這里介紹如何創建舒適型面板與 WinCC 之間通過 OPC UA 建立安全（簽名和加密）鏈接， 也就是鏈接認證的操作。

本 FAQ 中， 已經創建了 WinCC（TIA Portal）V14 SP1和 WinCC V7.4 SP1 兩個項目。

按照如下步驟使用 OPC UA 連接。請確保按照給定的順序。 .

在 WinCC (TIA Portal) 工程系統

1. 在面板的項目樹種，找到  "Runtime settings" ，打開 "Services" 項。
2. 在  "Read/write tags" 中激活 “Operate as OPC-UA server”。
    

   
   圖. 01
    

3. 打開 "OPC settings" 項，在  "Port number:" 中輸入 "4870"。
    

   
   圖. 02
    

4.  在  "Security policy of the application" 中，為創建安全鏈接設置安全策略  "Basic128Rsa15" 。激活 "Enabled" 和"Sign and encrypt" (在 "Message security mode"下)。
5. 編譯項目并下載到面板。

在 WinCC V7.4 SP1

準備
  OPC UA 通訊不是使用 IP 地址，而是使用 Windows  設備名稱。沒有在網絡中沒有使用 DNS  服務器，首先將 OPC UA 服務器的 IP 地址與設備名相關聯。

在  OPC UA  戶端的 "%systemroot%\System32\Drivers\Etc\lmhosts" 文件中， 使用 OPC UA 服務器創建條目  "[IP address][computer name]"比如：
"172.16.33.2 HMI_Panel123"

注意事項：

1. 此操作需要管理員權限。.
2. 更多信息請參 閱the "lmhosts" 文件和  Microsoft TechNet 中 of new entries。
3. 如果不僅能通過 IP 使用 "ping [Host]"  命令，也能通過計算機名稱，那么 "lmhosts" 就是正確的。

配置步驟

1. 在 WinCC 資源管理器中打開項目的 "Tag Management" ，右鍵點擊的彈出菜單中，選擇 "Add new driver -> OPC UA WinCC Channel"。 創建一個 OPC UA 通道。
    

   
   圖. 03

2.  右鍵點擊的彈出菜單中，創建組，選擇 "New Connection"。

圖. 04

3.右鍵點擊鏈接， 在彈出菜單中選擇 "Connection Parameters"。
圖. 05

4. 在打開的對話框中， 選擇 the "UA Server Browser" 選項卡， 在 "UA Server Discovery" -> "Custom Discovery" 中雙擊"Double click to add server"。
圖. 06

5. 在打開的對話框中， 在  "Add New Server" 輸入  WinCC 面板的 "opc.tcp://[Host_name]:[Port]"。
  [Host_name] 使用設備名稱，不是 IP 地址。 [Port] 輸入之前 圖 2 中的端口號，默認值是 "4870"。
 

圖. 07

注意事項

設備名稱是Windows設備名稱，而不是TIA項目中配置的面板的名稱。您可以通過關閉面板上的WinCC（TIA Portal）運行，并在 "Settings -> System -> Device Name" 下打開對話框找到它。 
 

 6. 點擊面板中 OPC UA 服務器條目。
 在“安全設置”區域中，您可以在“安全策略”和“安全模式”字段中選擇所需的連接類型，確定服務器端點。

在下拉列表框分別選擇“basic128rsa15”和“signandencrypt”。 
 

圖. 08

注意事項

如果您為兩種設置選擇“無”，那么您就可以執行一個OPC UA通信。然而，這種連接是不安全的。建議您使用此僅用于測試。

為了能夠使用安全連接，戶機和服務器計算機交換的OPC UA證書仍然需要移動。為此進行如下操作：

1. 在圖. 08 中，點擊 "Certificates" 按鍵， 打開 Windows 文件選擇對話框。
2. 打開  "C:\Program Files (x86)\Siemens\WinCC\opc\UAClient\PKI\Rejected\certs"。
   該目錄包含一個證書文件。
    

   
   圖. 09
    

3. 剪切該文件，復制到 "C:\Program Files (x86)\Siemens\WinCC\opc\UAClient\PKI\Trusted\certs"。
4. 如果有必要，終止項目運行，切換到面板。打開開始菜單，選擇命令 "Programs -> Windows Explorer"。
5. 切換到  "\flash\simatic\SystemRoot\SSL\rejected"，標記WinCC戶機的證書并選擇命令 "Edit -> Cut"
6. 切換到  "\flash\simatic\SystemRoot\SSL\cert"。使用命令 "Edit -> Paste" 把證書粘貼到文件夾。重新運行。

然后完成OPC UA連接的配置。在連接“握手”圖標上的綠色復選標記指示成功連接到OPC UA服務器 (參看圖 10)。
 

圖. 10

在WinCC計算機的條目管理器中，您標記所創建的OPC UA連接，并在彈出菜單中選擇“瀏覽OPC服務器”命令。顯示OPC UA服務器面板的條目管理器，您可以使用WinCC項目中的條目。 

如何在工業以太網CP/CM中給UDP連接使用和組態IP組播？

IP組播是一種特殊的通信方式，只能通過工業以太網CP/CM組態UDP連接(UDP用戶數據包協議)的方式進行組態。IP組播用于將消息從一個站發送到多個伙伴站。

組播消息由一個特殊的組播地址發送的。IP地址范圍從224.0.1.0到239.255.255.255專門用于IP組播。

廣播消息會發送給網絡中所有的設備。例如，在搜索IP地址的MAC地址（ARP請求）時，使用的就是廣播消息。這就是為什么通信模塊必須處理和評估廣播信息的原因。如果網絡中存在太多的廣播信息，網絡的性能會下降。因為每個模塊要處理完所有的廣播消息后才能確定哪些信息是給自己的。

