墻 NAT 和墻

時間：2021-08-27

NAT 和*墻

*墻和 NAT 路由器支持“狀態(tài)檢查”機制。如果啟用從內部到外部的 IP 數(shù)據(jù)通信，內部注釋可啟動到外部網(wǎng)絡的通信連接。

外部網(wǎng)絡的回復幀可通過 NAT 路由器和*墻，而*將其地址額外包含在*墻規(guī)則和 NAT 地址轉換中。對于不屬于來自內部網(wǎng)絡查詢的回復的幀，將被丟棄，*匹配*墻規(guī)則。

NAT 轉換和*墻規(guī)則

NAT 轉換示例

NAT 規(guī)則
	類型	源接口	目標接口	源 IP 子網(wǎng)	轉換的源 IP 子網(wǎng)	目標 IP 子網(wǎng)	轉換的目標 IP
①	源	vlan1 （內部）	vlan2 （外部）	192.168.1.0/24	10.100.1.0/24	10.10.10.0/24	-
①	該規(guī)則適用于從 vlan1（內部）發(fā)送到 vlan2（外部）的數(shù)據(jù)包。對于到達 vlan1 的數(shù)據(jù)包，將進行檢查以確定該規(guī)則是否適用。如果源 IP 地址位于發(fā)送方子網(wǎng)（源 IP 子網(wǎng)）中，且目標 IP 地址位于接收方子網(wǎng)（源 IP 子網(wǎng)）中，則將源 IP 地址替換為來自“轉換的源 IP 子網(wǎng)”的相應 IP 地址。源 IP 地址子網(wǎng)部分將發(fā)生更改，主機部分將保持不變。例如，將一個數(shù)據(jù)包的源 IP 地址 192.168.1.102 更改為 10.100.1.102。對于連接到 vlan2 的設備，數(shù)據(jù)包似乎是從 IP 子網(wǎng) 10.100.1.0/24 發(fā)送的。因而解決了 IP 子網(wǎng)重疊等問題。僅針對發(fā)送方向*該規(guī)則。隱式執(zhí)行重新轉換。如果該規(guī)則不適用，則在不轉換的情況下轉發(fā)數(shù)據(jù)包。
②	目標	vlan2 （外部）	vlan1 （內部）	10.10.10.0/24	-	10.100.1.0/24	192.168.1.0/24
②	該規(guī)則適用于從 vlan2（外部）發(fā)送到 vlan1（內部）的數(shù)據(jù)包。對于到達 vlan2 的數(shù)據(jù)包，將進行檢查以確定該規(guī)則是否適用。如果源 IP 地址位于發(fā)送方子網(wǎng)（源 IP 子網(wǎng)）中，且目標 IP 地址位于接收方子網(wǎng)（源 IP 子網(wǎng)）中，則將源 IP 地址替換為來自“轉換的目標 IP 子網(wǎng)”的相應 IP 地址。例如，將一個數(shù)據(jù)包的源 IP 地址 10.10.10.102 更改為 192.168.1.102。連接到 vlan1 的設備可與連接到 vlan2 的設備進行通信。前提是已設置相應的*墻規(guī)則。連接到 vlan2 的設備必須使用子網(wǎng) 10.100.1.0 的虛擬 IP 地址對連接到 vlan1 的設備進行尋址。

NAT 規(guī)則 ① 和 ② 的*墻規(guī)則

示例 1：

這些 IP 數(shù)據(jù)**濾規(guī)則適用于*方向的所有設備的 IP 數(shù)據(jù)通信。

NAT 規(guī)則	IP 數(shù)據(jù)**濾規(guī)則	說明
操作	自	至	源（范圍）	目標（范圍）	服務
①	接受	vlan1 （內部）	vlan2 （外部）	192.168.1.0/24 （源 IP 子網(wǎng)）	10.10.10.0/24 （目標 IP 子網(wǎng)）	所有	從 vlan1（內部）發(fā)送到 vlan2（外部）的所有數(shù)據(jù)包均可通過。該 IP 數(shù)據(jù)**濾規(guī)則適用于連接至 vlan1 的設備。
②	接受	vlan2（外部）	vlan1 （內部）	192.168.1.0/24 （轉換的目標 IP）	10.100.1.0/24 （目標 IP 子網(wǎng)）	所有	從 vlan2（外部）發(fā)送到 vlan1（內部）的所有數(shù)據(jù)包均可通過。

