESP, 封装安全有效载荷 ) IKE 协议用于 IPsec 密钥自动管理它使用 Diffie-Hellman 密钥交换算法在非安全网络中安全交换密钥使用下列密钥交换方法中的一种进行密钥交换 : 主模式 (Main mode) 挑战模式 (Aggressive mode) 下面的章节描述了通过互联网建立 VPN 通道所必须执行的组态步骤密钥交换需配置下列参数 (IKE: 互联网密钥交换 ): V1.0 07/13/07 38/38

5 通过互联网在装有 Win XP SP2 的 PC 站和 SCALANCE S 表 1-1 IKE 参数 IKE 参数取值身份验证方法完整性检查方法加密算法密钥交换方法 Diffie-Hellmann 算法预共享密钥 SHA-1 3DES 主模式 DH2 数据交换需配置下列参数 (ESP: 封装安全有效载荷 ): 表 1-2 ESP 参数完整性检查方法加密算法 ESP 参数 SHA-1 三倍 DES (3DES) 取值 V1.0 07/13/07 38/38

6 VPN Tunnel between PC Station with Win XP SP2 and SCALANCE S 61x V2.1 via Internet ID Number: 2 组态总览图 1-1 给出了组态图 2-1 组态 Internet ISP 1 ISP 2 PC 站装有 Windows XP SP2 和可选的 STEP 7 External IP ad dress of ISP 1: 外部 IP 地址 : 标准 DSL 路由器 A 标准 DSL 路由器 B Fixed e xte rnal IP address of ISP2: 内部 IP 地址 : SCALANCE S 61x CPU 315-2DP with CP343-1 IP 地址 : 缺省网关 : 受保护的自动化单元 IP 地址 : 缺省网关 :: VPN 隧道 (IPsec) 外部 IP 地址 : 内部 IP 地址 :: 缺省网关 :: V1.0 07/13/07 6/38

2.1 在 PLC 中组态网关带有 CP 343-1 的 CPU 315-2DP 位于内部以太网中, 该网络受 SCALANCE S 61x V2.1 模块的保护 SCALANCE S 61x V2.1 是 CP 343-1 的路由器或网关为此, 必须将 SCALANCE S 61x V2.1 模块的内部 IP 地址 140.

7 2.1 在 PLC 中组态网关带有 CP 的 CPU 315-2DP 位于内部以太网中, 该网络受 SCALANCE S 61x V2.1 模块的保护 SCALANCE S 61x V2.1 是 CP 的路由器或网关为此, 必须将 SCALANCE S 61x V2.1 模块的内部 IP 地址输入 CP 的以太网接口属性中, 将该模块作为路由器或网关图 2-2 在 S7-300 控制器中指定网关或路由器 SCALANCE S 61x 的内部 IP 地址 2.2 在 PC 站中组态网关 IP 地址为的 PC 站位于 SCALANCE S 61x V2.1 模块的外部以太网中标准路由器 A 是 PC 站的网关或路由器为此, 在 Windows 网络连接的局域网连接属性中, 输入标准路由器 A 的内部 IP 地址作为 default gateway ( 缺省网关 ) 此外, 标准路由器 A 作为 PC 站的 DNS 服务器图 2-3 在 PC 站中指定缺省网关 V1.0 07/13/07 7/38

8 注意事项标准路由器支持 DHCP 功能时,PC 可以自动从路由器 A 获取 IP 和 DNS 服务器地址 V1.0 07/13/07 8/38

9 3 组态标准 DSL 路由器 3.1 组态标准 DSL 路由器 A ( 连接到 PC 站 ) 标准 DSL 路由器 A 处于主动侧, 即 PC 站发起建立 VPN 隧道因此, 不需要在标准 DSL 路由器 A 中配置 PC 站的 IPsec 包的 PORT 转发规则不过, 在 PC 站上使用固定 IP 地址时, 可以选择将 PORT 转发设置为如下模式 : 来自互联网的被定向到路由器端口 500 和 4500 的 UDP 数据包被发送到所连接 PC 站的端口 500 和 4500 这意味着 : 在 PC 站的 DSL 路由器 A 上指定 IP 地址图 3-1. 标准 DSL 路由器 A 的端口转发 3.2 组态标准 DSL 路由器 B ( 连接到 SCALANCE S) 在标准 DSL 路由器 B 上,PORT 转发的设置为 : 被定向到路由器端口 500 和 4500 的互联网数据包被发送到所连接 SCALANCE S 61x 模块的端口 500 和 4500 这意味着, 在标准 DSL 路由器 B 上指定 SCALANCE S 61x 模块的外部 IP 地址图 3-2 标准 DSL 路由器 B 的端口转发 V1.0 07/13/07 9/38