如果使用S7-300/S7-400工業以太網CP卡，關于廣播消息需注意以下兩點：

• S7-300/S7-400的工業以太網CP在收到信息之后，廣播消息會zui先被篩選出來，并立即丟掉所有無用的消息（例如，ARP請求），以防止廣播消息對其他鏈路產生負面的影響。

• S7-300/S7-400工業以太網CP通過UDP鏈接可以發送數據，但是不能接受數據。

自STEP 7/ NCM V5.1 + SP2及以后版本 S7-300/S7-400工業以太網CP的UDP組播可以給一個特定組的通訊伙伴發送信息。

通訊處理器特性：

通常通訊處理器不接受除時間外的其他組播消息。如果在組態中激活一個組播組，那么在控制器中也需要激活此組播。這樣只激活了一個特定組，通訊處理器仍然繼續過濾網絡中其它廣播消息。每個已組態的組播都必須在控制器中標記。                       

這就是為什么在信息要發送到一組伙伴站時選擇組播。

• 在條目ID 16767769 中，可以找到關于S7-300工業以太網CP中支持的zui大組播組數的信息。
• 在條目ID 15368142 中，可以找到關于S7-400工業以太網CP中支持的zui大組播組數的信息。

• 在S7-1200 / S7-1500 CP / CM的手冊中，可以找到支持的zui大組播組數的信息。

• 與UDP一樣，數據長度的限制是2048字節。

• 通訊處理器仍然不受廣播負載影響。

• 所有的伙伴站也都必須支持組播。

• 發送的信息沒有任何安全機制（應答）。

• IP組播信息可以通過路由器發送到外部不同網段IP。

由于UDP協議不提供應答機制，所以發送的消息沒有應答。例如如果將一個消息發送給100個伙伴，然后同時到達100個確認(一個伙伴一個確認)，發送方模塊無法評估如此泛洪的數據。

組態多點傳輸連接：

1. 在NetPro里面插入新的“UDP連接”型鏈接。作為連接伙伴，選擇“All multicast stations”。
      

   
   圖. 1

2. 在UDP鏈接的屬性對話框中，打開“Address”標簽。在這里可以定義組播組。224.0.1.0到239.255.255.255的IP地址是專門作為組播地址的。從這個IP地址范圍發送的消息會作為組播消息被每個模塊識別。IP地址范圍是專門通過UDP連接用于IP組播的。  
   本地和遠程端口可以使能1到65535。在創建*個組播環路時，將在默認情況下將224.0.1.0分配給它。用戶可以改變組播環路的IP地址。可用的IP地址范圍是224.0.1.0到239.255.255.255。

圖. 2

3. 在NetPro中，UDP鏈接在配置鏈接中顯示。在Partner欄中顯示條目“All multicast nodes”。
   

圖. 3

組態建議：

建議在組態組播連接的時候按照以下規則操作：

        1.本地和遠程的組播連接的端口要相同。

        2.考慮LAN上的組播地址。

為組播連接的本地和遠程端口選擇相同的端口號
如果組播信息到達了控制器，只有端口號碼是相關的。

只有一個組播鏈接能在兩個站之間組態。在站1和站2中，需要給組播的本地和遠程端口組態相同的端口號。因此，站1可以接收 站2 發送到組播組的數據，并且站2可以接收站1發送到組播組的數據。

表1

考慮在LAN上組播地址的選擇
通過組播，3個低字節的IP地址被復制到MAC地址01.00.5E.00.00.00zui后的字節中。 這之后MAC地址輸入到控制器中的單獨組播組中。這保證了信息能通過各自的控制器。此外，*個被復制的地址的字節的zui高位會被忽略而且總是為0。在LAN上的信息中。

被創建的MAC地址也會zui為可見的目標MAC地址。

從 站1 發送到 站2 的組播信息。  

表 2

當站1和站2在同一個組播組，并且所有端口號都相同，無限制的雙向數據交換就可以在站1和站2之間進行了。         但是，由站1和站2發送的組播信息也會被站3接收。這是因為組播組224.0.1.0 and 225.0.1.0有相同的MAC地址
 01:00:5E:00:01:00。

注意

• 不同的組播組IP地址實際上是代表了相同的組播組。因此，在分配組播組時應當注意避免未分配地址的站接收不需要的信息。這是基于RFC 1112的規則 (互聯網標準)。
• 工業以太網CP/CM支持IGMP協議（Internet組管理協議）。在外部IP子網的站可以訪問，這是由于IGMP協議在互聯網上提供IP組播。IP組播會同時分布信息給在同一IP地址下的多個站。組播組的管理發生在路由器中，會直接與組播組的接收器連接。IGMP協議提供下面這個功能：工業以太網CP/CM能建議路由器的特殊組播組的組播信息的需求。組播路由器協議在路由器之間采取協調。

支持組播連接的模塊
表3列出了支持組播和廣播連接的S7-1200/S7-1500模塊。
 

表 3

1) 不支持通過UDP連接發送。

表4列出了支持組播和廣播連接的S7-300 / S7-400模塊。
   

表 4