NAT 規(guī)則

IP 數(shù)據(jù)**濾規(guī)則

說明

操作

自

至

源（范圍）

目標（范圍）

服務

①

接受

vlan1

（內部）

vlan2

（外部）

192.168.1.0/24

（源 IP 子網(wǎng)）

10.10.10.0/24

（目標 IP 子網(wǎng)）

所有

從 vlan1（內部）發(fā)送到 vlan2（外部）的所有數(shù)據(jù)包均可通過。

該 IP 數(shù)據(jù)**濾規(guī)則適用于連接至 vlan1 的設備。

②

接受

vlan2（外部）

vlan1

（內部）

192.168.1.0/24

（轉換的目標 IP）

10.100.1.0/24

（目標 IP 子網(wǎng)）

所有

從 vlan2（外部）發(fā)送到 vlan1（內部）的所有數(shù)據(jù)包均可通過。

示例 2：

這些 IP 數(shù)據(jù)**濾規(guī)則將對特定設備的 IP 數(shù)據(jù)通信進行限制。

NAT 規(guī)則	IP 數(shù)據(jù)**濾規(guī)則	說明
操作	自	至	源（范圍）	目標（范圍）	服務
①	接受	vlan1 （內部）	vlan2 （外部）	192.168.1.20/32 （源 IP 子網(wǎng)）	10.10.10.0/24 （目標 IP 子網(wǎng)）	所有	僅允許從 IP 地址 192.168.1.20 發(fā)送到 vlan2（外部）的數(shù)據(jù)*。
②	接受	vlan2（外部）	vlan1（內部）	192.168.1.20/32 （轉換的目標 IP 子網(wǎng)）	10.100.1.0/24 （目標 IP 子網(wǎng)）	所有	僅允許從 vlan2（外部）發(fā)送到 IP 地址 192.168.1.20 的數(shù)據(jù)*。

NAT 規(guī)則

IP 數(shù)據(jù)**濾規(guī)則

說明

操作

自

至

源（范圍）

目標（范圍）

服務

①

接受

vlan1

（內部）

vlan2

（外部）

192.168.1.20/32

（源 IP 子網(wǎng)）

10.10.10.0/24

（目標 IP 子網(wǎng)）

所有

僅允許從 IP 地址 192.168.1.20 發(fā)送到 vlan2（外部）的數(shù)據(jù)*。

②

接受

vlan2（外部）

vlan1（內部）

192.168.1.20/32

（轉換的目標 IP 子網(wǎng)）

10.100.1.0/24

（目標 IP 子網(wǎng)）

所有

僅允許從 vlan2（外部）發(fā)送到 IP 地址 192.168.1.20 的數(shù)據(jù)*。

13681875601

詞條
詞條說明
使用元素視圖
使用元素視圖簡介**打開“庫”(Libraries) 任務卡時，將打開“項目庫”(Project library) 和“全局庫”(Global libraries) 選項板，而“信息”(Info) 選項板為關閉狀態(tài)。需要時，可顯示“元素”(Elements) 選項板。元素視圖顯示所選庫的元素。元素視圖中有以下三種視圖模式：詳細視圖在詳細模式中，將以表格形式顯示文件夾、模板副本和類型的屬性。列表在列
預留通信資源
預留通信資源分配連接資源每個通信連接在通信連接時間內都要占用 S7 CPU 的一個連接資源作為管理單元。如技術規(guī)范列表所示，每個 S7 CPU 都提供了一定數(shù)目的連接資源，這些連接資源分配給各種通信服務（編程設備/操作員面板通信、S7 通信或 S7 基本通信）。按時間順序分配連接資源通信服務登錄時，將按照登錄順序來分配連接資源。手動分配通信資源為了避免完全依據(jù)通信服務的請求時間順序來分配連接資源
歸檔全局庫
歸檔全局庫全局庫可歸檔為壓縮文件或非壓縮文件。因此，待歸檔的全局庫可以不通過 TIA Portal 打開。將全局庫歸檔為壓縮文件時，可降低全局庫所需的空間要求。操作步驟要歸檔全局庫，請按以下步驟操作：在“項目”(Project) 菜單中，選擇“歸檔...”(Archive...) 命令。此外，也可在待歸檔全局庫的快捷菜單中選擇命令“歸檔庫”(Archive library)。“歸檔”(Archiv
連接現(xiàn)有的總線系統(tǒng)
連接現(xiàn)有的總線系統(tǒng)連接 PROFINET 和 PROFIBUS可以通過以下方式將 PROFINET IO 和 PROFIBUS DP 進行互連：通過工業(yè)以太網(wǎng)：要連接兩種類型的網(wǎng)絡（工業(yè)以太網(wǎng)（工廠控制級別）和 PROFIBUS（單元級別/現(xiàn)場級別）），可以采用 IE/PB Link。通過工業(yè)無線 LAN：例如，PROFIBUS 設備可以通過無線 LAN/PB Link 連接到 PROFINET