10 4 使用 Microsoft 管理控制台组态 IPsec 通道使用 Microsoft 管理控制台 (MMC) 组态 PC 站中的 IPsec 通道通过开始菜单运行, 然后输入 mmc 命令打开 MMC 图 4-1 打开 Microsoft 管理控制台 4.1 添加管理单元首先, 通过文件添加 / 删除管理单元 (File Add/Remove Snapin... ) 在 MMC 控制台的根节点插入下面的管理单元 : IP 安全监视器 IP 安全策略管理服务添加 / 删除管理单元 ( Add/Remove Snap-in... ) 窗口随即打开选择添加 (Add) 按钮打开添加独立管理单元 ( Add Standalone Snap-in ) 窗口在该窗口中, 选择相应的管理单元并点击添加 ( Add ) 按钮添加这些管理单元 V1.0 07/13/07 10/38

11 图 4-2 添加管理单元在添加独立管理单元 ( Add Standalone Snap-in ) 窗口中, 选择 IP 安全监视器 ( IP Security Monitor ) 管理单元并点击添加 ( Add ) 按钮添加图 4-3 添加 IP 安全监视器 ( IP Security Monitor ) 管理单元 V1.0 07/13/07 11/38

12 接着, 添加 IP 安全策略管理 ( IP Security Policy Management ) 管理单元选择待管理的计算机或域时请选择本地计算机图 4-4 添加 IP 安全策略管理 ( IP Security Policy Management ) 管理单元添加服务 ( Services ) 管理单元时, 也指定本地计算机作为待管理的计算机图 4-5 添加服务 ( Services ) 管理单元添加必要的管理单元之后, 选择关闭 ( Close ) 按钮退出添加独立管理单元 ( Add Standalone Snap-in ) 窗口, 点击确定 ( OK ) 按钮退出添加 / 删除管理单元 ( Add/Remove Snap-in... ) 窗口添加的管理单元现已包含在 MMC 的控制台根节点中, 以便可以创建一个新的 IP 安全策略 V1.0 07/13/07 12/38

13 图 4-6 插入了管理单元之后的控制台根节点 4.2 创建 IP 安全策略要创建新的 IP 安全策略, 在控制台根节点下选择本地计算机 IP 安全策略 ( IP Security Policies on Local Computer ) 管理单元, 并通过点击创建 IP 安全策略 (Action Create IP Security Policy... menu) 菜单命令创建一个新的 IP 安全策略图 4-7 创建 IP 安全策略创建新 IP 安全策略的向导随即打开首先命名新的 IP 安全策略在本例中, 名称为 VPNtunnel_PC_ScalanceS 图 4-8 命名 IP 安全策略 V1.0 07/13/07 13/38

14 在下一步中, 禁用默认响应规则, 因为身份验证方法将在后面定义在最后一步中, 启用编辑属性 (Edit properties) 以便能够编辑和配置 IP 安全策略图 4-9 禁用默认响应规则并启用编辑属性 ( Edit properties ) 4.3 添加或编辑安全措施选择完成 ( Finish ) 退出 IP 安全策略向导之后, 即显示刚才创建的 VPNtunnel_PC_ScalanceS IP 安全策略的属性 (Properties) 窗口在该窗口中, 对策略进行配置和编辑首先配置 PC 站和 SCALANCE S 之间的密钥交换设置项在 VPNtunnel_PC_ScalanceS IP 安全策略的属性 (Properties) 窗口中, 选择常规 ( General ) 标签页选择高级 ( Advanced...) 按钮打开密钥交换设置 ( Key Exchange Settings ) 窗口在该窗口中, 使用方法 ( Methods ) 按钮添加或编辑身份验证过程中支持的安全措施 ( 加密和完整性 ) 身份验证过程中将支持下列安全措施 : 表 4-1 安全措施加密完整性 Diffie-Hellmann 3DES SHA1 低 3DES SHA1 中 DES MD5 低 DES MD5 中 V1.0 07/13/07 14/38

