这里介绍如何创建舒适型面板与 WinCC 之间通过 OPC UA 建立安全（签名和加密）链接， 也就是链接认证的操作。

本 FAQ 中， 已经创建了 WinCC（TIA Portal）V14 SP1和 WinCC V7.4 SP1 两个项目。

按照如下步骤使用 OPC UA 连接。请确保按照给定的顺序。 .

在 WinCC (TIA Portal) 工程系统

1. 在面板的项目树种，找到  "Runtime settings" ，打开 "Services" 项。
2. 在  "Read/write tags" 中激活 “Operate as OPC-UA server”。
    

   
   图. 01
    

3. 打开 "OPC settings" 项，在  "Port number:" 中输入 "4870"。
    

   
   图. 02
    

4.  在  "Security policy of the application" 中，为创建安全链接设置安全策略  "Basic128Rsa15" 。激活 "Enabled" 和"Sign and encrypt" (在 "Message security mode"下)。
5. 编译项目并下载到面板。

在 WinCC V7.4 SP1

准备
  OPC UA 通讯不是使用 IP 地址，而是使用 Windows  设备名称。没有在网络中没有使用 DNS  服务器，首先将 OPC UA 服务器的 IP 地址与设备名相关联。

在  OPC UA  户端的 "%systemroot%\System32\Drivers\Etc\lmhosts" 文件中， 使用 OPC UA 服务器创建条目  "[IP address][computer name]"比如：
"172.16.33.2 HMI_Panel123"

注意事项：

1. 此操作需要管理员权限。.
2. 更多信息请参 阅the "lmhosts" 文件和  Microsoft TechNet 中 of new entries。
3. 如果不仅能通过 IP 使用 "ping [Host]"  命令，也能通过计算机名称，那么 "lmhosts" 就是正确的。

配置步骤

1. 在 WinCC 资源管理器中打开项目的 "Tag Management" ，右键点击的弹出菜单中，选择 "Add new driver -> OPC UA WinCC Channel"。 创建一个 OPC UA 通道。
    

   
   图. 03

2.  右键点击的弹出菜单中，创建组，选择 "New Connection"。

图. 04

3.右键点击链接， 在弹出菜单中选择 "Connection Parameters"。
图. 05

4. 在打开的对话框中， 选择 the "UA Server Browser" 选项卡， 在 "UA Server Discovery" -> "Custom Discovery" 中双击"Double click to add server"。
图. 06

5. 在打开的对话框中， 在  "Add New Server" 输入  WinCC 面板的 "opc.tcp://[Host_name]:[Port]"。
  [Host_name] 使用设备名称，不是 IP 地址。 [Port] 输入之前 图 2 中的端口号，默认值是 "4870"。
 

图. 07

注意事项

设备名称是Windows设备名称，而不是TIA项目中配置的面板的名称。您可以通过关闭面板上的WinCC（TIA Portal）运行，并在 "Settings -> System -> Device Name" 下打开对话框找到它。 
 

 6. 点击面板中 OPC UA 服务器条目。
 在“安全设置”区域中，您可以在“安全策略”和“安全模式”字段中选择所需的连接类型，确定服务器端点。

在下拉列表框分别选择“basic128rsa15”和“signandencrypt”。 
 

图. 08

注意事项

如果您为两种设置选择“无”，那么您就可以执行一个OPC UA通信。然而，这种连接是不安全的。建议您使用此仅用于测试。

为了能够使用安全连接，户机和服务器计算机交换的OPC UA证书仍然需要移动。为此进行如下操作：

1. 在图. 08 中，点击 "Certificates" 按键， 打开 Windows 文件选择对话框。
2. 打开  "C:\Program Files (x86)\Siemens\WinCC\opc\UAClient\PKI\Rejected\certs"。
   该目录包含一个证书文件。
    

   
   图. 09
    

3. 剪切该文件，复制到 "C:\Program Files (x86)\Siemens\WinCC\opc\UAClient\PKI\Trusted\certs"。
4. 如果有必要，终止项目运行，切换到面板。打开开始菜单，选择命令 "Programs -> Windows Explorer"。
5. 切换到  "\flash\simatic\SystemRoot\SSL\rejected"，标记WinCC户机的证书并选择命令 "Edit -> Cut"
6. 切换到  "\flash\simatic\SystemRoot\SSL\cert"。使用命令 "Edit -> Paste" 把证书粘贴到文件夹。重新运行。

然后完成OPC UA连接的配置。在连接“握手”图标上的绿色复选标记指示成功连接到OPC UA服务器 (参看图 10)。
 

图. 10

在WinCC计算机的条目管理器中，您标记所创建的OPC UA连接，并在弹出菜单中选择“浏览OPC服务器”命令。显示OPC UA服务器面板的条目管理器，您可以使用WinCC项目中的条目。 

如何在工业以太网CP/CM中给UDP连接使用和组态IP组播？

IP组播是一种特殊的通信方式，只能通过工业以太网CP/CM组态UDP连接(UDP用户数据包协议)的方式进行组态。IP组播用于将消息从一个站发送到多个伙伴站。

组播消息由一个特殊的组播地址发送的。IP地址范围从224.0.1.0到239.255.255.255专门用于IP组播。

广播消息会发送给网络中所有的设备。例如，在搜索IP地址的MAC地址（ARP请求）时，使用的就是广播消息。这就是为什么通信模块必须处理和评估广播信息的原因。如果网络中存在太多的广播信息，网络的性能会下降。因为每个模块要处理完所有的广播消息后才能确定哪些信息是给自己的。

如果使用S7-300/S7-400工业以太网CP卡，关于广播消息需注意以下两点：

• S7-300/S7-400的工业以太网CP在收到信息之后，广播消息会zui先被筛选出来，并立即丢掉所有无用的消息（例如，ARP请求），以防止广播消息对其他链路产生负面的影响。

• S7-300/S7-400工业以太网CP通过UDP链接可以发送数据，但是不能接受数据。

自STEP 7/ NCM V5.1 + SP2及以后版本 S7-300/S7-400工业以太网CP的UDP组播可以给一个特定组的通讯伙伴发送信息。

通讯处理器特性：

通常通讯处理器不接受除时间外的其他组播消息。如果在组态中激活一个组播组，那么在控制器中也需要激活此组播。这样只激活了一个特定组，通讯处理器仍然继续过滤网络中其它广播消息。每个已组态的组播都必须在控制器中标记。                       

这就是为什么在信息要发送到一组伙伴站时选择组播。

• 在条目ID 16767769 中，可以找到关于S7-300工业以太网CP中支持的zui大组播组数的信息。
• 在条目ID 15368142 中，可以找到关于S7-400工业以太网CP中支持的zui大组播组数的信息。

• 在S7-1200 / S7-1500 CP / CM的手册中，可以找到支持的zui大组播组数的信息。

• 与UDP一样，数据长度的限制是2048字节。

• 通讯处理器仍然不受广播负载影响。

• 所有的伙伴站也都必须支持组播。

• 发送的信息没有任何安全机制（应答）。

• IP组播信息可以通过路由器发送到外部不同网段IP。

由于UDP协议不提供应答机制，所以发送的消息没有应答。例如如果将一个消息发送给100个伙伴，然后同时到达100个确认(一个伙伴一个确认)，发送方模块无法评估如此泛洪的数据。

组态多点传输连接：

1. 在NetPro里面插入新的“UDP连接”型链接。作为连接伙伴，选择“All multicast stations”。
      

   
   图. 1

2. 在UDP链接的属性对话框中，打开“Address”标签。在这里可以定义组播组。224.0.1.0到239.255.255.255的IP地址是专门作为组播地址的。从这个IP地址范围发送的消息会作为组播消息被每个模块识别。IP地址范围是专门通过UDP连接用于IP组播的。  
   本地和远程端口可以使能1到65535。在创建*个组播环路时，将在默认情况下将224.0.1.0分配给它。用户可以改变组播环路的IP地址。可用的IP地址范围是224.0.1.0到239.255.255.255。

图. 2

3. 在NetPro中，UDP链接在配置链接中显示。在Partner栏中显示条目“All multicast nodes”。
   

图. 3

组态建议：

建议在组态组播连接的时候按照以下规则操作：

        1.本地和远程的组播连接的端口要相同。

        2.考虑LAN上的组播地址。

为组播连接的本地和远程端口选择相同的端口号
如果组播信息到达了控制器，只有端口号码是相关的。

只有一个组播链接能在两个站之间组态。在站1和站2中，需要给组播的本地和远程端口组态相同的端口号。因此，站1可以接收 站2 发送到组播组的数据，并且站2可以接收站1发送到组播组的数据。

表1

考虑在LAN上组播地址的选择
通过组播，3个低字节的IP地址被复制到MAC地址01.00.5E.00.00.00zui后的字节中。 这之后MAC地址输入到控制器中的单独组播组中。这保证了信息能通过各自的控制器。此外，*个被复制的地址的字节的zui高位会被忽略而且总是为0。在LAN上的信息中。

被创建的MAC地址也会zui为可见的目标MAC地址。

从 站1 发送到 站2 的组播信息。  

表 2

当站1和站2在同一个组播组，并且所有端口号都相同，无限制的双向数据交换就可以在站1和站2之间进行了。         但是，由站1和站2发送的组播信息也会被站3接收。这是因为组播组224.0.1.0 and 225.0.1.0有相同的MAC地址
 01:00:5E:00:01:00。

注意

• 不同的组播组IP地址实际上是代表了相同的组播组。因此，在分配组播组时应当注意避免未分配地址的站接收不需要的信息。这是基于RFC 1112的规则 (互联网标准)。
• 工业以太网CP/CM支持IGMP协议（Internet组管理协议）。在外部IP子网的站可以访问，这是由于IGMP协议在互联网上提供IP组播。IP组播会同时分布信息给在同一IP地址下的多个站。组播组的管理发生在路由器中，会直接与组播组的接收器连接。IGMP协议提供下面这个功能：工业以太网CP/CM能建议路由器的特殊组播组的组播信息的需求。组播路由器协议在路由器之间采取协调。

支持组播连接的模块
表3列出了支持组播和广播连接的S7-1200/S7-1500模块。
 

表 3

1) 不支持通过UDP连接发送。

表4列出了支持组播和广播连接的S7-300 / S7-400模块。
   

表 4