15 图 4-10 密钥交换设置配置好密钥交换设置项之后, 定义 IP 安全规则总共定义两个 IP 安全规则第一个 IP 安全规则定义从 PC 站到受 SCALANCE S 模块保护的网络的数据传输第二个 IP 安全规则定义从受 SCALANCE S 模块保护的网络到 PC 站的数据传输 4.4 添加安全规则, 用于从 PC 站到 SCALANCE S 61x 模块的数据传输要添加第一个 IP 安全规则, 选择 IP 安全策略的属性窗口中的规则 ( Rules ) 标签页使用添加... ( Add ) 按钮添加新的 IP 安全规则新规则属性 (New Rule Properties) 窗口随即打开 V1.0 07/13/07 15/38

16 图 4-11 添加 IP 安全规则创建 IP 筛选器 IP 筛选器决定 IP 安全规则的数据传输在新规则属性 (New Rule Properties) 窗口中, 在 IP 筛选器列表 ( IP Filter List ) 标签页上, 使用添加 ( Add ) 按钮创建一个新 IP 筛选器图 4-12 创建 IP 筛选器 V1.0 07/13/07 16/38

17 将新 IP 筛选器命名为 channel_from_pc_to_scalance 选择添加 ( Add ) 按钮打开筛选器属性 (Filter Properties) 窗口在此处定义数据传输方向由于第一个 IP 安全规则定义从 PC 站到受 SCALANCE S 模块保护的网络的数据传输, 所以请输入以下参数源地址 :PC 站的 IP 地址目标地址 : 连接在内部 SCALANCE S PORT 上的子网将选项镜像, 同时与源地址和目标地址正好相反的数据包相匹配 (Mirrored. Also match packets with the exact opposite source and destination addresses) 禁用随后将添加第二个安全规则以及相应的 IP 筛选器, 该筛选器确定 SCALANCE S 模块到 PC 的数据传输图 4-13 定义 IP 筛选器的名称和属性 IP 筛选器 channel_from_pc_to_scalance 现已包含在 IP 筛选器列表中选择 channel_from_pc_to_scalance IP 筛选器并接着在新规则属性窗口中选择筛选器操作 ( Filter Action ) 标签页, 以便添加新筛选器操作并将其分配到 IP 筛选器 V1.0 07/13/07 17/38

18 图 4-14 选择 IP 筛选器创建和分配 IP 筛选器操作使用添加 (Add...) 按钮打开新筛选器属性 (New Filter Action Properties) 窗口由于该筛选器操作的新安全措施尚不存在, 因此必须创建一个新安全措施在新筛选器属性 (New Filter Action Properties) 窗口的安全措施 ( Security Methods ) 标签页上, 启用协商安全 : ( Negotiate security: ) 选项并选择添加 ( Add ) 按钮图 4-15 创建筛选器操作 V1.0 07/13/07 18/38

19 创建一个自定义的安全措施为您的自定义安全措施设置下列数据完整性和加密选项 : 完整性算法 :SHA1 加密算法 :3DES 图 4-16 安全措施设置创建了具有相应设置的自定义安全措施之后, 该措施便出现在新筛选器操作属性 (New Filter Action Properties) 窗口的安全措施 ( Security Methods ) 标签页中新创建的安全措施被应用于筛选器操作图 4-17 应用安全措施 V1.0 07/13/07 19/38

20 在新筛选器操作属性 (New Filter Action Properties) 窗口中, 选择常规 ( General ) 标签页为筛选器操作命名, 例如命名为 IPSec Configuration, 并应用该名称图 4-18 命名筛选器操作接着, 在新筛选器操作属性 (New Filter Action Properties) 窗口的筛选器操作 ( Filter Action ) 标签页, 选择 IPSec Configuration 筛选器操作图选择筛选器操作 V1.0 07/13/07 20/38

21 4.4.3 定义身份验证方法现在定义预共享密钥身份验证方法在新规则属性 (New Rule Properties) 窗口中, 选择身份验证方法 (Authentication Methods) 标签页在本例中, 预共享密钥为 scalance 图 4-20 配置身份验证方法最后, 将身份验证方法应用于安全规则图 4-21 应用身份验证方法 V1.0 07/13/07 21/38

4.4.4 定义隧道设置项连接到外部 SCALANCE S 端口的标准 DSL 路由器 B 具有一个为互联网所知的固定的外部 IP 地址, 该路由器位于 IPsec 隧道的被动侧这意味着 : 标准 DSL 路由器 B 的固定外部 IP 地址对于 PC 站来说是隧道的终点标准 DSL 路由器 B 现在必须从互联网发送 UDP 数据包, 这些数据包被定向到路由器的端口 500 和 4500,

22 4.4.4 定义隧道设置项连接到外部 SCALANCE S 端口的标准 DSL 路由器 B 具有一个为互联网所知的固定的外部 IP 地址, 该路由器位于 IPsec 隧道的被动侧这意味着 : 标准 DSL 路由器 B 的固定外部 IP 地址对于 PC 站来说是隧道的终点标准 DSL 路由器 B 现在必须从互联网发送 UDP 数据包, 这些数据包被定向到路由器的端口 500 和 4500, 将这些数据包发送到所连接 SCALANCE S 模块的端口 500 和 4500 在编辑规则属性 (Edit Rule Properties) 窗口的隧道设置 ( Tunnel Setting ) 标签页上定义隧道终点输入标准路由器 B 的固定外部 IP 地址作为隧道终点图 4-22 定义隧道终点定义好隧道终点并将其应用于 IP 安全规则之后, 选择确定 ( OK ) 按钮退出编辑规则属性 (Edit Rule Properties) 窗口 VPNtunnel_PC_ScalanceS IP 安全策略的属性 (Properties) 窗口随即打开现在创建第二个 IP 安全规则, 用于从受 SCALANCE S 模块保护的网络到 PC 站的数据传输 V1.0 07/13/07 22/38

23 4.5 添加安全规则, 用于从 SCALANCE S 61x 模块到 PC 站的数据传输在 VPNtunnel_PC_ScalanceS IP 安全策略的属性 (Properties) 窗口中, 使用添加 ( Add ) 按钮创建第二个 IP 安全规则图 4-23 添加安全规则创建 IP 筛选器新规则属性 (New Rule Properties) 窗口随即打开在 IP 筛选器列表 ( IP Filter List ) 标签页上, 使用添加 ( Add ) 按钮创建一个新 IP 筛选器该筛选器确定第二个安全规则的数据传输 V1.0 07/13/07 23/38

24 图 4-24 创建 IP 筛选器将新 IP 筛选器命名为 channel_from_scalance_to_pc 选择添加 ( Add ) 按钮打开筛选器属性 (Filter Properties) 窗口在此处定义数据传输方向由于第二个 IP 安全规则定义从受 SCALANCE S 模块保护的网络到 PC 站的数据传输, 所以请输入以下参数源地址 : 连接到内部 SCALANCE S PORT 的子网目标地址 :PC 站的 IP 地址将选项镜像, 同时与源地址和目标地址正好相反的数据包相匹配 (Mirrored. Also match packets with the exact opposite source and destination addresses) 禁用存在了一个独立的安全规则, 用于从 PC 到 SCALANCE S 模块的数据传输 V1.0 07/13/07 24/38

图 4-25 定义 IP 筛选器的名称和属性 channel_from_scalance_to_pc IP 筛选器现已包含在 IP 筛选器列表中选择 channel_from_scalance_to_pc IP 筛选器, 接着在新规则属性 (New Rule Properties) 窗口中选择筛选器操作

25 图 4-25 定义 IP 筛选器的名称和属性 channel_from_scalance_to_pc IP 筛选器现已包含在 IP 筛选器列表中选择 channel_from_scalance_to_pc IP 筛选器, 接着在新规则属性 (New Rule Properties) 窗口中选择筛选器操作标签页将已经定义的 IPSec Configuration 筛选器操作分配到 IP 筛选器图 4-26 选择 IP 筛选器分配筛选器操作在新规则属性 (New Rule Properties) 窗口的筛选器操作标签页上, 选择 IPSec Configuration 筛选器操作 V1.0 07/13/07 25/38

26 图 4-27 选择筛选器操作身份验证方法现在, 按照第节的方法定义第二个安全规则的身份验证方法定义隧道设置项由 PC 站发起建立 IPsec 隧道这意味着 : 相对于 SCALANCE S 模块,PC 站的 IP 地址是隧道的终点在新规则属性 (New Rule Properties) 窗口的隧道设置 ( Tunnel Setting ) 标签页上定义隧道终点输入 PC 站的 IP 地址作为隧道终点 V1.0 07/13/07 26/38

27 图 4-28 定义隧道设置项 PC 站的 IP 地址定义好隧道终点之后, 点击确定 ( OK ) 按钮退出新规则属性 (New Rule Properties) 窗口 VPNtunnel_PC_ScalanceS IP 安全策略的属性 (Properties) 窗口随即打开选择下列两个已创建的安全规则并应用该选择 : channel_from_pc_to_scalance channel_from_scalance_to_p V1.0 07/13/07 27/38

28 图 4-29 选择安全规则使用关闭 ( Close ) 按钮退出 VPNtunnel_PC_ScalanceS IP 安全策略的属性 (Properties) 窗口接着, 使用 Security Configuration Tool V2.1 组态 SCALANCE S 61x V2.1 V1.0 07/13/07 28/38

29 5 组态 SCALANCE S 61x 使用 Security Configuration Tool V2.1 组态 SCALANCE S 61x V2.1 模块通过 Windows 开始菜单 -> SIMATIC -> SCALANCE -> Security 打开 Security Configuration Tool (SCT) 在 SCT 中创建一个新项目之后, 通过 Insert Module 菜单, 插入一个 S612 V2 类型的模块和一个 MD740-1 类型的模块插入 MD740-1 类型的模块来建立由标准 DSL 路由器 A 和 PC 站创建的部分组态模型图 5-1 插入模块子网中的外部 IP 地址被分配给 SCALANCE S 模块, 此外, 还必须在 SCT 中输入 SCALANCE S 的 MAC 地址标准 DSL 路由器 B 是 SCALANCE S 的网关为此, 将标准 DSL 路由器 B 的内部 IP 地址指定为 S612 V2 模块的缺省网关标准 DSL 路由器 A 的外部和内部 IP 地址被指定到 MD740-1 模块在本例中, 标准 DSL 路由器 A 的外部 IP 地址为标准 DSL 路由器 A 的内部 IP 地址为此外, 分配模块名称 SCALANCE 和 RouterA 图 5-2 插入的模块 V1.0 07/13/07 29/38

30 选择 View 菜单并启用 Advanced Mode 图 5-3 启用 Advanced Mode 在 SCALANCE Module Properties 窗口中的 Routing Modus 标签页上为 SCALANCES 模块启用路由模式输入 SCALANCE S 的内部 IP 地址和子网掩码图 5-4 启用 Routing Modus V1.0 07/13/07 30/38

31 随后, 通过选择 Insert Group 创建一个新组图 5-5 组通过鼠标拖放将类型为 S612 V2 和 MD740-1 的两个模块拖入该组图 5-6 将模块分配到组鼠标拖放在 Group Properties 中, 设置身份验证和安全措施选项身份验证和安全措施设置项的设置类似于 MMC 中的设置, 即 : 输入预共享密钥 scalance 输入通过 IPsec 进行数据交换的阶段 1 和 2 中的完整性算法 SHA1 输入通过 IPsec 进行数据交换的阶段 1 和 2 中的加密算法 3DES V1.0 07/13/07 31/38

32 图 5-7 组属性在 SCALANCE Module Properties 窗口中的 VPN 标签页上, 设置建立 VPN 隧道的设置项 SCALANCE S 61x V2.1 被设置为被动模块此外, 还必须输入所连接的标准 DSL 路由器的固定外部 IP 地址, 主动模块通过该地址发起建立隧道在本例中, 输入标准 DSL 路由器 B 的固定外部 IP 地址 V1.0 07/13/07 32/38

33 图 5-8 Module Properties ( 模块属性 ) VPN 标签页为了完成 SCALANCE S 组态, 将组态数据从 Security Configuration Tool 传送到 SCALANCE S 61x V2.1 模块在 All Modules 中, 选择对应的 S612 V2 型模块并点击 Load 按钮图 5-9 将组态加载到 SCALANCE S 61x 模块 V1.0 07/13/07 33/38

34 6 建立 VPN 隧道 6.1 检查 IPsec 服务使用 MMC 和 Security Configuration Tool 组态好 IPsec 隧道之后, 即可通过互联网建立 PC 站和 SCALANCE S 之间的 VPN 隧道要求 IPSEC Services 服务已启动并处于活动状态这可以通过 Microsoft 管理控制台进行检查在 MMC 控制台的根节点中, 选择 Services (Local) ( 服务 ( 本地 )) 管理单元用户可以总览 PC 站提供的所有服务在该总览图中, 搜索 IPSEC Services 图 6-1 IPSEC 服务现在, 双击 IPSEC Services,IPSEC Services Properties(IPSEC 服务属性 ) 窗口随即打开在 General 标签页中, 检查服务状态服务状态必须为 Started V1.0 07/13/07 34/38

35 图 6-2. IPSEC Services Properties 窗口, General 标签页在 Log On 标签页中, 用户可以检查 PC 站上是否已启用了 IPSEC Services 服务图 6-3 IPSEC Services Properties 窗口, Log On 标签页 V1.0 07/13/07 35/38

36 6.2 建立 IPsec 隧道使用 MMC 发起建立装有 Windows XP SP2 的 PC 站和 SCALANCE S61x V2.1 模块之间的 IPsec 隧道在 MMC 控制台的根节点下, 选择 IP Security Policies on Local Computer (IP 安全策略在本地计算机 ) 管理单元现在选择 VPNtunnel_PC_ScalanceS IP 安全策略并通过选择 Action Assign ( 操作指派 ) 将其分配到 PC 站图 6-4 将 IP 安全策略分配到 PC 站 6.3 检查 IPsec 隧道状态通过互联网建立 PC 站和 SCALANCE S 模块的 IPsec 隧道之后, 可以从 PC 站访问受保护的自动化单元 (CP 343-1), 即 : 用户可以使用 Security Configuration Tool 在线访问 SCALANCE S 61x V2.1 为此, 点击 Online 按钮如果该在线访问已成功, 则可以通过 VPN 隧道访问 SCALANCE S 61x 模块在 SCALANCE 模块在线视图的 Communication Status 标签页上, 显示了隧道的状态为 enabled 图 6-5 使用 SCT 在线访问 SCALANCE S 61x V2.1 V1.0 07/13/07 36/38

图 6-6 Ipsec 隧道状态可以从 PC 站向 CP 343-1 的 IP 地址发送一个 ping 命令此外, 可以向 SCALANCE S 61x 模块的内部 IP 地址发送一个 ping 命令在 STEP 7 中, 用户可以使用 PG/OP 功能在线访问 S7-300 控制器, 以便可以将 STEP 7 项目或组态加载到 S7 300 控制器的 CPU 或读取

37 图 6-6 Ipsec 隧道状态可以从 PC 站向 CP 的 IP 地址发送一个 ping 命令此外, 可以向 SCALANCE S 61x 模块的内部 IP 地址发送一个 ping 命令在 STEP 7 中, 用户可以使用 PG/OP 功能在线访问 S7-300 控制器, 以便可以将 STEP 7 项目或组态加载到 S7 300 控制器的 CPU 或读取 CPU 的诊断缓冲区注意事项在 STEP 7 中不能够通过 VPN 通道使用第 2 层 (Layer2) 协议, 例如 Accessible Nodes 功能 PC 上额外安装的防火墙可能会导致出现问题注意该组态已经在多个装有 Windows XP SP2 的标准 PC 上做了测试不能保证该例子可以在所有的 PC 配置中都顺利工作 V1.0 07/13/07 37/38

38 7 文档历史版本日期修改内容 V 1.0 第一版 V1.0 07/13/07 38/38

一．NETGEAR VPN防火墙产品介绍

一．NETGEAR VPN防火墙产品介绍 NETGEAR VPN NETGEAR 6 http://www.netgear.com.cn - 1 - NETGEAR VPN... 4 1.1 VPN...4 1.2 Dynamic Domain Name Service...4 1.3 Netgear VPN...4 Netgear VPN... 6 2.1 FVS318 to FVS318 IKE Main...7 2.1.1 A VPN